Nastavení ActiveSync pro synchronizaci přímo s Exchange serverem
5.1.2006, Pavel Koza, návod
Kromě klasické synchronizace se stolním počítačem umí kapesní počítače se systémem od Microsoftu ještě jeden druh synchronizace, a sice přímo se Exchange serverem. Využijí ji tedy především zaměstnanci větších firem a organizací, kde je Exchange server použit jako hlavní poštovní server a úložiště dat. A protože počet takových uživatelů stále roste, rozhodl jsem se sepsat tento článek, po jehož přečtení byste měli být schopni Exchange ActiveSync nastavit a provozovat.
Verze článku: 1.01
S rozmachem mobilních datových sítí se výrazně změnilo chování běžného uživatele kapesního počítače. Před pár lety bylo PDA bráno jako skvělý prostředek, který uživateli umožní mít svá data aktuální k datu poslední synchronizace neustále při ruce. Vrcholem pokroku bylo nechat si směrovat poštu někam na veřejný POP3 server a za skutečně dlouhé peníze si ji jednou denně odněkud stáhnout. Dnes, kdy se již konečně pojem "paušální platba" v oblasti telekomunikací nepovažuje za sprosté slovo a datové přenosy zvládá snad i jednotlačítkový mobil ve formě roztomilé plyšové kočičky pro děti do tří let, dnes jsou již uživatelé poněkud náročnější. Heslem je mít přístup ke svým aktuálním datům kdykoliv a odkudkoliv. A právě proto vznikl tento článek, protože Microsoft jedno takové řešení pro uživatele svých produktů připravil.
Klasickou synchronizaci přes ActiveSync si snad nemusíme dlouze představovat. Pro její fungování je nutné mít instalovaný program Microsoft Outlook, který je od prvopočátku nedílnou součástí každého balení s Windows CE zařízením. Po inicializaci spojení pak komunikace probíhá následně:
PDA <=> ActiveSync (PDA) <=> ActiveSync (desktop) <=> Outlook <=> Datové úložiště (Exchange server nebo .PST soubor)
Komunikace je samozřejmě ve všech případech obousměrná, jinak by se o synchronizaci v pravém smyslu slova ani nedalo hovořit. A tak to většina z vás každý den doma či v kanceláři využívá.
My však chceme být plně mobilní a chceme se obejít bez nutnosti vláčet s sebou velký notebook, o klasickém desktopu s monitorem ani nemluvě:) Tedy zařízení, na kterém musíme spustit program Microsoft Outlook a kapesní zařízení s ním sesynchronizovat. My se chceme se svým PDAčkem připojit přímo k datovému úložišti, které však v tomto případě může být logicky pouze Exchange server. Potom komunikace probíhá následně:
PDA <=> ActiveSync (PDA) <=> ActiveSync (Exchange) <=> Datové úložiště (Exchange server)
Serverová synchronizace má jedno omezení - zvládne synchronizovat pouze poštu (včetně podsložek), kontakty a kalendář. Pokud chcete synchronizovat i další informace jako jsou úkoly, poznámky či soubory, musíte zůstat u klasické synchronizace přes stolní počítač, případně můžete oba způsoby zkombinovat.
K úspěšnému zprovoznění serverové synchronizace potřebujeme určité hardwarové a softwarové vybavení:
1. Microsoft Exchange Server 2003 Std. nebo Ent.
2. Pocket PC či Smartphone
3. Datovou konektivitu (GPRS, WiFi...)
4. Kořenový certifikát CA firmy
Exchange Server 2003 je prostě základ, bez něj vzdálenou synchronizaci nezvládnete. Poznámka :: abych byl úplně přesný, tak pro serverovou synchronizaci je možné použít už Exchange Server 2000 s doinstalovanou službou Mobile Information Server, ale s tím nemám vůbec žádné zkušenosti, takže vše bude popisovat na Exchange Serveru 2003. Budu předpokládat, že jste běžní uživatelé, o Exchange server se stará někdo jiný a vše vám na něm správně nastavil. Pokud tomu tak není, zde je pár bodů, které by měly vašemu správci serveru trochu pomoci.
1. Exchange System Manager
Exchange Server 2003 je již automaticky přednastaven tak, aby poskytoval služby pro vzdálenou synchronizaci, nezaškodí však si to zkontrolovat. Globální nastavení najdete Global Settings -> Mobile Services. Nás zajímá především první volba v sekci Exchange ActiveSync - chcete-li synchronizovat, musí být zaškrtnutá. Tímto veškeré možnosti kofigurace na Exchange serveru končí.
2. Active Directory Users & Computers
Dalším místem hodným kontroly je formulář s vlastnostmi konkrétního uživatele, přesně záložka Exchange Features, kde musí být povolena volba User Initiated Synchronization. V opačném případě bude vzdálená synchronizace blokovaná.
3. Internet a firewall
Dá se celkem s jistotou předpokládat, že je Exchange server připojen k Internetu. Pro vzdálenou synchronizaci nyní potřebujete, aby byl server dostupný z internetu na portu 80 (nezabezpečená komunikace, raději nepoužívat) a/nebo 443 (zabezpečená komunikace). Vyzkoušíte to tak, že na nějakém počítači připojeném do internetu spustíte příkazovou řádku a zadáte telnet cele.jmeno.vaseho.serveru 80 a potom telnet cele.jmeno.vaseho.serveru 443. Mezi jménem a číslem je mezera. Pokud obrazovka zčerná, je to dobré, pokud vyskočí chyba, že spojení nelze navázat, je to špatné a daný port není z internetu přístupný, pak je nutné problém konzultovat se správcem firewallu.
4. Problémy? Doporučené odkazy...
I přes celkem jednoduché nastavení se můžete snadno dostat do problémů, zde je pár odkazů na řešení těch nejběžnějších.
Tak moment - my se tady snažíme desktopu zbavit a místo toho budeme něco konfigurovat...??? Ale ne, pokud desktop nemáte nebo se jej skutečně chcete úplně zbavit, tuto část klidně přeskočte a věnujte se až té další. Osobně si ale myslím, že je vhodné oba typy synchronizace kombinovat. Jednak tím získáme více možností CO vlastně synchronizovat (již v úvodu jsem psal, že si přes Exchange ActiveSync sesynchronizujete pouze část informací uložených v poštovní schránce, o souborech a dalších věcech ani nemluvě) a navíc má konfigurace přímo na zařízení i další omezení.Mně se například nepovedlo z PDA nastavit synchronizaci podsložek pošty, stále se synchronizovala pouze hlavní složka Doručené pošty. Tak zpět, zrovna tohle nastavit jde přes Messaging -> Tools -> Manage Folders...
Proč nemáme při konfiguraci vynechat ani desktop jsem vám snad osvětlil, nyní si v rychlosti ukážeme, jak to provést. Po připojení zařízení k počítači vyberte v prvním dialogovém okně položku Standard partnership, na následující obrazovce vyberte Synchronize with Microsoft Exchange Server..., dále zadáme informace nutné k ověření a přihlášení k Exchange serveru (pokud si nejste jisti, kontaktujte svého správce, zde vám skutečně může pomoci pouze on), na další obrazovce vyberte informace, které chcete synchronizovat a případně je pomocí tlačítka Settings nakonfigurujte (některé možnosti jsou však přístupné až po první synchronizaci).
Následně jste dotázáni, co se má dít v případě, že na zařízení již nějaká data jsou. První volba zajistí, že se všechna data odstraní (myslím tím příslušného typu jako je pošta, kontakty či kalendář, žádný HW reset nečekejte:) a na zařízení se překopírují data z Exchange serveru. Druhá volba se pokusí data na obou stranách zkombinovat, což ovšem bohužel velmi často vede k vytvoření duplicit.
Pokud ActiveSync zjistí, že ve své databázi partnerství již má zařízení se stejným jménem, vyzve uživatele k zadání jména nového. Na další obrazovce si můžete zvolit synchronizaci i ostatních dat, než které zvládne Exchange ActiveSync. Tato data budou synchronizována pouze při přímém spojení s vaším stolním počítačem. A tím je nastavení desktopu hotové. Po odklepnutí tlačítka Finish dojde k prvotní synchronizaci. Vyčkejte, než doběhne až do konce.
Pokud již synchronizaci nějaký čas používáte, výše popsaný způsob vám samozřejmě fungovat nebude. Musíte si vše nastavit ručně buď přímo na zařízení (viz další kapitola) nebo během připojení na desktopové části ActiveSync -> Sync Options -> Server -> Configure.
Pokud se serverem hodláme komunikovat vzdáleně, není od věci použít šifrování. Ono to teoreticky jde i bez něj, ale posílat své jméno a heslo + všechna ostatní data v nezašifrované podobě, navíc bez jakékoliv kontroly například vzduchem (WiFi), v takové štěstí nedoufá ani ten nejoptimističtější hacker-začátečník. A pokud chceme šifrovat, přicházejí na řadu certifikáty. Zařízení s Windows Mobile implicitně důvěřují certifikátům vydanou jednou ze šesti významných certifikačních autorit (VeriSign, Cybertrust, Thawte, Entrust, GlobalSign a Equifax). Pokud je váš Exchange server ocertifikován jednou z těchto CA, máte o problém méně a můžete ihned začít synchronizovat. V opačném případě musíte přidat kořenový certifikát místní certifikační autority, jinak to prostě nebude fungovat - kapesní počítač bude pokládat certifikát za nedůvěryhodný.
Krok 1. - Získání kořenového certifikátu
Nejdříve ale samozřejmě musíme certifikát někde získat. Ti šťastnější si o něj řeknou hodnému správci a pokud jej dostanou ve formátu "DER encoded binary X.509" s koncovkou .CER, mají vyhráno a mohou přejít k bodu 2. Ti ostatní se jej musí pokusit vydolovat ze stolního počítače. Spusťe prohlížeč a do políčka adresy zadejte https://jmeno.postovniho.serveru/exchange. Pokud se objeví okno nadepsané "Security alert", jste na dobré cestě. Prohlédněte si certifikát kliknutím na tlačítko View certificate. Nás zajímá především třetí záložka s názvem Certification Path. Pokud se dobře podíváte na obrázek, zjistíte, že u certifikační autority GTS je červený křížek. Můj počítač tuto CA dosud neznal a tak jí nedůvěřoval, proto se tázal, zda chci povolit certifikát touto CA vydaný. A to je právě to, co hledáme. Označíme si tuto CA (v našem případě GTS) a opět si tento certifikát prohlédneme kliknutím na tlačítko View certificate. Tentokrát se ale zastavíme už u druhé záložky Details, kde je možnost si tento certifikát uložit do souboru pomocí tlačítka Copy to File....
Kopírování certifikátu do souboru probíhá v několika krocích za pomoci malého průvodce. Nejprve vybereme vhodný typ, v našem případě jde o volbu DER encoded binary X.509 (.CER), vymyslíme vhodné jméno souboru a dokončíme průvodce. Někde na ploše by se měl objevit nový soubor se jménem, jaké jste před chvilkou zadali, a tím je naše dobývání certifikátu u konce.
Krok 2. - Instalace kořenového certifikátu
Instalace certifikátu se liší podle toho, jaké zařízení máte k dispozici. Popíšeme si postup pro všechny varianty.
A nakonec je zde ještě jedna možnost, díky které sice budete komunikovat zabezpečeně, ale obejde se nutnost instalace kořenového certifikátu, protože zařízení tuto kontrolu certifikátu vynechá. Jmenuje se Disable Certificate Verification (371,39 KB) a zájemcům doporučuji přečíst si návod, který je součástí balíčku.
Krok 3. - Konfigurace / kontrola nastavení PDA
Pokud jste vytvářeli standardní partnerství, máte vše nastavené a můžete jen kontrolovat. Je-li vaše kapesní zařízení dosud nesynchronizované, musíte si vše nastavit ručně právě teď. Spusťte program ActiveSync a přejděte do nabídky Tools -> Options -> Server. V prvním políčku byste měli mít jméno serveru a pod ním zaškrtnutou volbu zabezpečené komunikace. V seznamu si můžete upravit výběr informací, které chcete synchronizovat. Pomocí tlačítka Options... zkontrolujete přihlašovací informace. V případě, že se rozhodnete nechat systém si vaše heslo pamatovat, je rozhodně doporučeno zároveň nastavit automatické uzamčení zařízení po několika minutách nečinnosti. Jsou tam i další volby, ale ty nejsou pro základní spojení kritické.
Krok 4. - Nastavení připojení k internetu
O tomto tématu jsem sepsal již několik článků, takže to zde nebudu rozebírat, pouze vás na ně odkáži. Jedná se o články Jak nastavit připojení k Internetu? a Widcomm Bluetooth tajemství zbavený. Samozřejmě je možné se připojit i jinak, například přes WiFi či dokonce přímo po LANce.
Pokud všechno proběhlo úspěšně, nemá tato sekce smyslu. V případě jakéhokoliv problému vám však určitě přijde vhod. Jaká chyba vás právě trápí zjistíte snadno po tapnutí na modře podtržené slovo Error pod nápisem Synchronize with Exchange Server v ActiveSyncu na kapesním počítači. Pokud si s nějakou chybou nevíte rady, napište do diskuze a zkusíme to dát dohromady, já pak následně řečení přidám sem do článku. Rovněž bych chtěl upozornit na možnost podrobného logování, kterou zapnete v nabídce Tools -> Options -> Server -> Options -> Rules -> Logging. Podle nastavení pak začne ve složce WindowsActiveSync generovat více či méně podrobné logy, které jsou často pro vyřešení problému klíčové.
INTERNET_7 - Synchronization failed. Verify that you have entered the correct server name and try again.
* Vyplňte programu jeho přání a zkontrolujte název serveru, který jste zadali. Pokud jste postupovali přesně podle mého návodu a v nabídce Tools -> Options... -> Server máte zadáno "DNS.jmeno.vaseho.serveru", tak to skutečně nemůže fungovat - zeptejte se vašeho správce na správný název serveru.
INTERNET_45 - Synchronization failed. The security certificate on the server is invalid. Contact your system administrator or ISP to install a valid certificate on the server and try again.
* Nemáte v pořádku kořenový certifikát. Přečtěte si ještě jednou sekci Instalace kořenového certifikátu a pak se obraťte na svého admina, jestli máte skutečně to, co potřebujete.
HTTP_401 - Access was denied. Check your server username and password in ActiveSync Options.
* Máte problém s přihlášením. Proto na vás také stále dokola vyskakuje ten protivný formulář žadonící o správné jméno, heslo a doménu. Pokud jste si skutečně jisti, že zadávané informace jsou správné, opět je vaše jediná záchrana váš admin.
HTTP_403 - Your account does not have permission to sync with your current settings. Contact your Microsoft Exchange administrator. An error occurred, and scheduled synchronization had to be disabled. To start synchronizing on a schedule again, use the Mobile Schedule tab in ActiveSync Options.
* Tato chyba se mi vyskytla v případě, že jsem se pokoušel synchronizovat bez zabezpečení SSL. Zapněte zabezpečení pomocí SSL.
HTTP_500 - Synchronization failed due to an error on the server. Try again.
* Tato chyba je bez legrace noční můrou každého admina. Má spoustu významů a tak se někdy vyřeší skoro hned a někdy je to práce na týden. V každém případě je takřka jisté, že tato chyba se musí řešit na serveru. Pokud používáte u uživatele více SMTP adres a primární adresa nesouhlasí s obecnou politikou uživatelů (Exchange System Manager -> Recipients -> Recipient Policies), tak si přečtěte tento článek.
Pokud máte všechno správně nastaveno, serverová synchronizace vám může ušetřit spoustu času a navíc umožní být skutečně online. Já osobně ji používám již pár týdnů a i když se jen obtížně dá říci, že jde o dokonalé řešení (náhodně se vyskytující chyby, které po pár minutách zmizí a pod.), je velmi dobře použitelné. Služba jako taková je velmi transparentní a pokud si pustíte podrobné logování, uvidíte, jak celá komunikace vlastně vypadá. Možná je trochu škoda, že můžeme synchronizovat jen 3 základní typy informací, ale na druhou stranu - čím by nás Microsoft měl v příští verzi svého produktu překvapit, že:)?
Za pomoc při psaní článku a některé užitečné tipy děkuji uživateli jvagner.
S rozmachem mobilních datových sítí se výrazně změnilo chování běžného uživatele kapesního počítače. Před pár lety bylo PDA bráno jako skvělý prostředek, který uživateli umožní mít svá data aktuální k datu poslední synchronizace neustále při ruce. Vrcholem pokroku bylo nechat si směrovat poštu někam na veřejný POP3 server a za skutečně dlouhé peníze si ji jednou denně odněkud stáhnout. Dnes, kdy se již konečně pojem "paušální platba" v oblasti telekomunikací nepovažuje za sprosté slovo a datové přenosy zvládá snad i jednotlačítkový mobil ve formě roztomilé plyšové kočičky pro děti do tří let, dnes jsou již uživatelé poněkud náročnější. Heslem je mít přístup ke svým aktuálním datům kdykoliv a odkudkoliv. A právě proto vznikl tento článek, protože Microsoft jedno takové řešení pro uživatele svých produktů připravil.
Obecný úvod
Klasickou synchronizaci přes ActiveSync si snad nemusíme dlouze představovat. Pro její fungování je nutné mít instalovaný program Microsoft Outlook, který je od prvopočátku nedílnou součástí každého balení s Windows CE zařízením. Po inicializaci spojení pak komunikace probíhá následně:
PDA <=> ActiveSync (PDA) <=> ActiveSync (desktop) <=> Outlook <=> Datové úložiště (Exchange server nebo .PST soubor)
Komunikace je samozřejmě ve všech případech obousměrná, jinak by se o synchronizaci v pravém smyslu slova ani nedalo hovořit. A tak to většina z vás každý den doma či v kanceláři využívá.
My však chceme být plně mobilní a chceme se obejít bez nutnosti vláčet s sebou velký notebook, o klasickém desktopu s monitorem ani nemluvě:) Tedy zařízení, na kterém musíme spustit program Microsoft Outlook a kapesní zařízení s ním sesynchronizovat. My se chceme se svým PDAčkem připojit přímo k datovému úložišti, které však v tomto případě může být logicky pouze Exchange server. Potom komunikace probíhá následně:
PDA <=> ActiveSync (PDA) <=> ActiveSync (Exchange) <=> Datové úložiště (Exchange server)
Serverová synchronizace má jedno omezení - zvládne synchronizovat pouze poštu (včetně podsložek), kontakty a kalendář. Pokud chcete synchronizovat i další informace jako jsou úkoly, poznámky či soubory, musíte zůstat u klasické synchronizace přes stolní počítač, případně můžete oba způsoby zkombinovat.
Předpoklady
K úspěšnému zprovoznění serverové synchronizace potřebujeme určité hardwarové a softwarové vybavení:
1. Microsoft Exchange Server 2003 Std. nebo Ent.
2. Pocket PC či Smartphone
3. Datovou konektivitu (GPRS, WiFi...)
4. Kořenový certifikát CA firmy
Nastavení na Exchange serveru
Exchange Server 2003 je prostě základ, bez něj vzdálenou synchronizaci nezvládnete. Poznámka :: abych byl úplně přesný, tak pro serverovou synchronizaci je možné použít už Exchange Server 2000 s doinstalovanou službou Mobile Information Server, ale s tím nemám vůbec žádné zkušenosti, takže vše bude popisovat na Exchange Serveru 2003. Budu předpokládat, že jste běžní uživatelé, o Exchange server se stará někdo jiný a vše vám na něm správně nastavil. Pokud tomu tak není, zde je pár bodů, které by měly vašemu správci serveru trochu pomoci.
1. Exchange System Manager
Exchange Server 2003 je již automaticky přednastaven tak, aby poskytoval služby pro vzdálenou synchronizaci, nezaškodí však si to zkontrolovat. Globální nastavení najdete Global Settings -> Mobile Services. Nás zajímá především první volba v sekci Exchange ActiveSync - chcete-li synchronizovat, musí být zaškrtnutá. Tímto veškeré možnosti kofigurace na Exchange serveru končí.
2. Active Directory Users & Computers
Dalším místem hodným kontroly je formulář s vlastnostmi konkrétního uživatele, přesně záložka Exchange Features, kde musí být povolena volba User Initiated Synchronization. V opačném případě bude vzdálená synchronizace blokovaná.
3. Internet a firewall
Dá se celkem s jistotou předpokládat, že je Exchange server připojen k Internetu. Pro vzdálenou synchronizaci nyní potřebujete, aby byl server dostupný z internetu na portu 80 (nezabezpečená komunikace, raději nepoužívat) a/nebo 443 (zabezpečená komunikace). Vyzkoušíte to tak, že na nějakém počítači připojeném do internetu spustíte příkazovou řádku a zadáte telnet cele.jmeno.vaseho.serveru 80 a potom telnet cele.jmeno.vaseho.serveru 443. Mezi jménem a číslem je mezera. Pokud obrazovka zčerná, je to dobré, pokud vyskočí chyba, že spojení nelze navázat, je to špatné a daný port není z internetu přístupný, pak je nutné problém konzultovat se správcem firewallu.
4. Problémy? Doporučené odkazy...
I přes celkem jednoduché nastavení se můžete snadno dostat do problémů, zde je pár odkazů na řešení těch nejběžnějších.
- How do I configure OWA to use SSL?
- How can I configure Forms-Based Authentication in Exchange Server 2003 OWA?
- Problems in Synchronizing a Pocket PC with Exchange Server 2003 when using SSL and Forms-Based Authentication in OWA
Nastavení na desktopu
Tak moment - my se tady snažíme desktopu zbavit a místo toho budeme něco konfigurovat...??? Ale ne, pokud desktop nemáte nebo se jej skutečně chcete úplně zbavit, tuto část klidně přeskočte a věnujte se až té další. Osobně si ale myslím, že je vhodné oba typy synchronizace kombinovat. Jednak tím získáme více možností CO vlastně synchronizovat (již v úvodu jsem psal, že si přes Exchange ActiveSync sesynchronizujete pouze část informací uložených v poštovní schránce, o souborech a dalších věcech ani nemluvě) a navíc má konfigurace přímo na zařízení i další omezení.
Proč nemáme při konfiguraci vynechat ani desktop jsem vám snad osvětlil, nyní si v rychlosti ukážeme, jak to provést. Po připojení zařízení k počítači vyberte v prvním dialogovém okně položku Standard partnership, na následující obrazovce vyberte Synchronize with Microsoft Exchange Server..., dále zadáme informace nutné k ověření a přihlášení k Exchange serveru (pokud si nejste jisti, kontaktujte svého správce, zde vám skutečně může pomoci pouze on), na další obrazovce vyberte informace, které chcete synchronizovat a případně je pomocí tlačítka Settings nakonfigurujte (některé možnosti jsou však přístupné až po první synchronizaci).
Následně jste dotázáni, co se má dít v případě, že na zařízení již nějaká data jsou. První volba zajistí, že se všechna data odstraní (myslím tím příslušného typu jako je pošta, kontakty či kalendář, žádný HW reset nečekejte:) a na zařízení se překopírují data z Exchange serveru. Druhá volba se pokusí data na obou stranách zkombinovat, což ovšem bohužel velmi často vede k vytvoření duplicit.
Pokud ActiveSync zjistí, že ve své databázi partnerství již má zařízení se stejným jménem, vyzve uživatele k zadání jména nového. Na další obrazovce si můžete zvolit synchronizaci i ostatních dat, než které zvládne Exchange ActiveSync. Tato data budou synchronizována pouze při přímém spojení s vaším stolním počítačem. A tím je nastavení desktopu hotové. Po odklepnutí tlačítka Finish dojde k prvotní synchronizaci. Vyčkejte, než doběhne až do konce.
Pokud již synchronizaci nějaký čas používáte, výše popsaný způsob vám samozřejmě fungovat nebude. Musíte si vše nastavit ručně buď přímo na zařízení (viz další kapitola) nebo během připojení na desktopové části ActiveSync -> Sync Options -> Server -> Configure.
Nastavení na PDA
Pokud se serverem hodláme komunikovat vzdáleně, není od věci použít šifrování. Ono to teoreticky jde i bez něj, ale posílat své jméno a heslo + všechna ostatní data v nezašifrované podobě, navíc bez jakékoliv kontroly například vzduchem (WiFi), v takové štěstí nedoufá ani ten nejoptimističtější hacker-začátečník. A pokud chceme šifrovat, přicházejí na řadu certifikáty. Zařízení s Windows Mobile implicitně důvěřují certifikátům vydanou jednou ze šesti významných certifikačních autorit (VeriSign, Cybertrust, Thawte, Entrust, GlobalSign a Equifax). Pokud je váš Exchange server ocertifikován jednou z těchto CA, máte o problém méně a můžete ihned začít synchronizovat. V opačném případě musíte přidat kořenový certifikát místní certifikační autority, jinak to prostě nebude fungovat - kapesní počítač bude pokládat certifikát za nedůvěryhodný.
Krok 1. - Získání kořenového certifikátu
Nejdříve ale samozřejmě musíme certifikát někde získat. Ti šťastnější si o něj řeknou hodnému správci a pokud jej dostanou ve formátu "DER encoded binary X.509" s koncovkou .CER, mají vyhráno a mohou přejít k bodu 2. Ti ostatní se jej musí pokusit vydolovat ze stolního počítače. Spusťe prohlížeč a do políčka adresy zadejte https://jmeno.postovniho.serveru/exchange. Pokud se objeví okno nadepsané "Security alert", jste na dobré cestě. Prohlédněte si certifikát kliknutím na tlačítko View certificate. Nás zajímá především třetí záložka s názvem Certification Path. Pokud se dobře podíváte na obrázek, zjistíte, že u certifikační autority GTS je červený křížek. Můj počítač tuto CA dosud neznal a tak jí nedůvěřoval, proto se tázal, zda chci povolit certifikát touto CA vydaný. A to je právě to, co hledáme. Označíme si tuto CA (v našem případě GTS) a opět si tento certifikát prohlédneme kliknutím na tlačítko View certificate. Tentokrát se ale zastavíme už u druhé záložky Details, kde je možnost si tento certifikát uložit do souboru pomocí tlačítka Copy to File....
Kopírování certifikátu do souboru probíhá v několika krocích za pomoci malého průvodce. Nejprve vybereme vhodný typ, v našem případě jde o volbu DER encoded binary X.509 (.CER), vymyslíme vhodné jméno souboru a dokončíme průvodce. Někde na ploše by se měl objevit nový soubor se jménem, jaké jste před chvilkou zadali, a tím je naše dobývání certifikátu u konce.
Krok 2. - Instalace kořenového certifikátu
Instalace certifikátu se liší podle toho, jaké zařízení máte k dispozici. Popíšeme si postup pro všechny varianty.
- Pocket PC s Windows Mobile 2003 nebo novější - zde je to tak snadné, že to lehčí ani být nemůže - jakýmkoliv způsobem dostaňte certifikát na zařízení a v Průzkumníku na něj tapněte. Potvrďte svůj úmysl instalovat jej a máte to z krku:)
- Pocket PC 2002 nebo 2000 - v tomto případě potřebujete utilitku AddRootCert pro Pocket PC 2002 a 2000 (418,62 KB). Spusťte ji na stolním počítači, nechte někam rozbalit a nakonec na kapesní počítač nakopírujte rozbalený soubor addrootcert.exe. Spusťte a postupujte dle instrukcí.
- Smartphone 2002 nebo 2003 - na smartphone rovněž potřebujete extra utilitku, tentokrát se jmenuje SmartPhoneAddCert (144,47 KB). Opět rozbalte na desktopu a na smartphone zkopírujte pouze soubor SpAddCert.exe, nejlépe do složky StorageWindowsStart MenuAccessories (na SMP2002 se složka Storage jmenuje IPSM). Následně přímo do rootu složky Storage (nebo IPSM) zkopírujte certifikát a utilitku spusťte. Vyberte certifikát ze seznamu, dvakrát potvrďte OK, restartujte telefon a máte hotovo. Poznámka :: pokud máte telefon blokovaný operátorem, operace se nemusí zdařit. V takovém případě kontaktujte svého operátora a vyžádejte si utilitku SpAddCert.exe, která je operátorem digitálně podepsaná. Bližší informace o podepsaných aplikacích lze najít zde nebo zde. Dodatečně jsem zjistil ještě jednu možnost, jak instalovat certifikát jako spustitelný .CAB soubor, více v článku Instalace certifikátu na smartphone ve formě .CAB souboru.
- Smartphone s Windows Mobile 5 - instalace certifikátu na chytrém telefonu s WM5 je zase problém. Z důvodu zvýšení bezpečnosti pravděpodobně výše uvedené postupy selžou, takže zkuste následující řešení. Stáhněte si tento editor registru (RegeditSTG (24,38 KB)), rozbalte EXE soubor a nakopírujte na zařízení. Poté program spusťte a nalezněte klíč HKLMSecurityPoliciesPolicies�0001017, což je nějaké nastavení zabezpečení nazvané Grant Manager Policy. Dobře si zapamatujte jeho hodnotu a změňte ji na 144. Restartujte zařízení, poté nakopírujte certifikát na zařízení a nainstalujte ho prostým kliknutím (nečekejte na odezvu systému, žádná není). Následně změňte hodnotu v registru na původní hodnotu a opět restartujte zařízení. (zdroj: msgoodies).
A nakonec je zde ještě jedna možnost, díky které sice budete komunikovat zabezpečeně, ale obejde se nutnost instalace kořenového certifikátu, protože zařízení tuto kontrolu certifikátu vynechá. Jmenuje se Disable Certificate Verification (371,39 KB) a zájemcům doporučuji přečíst si návod, který je součástí balíčku.
Krok 3. - Konfigurace / kontrola nastavení PDA
Pokud jste vytvářeli standardní partnerství, máte vše nastavené a můžete jen kontrolovat. Je-li vaše kapesní zařízení dosud nesynchronizované, musíte si vše nastavit ručně právě teď. Spusťte program ActiveSync a přejděte do nabídky Tools -> Options -> Server. V prvním políčku byste měli mít jméno serveru a pod ním zaškrtnutou volbu zabezpečené komunikace. V seznamu si můžete upravit výběr informací, které chcete synchronizovat. Pomocí tlačítka Options... zkontrolujete přihlašovací informace. V případě, že se rozhodnete nechat systém si vaše heslo pamatovat, je rozhodně doporučeno zároveň nastavit automatické uzamčení zařízení po několika minutách nečinnosti. Jsou tam i další volby, ale ty nejsou pro základní spojení kritické.
Krok 4. - Nastavení připojení k internetu
O tomto tématu jsem sepsal již několik článků, takže to zde nebudu rozebírat, pouze vás na ně odkáži. Jedná se o články Jak nastavit připojení k Internetu? a Widcomm Bluetooth tajemství zbavený. Samozřejmě je možné se připojit i jinak, například přes WiFi či dokonce přímo po LANce.
Chybová hlášení a jejich řešení
Pokud všechno proběhlo úspěšně, nemá tato sekce smyslu. V případě jakéhokoliv problému vám však určitě přijde vhod. Jaká chyba vás právě trápí zjistíte snadno po tapnutí na modře podtržené slovo Error pod nápisem Synchronize with Exchange Server v ActiveSyncu na kapesním počítači. Pokud si s nějakou chybou nevíte rady, napište do diskuze a zkusíme to dát dohromady, já pak následně řečení přidám sem do článku. Rovněž bych chtěl upozornit na možnost podrobného logování, kterou zapnete v nabídce Tools -> Options -> Server -> Options -> Rules -> Logging. Podle nastavení pak začne ve složce WindowsActiveSync generovat více či méně podrobné logy, které jsou často pro vyřešení problému klíčové.
INTERNET_7 - Synchronization failed. Verify that you have entered the correct server name and try again.
* Vyplňte programu jeho přání a zkontrolujte název serveru, který jste zadali. Pokud jste postupovali přesně podle mého návodu a v nabídce Tools -> Options... -> Server máte zadáno "DNS.jmeno.vaseho.serveru", tak to skutečně nemůže fungovat - zeptejte se vašeho správce na správný název serveru.
INTERNET_45 - Synchronization failed. The security certificate on the server is invalid. Contact your system administrator or ISP to install a valid certificate on the server and try again.
* Nemáte v pořádku kořenový certifikát. Přečtěte si ještě jednou sekci Instalace kořenového certifikátu a pak se obraťte na svého admina, jestli máte skutečně to, co potřebujete.
HTTP_401 - Access was denied. Check your server username and password in ActiveSync Options.
* Máte problém s přihlášením. Proto na vás také stále dokola vyskakuje ten protivný formulář žadonící o správné jméno, heslo a doménu. Pokud jste si skutečně jisti, že zadávané informace jsou správné, opět je vaše jediná záchrana váš admin.
HTTP_403 - Your account does not have permission to sync with your current settings. Contact your Microsoft Exchange administrator. An error occurred, and scheduled synchronization had to be disabled. To start synchronizing on a schedule again, use the Mobile Schedule tab in ActiveSync Options.
* Tato chyba se mi vyskytla v případě, že jsem se pokoušel synchronizovat bez zabezpečení SSL. Zapněte zabezpečení pomocí SSL.
HTTP_500 - Synchronization failed due to an error on the server. Try again.
* Tato chyba je bez legrace noční můrou každého admina. Má spoustu významů a tak se někdy vyřeší skoro hned a někdy je to práce na týden. V každém případě je takřka jisté, že tato chyba se musí řešit na serveru. Pokud používáte u uživatele více SMTP adres a primární adresa nesouhlasí s obecnou politikou uživatelů (Exchange System Manager -> Recipients -> Recipient Policies), tak si přečtěte tento článek.
Závěr
Pokud máte všechno správně nastaveno, serverová synchronizace vám může ušetřit spoustu času a navíc umožní být skutečně online. Já osobně ji používám již pár týdnů a i když se jen obtížně dá říci, že jde o dokonalé řešení (náhodně se vyskytující chyby, které po pár minutách zmizí a pod.), je velmi dobře použitelné. Služba jako taková je velmi transparentní a pokud si pustíte podrobné logování, uvidíte, jak celá komunikace vlastně vypadá. Možná je trochu škoda, že můžeme synchronizovat jen 3 základní typy informací, ale na druhou stranu - čím by nás Microsoft měl v příští verzi svého produktu překvapit, že:)?
Za pomoc při psaní článku a některé užitečné tipy děkuji uživateli jvagner.
