Outlook over het internet

Een van de onderdelen van Small Business Server 2003 is Microsoft Exchange Server 2003. Deze server regelt alle communicatie binnen uw organisatie. In plaats dat e-mail berichten worden opgeslagen op de desktop en notebooksystemen van de medewerkers, worden deze voortaan centraal opgeslagen in Exchange Server 2003. Het voordeel daarvan is, dat gebruikers vanaf elke werkplek toegang hebben tot hun e-mail, agenda en andere Outlook-informatie.

 

Binnen de firewall van de organisatie is dat gemakkelijk te regelen: immers, via de netwerkkabel zijn alle werkstations met de server verbonden. Buiten de firewall wordt het moeilijker. Tot voor kort was een VPN-verbinding de oplossing.

 

Een Virtual Private Network is een verbinding tussen een pc en een server via het internet. In verband met beveiliging is deze verbinding opgezet als een privé verbinding, als het ware een ondoordringbare 'tunnel'. Sinds kort is er een VPN-loze oplossing die RPC over HTTP heet. RPC staat voor Remote Procedure Call en geeft gebruikers - die niet op kantoor aanwezig zijn en zich dus buiten de firewall bevinden - toegang tot hun Exchange Server accounts via het internet. RPC over HTTP levert een veilige verbinding, zonder hardwarematige voorzieningen, zoals smart cards of security tokens.

 

Om via RPC vanuit Microsoft Office Outlook 2003 toegang te krijgen tot Microsoft Exchange Server 2003 via het internet moet aan een aantal eisen worden voldaan:

 

 

 

In een lokaal netwerk (LAN) communiceert Outlook met de Exchange Server via het TCP/IP protocol. Met noemt dit ook wel RPC over TCP/IP. Deze methode werkt snel en geeft een efficiënte toegang tot de gegevens over het bedrijfsnetwerk. Om ook van buiten het bedrijfsnetwerk toegang te krijgen kan men kiezen tussen een ingewikkelde manier (VPN) en de nieuwe simpele manier: RPC over HTTP.

 

Bij RPC over HTTP wordt een Exchange Server front end computer geconfigureerd als een RPC proxy server. Deze proxy server krijgt een URL toegewezen, waarmee hij via het internet bereikt kan worden, bijvoorbeeld http://xyz.com. De RPC proxy server bepaalt welke poorten gebruikt mogen worden voor de communicatie met de NDC (network domain controller), global catalog (GC) servers én de Exchange server(s). Hiertoe moet

 

 

RPC over HTTP wordt geïnstalleerd via de Custom Installation Wizard. Deze maakt deel uit van de Office 2003 Editions Resource Kit. Tijdens de installatie worden enkele standaardinstellingen gesuggereerd, die enerzijds een snelle start voor de gebruikers mogelijk maken en anderzijds een goede beveiliging handhaven. Het is daarom niet aan te bevelen deze instellingen te wijzigen. Alleen als dat noodzakelijk is, kunt u de voorgestelde instellingen aanpassen aan uw eigen situatie.

 

 

Een van die instellingen heeft te maken met de snelheid van het netwerk en het type verbinding dat daarvoor het beste gebruikt kan worden:

 

 

 

Standaard zijn beide opties uitgeschakeld. Hebt u een snelle netwerkverbinding, vink dan de eerste optie aan; is uw netwerkverbinding snel, klik dan op de tweede optie. Zodra de gebruikers op kantoor zijn, zal de eerste optie werken, zijn ze buiten kantoor dan treedt de tweede optie in werking.

 

Het HTTP-adres van de Exchange server moet doorgegeven worden aan Outlook. Deze instelling wordt als volgt gemaakt:

 

 

Om te herkennen of de aangemelde gebruiker inderdaad degene is die hij of zij beweert te zijn wordt bij voorkeur gebruik gemaakt van Password Authentication of 'Password Authentication' (NTLM) met een LM compatibiliteitsniveau van 2 of meer.

 

Is uw beveiliging lager (u gebruikt bijvoorbeeld Basic Password Authentication), dan zal telkens gevraagd worden om een wachtwoord op te geven zodra u verbinding met de Exchange server maakt. Bovendien impliceert deze lage vorm van beveiliging een risico, omdat wachtwoorden dan niet versleuteld, maar als leesbare tekst worden verzonden.

 

Om een zo hoog mogelijke beveiliging in te stellen moet u in aanvulling op de bovenstaande instellingen de volgende selectievakjes inschakelen:

 

 

Voor de laatste optie is de naam van de server vereist. Tot slot is het aan te raden om deze instellingen onbereikbaar te maken voor de gebruiker, zodat die ze niet kan wijzigen; de ingestelde beveiliging blijft op die manier gewaarborgd. Dat doet u met een beleidsregel (policy) in Active Directory:

 

 

Om te controleren of de VPN-loze internetverbinding met de Exchange server werkt, kunt u de volgende slimme truc uitvoeren. Druk op de Ctrl-toets van het toetsenbord en houd die ingedrukt. Rechtsklik nu op de Outlook-pictogram en kies de nieuwe optie in het snelmenu: Verbindingsstatus. In de kolommen Verbinding en Status leest u de HTTP-activiteit af. Staat in de kolommen TCP/IP te lezen, dan is er verbinding via het LAN.

 

De vraag wordt wel eens gesteld of het niet verstandig is om - in verband met het nastreven van een nog grotere beveiligingsgraad - de van buitenaf benaderbare Exchange Server op een aparte server, dus op een aparte machine, te installeren. Ook in combinatie met Outlook Web Access wordt deze vraag nogal eens gesteld. Praktisch kan dat, maar daarvoor is wel een extra pakket Exchange Server 2003 Standard Edition nodig met een bijbehorend aantal Exchange Client Access Licenties (CALs). Qua beveiliging is dit overigens niet echt noodzakelijk. Als de beveiliging op de ene server goed geregeld is, voegt een extra hardware-server hier niets aan toe.