Chuyển Exchange 2003 sang Exchange 2007 (P.7)

NQ News – Trong phần trước chúng ta đã cấu hình cho một số thành phần cần thiết trong môi trường Exchange 2007, như các tham số cấu hình của CCR và Transport Dumpster. Trong phần 7 này chúng ta sẽ thao tác với giấy phép, một trong những vùng chính của Exchange 2007. Trước tiên chúng ta sẽ kiểm tra giấy phép của những gì đã thay đổi trên các Client Access Server của Exchange 2007 qua tiến trình tạo giấy phép.

>> Chuyển Exchange 2003 sang Exchange 2007 (P.1)
>> Chuyển Exchange 2003 sang Exchange 2007 (P.2)
>> Chuyển Exchange 2003 sang Exchange 2007 (P.3)
>> Chuyển Exchange 2003 sang Exchange 2007 (P.4)
>> Chuyển Exchange 2003 sang Exchange 2007 (P.5)
>> Chuyển Exchange 2003 sang Exchange 2007 (P.6)

Giấy phép của Client Access Server

Mặc định, Exchange 2007 cài đặt các giấy phép tự chỉ định được phép sử dụng trên các máy chủ chức năng Hub Transport và Edge Transport trong hầu hết các trường hợp. Tuy nhiên vẫn có ngoại lệ, như sử dụng những tính năng của máy chủ Edge Transport, như tính năng bảo mật miền. Tuy nhiên những giấy phép tự chỉ định không phù hợp cho một số tính năng của Client Access Server như Outlook Anywhere và khả năng sử dụng lâu dài Outlook Web Access. Do đó chúng ta cần phải thay thế những giấy phép tự chỉ định được cài đặt trên các máy chủ Client Access Server. Trong ví dụ của bài viết, Client Access Server và Hub Transport cùng tồn tại trên các máy chủ do đó chúng ta cũng sẻ phải thay thế giấy phép của máy chủ Hub Transport.

Trong môi trường Active Directory có một Certificate Authority (CA – giấy phép phân quyền) nền tảng Windows có khả năng tạo những giấy phép cần thiết. Ngoài Exchange 2007 còn có rất nhiều phần mềm khác của Microsoft yêu cầu sử dụng giấy phép, như Office Communications Server 2007. Khi CA của Windows đã được cài đặt chúng ta có thể tự tạo CA mà không phải tốn chi phí cho giấy phép từ một Public CA. Tất nhiên các giấy phép do một Public CA tạo được yêu cầu trên ISA Server vì nó chấp thuận các yêu cầu dịch vụ công cộng như Oultlook Web Access, Outlook Anywhere, …

Để tạo giấy phép mới cho Client Access Server, trước tiên chúng ta cần tạo một yêu cầu cấp phép với lệnh New-ExchangeCertificate. Cần lưu ý rằng các giấy phép sẽ sử dụng tên khác nhau. Vì giấy phép yêu cầu những tên khác nhau nên chúng ta sẽ sử dụng thuộc tính Subject Alternate Name. Trong ví dụ này chúng ta sẽ sử dụng những tên sau:

FQDN của máy chủ, gồm hubcas1.neilhobson.com và hubcas2.neilhobson.com.
Tên NetBIOS của máy chủ, như hubcas1 hay hubcas2. Việc đặt tên NetBIOS cho máy chủ là không bắt buộc, nhưng làm như vậy chúng ta sẽ không phải nhận những cảnh báo khi sử dụng tên NetBIOS của máy chủ.
Tên miền sử dụng cho hệ thống (trong ví dụ này là neilhobson.com) chỉ là một tên miền duy nhất đang được sử dụng. Tuy nhiên, trong những trường hợp những Accepted Domain Name (tên miền chấp thuận) bổ sung xuất hiện thì chúng ta cần phải chỉ định tên cho chúng. Trong Exchange 2007 SP1 có một phương pháp đơn giản giúp thực hiện thao tác này đó là sử dụng tham số –IncludeAcceptedDomains của lệnh New-ExchangeCertificate để đảm bảo rằng mọi Accepted Domain mà chúng ta đã định nghĩa xuất hiện trong yêu cầu cấp phép.
Tên miền tự động tìm kiếm, như autodiscover.neilhobson.com. Thực ra chúng sẽ sử dụng tham số mới –IncludeAutodiscover của lệnh New-ExchangeCertificate để phục vụ chp mục đích này. Như tham số –IncludeAcceptedDomains, tham số này bảo đảm tên tự động tìm kiếm cho mọi tên miền chấp thuận bổ sung có trong yêu cầu cấp phép. Chúng ta không nhất thiết phải sử dụng tham số này, nhưng nếu sử dụng nó chúng ta sẽ không bỏ xót một tên miền bổ sung cần thiết nào.
Tên mà người dùng sẽ sử dụng để truy cập mail từ xa, như email.neilhobson.com.

Tạo giấy phép

Để tạo yêu cầu cấu phép, chúng ta sẽ chạy lệnh New-ExchangeCertificate với một vài tham số khác nhau. Cú pháp của lệnh đầy đủ có dạng như sau:

New-ExchangeCertificate –GenerateRequest –Path c:hubcas1.txt –SubjectName cn=hubcas1.neilhobson.com –DomainName email.neilhobson.com, hubcas1, hubcas1.neilhobson.com –IncludeAcceptedDomains –IncludeAutodiscover –PrivateKeyExportable $true

Trong đó:

Tham số GenerateRequest: cho phép tạo một file yêu cầu cấp phép hơn là một giấy phép tự chỉ định.
Tham số Path: là vị trí chỉ định file chứa yêu cầu cấp phép đã được tạo, cụ thể là c:hubcas1.txt.
Tham số SubjectName: liên kết giấy phép với một tên máy chủ. Trong ví dụ này giấy phép sẽ được gửi tới hubcas1.neilhobson.com.
Tham số DomainName: Chúng ta cần đảm bảo tham số này chứa tên truy cập ngoài, tên NetBIOS và Fully Qualified Domain Name (FQDN). Điều này có nghĩa là mọi tên này sẽ xuất hiện trong giấy phép.
Tham số IncludeAutodiscover: Như những Accepted Domain, tham số này bảo đảm rằng tên của Autodiscover Domain bổ sung đã phù hợp.
Tham số PrivateKeyExportable: Đây là công cụ hữu dụng cho phép xuất giấy phép, như khi copy giấy phép này sang một ISA Server.

Sau đó lệnh này sẽ hiển thị kí hiệu (Thumbprint) và tên phụ thuộc (Subject Name) như trong hình 1.

Hình 1: Thông tin kết xuất khi chạy lệnh New-ExchangeCertificate.

Lệnh này cũng sẽ tạo file c:hubcas1.txt trên Client Access Server. Đây là một file yêu cầu cấp phép tương tự.

Hình 2: Nội dung của file yêu cầu cấp phép.

Như đã nhắc đến ở trên, trong ví dụ này, một Windows CA đã được tạo và có thể sử dụng để tạo những giấy phép cho các máy chủ Hub Transport và Client Access Server. Thực hiện các thao tác sau để tạo giấy phép:

1. Vào giao diện Web của CA này bằng cách mở ứng dụng trình duyệt rồi nhập địa chỉ sau vào thanh địa chỉ http://server/certsrv. Trong đó ‘server’ sẽ được thay thế bằng tên của máy chủ đang vận hành Windows CA. Sau đó chúng ta sẽ thấy màn hình Welcome như trong hình 3.

Hình 3: Màn hình Welcome của Windows CA.

2. Trên màn hình Welcome click vào liên kết Request a certificate. Khi đó màn hình Request a Certificate sẽ xuất hiện như trong hình 4.

Hình 4: Màn hình Request a Certificate của Windows CA.

3. Trên màn hình Request a Certificate, click vào liên kết Submit an Advanced Certificate Request. Sau đó màn hình Advanced Certificate sẽ xuất hiện như trong hình 5.

Hình 5: Màn hình Advanced Certificate Request của Windows CA.

4. Trên màn hình Advanced Certificate Request lựa chọn liên kết Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file. Sau đó màn hình Submit a Certificate Request or Renewal Request sẽ xuất hiện.

5. Trong trường Saved Request, dán nội dung của file yêu cầu cấp phép hubcas1.txt. Tiếp theo lựa chọn Web Server cho trường Certificate Template như trong hình 6.

Hình 6: Màn hình Submit a Certificate Request or Renewal Request của Windows CA.

6. Sau khi hoàn thành, click vào nút Submit và màn hình Certificate Issued sẽ xuất hiện như trong hình 7. Tại đây, chúng ta sẽ lựa chọn tùy chọn DER encoded rồi lựa chọn liên kết Download certificate rồi lưu file giấy phép kết quả (certnew.cer) cục bộ trên Client Access Server.

Hình 7: Màn hình Certificate Issued của Windows CA.

Kết luận

Trong phần này chúng ta đã thực hiện một số thao tác đầu tiên trong tiến trình thay thế giấy phép được cài đặt trong khi cài đặt Client Access Server. Tiến trình tạo giấy phép chỉ cần sử dụng một lệnh trong Exchange Management Shell và tạo giấy phép này thông qua trng Web Certificate Authority. Trong phần tiếp theo của loạt bài viết này chúng ta sẽ import và kích hoạt giấy phép này.

Post Views: 311