Chuyn Exchange 2003 sang Exchange 2007 (P.7)
Trong phn trước chúng ta đã cu hình cho mt s thành phn
cn thiết trong môi trường Exchange 2007, như các tham s cu
hình ca CCR và Transport Dumpster.
Trong phn 7 này chúng ta s thao tác vi giy phép, mt trong
nhng vùng chính ca Exchange 2007. Trước tiên chúng ta s
kim tra giy phép ca nhng gì đã thay đổi trên các Client Access Server ca Exchange 2007
qua tiến trình to giy phép.
Giy phép ca Client Access Server
Mc định, Exchange 2007 cài đặt các giy phép t ch định được phép s dng trên các máy ch
chc năng Hub Transport và Edge Transport trong hu hết các trường hp. Tuy nhiên vn có
ngoi l, như s dng nhng tính năng ca máy ch Edge Transport, như tính năng bo mt
min. Tuy nhiên nhng giy phép t ch định không phù hp cho mt s tính năng ca Client
Access Server như Outlook Anywhere và kh năng s dng lâu dài Outlook Web Access. Do đó
chúng ta cn phi thay thế nhng giy phép t ch định được cài đặt trên các máy ch Client
Access Server. Trong ví d ca bài viết, Client Access Server và Hub Transport cùng tn ti trên
các máy ch do đó chúng ta cũng s phi thay thế giy phép ca máy ch Hub Transport.
Trong môi trường Active Directory có mt Certificate Authority (CA - giy phép phân quyn)
nn tng Windows có kh năng to nhng giy phép cn thiết. Ngoài Exchange 2007 còn có rt
nhiu phn mm khác ca Microsoft yêu cu s dng giy phép, như Office Communications
Server 2007. Khi CA ca Windows đã được cài đặt chúng ta có th t to CA mà không phi tn
chi phí cho giy phép t mt Public CA. Tt nhiên các giy phép do mt Public CA to được yêu
cu trên ISA Server vì nó chp thun các yêu cu dch v công cng như Oultlook Web Access,
Outlook Anywhere, …
Để to giy phép mi cho Client Access Server, trước tiên chúng ta cn to mt yêu cu cp
phép vi lnh New-ExchangeCertificate. Cn lưu ý rng các giy phép s s dng tên khác nhau.
Vì giy phép yêu cu nhng tên khác nhau nên chúng ta s s dng thuc tính Subject Alternate
Name. Trong ví d này chúng ta s s dng nhng tên sau:
FQDN ca máy ch, gm hubcas1.neilhobson.comhubcas2.neilhobson.com.
Tên NetBIOS ca máy ch, như hubcas1 hay hubcas2. Vic đặt tên NetBIOS cho máy
ch là không bt buc, nhưng làm như vy chúng ta s không phi nhn nhng cnh báo
khi s dng tên NetBIOS ca máy ch.
Tên min s dng cho h thng (trong ví d này là neilhobson.com) ch là mt tên min
duy nht đang được s dng. Tuy nhiên, trong nhng trường hp nhng Accepted
Domain Name (tên min chp thun) b sung xut hin thì chúng ta cn phi ch định tên
cho chúng. Trong Exchange 2007 SP1 có mt phương pháp đơn gin giúp thc hin thao
tác này đó là s dng tham s –IncludeAcceptedDomains ca lnh New-
ExchangeCertificate để đảm bo rng mi Accepted Domain mà chúng ta đã định nghĩa
xut hin trong yêu cu cp phép.
Tên min t động tìm kiếm, như autodiscover.neilhobson.com. Thc ra chúng s s dng
tham s mi –IncludeAutodiscover ca lnh New-ExchangeCertificate để phc v chp
mc đích này. Như tham s –IncludeAcceptedDomains, tham s này bo đảm tên t động
tìm kiếm cho mi tên min chp thun b sung có trong yêu cu cp phép. Chúng ta
không nht thiết phi s dng tham s này, nhưng nếu s dng nó chúng ta s không b
xót mt tên min b sung cn thiết nào.
Tên mà người dùng s s dng để truy cp mail t xa, như email.neilhobson.com.
To giy phép
Để to yêu cu cu phép, chúng ta s chy lnh New-ExchangeCertificate vi mt vài tham s
khác nhau. Cú pháp ca lnh đầy đủ có dng như sau:
New-ExchangeCertificate –GenerateRequest –Path c:\hubcas1.txt –SubjectName
cn=hubcas1.neilhobson.com –DomainName email.neilhobson.com, hubcas1,
hubcas1.neilhobson.com –IncludeAcceptedDomains –IncludeAutodiscover –
PrivateKeyExportable $true
Trong đó:
Tham s GenerateRequest: cho phép to mt file yêu cu cp phép hơn là mt giy
phép t ch định.
Tham s Path: là v trí ch định file cha yêu cu cp phép đã được to, c th
c:\hubcas1.txt.
Tham s SubjectName: liên kết giy phép vi mt tên máy ch. Trong ví d này giy
phép s được gi ti hubcas1.neilhobson.com.
Tham s DomainName: Chúng ta cn đảm bo tham s này cha tên truy cp ngoài, tên
NetBIOS và Fully Qualified Domain Name (FQDN). Điu này có nghĩa là mi tên này s
xut hin trong giy phép.
Tham s IncludeAutodiscover: Như nhng Accepted Domain, tham s này bo đảm rng
tên ca Autodiscover Domain b sung đã phù hp.
Tham s PrivateKeyExportable: Đây là công c hu dng cho phép xut giy phép, như
khi copy giy phép này sang mt ISA Server.
Sau đó lnh này s hin th kí hiu (Thumbprint) và tên ph thuc (Subject Name) như trong
hình 1.
Hình 1: Thông tin kết xut khi chy lnh New-ExchangeCertificate.
Lnh này cũng s to file c:\hubcas1.txt trên Client Access Server. Đây là mt file yêu cu cp
phép tương t.
Hình 2: Ni dung ca file yêu cu cp phép.
Như đã nhc đến trên, trong ví d này, mt Windows CA đã được to và có th s dng để to
nhng giy phép cho các máy ch Hub Transport và Client Access Server. Thc hin các thao
tác sau để to giy phép:
1. Vào giao din Web ca CA này bng cách m ng dng trình duyt ri nhp địa ch sau vào
thanh địa ch http://server/certsrv. Trong đó ‘server’ s được thay thế bng tên ca máy ch đang
vn hành Windows CA. Sau đó chúng ta s thy màn hình Welcome như trong hình 3.
Hình 3: Màn hình Welcome ca Windows CA.
2. Trên màn hình Welcome click vào liên kết Request a certificate. Khi đó màn hình Request a
Certificate s xut hin như trong hình 4.
Hình 4: Màn hình Request a Certificate ca Windows CA.
3. Trên màn hình Request a Certificate, click vào liên kết Submit an Advanced Certificate
Request. Sau đó màn hình Advanced Certificate s xut hin như trong hình 5.
Hình 5: Màn hình Advanced Certificate Request ca Windows CA.
4. Trên màn hình Advanced Certificate Request la chn liên kết Submit a certificate request
by using a base-64-encoded CMC or PKCS #10 file. Sau đó màn hình Submit a Certificate
Request or Renewal Request s xut hin.
5. Trong trường Saved Request, dán ni dung ca file yêu cu cp phép hubcas1.txt. Tiếp theo
la chn Web Server cho trường Certificate Template như trong hình 6.
Hình 6: Màn hình Submit a Certificate Request or Renewal Request ca Windows CA.
6. Sau khi hoàn thành, click vào nút Submit và màn hình Certificate Issued s xut hin như
trong hình 7. Ti đây, chúng ta s la chn tùy chn DER encoded ri la chn liên kết
Download certificate ri lưu file giy phép kết qu (certnew.cer) cc b trên Client Access
Server.