Exchange Pushmail
Mit Exchange 2016/2019 bietet Microsoft die Push Funktion AUDT (always up-to-date) für mobile Devices an.


Mit Veröffentlichung des SP2 für Exchange 2003 bietet Microsoft die Push Funktion AUDT (always up-to-date) für mobile Devices an. Das hierbei verwendete mobile Betriebsystem Windows Mobile 5 und 6 bringt alle notwendigen Funktionen mit. Ein darin enthaltenes Mobile-Outlook pusht und synct alle Daten innerhalb eines Postfaches (Mails, Kalender, Aufgaben, etc.) sogar mit Anhängen. Bei einer Front- /Backend Konfiguration könnten bis zu 3000 Anwender pro Frontend diesen Dienst nutzen. Sollten nur ein Exchange Standardserver ohne Front-/Backend verwendet werden, so ist die Kapazität für kleine und mittlere Unternehmen ebenfalls ausreichend. Selbst auf dem Windows 2003 SmallBusiness Server kann die Pushfunktion aktiviert werden. Allerdings ist die Anzahl der Anwender bei SSL (Verschlüsselung) Verbindungszahl des IIS begrenz, welches immerhin doppelt so viel wie bei einem Blackberry Server ist.

 Network MonitorTechnik

Das mobile Device stellt über den TCP/IP Port HTTP 80/443(SSL) eine direkte Verbindung mit dem Exchange Server her, worüber auch die gesamte Kommunikation von Push oder Sync.erfolgt. Aus diesem Grund muss gewährleistet sein, dass der Server auch über das Internet dauerhaft erreichbar ist. Wahlweise über eine feste IP oder DynDns oder über einen VPN Tunnel durch Kommunale Rechenzentren. Eine Client Authentifizierung kann wahlweise über die „Basic Authentifizierung“ (Benutzername und Kennwort) oder einer „Certificate Authentifizierung“ durch eigene oder zugekaufte Zertifikate erfolgen.

Durch die Installation des ServicePack 2 für Microsoft Exchange 2003 Server wird die Funktion bereitgestellt. Um die Push Funktion auch nutzen zu können muss die Endgeräte mit Windows Mobile 5 / 6 und MSFP (Messaging and Security Feature Pack) ausgestattet sein. MSFP oder auch bezeichnet als EFP, ausgestattet sein. Erst letzteres  macht erst Push und S/Mime Funktion möglich. Allerdings muss das S/Mime Zertifikat auf einer Smartkart installiert sein, da es sonst nicht greift, falls gefordert!

Aus Sicherheitsgründen empfehlen wir den Dienst nur in Verbindung eines Frontendservers und durch eine externe Stelle ausgeschriebenes SSL Zertifikat.
 

 Network MonitorGeräte

Geräte die mit Windows Mobile 5.0 oder 6.x ausgeliefert wurden, sind grundsätzlich Push- und Syncfähige Clients. Allerdings ist das nötige Messaging and Security Feature Pack noch nicht enthalten. Dieses muss in Abhängigkeit des Gerätes noch vom Provider bereitgestellt werden. Für noch recht neue Geräte wird es mit Sicherheit ein Update geben, welches als Image das Gerät aktualisiert. Wenn es sich um ein Rom Update handelt, werden alle auf dem Gerät befindlichen Daten gelöscht, was bei einem Update über den Download Agent nicht der Fall ist.

Der Aufbau der Client Verbindung erfolgt über die Telefonfunktion des Endgerätes. Eine Schnittstelle wie beispielsweise Bluetooth zu einem separaten Telefon reicht dafür jedoch nicht aus. Da das Gerät dauerhaft online verbunden ist und es  eine IP Adresse via UMTS oder GPRS aus dem Pool des Providers bekommt, setzt es einen Request an den eingetragenen Exchange Server ab, wobei für den Benutzer die aktuelle IP des mobilen Gerätes im Postfach hinterlegt wird. Sollte das Gerät eine neue IP bekommen, so wird diese auf der gleichen Weise in das Postfach geschrieben und ersetzt somit die bestehende Information. Eine Verbindung mittels WiFi ist zwar ebenfalls möglich, allerdings wird dies wegen dem extrem hohen Akku Verbrauch, bei den derzeitigen Geräten, nicht empfohlen.

 Network MonitorTrafik

Der durch das mobile Gerät erzeugte Trafik, welcher durch den 15 minütigen Intervallen erzeugt wird, ist nicht bei allen Endgeräten gleich. Im Monat ca. einige MB, je nach Häufigkeit und Handhabung. Daher ist hier darauf hinzuweisen, dass für den PDA neben dem normalen Telefontarif auch ein entsprechender Datentarif auszuwählen ist. Diesen bieten alle Mobilfunkprovider an. 

Die Konfiguration des ActiveSync am PDA ist die Selbe wie bei einer direkten Serververbindung mittels ActiveSync. Es Bedarf nur des über Internet erreichbaren Servernamens und die Anmeldedaten des Benutzers, bei einer Verwendung der Basic Authentifizierung.

Die empfohlene Zeit von 15 Minuten zur Aktualisierung kann zwar noch geringer eingestellt werden, was allerdings auch ein höheres Datenvolumen zur Folge hat. Ein erhöhter Zeitintervall, um das Datenvolumen zu senken, ist auch nicht zu empfehlen, da es sich hierbei um eine geöffnete SSL Verbindung handelt. Diese Einstellungen werden am IIS des Frontend (SSL Connection „KeepAlive“) vorgenommen und sollten mit den Einstellungen am Proxy oder auch der Firewall gleich sein, da diese sonst die bestehende Verbindung trennt.

Sollte nun beispielsweise innerhalb dieser 15 Minuten ein Mail an das Postfach gesendet werden, sendet der Exchange Server ebenfalls einen Request an das Gerät raus. Dieses wiederum macht einen Pull zum Server um sich das Mail zu holen. Würde der Exchange Server das Mail an die eingetragene Adresse puschen, so könnte nie sichergestellt werden, dass es auch angekommen ist. Nach dem gleichen Verfahren arbeitet übrigens auch ein Blackberry Server.

Um den Datentransfer einer Mail oder Anhanges zu minimieren wird die Mail mittels „gzip“ komprimiert. Allerdings bringt dies nicht mehr sehr viel bei Anlagen wie beispielsweise PowerPoint Dateien, die schon sehr kompakt sind.

 Network MonitorRollout

Eine Softwareverteilung kann über einen SMS Server mittels SMS Device FeaturePack vorgenommen werden, oder der Anwender kann auch Funktionen, wie bestimmte Anhänge zu sperren, selbst einstellen.Über den Exchange System Manager können einige Sicherheitsfunktion für den Client vorgegeben werden, allerdings nicht dessen Konfiguration. Dazu muss in die Eigenschaften des „Mobile Services“ gewechselt werden. In dem Register „General“ kann so die Push Funktion aktiviert und über „Device Security“, die Sicherheitseinstellungen vorgenommen werden. Die ActiveSync Funktion für alte Geräte besteht weiterhin, wobei die neuen Funktionen nicht interpretiert werden können. Durch setzen den Hakens bei „Enforce password on device“ können nun verschiedene Vorgaben definieren. Die hierbei übergeben Vorgaben, wie beispielsweise die Kennwortänderung, können nicht durch den Benutzer ignoriert oder abgebrochen werden.

Um dies beispielsweise den Mitgliedern der Geschäftsführung zu ersparen, können auch über „Exceptions“ diese von den Vorgaben ausgeschlossen werden.
 

 Network MonitorAdministration
Der Device Manager (Microsoft Exchange Server ActiveSync Web Administration Tool) kann auf dem Exchange Server mittels der URL „https://Servername/mobileadmin/devices.aspx„ aufgerufen werden, wodurch ein Gerät vom Administrator formatiert (wipe) oder auch nur der Benutzer gelöscht (delete) werden. Sollte das Gerät bei Abgabe der Löschung/Formatierung deaktiviert sein, so wird der Befehl bei der nächsten Internetverbindung übermittelt und kann auch nicht durch den Benutzer verhindert werden.

Anleitung zur Umsetzung finden Sie hier >>>


Wie erfolgt das Kennenlernen / Umsetzen / Implementieren der Lösung?

 In unserem Partner-Mediencenter führen wir Ihnen gerne eine Echtzeitsitzung vor, damit Sie ein Gefühl dafür erhalten, wie einfach die Umsetzung für Sie als Kunde ist und welcher Mehrwert auf Sie wartet. Wir ermitteln zusammen mit Ihnen Ihren persönlichen Bedarf und erstellen ein darauf zugeschnittenes Angebot. Gerne können wir auch bei Ihnen eine Leihstellung integrieren, mit der Sie über einige Wochen hinweg selbst Erfahrungen im Umgang mit unserer Lösung sammeln können. Sie werden sehen, wer einmal diesen Vorteil für sich entdeckt hat, der wird diesen nicht wieder hergeben wollen. Flexible Arbeit zu flexiblen Zeiten. Nutzen Sie diesen Vorteil!

Interessiert? Dann setzen Sie sich doch mit uns in Verbindung, wir kommen gerne bei Ihnen vorbei, um unsere Security-Lösung mit Ihnen durchzusprechen.

 

  

 

 

 
image
image
 image