Thư tín di động trong Exchange 2003 (Phần 1): Giới thiệu về công nghệ
DirectPush của Microsoft
Ngu
ồ
n:quantrimang.com
Một trong những tính năng thú vị có trong gói SP2 của Exchange 2003 là
công nghệ DirectPush (AUTD v2), công nghệ này cho những cảm nhận mới
về thư tín di động về phía người dùng. Bài viết này là một trong loạt bài
gồm 5 phần mà chúng tôi muốn nói về Exchange 2003 (SP2) và các thiết bị
di động đang chạy Windows Mobile 5.0 có cài đặt Messaging and Security
Feature Pack (MSFP), và bây giờ chúng ta sẽ đi vào xem xét một cách cụ
thể công nghệ mới DirectPush.

Giới thiệu

Với Exchange 2003 SP2, bạn có hai lựa ch
ọn cho việc đồng bộ thiết bị di động
với mailbox: có thể cấu hình ActiveSync trên thiết bị di động để tạo sự đồng bộ
trên cơ sở lịch biểu, hoặc có thể sử dụng công nghệ Always-up-to-date (AUTD).
Vấn đề xảy ra với sự đồng bộ lịch biểu là bạn không thể chia chúng thành các
khoảng thời gian ngắn hơn 5 phút, điều đó có nghĩa là sẽ không thể lúc nào
c
ũng có được thông tin mới nhất trên thiết bị của bạn. Vấn đề khác ở đây là bạn
(phụ thuộc vào hoạt động di động) sẽ phải chịu trách nhiệm cho mỗi một session
được thiết lập khi dữ liệu mới được truyền, mỗi lần một session mới được thiết
lập.

AUTD hoàn toàn có thể giữ thiết bị của bạn được cập nhật thườ
ng xuyên bằng
cách tạo ra một sự kiện lưu trữ Exchange trong mailbox của người dùng. Khi sự
kiện lưu trữ phát hiện ra một sự thay đổi trong mailbox nó sẽ tạo ra thông báo

Khi kích hoạt DirectPush trong Exchange 2003 Server, các thiết bị được cấu
hình hiện thời để sử dụng AUTD v1 sẽ tự động chuyển từ AUTD sang
DirectPush. Điều đó có nghĩa là bạn không cần phải cấu hình lại bất kỳ thứ gì
trên thiết bị sau khi kích hoạt tính năng này.

Một công nghệ mới mang lại nhiều hiệu quả của DirectPush đó là nó có khả
năng duy trì kết nối HTTPS giữa máy chủ Exchange và thiế
t bị di động, mỗi một
session được duy trì bằng các xung nhịp. Bằng cách này, máy chủ Exchange có
thể thông báo cho thiết bị di động xem có cần thay đổi mailbox liên kết hay
không và nếu có sự thay đổi trong mailbox thì máy chủ có thể chỉ thị một đồng
bộ. Khi thiết bị giữ được một session mở đối với máy chủ Exchange thì một số
người có thể cho rằng điều này là khá xa xỉ. Tuy nhiên ở đây thiết bị đơ
n giản chỉ
đặt và đợi đáp ứng, nó không cần phải gửi hoặc nhận dữ liệu trong trạng thái
này. Nói cách khác, không cần việc trao đổi dữ liệu trừ khi có một sự thay đổi
nào đó được phát hiện trong mailbox hoặc xung nhịp bị hết hạn. Để xem thêm về
công nghệ DirectPush làm việc như thế nào qua hình ảnh bạn có thể xem ở hình
1 dưới đây.

Hình 1: Tổng quan về công nghệ DirectPush
Simpo PDF Merge and Split Unregistered Version -
Do thiết bị di động không gửi đồng bộ trống như trường hợp đồng bộ thủ công
hoặc được lập biểu nên giảm được sự tiêu hao năng lượng của nó từ đó tăng
được tuổi thọ của nguồn cấp. Thêm vào đó dữ liệu cần phải truyền tải cũng giảm
đáng kể. Ngoài ra dữ liệu đồng bộ giữa mailbox và các thiết bị
cũng được nén
bằng GZIP.

Các yêu cầu của DirectPush

ra chương trình cơ bản có MSFP cho các nhà sản xuất thiết bị di động từ tháng
8 năm 2005 nhưng chương trình cơ bản được đưa ra dành cho MSFP vẫn bị
chậm trễ. Cho tớ
i tháng 3 năm 2006 thì chúng bắt đầu được thực hiện. Cả i-
mate và Qtek cũng như Orange cuối cùng cũng đưa ra một chương trình mới
mặc dù mới chỉ dành cho một số ít các mô hình mới của họ.

Lưu ý
:
Messaging and Security Feature Pack (MSFP) – gói tính năng bảo mật và thư tín
cũng được biết đến như là Adaption Kit Update 2 (AKU2).

Kích hoạt DirectPush trên các máy chủ Exchange 2003

Với Exchange 2003 SP2, tính năng DirectPush sẽ được kích hoạt mặc định.
Tính năng này cũng có thể tìm thấy ở trang thuộc tính của đối tượng Mobile
Services trong Exchange System Manager (xem hình 3 phía dưới).
Simpo PDF Merge and Split Unregistered Version -

Hình 3: Kích hoạt DirectPush trong Exchange System Manager
Lưu ý rằng thậm chí tính năng DirectPush đã được kích hoạt thì các thiết bị di
động không được cài đặt MSFP vẫn có khả năng thực hiện việc đồng bộ bằng
sử dụng phương pháp lịch biểu hoặc thủ công, hoặc thông qua AUTD.

Giá trị time-out của nhịp xung Exchange 2003 Server

Để duy trì một kết nối liên tục giữa máy chủ Exchange và thiết bị di động,
DirectPush sử dụng các kho
ảng xung nhịp. Các khoảng này được dùng để máy
chủ có thể giữ được kết nối mở đối với thiết bị bất kể lúc nào, thậm chí khi không

Microsoft DirectPush bên dưới Comm Manager như hình 4 bên dưới.

Hình 4: DirectPush trên thiết bị di động với MSFP được cài đặt.
Simpo PDF Merge and Split Unregistered Version -
Khi DirectPush được kích hoạt trên thiết bị di động, một biểu tượng gồm có hai
mũi tên nhỏ xuất hiện trên góc bên phải trên cùng của màn hình (xem hình 5).
Khi có một sự thay đổi được phát hiện trong mailbox hoặc nếu xung nhịp hết hạn
thì máy chủ sẽ đưa ra một đáp ứng ngược trở về thiết bị, đáp ứng này sau đó sẽ
thực hiện đồng bộ cho mailbox tương ứng hoặc lại
đưa ra một yêu cầu HTTP.

Hình 5: DirectPush được kích hoạt trên thiết bị di động
Bộ đếm hiệu suất DirectPush

Khi cài đặt Exchange 2003 SP2 trên máy chủ Exchange, một số bộ đếm hiệu
suất cho DirectPush sẽ được bổ sung vào máy chủ. Các bộ đếm này có thể tìm
được ở phần dưới đối tượng Microsoft Exchange ActiveSync như những gì bạn
có thể thấy trong hình 6.
Simpo PDF Merge and Split Unregistered Version -

Hình 6: Bộ đếm hiệu suất cho DirectPush
Lưu ý tất cả các bộ đếm này cũng được gọi là các lệnh Ping. Ping (bạn không
nên nhầm Ping này với lệnh Ping bình thường), nó là lệnh hoặc yêu cầu được
gửi bởi một thiết bị di động đến máy chủ thông qua kết nối HTTP(S). Yêu cầu
này sẽ được đặt trong trạng thái chờ đợi cho tới khi một thay đổi xuất hiện trong
mailbox, hoặc cho tới khi khoả
ng thời hạn xung nhịp hết hạn.

Các bộ đếm hiệu suất khác có thể tham khảo các mô tả chi tiết của chúng bằng
cách đánh dấu sau đó kích nút Explain (hình 6).

đó để bảo vệ các thiết bị của chúng ta, mục đích cũng là để cho các thông tin và
dữ liệu nhạy cảm có thể được bảo vệ an toàn. Với Exchange 2003 SP2, bạn có
khả năng cấu hình mã PIN bắt buộc hoặc yêu cầu mật khẩu đối với Windows 5.0
Mobile Devices đồng bộ với máy chủ Exchange trong tổ chức. Ví dụ bạn có thể
cấu hình thiết bị yêu cầu mã PIN gồm 4 số để ngườ
i dùng cần phải nhập trước
khi truy cập vào thiết bị. Nếu người dùng nhập vào mã PIN sai 4 lần thì có thể
cấu hình thiết lập bảo mật để tất cả dữ liệu trên thiết bị đó được xóa hết.

Lưu ý
:
Nếu bạn chưa từng thấy điều đó thì hãy xem đoạn video sau trước khi tiếp tục
đọc phần dưới, đoạn video này sẽ minh chứng cho bạn thấy được chức năng
của các chính sách bảo mật thiết bị và làm việc với chúng như thế nào trong
thực tế:
Simpo PDF Merge and Split Unregistered Version -

Cấu hình chính sách bảo mật thiết bị

Các chính sách bảo mật thiết bị được cấu hình trong nhiều mục như nhau trên
thiết bị di động, dưới đây là trang thuộc tính của đối tượng Mobile Services trong
Exchange System Manager (xem hình 1).
Simpo PDF Merge and Split Unregistered Version -

Hình 1: Trang thuộct tính của Mobile Services trong Exchange System Manager
Khi kích chuột vào nút Device Security, bạn sẽ vào được trang dùng để cấu hình
các thiết lập bảo mật (Hình 2)
Simpo PDF Merge and Split Unregistered Version -

Hình 2: Device Security Settings

sau khi đăng nhập
thất bại
xóa hết bộ nhớ thiết bị hay không sau khi nhiều lần đăng
nhập bị thất bại. Tùy chọn này không được chọn mặc
đinh. Nếu được chọn, thiết lập mặc định của nó là 8 lần.
Refresh các thiết
lập trên thiết bị
(giờ)
Kích hoạt tùy chọn này để chỉ định khoảng thời gian định
kỳ muốn gửi yêu cầu cho các thiết bị. Tùy chọn này
không được lựa chọn mặc định. Nếu được chọn, thiết
lập mặc định là 24 giờ.
Cho phép truy cập
đối với các thiết bị
không hỗ trợ đầy
đủ thiết lập mật
khẩu
Chọn tùy chọn này nếu bạn muốn cho phép các thiết bị
không được hỗ trợ đầy đủ tính năng bảo mật có thể
đồng bộ với máy chủ Exchange. Tùy chọn này không
được chọn mặc định. Nếu không được chọn, các thiết bị
không được cài đặt bảo mật đầy đủ (ví dụ, các thiết bị
không hỗ trợ dự phòng) sẽ nhận được thông báo lỗi 403
khi cố gắng đồng bộ với Exchange Server.
Bảng 1: Mô tả các thiết lập bảo mật
Ngoài các thiết lập trong bảng, bạn còn có một nút khác đó là Exceptions (xem
hình 3). Sau khi kích nút này, bạn có thể chỉ định người dùng mà bạn muốn
được miễn đối với các thiết lập bạn đã cấu hình trong hộp thoại Device Security
Settings. Danh sách các ngoại lệ này có thể rất hữu dụng nếu bạn có một số
người dùng tin cậy (hay là người quản lý), những người thực sự không cần các

Hình 5: Thuộc tính msExchOmaExtendedProperties
Như bạn thấy, tất cả các giá trị liên quan đến bảo mật thiết bị cũng được lưu
trong chuỗi có tiền tố là PolicyData. Các giá trị được mã hóa giữa các thẻ . Vì
không có gì ngoài XML blob, bạn có thể dự trữ chính sách tùy chỉnh của chính
mình bằng cách chỉ định các giá trị yêu cầu theo định dạng XML tương tự như
trên hình. Bạn cũng có thể thiết lập các chính sách này trên người dùng thông
qua GUI như
ng hiện giờ chỉ có một cách để cấu hình các thiết lập đó trên người
dùng cơ bản là cấu hình thuộc tính msExchOmaExtendedProperties cho mỗi
người dùng, nhưng đó có phải là phương pháp thuận tiện? Microsoft đưa ra một
cách giúp bạn có thể cấu hình các thiết lập này cho mỗi người dùng, sử dụng
GPO hoặc phương pháp tương tự; vấn đề ở đây là thiết lập này không có trước
phiên bản Exchange 12 RTM.

Các thiế
t bị di động

Khi bạn đã cấu hình và kích hoạt các thiết lập bảo mật trên máy chủ thì hộp thoại
như hình 6 sẽ xuất hiện trên thiết bị trong suốt quá trình động bộ tiếp theo với
máy chủ.
Simpo PDF Merge and Split Unregistered Version -

Hình 6: Chính sách bảo mật đã thiết lập trên thiết bị
Sau khi kích OK, bạn cần chỉ định, xác nhận mã PIN và mật khẩu mà bạn muốn
sử dụng. Mã PIN và mật khẩu cần phải nhập hàng ngày, thiết bị được mở khóa
hoặc sau khi đưa ra một quá trình khởi động lại. Nếu một mật khẩu sai được
nhập vào, có thể bởi một trong những đưa trẻ nhà bạn đ
ã chơi với thiết bị hoặc
quên khóa bàn phím khi thiết bị để ở trong túi quần, bạn sẽ gặp một thông báo
như dưới đây:

sẽ nói sâu hơn về vấn đề này trong phần 3.

Thay đổi mã PIN và mật khẩu

Nếu bạn muốn thay đổi mã PIN hoặc mật khẩu, kích Start >
Settings > Lock.
Simpo PDF Merge and Split Unregistered Version -

Hình 7: Nút khóa dưới trang Settings
Bạn sẽ phải nhập vào mã PIN hiện thời hay mật khẩu để truy cập và thay đổi
mật khẩu, khi đã thực hiện xong điều đó, bạn sẽ thấy cửa sổ mới xuất hiện như
trong hình 8 bên dưới.
Simpo PDF Merge and Split Unregistered Version -

Hình 8: Thay đổi mật khẩu thiết bị
Rất thú vị ở đây là khi một thiết bị đã khóa mà được kết nối đến máy tính bằng
cáp USB sẽ không thể truy cập, nếu truy cập bạn sẽ gặp phải hộp thoại như hình
9 dưới đây.

Hình 9: Kết nối một thiết bị đã khóa với máy tính thông qua USB.
Kết luận

Trong bài viết này bạn đã được họ
c về cách làm thế nào để cho các thiết bị di
động trở nên an toàn hơn bằng sử dụng tính năng bảo mật mới có trong
Simpo PDF Merge and Split Unregistered Version -
Exchange 2003 SP2. Bạn cũng thấy được cách thiết lập bảo mật đó làm việc
như thế nào bên phía trình khách. Tính năng thiết lập bảo mật này rõ ràng là một
cải thiện tuyệt vời khi nói đến bảo mật, tuy nhiên nó vẫn chưa cung cấp được sự
bảo mật tối ưu vì dữ liệu được giữ trên thẻ nhớ không được xóa ngay lập tức.

thể thực hiện các hành động dưới đây:
• Xem danh sách các thiết bị đang được sử dụng bởi người dùng
• Chọn hoặc hủy chọn các thiết bị được quyền xóa dữ liệu từ xa
• Xem trạng thái của các yêu cầu xóa dữ liệu từ xa đối với mỗi thiết bị
• Xem bản ghi giao dịch chỉ thị quản trị viên nào đã đưa ra các lệnh xóa từ
xa, thêm vào đó là các lệnh gắn liền với nó.
Công cụ Exchange Server ActiveSync Web Administration được thiết kế đặc biệt
cho Exchange Server 2003 SP2 và các thiết bị Windows mobile 5.0. Tuy nhiên
công cụ này cũng được hỗ trợ trên SBS 2003.

Cài đặt công cụ Exchange Server ActiveSync Web Administration

Không có gì khó khăn trong việc cài đặt công cụ này, khi đã tải được bản copy
tại đây
, bạn chỉ cần rút file MobileAdmin.exe sau đó chạy gói MobileAdmin.msi
trên máy chủ Exchange 2003 SP2 front-end (hoặc máy chủ back-end nếu chỉ có
một máy chủ Exchange trong tổ chức) .

Khi màn hình cài đặt xuất hiện, bạn kích Next (xem hình 1 bên dưới).
Simpo PDF Merge and Split Unregistered Version -

Hình 1: Màn hình cài đặt Microsoft Exchange Server ActiveSync Web
Administration Tool
Chấp nhận EULA sau đó kích Next một lần nữa.Khi cài đặt hoàn tất, kích Finish
để thoát cài đặt.

Sử dụng công cụ Exchange Server ActiveSync Web Administration

Khi Exchange Server ActiveSync Web Administration đã được cài đặt, bạn có
thể truy cập công cụ quản trị di động này từ máy tính điều khiển xa bằng cách