Exchange 2003 Mobile Admin

Inhaltsverzeichnis
  1. Installation
  2. Nutzung
  3. Weitere Links

Siehe auch Exchange ActiveSync Server, Always up-to-date und Pushdienste.

Achtung:
Mit Remote Wipe können manchmal auch Pocket Windows 2003 Geräte in der Liste auftauchen. Über die Weboberfläche können Sie für diese Geräte sogar "löschen" aktivieren. Allerdings kann ActiveSync auf einem PocketPC 2003 mit dem Befehl nichts anfangen. Die Replikation wird mit einem Fehlercode: http_449 unterbrochen. Erst wenn Sie den "Wipe" wieder entfernen, kann das Gerät neu eingerichtet werde

RemoteWipe funktioniert nur, solange ActiveSync noch funktioniert: d.h. das Löschen funktioniert nicht, wenn eine der folgenden Dinge zutrifft:

SIM-Karte wurde schon gesperrt -> keine GPRS Verbindung mehr möglich
Kennwort im AD geändert -> kein ActiveSync mehr möglich, Tipp: Zertifikate nutzen
GSM-Teil abgeschaltet.

Insofern sollten Sie ERST einen WIPE ausführen, ehe Sie die SIM--Karte sperren lassen.

Mit Exchange 2003 SP2 und den seit Anfang 2006 verfügbaren Windows Mobile 5 Geräte mit dem Messaging and Security Feature Pack (MSFP) ist es dem Administrator auch aus der Ferne möglich, einen PDA zu sperren, zurückzusetzen oder zu löschen.

Dazu ist aber die Installation des "Microsoft Exchange Server ActiveSync Web Administration Tool"  auf einem Exchange 2003 Server erforderlich, über welches die Steuerung des Clients möglich ist.

Downloadadresse des ActiveSync Web Administration Tool Version 08.01.0240.006
Microsoft Exchange Server ActiveSync Web Administration Tool
http://www.microsoft.com/en-us/download/details.aspx?id=22243

Installation

Die Installation ist sehr einfach. Nach dem Download ist einfach das MSI-Paket auf einem Exchange 2003 Server mit SP2 zu installieren. Wenn Sie keine Frontend Server haben, dann installieren Sie das Programm einfach auf dem Mailboxserver. Wenn Sie eine Frontend/Backend Konstellation nutzen, dann muss das Programm auf dem Frontend Server installiert werden. Ob dies zwingend ist, kann ich noch nicht sagen, aber gerade bei einer Frontend/Backend Installation werden die Backendserver "besonders" geschützt, damit Systeme eben nicht die Backendserver direkt erreichen können. Insofern ist es geradezu logisch, diese Webseite auf den Frontend Servern zu installieren.

Der Mobile Admin ist dann ein weiteres virtuelles Verzeichnis auf ihrem Webserver. Da auch an dem Mobile Admin eine Anmeldung erforderlich ist, ist eine Verschlüsselung mittels SSL per Default erfordert. Sie können dies natürlich deaktivieren, aber der bessere Weg ist die Installation eines Zertifikats. Dies geht auch heute schon sehr schnell und für interne Verwendung sogar ohne große Kosten (Siehe IIS SSL einrichten oder SelfCert.

Ich hatte es schon erlebt, dass die Installation des Mobile Admin fehlerfrei durchgelaufen war, aber dann doch kein virtuelles Verzeichnis im IIS erstellt wurde. Die Einrichtung im IIS können Sie auch selbst machen.

  • Virtuelle Verzeichnis einrichten
    Name: "MobileAdmin"
    Pfad: "C:\Programme\Microsoft Exchange ActiveSync Administration"
    Ausführen: Nur Skripts
    Anwendungspool: "Exchange Application Pool"
    .NET Framework: "Version 1.1.4322"
  • Einstellungen EXADMIN
    Diese Verzeichnis darf kein "Require SSL" haben

Dort finden Sich dann ein paar ASPX-Seiten, die ihrerseits aber die DLL "Microsoft.Exchange.EAS.Admin.dll" referenzieren. In dieser DLL liegt der eigentliche Code verborgen. Wie nun genau RemoteWipe funktioniert, finden Sie auf RemoteWipe beschrieben.

Nutzung

Der Zugriff erfolgt dann einfach über einen beliebigen Webbrowser über die URL

https://servername/mobileadmin

Natürlich müssen Sie sich am Mobile Admin authentifizieren. Dies kann aber auch ein Anwender tun und so sein gestohlenes Gerät selbst von jedem beliebigen Browser sperren lassen. Das Startfenster ist sehr überschaubar:

Sie können im wesentlichen nur die Funktion "Remote Wipe" aufrufen. im folgenden Fenster werden die Mobilgeräte des ausgewählten Postfach angezeigt, die sie dann löschen lassen können.

Hier sehen Sie, dass ein PocketPC bei der nächsten Verbindung "geleert" werden soll. Der Löschbefehl kann jederzeit wieder abgebrochen werden, wenn dies erforderlich sein sollte.  Die Bedeutung der Optionen im Detail:

  • Wipe
    Hiermit wird die Lösung des Geräts in den Auslieferungszustand befohlen. Beim nächsten Abgleich erkennt das mobile Gerät die Einstellung und setzt sich selbst zurück. Alle Daten sind gelöscht.
  • CancelWipe
    Hiermit können Sie einen Löschbefehl wieder zurückziehen. Dies ist erforderlich, wenn das Gerät z.B. wieder aufgefunden und neu eingerichtet werden soll oder die Löschung irrtümlich aktiviert wurde. (Das Gerät darf die Aktion dann natürlich noch nicht durchgeführt haben, was in Zeiten von Always up-to-date (AUTD) nicht so einfach sein dürfte)
  • Delete
    Diese Funktion löscht nicht das Gerät oder dessen Daten sondern entfernt den Eintrag aus den ActiveSync Einstellungen. Dies ist nützlich, wenn ein PocketPC nicht mehr im Einsatz ist.

Über das "Transaction Log" sehen sie, welche Funktonen wann ausgeführt wurden. Dies erlaubt die Nachvollziehbarkeit der Aktionen.

Leider schreibt Exchange diese Änderungen nicht auch im Eventlog nieder, so dass eine Überwachung mit MOM2005 oder anderen Hilfsmitteln noch nicht direkt möglich ist. Natürlich könnte auch hier das IISLog überwacht werden oder MobileAdmin ähnlich einem WebService per HTTP "ausgelesen" werden.

Weitere Links