Мы только что развернули сервер Blackberry Express и хотели бы убедиться, что все устройства Blackberry, которыми владеют наши пользователи, подключаются ИСКЛЮЧИТЕЛЬНО через сервер BES. Мы используем Exchange 2010 SP1.
Я прочитал несколько ссылок, в которых обсуждается блокировка BIS на уровне брандмауэра. Однако перед этим я хотел бы индивидуально связаться со всеми пользователями Blackberry и убедиться, что у них есть возможность переключиться на сервер BES. Я отправил электронное письмо всей компании, но неудивительно, что люди склонны отключать их, пока не будут вынуждены действовать.
Есть ли простой способ идентифицировать пользователей Blackberry с помощью поиска в журналах IIS или, возможно, с помощью командной консоли Exchange? Особенно каким-то автоматическим способом? Я попытался найти идентификатор Blackberry, но он не отображается рядом с каким-либо именем пользователя, поэтому он не так полезен, как мог бы.
Изменить: чтобы уточнить, я говорю о том, что Blackberry может использовать OWA для загрузки почты на телефон. Мы не разрешаем доступ по протоколам IMAP или POP через наш брандмауэр, поэтому это не проблема - просто люди с Blackberry используют взлом Blackberry, чтобы позволить ему подключаться к Exchange без сервера BES. Насколько мне известно, Blackberry - единственные популярные телефоны, которые используют этот метод для загрузки почты.
Не уверен, что вы имеете в виду под «идентификатором Blackberry» - BIS подделывает строку пользовательского агента IE для своих запросов. По моему опыту, лучший способ найти запросы - это просмотреть журналы IIS на предмет запросов, поступающих от серверов BIS (диапазоны адресов: Вот). Эти запросы БУДУТ иметь имена пользователей в отправляемых ими запросах, например https://owa.example.com/exchange/username
.
Что касается поиска всех запросов ... это боль, если у вас нет хороших средств для поиска в журналах. Серверы BIS, похоже, группируют запросы для всех пользователей на вашем сервере в запросы, поступающие с определенного сервера, поэтому, как только вы его найдете, поиск других запросов с этого конкретного IP-адреса является хорошим подходом.
Что касается блокировки, я обнаружил, что довольно эффективно блокировать диапазоны BIS непосредственно в конфигурации обратного прокси, чтобы я мог найти (по 403 в журнале), какие пользователи пытаются настроить свои телефоны с помощью BIS и установить их прямо.
Хорошо, я работал над этим еще несколько часов, и вот что я нашел:
1) ISA отслеживает клиентские IP-адреса, которые отсутствовали в журналах IIS, поэтому я смог найти ссылки на диапазоны IP-адресов Blackberry Internet Service. К сожалению, все ссылки на USER анонимны, поскольку сервер ISA не обрабатывает аутентификацию - он просто передает запрос в поле Exchange 2010. Так что журналы ISA сами по себе были бесполезны.
2) Сопоставление журналов ISA и журналов IIS представляло собой большую работу, поскольку единственный способ, которым я действительно мог это подумать, - это сопоставление временных меток, а синхронизация времени не могла быть гарантирована.
3) При повторном сканировании журналов IIS я заметил несколько запросов с использованием метода PROPFIND, с которым я не был знаком. Изучив его, я узнал, что это метод Webdav для доступа к OWA. BIS использует Webdav для загрузки сообщений OWA в Blackberry, так что это полезная подсказка.
4) Я поискал в журналах IIS все запросы с помощью метода PROPFIND. Фактически, они включают имя пользователя. Не гарантируется, что это пользователи Blackberry, но, по крайней мере, это более полезно, чем обычное электронное письмо, чтобы ограничить его записями с использованием метода доступа, который преимущественно используется BIS. Большинство (но не все) всплывающих имен пользователей соответствуют идентификаторам пользователей, которые, как я знаю, используют Blackberry, так что довольно хорошая корреляция - я предполагаю, что исключения используют Blackberry, но просто не сказали нам об этом.
Кто-нибудь поправит меня, если мои рассуждения неверны! Надеюсь, это поможет кому-то другому с аналогичной задачей.
Мои журналы IIS содержат ссылки на BlackBerry, если кто-то обращается к OWA из него. (Обратите внимание BlackBerry9630)
2011-03-16 15:56:29 W3SVC1 10.1.1.11 GET /owa - 80 - 10.1.1.37 BlackBerry9630/5.0.0.484+Profile/MIDP-2.1+Configuration/CLDC-1.1+VendorID/189 301 0 0
Я не понимаю, в чем именно заключается ваш вопрос. Вы говорите, что у вас есть люди, использующие OWA со своих устройств BlackBerry, или они подключаются к вашему серверу Exhange через IMAP или POP?