Làm thế nào có thể thay đổi tên miền trong tổ chức doanh nghiệp trên Windows Server 2012?


Bài toán đặt ra:

Hệ thống domain của tổ chức Doanh nghiệp thông thường được tạo theo cấu trúc nội bộ, không liên quan tới hệ thống dịch vụ trên Internet. Nhưng vì một số lý do rất cơ bản, tổ chức doanh nghiệp lớn, nằm dải khắp các quốc gia khác nhau.

Khi dùng chung cấu trúc và tên 1 domain,

Ví dụ:  Robusta.org , các đơn vị, tổ chức thành viên sẽ dùng lại đúng domain này cho hệ thống nội bộ tại quốc gia thành viên, đây là cách truyền thống, đơn giản, tiết kiệm thời gian.

Robusta_Org_old

Sau khi xây dựng các hạ tầng mới tài chi nhánh hoặc các tổ chức doanh nghiệp tại các quốc gia thành viên như: Ảo hóa VMware vCenter, Private Cloud…

Các chi nhánh và tổ chức danh nghiệp thành viên sẽ nảy sinh vấn đề mới đó là:

  1. Không thể copy sao chép giống y nguyên domain name của Head quarter do vấn đề conflic về tên miền, quản lý tên miền khi các chi nhánh có nhu cầu Public các dịch vụ Web Portal, Intranet, Private Cloud, Mobile Application cần có chữ ký số thuê của các hãng Cert Sign, Godaddy…
  2. Tên miền quản lý do Head quarter quản lý do vậy, khi đăng ký SSL/TLS sẽ phải do Admin IT của Head quarter control rất mất thời gian hoặc không chủ động điều khiển được từ phía chi nhánh, tổ chức thành viên.
  3. Các chi nhánh, tổ chức thành viên khi có đầu tư hạ tầng thường sẽ có các cơ cấu nhân sự, quản lý tài nguyên chủ động, độc lập thậm chí cấu trúc kỹ thuật CNTT khác đi so với cấu trúc ở trên:

 

Robusta_Org_new

Theo như mô hình trên đây thì chúng ta sẽ:

– Dễ dàng quản lý từng domain name cho các chi nhánh hoặc tổ chức doanh nghiệp thành viên mà không bị phụ thuộc vào việc xét duyệt

đợi điều khiển từ phía Head quarter mỗi lần có phát sinh từ đơn vị chi nhánh.

– Chủ động quản lý các tên miền, máy chủ, máy trạm, tài khoản người dùng, phân nhóm và đặc biệt là các dịch vụ SSL/TLS đăng ký để public intranet/extranet/internet.

 

Các phương án thay đổi:

1. Phương án 1: Xóa Domain tại các chi nhánh hoặc tổ chức Doanh nghiệp thành viên  ( demote AD-DC, sau đó restart và dcpromo lại AD-DC với tên mới)

  • Phương án này đơn giản lặp lại các bước đã làm, mất thời gian làm lại, nhưng có thể sẽ không phù hợp với các máy chủ dịch vụ đã cài và đang vận hành như: UC Voice Lync Conferencing, Exchange Server 2013 on-primise, MS SQL server enterprise, MS SharePoint farm, MS BizTalk Server Enterprise…
  • Do tất cả các máy chủ trên được cài, cấu hình trên nền tảng Windows Authentication, cần Join Domain với tên domain chuẩn ban đầu có sẵn. Nếu hủy domain hiện thời sẽ dẫn tới mất Windows Authentication và WFC Platform cho phép các máy chủ dịch vụ chạy.
  • Phương án này có thể gây sự cố không dùng lại được do các dịch vụ, cấu hình của những ứng dụng phức tạp, ứng dụng đã cấu hình theo tên miền cũ không tương thích, không phù hợp với cấu hình mới.

2. Phương án 2: Thay đổi tên miền (rename domain, sau đó join domain lại ở các máy chủ, máy trạm)

– Phương án này đơn giản trải qua hơn 28 bước thay đổi tên miền và join lại cho các máy trong tên miền của chi nhánh.

– Phương án này sẽ mất thời gian join domain lại các máy chủ dịch vụ, máy trạm với tên miền và tài khoản join domain admin mới.

– Phương án này sẽ không phải cấu hình lại toàn bộ các ứng dụng dịch vụ đang có, chỉ lưu ý các thông số của các trường hợp sau:

1. UC Server sẽ phải kiểm tra lại các tài khoản login dịch vụ theo kiểu UPN@domain và sau đó kiểm tra dịch vụ có dùng account domain\username.

Chứng chỉ CTL sẽ phải xóa bớt chứng chỉ gốc hoặc renew lại chứng thư số mới

2. MS SQL Server enterprise phải cấu hình quyền access login server và có thể cả quyền DB Admin theo dạng Mixed mode (cho phép account SQL Local “sa”) được phép truy cập MS SQL

khi gặp sự cố về Domain Controller hoặc thay đổi Domain name dẫn tới các account của domain name cũ điều khiển được MS SQL Server…

3. MS Exchange server sẽ phải chạy lại Exchange Configuration Wizard để re-buil lại cấu hình domain mới cho Mail Server re-configure

4. MS SharePoint server sẻ phải chạy lại SharePoint Server Configuration Wizard để re-buil Farm Server và một số cấu hình khác.

5. Phải backup các GPO của máy chủ AD-DC trước khi rename domain

 

3. Phương án 3: Không thay đổi tên miền, chỉ thêm các bí danh cho tên miền trên DNS Server (thêm các DNS Zone, bản ghi A (Host), CNAME, PTR, TXT, SRV)

– Phương án này đơn giản trải qua hơn 3 bước thay đổi các thông số tên máy chủ dịch vụ, mapping IP nội bộ các máy của chi nhánh.

– Phương án này sẽ mất ít thời gian kiểm tra máy trạm , máy chủ dịch vụ từ ngoài truy cập và hệ thống nội bộ để xác định các hạng mục có chạy ổn định hay không ?

– Phương án này có thể không phù hợp với toàn bộ hạ tầng ứng dụng của chi nhánh khi có nhiều chuẩn HĐH khác nhau, nhiều chuẩn kết nối dữ liệu người dùng khác nhau, ứng dụng đã fix code gọi LDAP/ADFS…

– Phương án này chỉ phù hợp với hạ tầng đã hoặc đang triển khai Private Cloud, giúp các các web portal intranet, các ứng dụng Windows Form… có thể kết nối và truy cập qua Internet bằng các trình duyệt web HTML5 smartphone, mobile device mà không cần thiết lập VPN kết nối Site – to – site.

 

Tóm lại, phương án 2 là hợp lý nhất.

 

Chi tiết các bước, các bạn nên tham khảo:

Các bước thay đổi tên miềnhttps://mizitechinfo.wordpress.com/2013/06/10/simple-guide-how-to-rename-domain-name-in-windows-server-2012/ 

Tham khảo các ghi chú về kỹ thuật thay đổi tên miền: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx

Tham khảo support tình huống đăng ký lại chữ ký số mới cho UC: http://support.microsoft.com/kb/2464556/ 

Tham khảo cách đăng ký chữ ký số cho IIS8, IIS8.5:  https://www.digicert.com/ssl-support/ssl-host-headers-iis-8.htm

Tham khảo cách đăng ký chữ ký số cho Exchange 2013: http://exchangeserverpro.com/exchange-server-2013-ssl-certificates/

Advertisements

Publishing Outlook Web Access with Microsoft Forefront TMG


How to publish Exchange Server 2007 SP1 Outlook Web Access (OWA) with Microsoft Forefront TMG.

1.

Change FBA to basic authentication on Exchange Server

Firstly, we have to change the Forms based Authentication (FBA) on Exchange Server site, because TMG also uses FBA and the settings enabled on TMG and Exchange will result in conflicts. To change OWA from FBA to Basic Authentication (used by TMG) start the Exchange Management Console, navigate to Server Configuration – Client Access – and click into the properties of the OWA settings and change FBA to Basic and Windows Authentication as you can see in the following screenshot.


Figure 1: Change authentication from FBA to Basic authentication

2.

we must request a new certificate for the TMG web listener for the public DNS

After we changed from forms based authentication to basic authentication at Exchange site, we must request a new certificate for the TMG web listener for the public DNS name which will be used to access Outlook Web Access from the Internet.

Important:
The common name (CN) of the certificate must match the public DNS name used to access OWA. For example: If your public DNS name is OWA.IT-Training-Grote.de, the CN of the certificate must be the same.

With the Windows Server 2008 MMC Certificate Snap In it is possible to add additional information to the certificate request process. You will need these additional settings to create a certificate request with the custom CN as you can see in the following screenshot.

image

image


Figure 2: Request a new certificate

Lưu ý: Trường hợp gặp lỗi sau

image

To automatically enroll clients for certificates in a domain environment, you must:

  • Configure a certificate template with Auto enroll permissions. For more information, see Issuing Certificates Based on Certificate Templates (http://go.microsoft.com/fwlink/?LinkId=142333).
  • Configure an auto enrollment policy for the domain.

image

Membership in Domain Admins or Enterprise Admins, or equivalent, is the minimum required to complete this procedure. For more information, see Implement Role-Based Administration.

To configure auto enrollment Group Policy for a domain

  1. On a domain controller running Windows Server 2008 R2 or Windows Server 2008, click Start, point to Administrative Tools, and then click Group Policy Management.

  2. In the console tree, double-click Group Policy Objects in the forest and domain containing the Default Domain Policy Group Policy object (GPO) that you want to edit.

  3. Right-click the Default Domain Policy GPO, and then click Edit.

  4. In the Group Policy Management Console (GPMC), go to User Configuration, Windows Settings, Security Settings, and then click Public Key Policies.

  5. Double-click Certificate Services Client – Auto-Enrollment.

  6. Select the Enroll certificates automatically check box to enable auto enrollment. If you want to block auto enrollment from occurring, select the Do not enroll certificates automatically check box.

  7. If you are enabling certificate auto enrollment, you can select the following check boxes:

    • Renew expired certificates, update pending certificates, and remove revoked certificates enables auto enrollment for certificate renewal, issuance of pending certificate requests, and the automatic removal of revoked certificates from a user’s certificate store.
    • Update certificates that use certificate templates enables auto enrollment for issuance of certificates that supersede issued certificates.
  8. Click OK to accept your changes.

Click the link in the request certificate wizard and select the common name type and enter the CN you will need, in this case owa.it-training-grote.de and click Add.


Figure 3: Specify the CN for the public certificate

After the certificate has been successfully created, you will see the result in the certificate Snap In.

Note:
If the certificate request process with the MMC was not successful, the problem might appear due to the fact that the certificate request requires DCOM access which must be manually configured at the ISA/TMG Firewall. For additional information read the following Blog post from the ISA/TMG product team.


Figure 4: Certificate enrollment successful

 

Phần 3: Cách tạo chữ ký số SSL cho Exchange 2007

https://www.digicert.com/easy-csr/exchange2007.htm

Cách cài chữ ký số SSL vào Exchange 2007

http://www.digicert.com/ssl-certificate-installation-microsoft-unified-communications.htm

 

Phần 4: Cách cấu hình OWA trong TMG 2010

Start the TMG Management console, navigate to the Firewall Policy node and create a new Exchange Web Client Access Publishing rule.


Figure 5: Create a new Exchange Web Client Access Publishing Rule

A new wizard start which will guide you to the OWA publishing process. Enter a name for the new publishing rule.


Figure 6: Exchange Publishing rule name

Specify the correct Exchange version and the web client mail service you want to publish.


Figure 7: Publish OWA with Exchange Server 2007

We want to publish a single Website, so we select this option.


Figure 8: Publish a single Web site

Select SSL, so TMG will establish a secure connection with the Client Access Server (CAS).


Figure 9: use SSL for connection to the published server

Enter the Internal Site name of the Client Access Server. This is the internal FQDN of the CAS server. The Internal Site name must match the Common Name (CN) of the certificate used on the Client Access Server.


Figure 10: Specify the internal site name

In the next step of the wizard, enter the public name which clients must use in their browsers to access the published Outlook Web Access Server through the Internet.


Figure 11: Specify the public name to access OWA

Create a new OWA Web listener. The web listener should use SSL due to security reasons.


Figure 12: Require SSL for connections with clients

Now it is time to select the Network on which Microsoft TMG should listen for incoming network traffic for Outlook Web Access. Select the External network and if you only have one IP address bound to the external network interface of TMG you can leave the setting unchanged, else you must select the IP address in the Listener which should be used to publish Outlook Web Access.


Figure 13: Select the Web listener for external requests

Next, choose the certificate which will be bound to the web listener in order to access OWA through the Internet. You must select the certificate which you had created with the MMC.


Figure 14: Select the certificate for public OWA access

Select Formats Based Authentication (FBA) with Windows authentication.


Figure 15: Select Authentication method

Because we do not use SSO (Single Sign On), uncheck the SSO option.


Figure 16: Deactivate SSO

Click Finish and Next.

The Authentication Delegation method selects the Basic Authentication. Since Basic Authentication is used with SSL, this does not pose a security problem.


Figure 17: Authentication Delegation

When this is done, select the users and user groups which should be allowed to access Outlook Web Access through the Internet.


Figure 18: Select users who should use OWA through TMG

Click Finish and Apply.

After the wizard has successfully completed, you can test your configuration. For this article I accessed the OWA website with my Windows 7 Netbook.


Figure 19: Successfully connected to the OWA website through the Internet

Sưu tầm: How to set up TMG 2010 to publish Outlook Anywhere on Exchange 2010 & Exchange 2007


Issue\Requirement:

How to set up TMG 2010 to publish Outlook Anywhere on Exchange 2010. This article assumes that the TMG server is in the DMZ and is not a domain member, as per best practices.

Resolution\Process:

First of all ensure that the Exchange 2010 CAS server is set up correctly:

  1. Install the RPC over HTTPs feature via Windows Server Manager.
  2. Go into the Exchange management console.
  3. Expand Server Configuration > Client Access.
  4. Right click on the CAS server and select Enable Outlook Anywhere.

As the TMG server is in the DMZ it will not trust the Exchange servers self signed certificate. In order for Outlook Anywhere to work, the TMG server must be able to access https://YourMailServer.YourDomain.Local/RPC/rpcproxy.dll

Therefore we need to create a new certificate that can be trusted by both the Exchange server and the TMG server. This is easily achieved by installing an internal root CA. I would recommend you do this on a Windows Server 2008 machine as it is easily able to create a SAN cert (it can be done on Windows Server 2003, but only via CLI).

You should also ensure that the TMG server can access the mail server by name. The best way to achieve this without opening up additional ports on the firewall is to add the following lines to the TMG servers hosts file:

1.1.1.1 (Your mail servers IP address) YourMailServer YourMailServer.YourDomain.Local ExternalURLOfMailService.YourExternalDomain.Com

  1. Connect to a Windows Server 2008 machine and install the Active Directory Certificate Services role.
  2. Select both the Certification Authority and the Certification Authority Web Enrolment.

Once the above is complete we can create a new certificate for use in Exchange. Connect back to the Exchange server and perform the following:

  1. Launch the Exchange management console.
  2. Click on Server Configuration and then click on the mail servers name in the right hand pane.
  3. Click New Exchange Certificate on the actions pane.
  4. Follow the wizard. Do not worry too much about the Exchange Configuration screen as we can add and alter the Certificate Domains on the next screen. This is where we add all the required names for the SAN certificate.
  5. Once the wizard is complete and you have exported the certificate request you can launch a web browser to: http://YourRootCAServer/certsrv
  6. Authenticate.
  7. Select Request a certificate.
  8. Select advanced certificate request.
  9. Select Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
  10. Open your certificate request file and copy the string.
  11. Paste this into the Saved Request section of the certificate services website.
  12. Select the option to create a Web Server under Certificate Template.
  13. Select submit and complete the wizard.
  14. Once you have your certificate file, return to the Exchange management console.
  15. Select the option to complete a pending request and select your new certificate file.
  16. Once complete you may receive the following error against the new certificate in Exchange manager: The Certificate is Invalid for Exchange Server Usage.
  17. This is beacuse the server (and clients) have not had time to pick up the new certificate authority.
  18. To resolve this you can either wait, reboot the machines or update group policy via: gpupdate /force on the command line.
  19. Once the gpupdate /force has been run you may need to close and re-open the management console.
  20. Once the certificate shows as valid select Assisgn Services to Certificate.
  21. Follow the wizard and select the required services for your site (I would select all apart from Unified Messaging).
  22. At this point, client machines using Outlook might start getting certificate errors. This is because they have not had their policy updated to recognise the new root CA. Again, you can fix this either by rebooting the client machiens or runnign gpupdate /force

Exchange is now configured to allow RPC over HTTPs connections. To publish the server we need to do the following on the TMG server:

  1. Launch the TMG management console and browse to Firewall Policy.
  2. On the right hand side, select Tasks > System Policy Tasks > Edit System Policy.
  3. In the pop up window, select Authentication Services > Active Directory.
  4. Uncheck Enforce strict RPC compliance, and click OK.
  5. Right click Firewall Policy and select New > Exchange Web Client Access Publishing Rule.
  6. Follow the wizard selecting the following options: Exchange version – Exchange Server 2010 > Outlook Anywhere (RPC/HTTP(s)) (Note that once this is selected, the other client access services are greyed out. This is because RPC over HTTPs must exist in its own rule and cannot be shared with other services) > Publish a single Web site or load balancer > Use SSL to connect to the published Web server or server farm > Internal site name: YourMailServer.YourDomain.Local (check the TNG server is able to resolve this) > Public name: ExternalURLOfMailService.YourExternalDomain.Com > Select a Web listener from the dropdown (this can be the one used for OWA and should use a SAN cert. No authentication should be enabled). > No delegation, but client may authenticate directly > All Users > Finish.
  7. Right click the newly created rule and select properties.
  8. Select Test Rule.
  9. You should get no errors and the test should read as: Configuration Tests > YourTMGServerName > YourMailServerName.YourDomain.Local > https://ExternalURLOfMailService.YourExternalDomain.Com:443/rpc/
  10. If you get a HTTP error 500 message then follow this article: http://www.cenobite.eu/index.php?option=com_content&view=article&id=61:exchange-outlook-anywhere-error-an-aspnet-setting-has-been-detected-that-does-not-apply-in-integrated-managed-pipeline-mode&catid=3:exchange&Itemid=19

Outlook Anywhere configuration is now complete.

Sưu tầm: Kịch bản bảo mật và mở rộng dịch vụ Exchange của UN


Using Forefront TMG to publish Exchange ActiveSync and Outlook Web App Using Certificate Based Authentication

This is an overview on how Exchange 2010 OWA/EAS clients connect when TMG is deployed in DMZ

The following steps describe the process involved when a mobile device or Outlook Web App (OWA) connects to a mailbox using a certificate and how Kerberos Constrained Delegation and Protocol transitioning are used.

  1. User attempts to access mailbox using OWA or a mobile device over a cellular network. Connection between client and external TMG interface is encrypted using SSL certificate.
  2. TMG has been configured to publish OWA and Exchange ActiveSync URL and prompts the user for authentication.
  3. The user or device presents an X509 certificate as proof of identity.
  4. TMG has been configured to use Kerberos Constrained Delegation (KCD) and connects to Key Distribution Center service on the Domain Controller and requests a Kerberos Ticket on behalf of the connecting user.

    Note: This is where Protocol Transitioning takes place as initial user authentication method was X.509 certificate and TMG Firewall service has been configured to be allowed to request a Kerberos ticket on behalf of the user.

  5. The Key Distribution Center service passes back the user Kerberos Ticket to Network Service identity under which TMG Firewall is running.
  6. TMG has been configured to be able to delegate Kerberos tickets to an Exchange CAS server. The firewall rule on the TMG server knows the internal URL of the Exchange CAS server and passes the requested Kerberos Ticket for the authenticated user to the Exchange CAS server.
  7. The Exchange CAS then accesses the mailbox server where the mailbox is located, authenticating using Windows Integrated Authentication.

It is important to realize early in the planning stages of a deployment like this, that a single TMG listener cannot provide both certificate based authentication at the same time as Basic, Forms Based Authentication, or NTLM authentication. A listener can provide Forms Based Authentication with fallback to Basic, or Basic and NTLM can be used on the same listener, but certificate based authentication when used as the primary form of authentication cannot be combined with any other form of authentication.

This means it is not possible to share one external namespace/listener between clients such as Exchange ActiveSync, when it is using certificate based authentication, and Outlook Anywhere when it is using Basic Authentication. In a scenario such as this, two listeners, and therefore two namespaces and IP addresses must be used. For example, Outlook Anywhere could be configured to use mail.fabrikam.com and certificate based Exchange ActiveSync could be configured to use cert.fabrikam.com. This would require TMG to have two external facing IP addresses, two certificates (though one certificate with both names listed as SAN attributes could also be used) and two listeners.

 

Are you using TMG and having issues publishing Outlook Anywhere?

Ever tried to publish Outlook Anywhere using NTLM with TMG and use Kerberos Constrained Delegation? Many people have tried and failed, or at least had some major trouble before they were finally able to get things going.
To help make things a little easier, here is a simple checklist on how to publish Outlook Anywhere using NTLM with TMG, using Kerberos Constrained Delegation.

The simplest scenario is a single Exchange server and a single TMG server.

simplest scenario is a single Exchange server

1. TMG must be domain joined to use Kerberos Constrained Delegation (KCD), which can be a problem for some organizations. http://www.isaserver.org/tutorials/Debunking-Myth-that-ISA-Firewall-Should-Not-Domain-Member.html. Domain where TMG is member of must be in Windows 2003 mode and it must be the same domain that your Exchange server is on.

    2. Configure KCD.

      With ADUC (Active Directory Users and Computers),
      Find the TMG computer object, select properties and the Delegation tab,
      click “Trust this computer for delegation to specified services only” and then select the “Use any authentication protocol”.

      Click Add button and then Click “Users or Computers” button and enter the Exchange server.

      Then click “OK” and scroll to find “http – servername”,
      click to select it, and then click OK twice to save the configuration.
      If you tick the checkbox “Expanded” while selecting protocol you will see that both the FQDN and host name will be in the list.

      What you have done now is allowed TMG computer to delegate credentials to the Exchange server, but only if it’s using HTTP, that’s why it’s called constrained delegation.

      Why do we mess with the Exchange computer object? Well, Exchange web services run under the local system account, if it was running using a service account, then we must use this account to delegate to instead.

      3. Create a Listener and publish rule on TMG.

        Start by creating a Listener. As the create Listener wizard goes by select these options:
        Select “Require SSL secured connections with clients”,
        Select an external IP and a certificate to be used by the listener.
        For Authentication you have several options and it all depends on what you want to do, but for this walkthrough select HTTP and Integrated. This means NTLM since we are connecting from internet where there is no Kerberos service is available (or have you put a Domain Controller on Internet?).

        Create the publishing rule by starting the Exchange Web Client Access publishing rule wizard.
        Select version of Exchange and Outlook Anywhere as the service, and also select “Publish additional folders…”. This will add paths for OAB, EWS and Autodiscover URL.
        Select “Publish a server farm of load balanced web servers”,
        “Use SSL to connect to the web server or server Farm”,
        Internal site name is important: enter a name that is on the certificate used by IIS on Exchange server, that is not the certificate clients “see” when connecting to TMG from internet. This certificate is seen only by TMG.
        Create a new Exchange server farm. Give it a name and add your Exchange server to it.
        For the connectivity monitoring, select “Send an HTTP/HTTPS Get request”.
        Farm is complete.

        For the public name, select a name that this publishing rule will accept traffic on.
        Select the Listener you created earlier.
        For the Authentication delegation select Kerberos constrained delegation and change the SPN to “http/*”.
        On user sets, select “All authenticated users”. This can be changed to an AD group to limit who is allowed to use the services you’re publishing.

        4. Configure Outlook Anywhere to use NTLM.
        Set-OutlookAnywhere -IISAuthenticationMethods ‘Ntlm’ -ClientAuthenticationMethod ‘Ntlm’

          Why do a farm of servers instead of just a single server? With a farm, you get the opportunity to do monitoring of the published server. This means that if you encounter that the published server doesn’t work while monitoring, it won’t even try to send traffic to the published server. Flexibility is another thing, you never know what will happen in the future, servers may be added, changed or removed and it’s easier to change the farm membership instead of redoing the publishing rule.

          “Test Rule” button. This function is really good but when using KCD it will often fail. One reason for failure is that there is a firewall running between or on the published server which blocks traffic to port 445 and 139. TechNet has a good post related to “test rule” button failure

          Another failure is when you set change configuration on the Authentication Delegation tab to use KCD and set the SPN to “http/*”, a star tell TMG to replace it with the published server FQDN when doing the KCD. Unfortunately, TMG doesn’t do this when you click “Test Rule” button. My thought on this is function behind “Test Rule” button only takes this text string and doesn’t translate the star to FQDN. KCD will fail because it is not allowed to delegate to http/*. To overcome this while testing your configuration,replace “http/*” with “http/x” where x is one of the previously allowed delegation. If you have multiple servers in your farm, you should change configuration and test every published server. When done, don’t forget to change back to “http/*”.

          One more plus is that even if you have Basic authentication enabled on the Listener, you can still use KCD on the Authentication Delegation tab, which is good for clients who don’t know how to use NTLM.

          More advanced configuration with multiple CAS servers and Load Balancer.

          advanced configuration with multiple CAS

          The difference with this configuration is that we have a Load Balancer between TMG and CAS. This provides us with a couple of options. Either a) configure TMG to send traffic to Load Balancer, or b) configure TMG to send traffic directly to CAS.

          The problem with the first option is that Load Balancer most likely thinks everything comes from TMG and therefore will not distribute traffic to all CAS, but instead sends it to only one of them. This can be fixed by using more sophisticated distribution algorithms on Load Balancer. But in order for that to work, we need to disable SSL between TMG and Load Balancer, and also allow HTTP to CAS. We also have another source to troubleshoot if something breaks. Another thing is the KCD configuration. Since there is no computer account for Load Balancer, the KCD needs to be configured with a name that TMG can use for the delegation. You must add the SPN string to the msDS-AllowedToDelegateTo attribute on the TMG computer account and finally this invented name must be configured in the publishing rule in the delegation tab as the SPN. This is a valid configuration, but with many variables’ in it I think it’s much too .The other option with TMG sending traffic to CAS servers directly and bypass Load Balancer is much easier to configure and to troubleshoot.

          Picture only shoving a single TMG and a single Load Balancer but they can in fact me multiple of them for redundancy and load distribution. Either way, it doesn’t matter when you use KCD.

          Connectivity monitoring

          TMG will periodically connect to the published server. How TMG connects depends on the connectivity monitoring configuration. We selected to “Send an HTTP/HTTPS Get request” together with a URL. This means that TMG will connect to this URL and if it gets a response back it will allow traffic on this rule.
          If you publish for example outlook anywhere you would most certain need to publish a couple of more URL’s than the /RPC such as /OAB, /EWS and /Autodiscover. Sad story here is that TMG cannot monitor more than one URL. If we monitor /rpc directory then all other can fail without TMG noticing it so TMG will still end traffic to one farm member even though for example the EWS service don’t work on it.

          Solution can be to have individual publishing rule for each service you publish. Another solution could be your own developed solution. Create a script that monitor services of your choice, and simply create a file in an IIS directory if every service is working or delete the file if something is not working. In TMG we can then configure the URL to point to this file.

          RPCping

          If you published Outlook Anywhere you verify configuration with rpcping.exe.
          Be aware of that rpcping has several parameters and you have to specify them correctly. Here is an example.

          rpcping -t ncacn_http -s mapi.corp.contoso.com -o RpcProxy=oa.contoso.com -P “billg,contoso,Password2” -I “billg,contoso,Password2” -H 2 -u 10 -a connect -F 3 -v 3 -a connect -e 6001

          This means connect to the rpcproxy name “oa.contoso.com” and the internal server name with mapi.corp.contoso.com. User name is billg, password is Password2,netbios domain name is contoso both for the rpcproxy auth and auth to internal server, e = 6001 means internal tcp port 6001 which is on out of the three ports used by outlook anywhere. The others are 6002 and 6004.

          The other parameters aren’t that easy to figure out but you can read everything about them here http://support.microsoft.com/kb/831051.

          Sưu tầm: Securing Exchange 2010 with Forefront Threat Management Gateway (TMG) 2010, Publishing Outlook Web App


          I went through all the steps required to successfully install Forefront Protection 2010 for Exchange Server and Forefront Threat Management Gateway (TMG) 2010 on the same server as your Exchange Server Edge Transport role. I also looked at some basic configuration so we should now be able to send and receive email.

          What about external access? TMG 2010 can also securely publish all your Exchange Server related services such as Outlook Web App (OWA), Outlook Anywhere and ActiveSync (EAS).

          In this final part of the series I’ll look at publishing OWA to the internet. While my focus is mainly on OWA, Outlook Anywhere and EAS should also work after very little or no additional configuration. I’ll start by creating a new certificate request and then submitting it to certificate authority and then install the issued certificate. I’ll then go over how to correctly export the issued certificate and import it on the TMG server. I’ll then conclude the series by creating a new “Exchange Web Client Access Publishing Rule”.

          A few notes before I begin.. When working with certificates, there are two options, I have opted to use my own Enterprise Root CA which has been installed on my domain controller. You are of course welcome to purchase a certificate from a third-party CA, if you decide that this is a better option for you, the basic configuration steps below will not differ all that much, the only difference will be in how you submit the request to the CA. I highly recommend purchasing a UC Certificate for this, please see the following Microsoft TechNet article for more information.

          This post also assumes that your domain controllers already accept LDAP connections over SSL. To enable this, you need to install a server certificate on each of your domain controllers. The following Microsoft TechNet article may provide some guidance if you need further assistance with this.

          The first step is to confirm out OWA configuration, this is done by opening the Exchange Management Console, expand “Server Configuration”, click “Client Access” and then right-click “owa (Default Web Site)” and select “Properties”

          image

          It is also important to change the authentication settings by clicking on the “Authentication” tab. We need to disable forms based authentication as TMG will be providing this feature. If you keep Exchange forms based authentication enabled your users will be prompted to log into OWA twice.

          image

          We now need to create a certificate request for the certificate that will be used to OWA. This can of course be done from the Exchange Management Shell by making use of the New-ExchangeCertifate cmdlet or by making use of the new wizard included in the Exchange Management Console. To access the wizard, click “Server Configuration”, select your CAS server and click “New Exchange Certificate”

          image

          “Enter a friendly name for the certificate”, I usually use the external FQDN here. Click “Next”

          image

          If you are using a wildcard certificate, you can enter the root domain name here, I have elected not to use a wildcard certificate. Click “Next”

          image

          Next, select your required configuration. Enter your configuration and click “Next”

          image

          Review your certificate domains, I usually enter the server name without a suffix as well, but this is not necessarily required. Ensure that you have your internal, external and both autodiscover names listed and click “Next”

          image

          Enter your organization and location details and click “Next”

          image

          Review your certificate configuration summary and click “Next”

          image

          Once complete, click “Finish”

          image

          For those looking to use the Exchange Management Shell to complete this request, the command would look something like this:

          New-ExchangeCertificate -FriendlyName ‘dogfood.cgoosen.com’ –GenerateRequest -PrivateKeyExportable $true -KeySize ’2048′ -SubjectName ‘C=AU,S=”NSW”,L=”Sydney”,O=”cgoosen.com”,OU=”test lab”,CN=dogfood.cgoosen.com’ –DomainName ‘tlex01.testlab.local’,’dogfood.cgoosen.com’,’autodiscover.testlab.local’,’autodiscover.dogfood.cgoosen.com’,’tlex01′ -Server ‘TLEX01′

          Now that we have completed out certificate request, it is time to submit this request to a CA. I’ll be using my Enterprise Root CA which is installed on my domain controller, so I’ll just submit the request opening https://tldc01.testlab.local/CertSrv Click “Request a certificate”

          image

          Then click on “advanced certificate request”

          image

          Since we have already created the certificate request, select “Submit a certificate request by using a base-64-encoded CMC or PKCS#10 file, or submit a renewal request by using a base-64-encoded PKCS#7 file”

          image

          Paste the certificate request in the box provided, select the “Web Server” template and click “Submit”

          image

          Click “Yes” to acknowledge the “Web Access Confirmation”

          image

          Next download only the “DER encoded” certificate.

          image

          Now that we have our new certificate, it’s time to install it. Once again, click “Server Configuration” and select your new certificate. Click “Complete Pending Request”

          image

          image

          Select your new certificate and click “Complete”

          image

          Once completed, click “Finish”. You have now installed your new certificate.

          image

          We now need to assign services to the certificate, click “Server Configuration” and select your new certificate. Click “Assign Services to Certificate”

          image

          Select your CAS server and click “Next”

          image

          Ensure that you have selected “Internet Information Services” and click “Next”

          image

          Review the configuration summary and click “Assign”

          image

          Once completed, click “Finish”

          image

          Now that we’ve installed the new certificate and assigned services to it, lets give it a quick test internally. My internal URL is https://tlex01.testlab.local/owa

          image

          Before we can import the certificate on the TMG server, you need to export the certificate along with its private key from the CAS server. Open the “Certificates” MMC and make sure you are viewing the “Local Computer”. We need to export 2 certificates. The first is the Enterprise Root CA certificate located in the “Trusted Root Certificate Authorities” store.

          image

          The second certificate is the new exchange certificate we just installed, it should be located in the “Personal” store.

          image

          Lets start with the Enterprise Root CA certificate, right-click the certificate and click “Export”. Click “Next”

          image

          Select “DER encoded binary X.509 (.CER)” and click “Next”

          image

          Give it a meaningful and name be sure to note down the location and click “Next”

          image

          Review the settings and click “Finish”

          image

          Once completed successfully, click “Ok”

          image

          Next we export the exchange certificate along with its private key. right-click the certificate and click “Export”. Click “Next”

          image

          Ensure that you have selected “Yes, export the private key” and click “Next”

          image

          Ensure that you have selected “Export all extended properties” and click “Next”

          image

          You need to protect the private key by using a password, be sure to remember what password you enter here and click “Next”

          image

          Give it a meaningful and name be sure to note down the location and click “Next”

          image

          Review the settings and click “Finish”

          image

          Once completed successfully, click “Ok”

          image

          Once you have those 2 certificates, (ca_cert.cer and cas_cert.pfx if you followed my naming convention) copy them to your TMG server. The log onto the TMG server and open the “Certificates” MMC and make sure you are viewing the “Local Computer”. We now repeat the previous process in reverse.

          image

          First we import the Enterprise Root CA certificate, expand the “Trusted Root Certificate Authorities” store, right-click “Certificates” and select “Import”. Click “Next”

          image

          Locate the certificate and click “Next”

          image

          You will notice that it will already have the correct location specified, do not change this, just click “Next”

          image

          Review the settings and click “Finish”

          image

          Once completed successfully, click “Ok”

          image

          We then import the exchange certificate. Expand the “Personal” store right-click “Certificates” and select “Import”. Click “Next”

          image

          Locate the certificate and click “Next”

          image

          Enter the private key password (you do remember it, right?) Ensure that you have selected “Include all extended properties” and click “Next”

          image

          The correct location should already be specified, do not change this, just click “Next”

          image

          Review the settings and click “Finish”

          image

          Once completed successfully, click “Ok”

          image

          Once this is done, should should be able to double-click the exchange certificate and check the status. Both certificates should be “Ok”

          image

          The final step in the process is to create a “Exchange Web Client Access Publishing Rule”. Open the TMG Management Console, right-click “Firewall Policy”, select “New” and then select “Exchange Web Client Access Publishing Rule”

          image

          Give your rule a meaningful name and click “Next”

          image

          Select your Exchange version and select “Outlook Web Access”, then click “Next”

          image

          Select your publishing type and then click “Next”

          image

          Since we will be using SSL, select that option and click “Next”

          image

          Enter your internal site name, only enter the FQDN, there is no need to add HTTP/S or /OWA. Click “Next”

          image

          Enter your public name here, again only the FQDN. Click “Next”

          image

          Select your web listener, since I don’t already have one, I am going to create a new one by clicking “New”

          image

          Enter a meaningful name and click “Next”

          image

          We will be using SSL and want to require SSL connections from all clients. Click “Next”

          image

          Select your listener IP address, this should be your external network address. Click “Next”

          image

          Click “Select Certificate” and then select the exchange certificate we installed in the previously. Click “Select”

          image

          Click “Next”

          image

          Next we look at authentication settings, since our server is not a part of the domain, we are unable to use “Windows” authentication. Make sure “HTML Form Authentication” is selected, select “LDAP (Active Directory)” and click “Next”

          image

          I won’t be making use of SSO, make your selection and click “Next”

          image

          We need to add at least one LDAP server for user authentication, add your domain controllers here, type your domain name and I highly recommend that you make use of LDAP over SSL. Click “Next”

          image

          Review your web listener configuration and click “Finish”

          image

          Select the web listener you just created and click “Next”

          image

          Select “Basic Authentication” and then click “Next”

          image

          This rule will apply to “All Authenticated Users”, click “Next”

          image

          Review your configuration and then click “Finish” to create the rule.

          image

          Once the rule has been created, we need to apply it to TMG, click “Apply”

          image

          You should now see your rule listed..

          image

          Now for the fun part, lets test our configuration. If you visit your external URL, mine is https://dogfood.cgoosen.com/owa you should be presented with a OWA login form. Notice the “Secured by Microsoft Forefront Threat Management Gateway” banner at the bottom.

          Enter your user name in the format “Domain\user name” and your password and click “Log On” If you have any certificate alerts, you may need to install your Root CA certificate to the “Trusted Root Certification Authorities” store on your workstation. If you are using an Enterprise Root CA, it uses Group Policy to propagate its certificate to the “Trusted Root Certification Authorities” store for all users and computers in the domain.

          image

          If everything has been correctly configured, you should be presented with your inbox.

          image

          To summaries, in this final part of the series I created a new certificate request and then submitted it to certificate authority. Once I had downloaded the issued certificate, I installed it on my exchange CAS server and assigned services to it. I then exported the issued certificate and imported it on the TMG server. To complete the process, I created a new “Exchange Web Client Access Publishing Rule”.

          CÔNG TY TNHH NOVA SỐ – NOVA DIGITAL CO., LTD


          LỊCH SỬ HÌNH THÀNH.

          Cty TNHH NOVA DIGITAL được thành lập dưới sự tham gia cố vấn và đầu tư từ những chuyên gia công nghệ cao Microsoft, VMware, IBM, EMC với định hướng phát triển trở thành một trong những đơn vị hàng đầu về Sản xuất phần mềm Giải pháp, Tư vấn giải pháp, Dịch vụ Triển khai các Giải pháp phần mềm CNTT trong Quản lý Doanh nghiệp và Điều hành các hệ thống giải pháp Điện toán đám mây.

          Đội ngũ nhân sự có năng lực, kinh nghiệm trên 10 năm về triển khai và đào tạo công nghệ, sở hữu nhiều chứng chỉ Quốc tế quan trọng đảm bảo khả năng cạnh tranh trong việc phát triển dịch vụ Đào tạo và triển khai giải pháp CNTT tại Việt Nam và các nước ĐNÁ.

          LĨNH VỰC HOẠT ĐỘNG

          Công ty TNHH NOVA DIGITAL hoạt động trong lĩnh vực Sản xuất phẩm mềm Quản lý bằng CNTT, Dịch vụ triển khai và Đào tạo CNTT với thế mạnh nhiều năm kinh nghiệm:

          • Phát triển dịch vụ đào tạo chuyên ngành Công nghệ thông tin – Kinh tế và Viễn thông.
          • Đối tác Hợp tác cung cấp các giải pháp CNTT cho 3 Hiệp hội chuyên ngành:
            • Hiệp hội Chế biến và Xuất khẩu Thuỷ sản Việt Nam – VASEP (hơn 500 Doanh nghiệp thành viên trong các lĩnh vực XNK, Chế biến, Sản xuất, Ngân hàng, Thương mại Thuỷ sản).  website: http://www.vasep.com.vn/ 
            • Hiệp hội Gỗ và Lâm sản Việt Nam (hơn 300 Doanh nghiệp thành viên trong các lĩnh vực XNK, chế biến, sản xuất, Ngân hàng, Thương mại Gỗ – nội thất). website:  http://vietfores.org/
            • Hiệp hội Chế biến và xuất khẩu Chè Việt Nam – VITAS ( hơn 80 Doanh nghiệp thành viên trong các lĩnh vực XNK, chế biến, sản xuất, Ngân hàng, Thương mại Chè – ẩm thực Việt Nam).  Website: http://www.vitas.org.vn
          • Các giải pháp phần mềm tin học vào ứng dụng cho doanh nghiệp vừa và nhỏ như:
            • Office 365 Cloud.
            • Cung cấp các phần mềm bản quyền của Microsoft, VMware, Lạc Việt cho Doanh nghiệp Việt Nam.
            • Chứng thư số của Viettel ISP cho khai báo thuế Việt Nam.
            • Hệ thống SMS của Viettel Telecom cho Quản lý sản xuất – Kinh tế.
          • Cung cấp giải phải pháp phần mềm tin học ứng dụng trong trường học Phổ thông và Đại học.
            • Hệ thống SMS của Viettel Telecom cho Quản lý Trường Đại học.
            • Hệ thống SMS Học bạ cho Quản lý Trường Phổ thông.
          • Đối tác triển khai giải pháp duy nhất của Microsoft Live@edu tại Việt Nam.
            • Triển khai hệ thống Exchange Online, SharePoint Online, Forefront Protection for Exchange Online, Skydrive.
            • Tích hợp hệ thống ADSync với Windows Live ID và SSO.
            • Triển khai các giải pháp SSO giữa Moodle hoặc SharePoint On-premise với Outlook Live.
            • Dịch vụ Đào tạo Live@edu for Administrators và Giáo viên các Trường Phổ thông – Đại học.
          • Đối tác duy nhất triển khai nâng cấp Office365 Education của Microsoft tại Việt Nam.
            • Nâng cấp từ Microsoft Live@edu sang Office 365 cho 300 trường PTCS, 128 trường PTTH, 40 Trường CĐ- Trung học chuyên nghiệp, 37 Trường Đại học,  20 Viện và Sau Đại học tại 39 tỉnh thành Việt Nam.
            • Cung cấp phần mềm và triển khai các giải pháp tích hợp, khai thác Office 365 cho toàn bộ các Trường tại Việt Nam.
            • Dịch vụ đào tạo Office 365 gồm 3 môn chuẩn của Microsoft:
              • Course 70-321 Deploying Office 365.
              • Course 70-323 Administering Office 365 for SMB.
              • Course 74-324 End User Office365 training.
          • Đại lý chính thức AER và LAR của Microsoft cung cấp phần mềm giáo dục tại Việt Nam.
          • Đối tác đạo tạo University và Triển khai giải pháp Ảo hoá Chuyên nghiệp của VMware tại Việt Nam.
            • Đại lý sản phẩm phần mềm ảo hoá VMware.
            • Đối tác đào tạo uỷ quyền của VMware tại Việt Nam.
            • Đối tác triển khai Service Solution IT Professional of VMware.
          • Trung tâm thi chứng chỉ Công nghệ Thông tin Quốc tế Prometric, Pearson Vue.
          • Xây dựng trang web điện tử, xây dựng cổng thông tin Doanh nghiệp.

           

          CƠ CẤU TỔ CHỨC & NHÂN SỰ

          Để thực hiện các chức năng nhiệm vụ phát triển dịch vụ Đào tạo, định hướng kinh doanh, cung cấp các giải pháp ứng dụng CNTT, đảm bảo dịch vụ hỗ trợ khách hàng và duy trì hoạt động của Trung tâm một cách hiệu quả, NOVA Digital đã xây dựng một cơ cấu tổ chức một cách chặt chẽ, hợp lý bao gồm các phòng ban có mối quan hệ hỗ trợ và phối hợp đồng bộ tạo nên một sức mạnh tập thể. Đáp ứng và cung cấp các dịch vụ phục vụ khách hàng Doanh nghiệp một cách toàn diện, chu đáo.

          image

          CEO: Giám đốc điều hành

          CIO: Giám đốc kỹ thuật.

          CMO: Giám đốc quản lý đối tác.

          CFO: Trưởng quản lý tài chính kế toán.

          AM: Quản lý khách hàng.

          CCO: Trưởng quản lý chăm sóc khách hàng.

          CTO: Trưởng quản lý kỹ thuật và triển khai hỗ trợ kỹ thuật Khách hàng.

           

          NỀN TẢNG CÔNG NGHỆ – CHỨNG CHỈ NĂNG LỰC

          Chứng chỉ công nghệ Microsoft MCP:

                    Chứng chỉ chuyên ngành cao cấp về hệ thống mạng (MCITP)

                    Chứng chỉ chuyên gia CNTT về SharePoint 2010 (MCM).

                    Chứng chỉ chuyên gia CNTT về Dynamic CRM.

                    Chứng chỉ chuyên gia về Đào tạo CNTT của Microsoft (MCT)

          Partner Microsoft Live@edu

          image

          Đối tác duy nhất triển khai Microsoft Live@edu tại Việt Nam.

          Microsoft Licensing Sales Specialist LAR & AER

          Chứng chỉ cấp phép bán hàng chuyên khối Doanh nghiệp, chính phủ và Giáo dục.

           

          Microsoft Office Specialist

          Chứng chỉ chuyên ngành về hoạt động nghiệp vụ văn phòng

          Microsoft Learning Solution

          Ủy quyền của Microsoft về cung cấp các giải pháp cho Giáo dục và Đào tạo

          Microsoft SharePoint Platform

                    Cung cấp giải pháp Cổng thông tin điện tử và Microsoft Learning Gateway theo nền tảng SharePoint.

                    Gia công phần mềm, triển khai dịch vụ hỗ trợ kỹ thuật cho các Trường Quốc tế và Đại học như: Hanoi University of Pharmacy – http://www.hup.edu.vn , UNISHANOI: http://portal.unishanoi.org

          Microsoft Dynamic CRM

          Giải pháp triển khai hệ thống Chăm sóc khách hàng

          Microsoft Business Intelligence

                    Giải pháp Doanh nghiệp thông minh chuyên cung cấp giải pháp BI 2008, BI 2012 trên nền Windows Server 2008 R2, Windows Server 2012 cho Hải Quan Việt Nam và Hiệp hội CBXN TS VASEP, Hiệp hội Chè VITAS.

          Đối tác của SourceCode

          image

          Chuyên triển khai giải pháp “Business Process Management Solution” cho Doanh nghiệp Viễn thông Viettel Telecom tại 64 tỉnh thành.

          Khảo thí thi chứng chỉ Quốc tế

          image

                    Chuyên tổ chức thi chứng chỉ CNTT của Microsoft, IBM, WMware.


          SẢN PHẨM, GIẢI PHÁP & DỊCH VỤ

          1.      Chương trình Microsoft Partner Program

                    Đối tác của Microsoft phát triển mạng lưới và đánh giá, xác thực năng lực đối tác tại Việt Nam.

                    Phát triển các gói sản phẩm, giải pháp cho các doanh nghiệp, đối tác.

                    Đại lý chính thức cung cấp các phần mềm có bản quyền tại Việt Nam.

          2.      Chương trình Microsoft LAR & AER (Microsoft Authorized Education Resller)

          Tư vấn, cung cấp và đào tạo khai thác các phần mềm có bản quyền của Microsoft cho các đơn vị là Trường Đại học, Cao đẳng, THPT…

          3.      Chương trình Live@edu và Office365 Cloud

          Đối tác độc quyền triển khai cung cấp gói dịch vụ Microsoft Cloud miễn phí cho khối Giáo dục tại Việt Nam, Lào, Campuchia bao gồm:

                    Hệ thống Email trực tuyến.

                    Hệ thống cổng thông tin giáo dục trực tuyến.

                    Hệ thống hội thảo trực tuyến.

                    Hệ thống Microsoft Office trực tuyến.

                    Hệ thống Dynamic CRM trực tuyến.

                    Dịch vụ hỗ trợ, tư vấn và triển khai kỹ thuật Microsoft Cloud.

          4.      Giải pháp phần mềm dựa trên nền tảng hạ tầng SharePoint và .Net Framework

                    Cung cấp giải pháp cổng thông tin quản lý nội dung giáo trình, giáo án, trắc nghiệm cho khối giáo dục.

                    Cung cấp giải pháp cổng thông tin quản lý nội dung giáo trình, giáo án, trắc nghiệm cho khối doanh nghiệp quản trị nhân sự.

          5.      Giải pháp dịch vụ gia tăng trên di động (SMS Mobile)

          Cung cấp giải pháp quản lý học sinh, sinh viên và phản hồi thông tin qua tổng đài nhắn tin thuê bao điện thoại di động.

          6.      Phòng thi chứng chỉ Quốc tế được khảo thí ủy quyền của Prometric và Pearson Vue

          Phòng thi đạt tiêu chuẩn Quốc tế được Prometric ủy quyền cho phép học viên thi và nhận các chứng chỉ chuyên ngành CNTT đạt chuẩn Quốc tế tại Việt Nam.

          7.      Giải pháp ảo hóa hệ thống VMware

          Đối tác độc quyền của VMware tại Việt Nam

                    Tư vấn giải pháp.

                    Triển khai hạ tầng.

                    Đào tạo và chuyển giao công nghệ.

          8.      Giải pháp phát triển dịch vụ trực tuyến trên nền Microsoft Cloud computing

          Đối tác duy nhất tại Việt nam tư vấn, triển khai, đào tạo và chuyển giao công nghệ về các giải pháp trên nền Microsoft Cloud Apps.

          KHÁCH HÀNG TIÊU BIỂU

          Các thành viên xây dựng NOVA DIGITAL đều là những người có từ 10 – 16 năm kinh nghiệm triển khai trong các lĩnh vực:

          1.      Dầu khí: PVOL

          2.      Ngân hàng: Vietin Bank, VP Bank

          3.      Bảo hiểm: Prudential, Manulife

          4.      Vinamilk

          5.      Đào tạo: RMIT University, de Heus, HUP, HUBT, HCMUT, NEU, HLU, Nhất Nghệ, DNU, HUESTAR.

          6.      Hải Quan: Hải Quan Việt nam, FAO – FIIU – WCOO.

          7.      Viễn Thông: Viettel Telecom.

          8.      Truyền hình: VTC, Viettel Media, Mobiphone Media, PGM Senvang, HTC

           

          CÁC DỰ ÁN TIÊU BIỂU ĐÃ THỰC HIỆN

          Khách hàng Doanh nghiệp

          Thời gian

          Sản phẩm và dịch vụ cung cấp

          Viettel Telecom

          (64 tỉnh thành, 6000 người dùng).

          2007

          Giải pháp Quản lý Quy trình về Hợp đồng Mua Bán

          của  K2Workflow SourceCode trên nền SharePoint Office 2007 Server

          Microsoft

          2008

          Mô hình giải pháp SMS Mobile ứng dụng cho Nông thôn

          VASEP

          2011

          Cổng thông tin chuyên ngành Thủy sản

          http://www.vasep.com.vn

          VITAS

          2010

          Công thông tin nội bộ Hiệp hội Chè

          http://portal.vitas.org.vn

          Microsoft for Education

          Từ 2008 đến nay

          Chương trình Live@edu triển khai tại Việt Nam cho:

          – 300 trường PTCS

          – 128 trường PTTH

          – 40 Trường CĐ- Trung học chuyên nghiệp

          – 37 Trường Đại học

          – 20 Viện và Sau Đại học tại 39 tỉnh thành Việt Nam.

          – 15 Trường Quốc tế.

          VISC

          2012

          Trang học bạ trực tuyến Hocba.vn

          http://hocba.vn

          Viettel CA

          2010

          Cung cấp chữ ký số cho các ngành Thuế, Hải quan điện tử và các Doanh nghiệp thuê Hosting máy chủ.

          NAT&L

          2009

          Tư vấn và triển khai giải pháp Mobile SMS Gateway của Microsoft UPG tại nhà máy mía đường Nghệ An.

          Bộ Nông nghiệp (MART)

          2009

          Triển khai giải pháp thống kê giá nông nghiệp qua Mobile (Microsoft Project MIDAS)

          Khách hàng GIÁO DỤC

          Thời gian

          Sản phẩm và dịch vụ cung cấp

          Đại học Dược HN (Hanoi University of Pharmacy)

          11.000 người dùng

          2010

          Triển khai giải pháp hạ tầng Web hosting, Sharepoint portal, Learning Geatway, hội thảo trực tuyến bằng Microsoft Lync Online.

          Website: http://www.hup.edu.vn

          Kiểu dự án: Lai ghép điện toán đám mây

          Đại học Văn Lang

          25.000 người dùng

          2009

          Triển khai dịch vụ hạ tầng Outlook Live, Moodle tích hợp Windows Live ID.

          Website: http://www.vanlanguni.edu.vn/

          Kiểu dự án: Lai ghép điện toán đám mây

          Đại học Bách Khoa TP.HCM

          35.000 người dùng

          2009

          Triển khai dịch vụ hạ tầng Outlook Live, PSA tích hợp Windows Live ID.

          Website: http://www.hcmut.edu.vn/en

          Kiểu dự án: Cloud and On-Premise

          Đại học Tôn Đức Thắng

          45.000 người dùng

          2010

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Website: http://english.tdt.edu.vn/ 

          Kiểu dự án: Lai ghép điện toán đám mây

          Đại học Đà nẵng

          32.000 người dùng

          2009

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin Moodle Learning với Windows Live ID.

          Website: http://www.dnu.edu.vn

          Kiểu dự án: Lai ghép điện toán đám mây

          Đại Học Dân lập Thăng Long

          9000 người dùng

          2008

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin Joomla với Windows Live ID.

          Website: http://thanglong.edu.vn/

          Kiểu dự án: Lai ghép điện toán đám mây

          Đại học Đông Đô

          5000 người dùng

          2009

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin ASP.Net với Windows Live ID.

          Website: http://www.dongdo.edu.vn

          Kiểu dự án: Lai ghép điện toán đám mây

          Đại học Quản trị Kinh Doanh Công nghệ HUBT

          25.000 người dùng

          2010

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin Moodle Learning với Windows Live ID.

          Website: http://www.hubt.edu.vn

          Kiểu dự án: Lai ghép điện toán đám mây

          Khách hàng GIÁO DỤC QUỐC TẾ

          Thời gian

          Sản phẩm và dịch vụ cung cấp

          Australian International School – Vietnam

           

          1000 người dùng

          2012 đến nay

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin SharePoint 2010 với Windows Live ID và SSO.

          Website: http://www.aisvietnam.com

          Kiểu dự án: Lai ghép điện toán đám mây

          Kinder World Group

          2000 người dùng

          2010

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin Joomla với Windows Live ID và SSO.

          Website: http://kinderworld.net/

          Kiểu dự án: Lai ghép điện toán đám mây

          the International School Ho Chi Minh City (ISHCMC)

          3000 người dùng

          2011

          Triển khai dịch vụ hạ tầng Outlook Live, PowerShell đồng bộ dữ liệu người dùng.

          Triển khai Cổng thông tin Joomla với Windows Live ID và SSO.

          http://www.ishcmc.com/

          UnisHanoi

          1000 người dùng

          2012 đến nay

          Tư vấn giải pháp SharePoint, Exchange và triển khai Hạ dịch vụ quản lý hệ thống trọn gói

          http://portal.unishanoi.org

           

          ĐỐI TÁC CHIẾN LƯỢC CỦA NOVA DIGITAL

          Doanh nghiệp mạnh về cung cấp giải pháp, thiết bị, dịch vụ  và phần mềm CNTT

          image

          Microsoft Small Business Specialist

          Đối tác triển khai dịch vụ Office 365 cho Trường CĐ, ĐH và Doanh nghiệp

          Đối tác chuyên triển khai và đào tạo các giải pháp Cổng thông tin SharePoint, BizTalk, SQL, Lync và Office Online.

          image

          Solution Service IT Professional

          Đối tác chuyên triển khai giải pháp Ảo hoá vCenter & vCloud mạng Doanh nghiệp cho các Trường CĐ, ĐH và Doanh nghiệp.

          image

          Solution Service NAS Professional

          Đối tác chuyên triển khai giải pháp Lưu trữ mạng nội bộ và Điện toán đám mây NAS to LAN & vCloud cho các Trường CĐ, ĐH và Doanh nghiệp.

          image

           Service Provider SERVER & SAN Professional

          Đối tác chuyên triển khai giải pháp Máy chủ Server & SAN cho các Trường CĐ, ĐH và Doanh nghiệp.

           

          image

                    Đối tác tư vấn và triển khai hệ thống phần mềm giải pháp dịch vụ khai báo Hải quan “E-Manifest Vietnam Customs”.

                    Đối tác tư vấn và triển khai hệ thống Quản lý Nội dung số Truyền hình Viễn thông Viettel Media.

          image

                    Đối tác tư vấn và triển khai sản phẩm phần mềm Quản lý tài chính Khách hàng Doanh nghiệp ERP.

          image

                    Đối tác tư vấn và triển khai hệ thống Quản lý Nội dung số Truyền hình Tin tức VTC Media.

                    Đối tác tư vấn và triển khai hạ tầng ảo hoá trong Đào tạo CNTT VTC Labs Management.

          image

                    Đối tác tư vấn và triển khai hệ thống Quản lý dịch vụ Ảo hoá Điện toán đám mây vCloud CMC IDC HCMC.

           

          Doanh nghiệp tiên phong trong lĩnh vực Đào tạo CNTT

          image

          image

          1.      Viện Đào tạo Công nghệ và Quản trị Robusta

          2.      IPMAC.

          3.      IT Academic Thang Long.

          4.      NetPro IT Academic.

          5.      Trung tâm CNTT Đại học Kinh doanh và Công nghệ Hà nội.

          6.      Viện đào tạo CNTT & Viễn thông – Đại Học Mở Hà Nội.

          7.      Viện Đào tạo Công nghệ sau đại học – Đại Học Bách Khoa Hà nội.

          8.      Học viện CNTT – Kinh tế Quốc Dân.

          9.      Trường Cao đẳng Công nghiệp Huế.

          10.  Nhất Nghệ.

           

          Đối tác Hiệp hội Doanh nghiệp Thông tấn

          image

                    14 năm Đối tác tư vấn và triển khai hỗ trợ nâng cao năng lực CNTT tại Hiệp hội Doanh nghiệp thủy sản Việt Nam (VASEP)

          image

                    4 năm Đối tác tư vấn và triển khai xây dựng, đào tạo năng lực quản lý nghiệp vụ văn phòng tại Hiệp hội Chè Việt Nam (VITAS)

           

          image

                    14 năm làm Đối tác tư vấn và hỗ trợ kỹ thuật  CNTT tại Doanh nghiệp sản xuất và chế biến đồ Gỗ nội thất trực thuộc Hội Gỗ Việt Nam

          ĐỊNH HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI

          Chúng tôi cam kết

                    Chất lượng dịch vụ là kim chỉ nam cho mọi hoạt động của chúng tôi do đó chúng tôi luôn tập trung để thỏa mãn yêu cầu của khách hàng với tinh thần phục vụ tận tụy và sự hiểu biết sâu sắc về nhu cầu đề ra.

                    Cùng với đó chúng tôi không ngừng nâng cao năng lực công nghệ và cải tiến quy trình chất lượng nhằm cung cấp những sản phẩm và dịch vụ có chất lượng tốt nhất.

                    Chân thành, chủ động trong việc xây dựng quan hệ đối tác để cùng phát triển.

                    Đoàn kết nội bộ, nỗ lực phấn đấu vì một sự nghiệp Giáo dục tiến bộ.

                    Tái đầu tư xã hội thông qua các hoạt động Giáo dục cộng đồng.

          Chiến lược phát triển

                    Chúng tôi không ngừng đầu tư để đảm bảo luôn đi trước và đón đầu công nghệ tiên tiến dựa trên những đối tác chiến lược lâu năm.

                    Không ngừng mở rộng quan hệ đối tác tạo cơ hội phát triển lớn mạnh.

                    Xây dựng mạng lưới khách hàng sâu rộng và bền vững.

                    Đẩy mạnh công tác đào tạo, chuyển giao công nghệ với các hãng đối tác.

                    Xây dựng chiến lược nhân sự ổn định dựa trên triết lý nhân bản sâu sắc.

                    Hướng tới mục tiêu trở một trong những đơn vị tiên phong về cung cấp dịch vụ đào tạo và giải pháp công nghệ tại khu vực Châu Á Thái Bình Dương.