Door gebruik te maken van ActiveSync of BlackBerry kun je gebruikers de mogelijkheid geven om hun mailbox inhoud te synchroniseren met hun mobiele device. Wanneer BYOD wordt geïntroduceerd wordt bij een bedrijf zal je in de meeste gevallen een explosie zien van het aantal ActiveSync/BlackBerries wat connectie maakt met je Exchange omgeving.
Voordat je het dus toestaat om BYOD mobiele devices toe te laten is het verstandig om van te voren wat onderzoek hiernaar te doen. Er zijn eigenlijk twee parameters waarop de toename van devices een effect zal hebben:
- IOPS
- Megacycles
IOPS
Laten we beginnen met te kijken naar de impact van mobiele devices op het benodigd aantal IOPS wat Exchange dient te leveren.
Zowel ActiveSync als Blackberry devices genereren extra IOPS per device. RIM heeft hiervoor een document gepubliceerd waarin men beschrijft wat de impact is op de IOPS, wat afhankelijk is van het mailbox profile.
| Email messages sent or received per mailbox per day | Estimated IOPS per BlackBerry device |
|
50 |
0.06 |
|
100 |
0.12 |
|
150 |
0.18 |
|
200 |
0.24 |
|
250 |
0.30 |
|
300 |
0.35 |
De bovenstaande nummers zijn van toepassing op een active mailbox copy (DAG) of een standalone mailbox copy. Het vreemde is echter dat wanneer je de HP Sizer for Microsoft Exchange Server 2010 gebruikt het aantal benodigde IOPS x 2 gedaan wordt i.p.v. de cijfers die RIM aanlevert. Het lijkt er dus op dat HP wat reserves heeft ingebouwd of de vorige cijfers uit een oude Performance Bench Guide van RIM heeft gebruikt. RIM heeft namelijk aardig wat optimalisaties doorgevoerd waardoor het aantal benodigde IOPS aanzienlijk is gedaald.
Ik heb gezocht naar een vergelijkbare tabel voor ActiveSync devices maar voor zover ik heb kunnen zoeken heeft Microsoft hier niks over gepubliceerd. Wanneer gekeken wordt naar de beschikbare sizing tools, bijvoorbeeld de HP Sizer for Microsoft Exchange Server 2010, zal je zien dat ook hier de IOPS met 2 worden vermenigvuldigt. De Exchange 2010 Mailbox Role Requirements calculator bevat helaas nog niet de optie zoals de HP Sizer. De tool van Microsoft bevat weleen optie om de vermenigvuldigingsfactor te specificeren die benodigd is om de IOPS te beïnvloeden.
Megacycles
Zoals al besproken is de tweede factor het aantal megacycles wat benodigd is. In het eerder genoemde document van RIM worden ook de benodigde megacycles per BlackBerry device beschreven.
| Email messages sent or received per mailbox per day | Estimated megacycles per BlackBerry device |
|
50 |
1.5 |
|
100 |
3.0 |
|
150 |
4.5 |
|
200 |
6.0 |
|
250 |
7.5 |
|
300 |
9.0 |
Zoals je kunt zien is het benodigd aantal megacycles afhankelijk van het aantal berichten wat wordt verzonden/ontvangen per dag. Vergeleken met de IOPS heeft het aantal megacycles dus een grotere impact. RIM vermeld overigens in de documentatie dat aangeraden wordt de sizing te hanteren van Microsoft omdat het geen grote invloed zou hebben op de CAS Servers. De documentatie waar RIM op doelt kun je terugvinden op deze pagina.
Microsoft heeft ook enkele tests uitgevoerd om de impact op het aantal megacycles te zien wanneer gebruikt wordt gemaakt van ActiveSync. In dit geval zijn er alleen testen uitgevoerd voor een specifiek user mailbox profile.
|
Client Access |
Hub Transport |
Mailbox |
|
|
CPU(MHz/user) |
1,60 |
0,22 |
1,25 |
Zoals te zien is in de tabel wordt onderscheid gemaakt tussen de diverse Exchange rollen. Wanneer je gebruik maakt van de Exchange 2010 Mailbox Role Requirements calculator dan zal je deze waarde moeten gebruiken. De waarde in de kolom Mailbox dient gebruikt te worden als megacycles multiplication factor. Hiermee kun je ervoor zorgen dat het aantal megacycles per mailbox met 1,25 verhoogd wordt.
Wat als gebruikers meerdere mobiele devices gebruiken?
Het antwoord hierop is eigenlijk redelijk gemakkelijk alhoewel het van te voren lastig zal zijn om in te schatten hoeveel gebruikers met meerdere devices tegelijk zullen gaan synchroniseren. Wanneer BYOD mobiele devices worden toegelaten is het namelijk niet uitgesloten dat gebruikers zowel hun mobiele telefoon als tablet gaan laten synchroniseren met Exchange. Maar het is niet gelimiteerd tot twee toestellen.
Throttling policy
Exchange 2010 laat maximaal 10 devices toe per gebruiker. Dus in het slechts geval kan een gebruiker 10 partnerships opzetten met devices richting de Exchange omgeving.
Een betere waarde om te gebruiken is misschien 3 of 4 devices per gebruiker. Maar wat als je het aantal devices per gebruiker wil limiteren?
Wanneer je dit wil limiteren zal je gebruik moeten maken van de throttling policy. Afhankelijk van de omgeving is het misschien noodzakelijk om meerdere throttling policies aan te maken. Bijvoorbeeld om het management wel toestemming te geven om meerdere ActiveSync devices te laten gebruiken.
Om de throttling policy aan te passen dien je gebruik te maken van de Exchange Management Shell (EMS). De output van Get-ThrottlingPolicy is onderstaand te zien:
Zoals je kunt zien is de EASMaxDevices de parameter die aangepast dient te worden om het maximaal aantal ActiveSync devices dat wordt toegestaan aan te passen.
Om dit aan te passen kun je het commando Set-ThrottlingPolicy gebruiken:
Set-ThrottlingPolicy Default* -EASMaxDevices 1
In bovenstaande voorbeeld stellen we het maximaal aantal ActiveSync devices in op één per gebruiker.
Quarantine nieuwe devices
Standaard worden alle devices die connectie maken naar Exchange via ActiveSync toegestaan. Uitgesloten zijn gebruikers die lid zijn van een protected group zoals administrators. Om dit te voorkomen kun je de configuratie aanpassen zodat devices in quarantaine worden geplaatst.
Door gebruik te maken van deze optie worden nieuwe devices in quarantaine geplaatst totdat een beheerder het device toestemming geeft om verbinding te maken.
Er zijn twee manieren om devices in quarantaine te plaatsen:
- Maak een regel aan per familie
- Pas de standaard aan
Regel aanmaken voor iedere familie:
De optie kan gevonden worden in het Exchange Control Panel (ECP) in de Phone & Voice sectie:
Scroll helemaal naar beneden op de ActiveSync Access pagina totdat je de kop Device Access Rules ziet en klik op New om een nieuwe regel aan te maken:
Door op de Browse knop te drukken kun je een familie en/of model selecteren en vervolgens de optie Quarantine – Let me decide to block or allow later selecteren.
Unknown devices
Het nadeel van de vorige optie is dat je per familie een regel aan moet maken en dus niet elk device voldoet aan de eisen van de regels. In dit geval zullen de standaard settings worden toegepast. Deze kunnen aangepast worden door op de Edit knop te drukken bovenaan de pagina:
Er zal nu een nieuw venster geopend worden waarin de volgende opties beschikbaar zijn:
- Wat is de standaard actie die genomen moet worden wanneer er een unknown device verbinding probeer te maken
- Welke gebruiker of distibutiegroep moet geïnformeerd worden dat er een unknown device in quarantaine is geplaatst
- Welke text moet verstuurd worden naar de gebruik die met een unknown device verbinding probeert te maken
En BlackBerry devices kunnen die ook gelimiteerd worden?
In de meeste organisaties is een BlackBerry Express/Enterprise server geïnstalleerd die verbonden is met Exchange. Omdat de BlackBerry zelf geen gebruik maakt van ActiveSync zullen dus niet de waarden van de parameter EASMaxDevices toegepast worden.
Een gebruiker zal een activatie password ontvangen wat nodig is om het device te activeren op de BES omgeving. Beheerders hebben de optie om te configureren hoelang dit activatie password geldig is. Omdat het activation password slechts eenmalig geldig is kunnen gebruikers het dus niet gebruiken om meerdere devices aan te melden. Wanneer een gebruiker dit toch wil zal de beheerder een nieuwe activatie code moeten geven aan de gebruiker
ActiveSync gebruik monitoren
Wanneer BYOD mobiele devices worden toegestaan is het misschien ook wel handig om dit te monitoren. Door gebruik te maken van de monitoring functionaliteiten wordt het mogelijk om te kijken welke devices synchroniseren met de Exchange omgeving.
Omdat de mobiele devices verbinding maken via HTTPS die door de CAS server geleverd worden wordt het meeste gelogt in de IIS logs.
Standaard wordt al het Exchange gerelateerde HTTP/HTTPS verkeer gelogd in dezelfde IIS log. Dit heeft als gevolg dat ActiveSync, EWS, OWA en Powershell verkeer wordt gelogd in hetzelfde IIS log .
De oorzaak hiervan zijn de default instellingen die slechts één log bestand per site aanmaken:
Omdat alle virtuele directories van Exchange worden aangemaakt in de default web site worden deze instellingen toegepast op alle virtuele directories. Het lezen van deze log bestanden is dan ook een beetje lastig alhoewel het niet geheel onmogelijk is.
Om alleen de ActiveSync gerelateerde dingen eruit te filter kun je gebruik maken van het commando Export-ActiveSyncLog, bijvoorbeeld:
Export-ActiveSyncLog –FileName “C:\Windows\System32\LogFiles\W2SVC1\ex12607.log” –UseGMT:$true –OutputPath “C:\ActiveSync Report“
Dit maakt een apart bestand aan met alleen de ActiveSync gerelateerde items. Het voorgaande voorbeeld zal maar één log bestand verwerken. Wanneer je meerdere log bestanden wil analyseren dien je dit als volgt te doen:
Get-ChildItem “C:\Windows\System32\LogFiles\W3SVC1″ | Export-ActiveSyncLog –UseGMT:$true –OutputPath “C:\Temp\EASReports“
Er zijn diverse scripts te vinden op internet te vinden die daarnaast ook additionele acties uitvoeren:
- Create Reports for ActiveSync and log it to a database, Ben Lye
- Exporting Exchange 2010 ActiveSync statistics for iOS devices, Steve Goodman
Hier eindigt het blog over de impact van BYOD mobiele devices op een Exchange omgeving. Meer informatie over de diverse cmdlets kan gevonden worden op de onderstaande sites:
Technet: Export-ActiveSyncLog open
Technet: Set-ThrottlingPolicy open
