In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Outlook Web Access und ISA Server

Werbung 
Outlook Web AccessSerververöffentlichung in
ISA Server 2004
Microsoft Internet Security &
Acceleration Server 2004
Einführung
Microsoft Internet Security & Acceleration (ISA) Server 2004 und Microsoft Outlook Web
Access arbeiten zusammen, um die Sicherheit von E-Mail-Nachrichten zu verbessern. In
diesem Dokument wird beschrieben, wie Outlook Web Access-Server mithilfe von
Mailserver-Veröffentlichungsregeln sicher veröffentlicht werden können. Grundlegende
Begriffe werden erklärt, und es werden ausführliche Anweisungen zum Konfigurieren von
Outlook Web Access-Lösungen bereitgestellt.
Outlook Web Access und ISA Server
Outlook Web Access ermöglicht über einen Webbrowser den Zugriff auf E-Mails, Zeitpläne
(inklusive Gruppenzeitpläne), Kontakte und gemeinsame Informationen, die sich in Ordnern
des Microsoft Exchange-Speichersystems befinden. Outlook Web Access wird von
Benutzern an Remotestandorten, zu Hause und an wechselnden Standorten verwendet.
Wenn Sie Outlook Web Access-Server über ISA Server veröffentlichen, schützen Sie den
Outlook Web Access-Server vor direktem externen Zugriff, da der Name und die IP-Adresse
des Outlook Web Access-Server für den Benutzer nicht zugänglich sind. Der Benutzer greift
auf den ISA Server-Computer zu, der die Anforderung dann gemäß den Bedingungen Ihrer
Mailserver-Veröffentlichungsregel an den Outlook Web Access-Server weiterleitet.
Darüber hinaus wird mit ISA Server die Konfiguration von formularbasierter
Authentifizierung und die Steuerung der Verfügbarkeit von E-Mail-Anlagen erleichtert.
Dadurch werden Firmenressourcen bei Zugriff über Outlook Web Access geschützt.
Die Veröffentlichungsfunktion von ISA Server Outlook Web Access ermöglicht auch das
Veröffentlichen von Outlook Mobile Access und Exchange ActiveSync. Mithilfe von
Outlook Mobile Access können Benutzer auch über mobile Geräte auf Outlook zugreifen.
Wenn Sie Exchange ActiveSync verwenden, können Sie hohe Sicherheitseinstellungen
direkt für Exchange-Postfächer übernehmen von Geräten, die Microsoft Windows®
Mobile™ verwenden, z. B. Pocket PC, Pocket PC Phone-Edition und Smartphone.
2 Outlook Web Access-Serververöffentlichung in ISA Server 2004
Formularbasierte Authentifizierung
Die formularbasierte Authentifizierung ist ein Typ der ASP.NET-basierten
Authentifizierung. Ein nicht authentifizierter Benutzer wird zu einem HTML-Formular
weitergeleitet. Nach der Eingabe der Anmeldeinformationen durch den Benutzer wird vom
System ein Cookie mit einem Ticket ausgestellt. Bei den folgenden Anforderungen überprüft
das System dieses Cookie, um festzustellen, ob der Benutzer bereits authentifiziert wurde
und somit seine Anmeldeinformationen nicht erneut eingeben muss.
Wichtig ist, dass keine Anmeldeinformationen auf dem Clientcomputer zwischengespeichert
werden. Dies ist insbesondere in Szenarien von Bedeutung, in denen Benutzer eine
Verbindung zum Outlook Web Access-Server von öffentlichen Computern aus herstellen,
auf denen die Zwischenspeicherung der Anmeldeinformationen von Benutzern unerwünscht
ist. Benutzer müssen sich erneut authentifizieren, wenn sie den Browser schließen, sich von
einer Sitzung abmelden oder zu einer anderen Website navigieren. Sie können auch ein
Zeitlimit für Leerlaufsitzungen konfigurieren, so dass sich ein Benutzer nach einer längeren
Zeitspanne ohne Aktivität erneut authentifizieren muss.
Es wird empfohlen, bei der Verwendung von formularbasierter Authentifizierung für die
gesamte Datenübertragung HTTPS zu verwenden, damit Angreifer nicht auf die Cookies
zugreifen können. Für Outlook Web Access-Serververöffentlichungen wird generell die
Verwendung von HTTPS empfohlen.
Das Verfahren zum Konfigurieren formularbasierter Authentifizierung wird in diesem
Dokument unter Sichern von Outlook Web Access durch den Listener beschrieben.
Anmerkung
ISA Server unterstützt die formularbasierte Authentifizierung für Exchange
Server 2003, Exchange 2000 Server und Exchange Server 5.5.
Outlook Web Access verfügt über eine optionale Funktion, die es Benutzern
ermöglicht, ihr Kennwort ändern können. Wenn ein Benutzer während einer
Outlook Web Access-Sitzung sein Kennwort ändert, wird das nach der ersten
Anmeldung des Benutzers erzeugte Cookie ungültig. Wenn die
formularbasierte Authentifizierung in ISA Server konfiguriert wurde und ein
Benutzer sein Kennwort in einer Outlook Web Access-Sitzung ändert, wird
diesem Benutzer bei der nächsten Anforderung die entsprechende
Anmeldeseite angezeigt.
Steuern der Verfügbarkeit von Anlagen
Da Outlook Web Access häufig von öffentlichen Computern verwendet wird, kann es
empfehlenswert sein, das Anzeigen und Speichern von Anlagen durch Benutzer zu
kontrollieren, damit firmeninterne Informationen nicht auf öffentlichen Computern
gespeichert oder zwischengespeichert werden. ISA Server enthält einen Mechanismus, mit
dem E-Mail-Anlagen für Benutzer von öffentlichen (gemeinsam verwendeten) Computern
oder für Benutzer von privaten Computern (oder für beide) gesperrt werden können. Dabei
sind Anlagen für den Benutzer sichtbar, sie können jedoch nicht geöffnet oder gespeichert
werden. Das Verfahren zum Sperren von E-Mail-Anlagen wird in diesem Dokument unter
Sichern von Outlook Web Access durch den Listener beschrieben.
Beachten Sie, dass einige Anlagen wie Windows Media®-Dateien und Excel-Tabellen von
einem Client über eine Remoteverbindung zum Outlook Web Access-Server nicht direkt
Szenarien 3
geöffnet werden können. Der Versuch, eine solche Anlage zu öffnen, führt zu einem Fehler
in der Anwendung, mit der die Datei geöffnet werden soll. Diese Dateien müssen lokal
gespeichert werden, bevor sie geöffnet werden können. Sie können dieses Problem umgehen,
indem Sie Exchange Server 2003 oder Exchange 2000 Server so konfigurieren, dass Anlagen
durch Benutzer immer gespeichert werden müssen. Diese Funktion ist in Exchange
Server 5.5 nicht verfügbar. Das Konfigurieren von Exchange zum Erzwingen des Speicherns
von Anlagen wird in diesem Dokument unter Erzwingen des Speicherns von Anlagen in
Exchange beschrieben.
Anmerkung
Exchange 2003 beinhaltet eine Funktion zum Sperren von Anlagen, die
einige Dateitypen sperrt, selbst wenn die Funktion deaktiviert ist.
Szenarien
Mit Internet Security & Acceleration Server 2004 (ISA) soll ein Outlook Web Access-Server
veröffentlicht werden, damit Benutzer von Privatcomputern und Internetcafés aus auf ihre EMail-Nachrichten zugreifen können. Zum Outlook Web Access-Server soll eine sichere
Verbindung hergestellt werden, und Anmeldeinformationen sowie geschützte Informationen
sollen nicht auf Clientcomputern zwischengespeichert werden.
Lösungen
Im beschriebenen Lösungsvorschlag wird der Outlook Web Access-Server mithilfe von
Internet Security & Acceleration Server 2004 (ISA) veröffentlicht, wobei eine MailserverVeröffentlichungsregel verwendet wird. Die Datenübertragung zwischen externen Clients
und dem ISA Server-Computer und zwischen ISA Server-Computer und dem Outlook Web
Access-Server wird unter Verwendung von SSL (Secure Sockets Layer) verschlüsselt. Die
formularbasierte Authentifizierung wird auf dem Weblistener, durch den Outlook Web
Access-Anforderungen abgehört werden, aktiviert. Die Verfügbarkeit von Anlagen kann
gesteuert werden.
Zum Veröffentlichen von Outlook Web Access in ISA Server sind die folgenden Schritte
auszuführen.
1.
Richten Sie den Outlook Web Access-Server ein.
2.
Installieren Sie die digitalen Zertifikate, die zur sicheren Veröffentlichung von Outlook
Web Access erforderlich sind.
3.
Erstellen Sie zur Veröffentlichung des Outlook Web Access-Servers eine MailserverVeröffentlichungsregel.
4.
Konfigurieren Sie die Zwischenspeicherung.
4 Outlook Web Access-Serververöffentlichung in ISA Server 2004
Anmerkung
Wenn Sie die formularbasierte Authentifizierung von ISA Server wie
empfohlen verwenden, werden vom Outlook Web Access-Server keine
Objekte zwischengespeichert. Um die Funktion zur Zwischenspeicherung in
ISA Server zu verwenden, kann eine Cacheregel zum Aktivieren der
Zwischenspeicherung für alle durch Outlook Web Access bedienten Bilder
erstellt werden. Aktivieren Sie keinesfalls die Zwischenspeicherung für
andere Objekte, da dies zum unerwarteten Abmelden von Benutzern führen
kann.
Wenn die formularbasierte Authentifizierung in ISA Server nicht verwendet
wird, werden bei aktivierter Zwischenspeicherung alle Outlook Web AccessObjekte zwischengespeichert. Dies kann zum unerwarteten Abmelden von
Benutzern führen. Um dieses Problem zu umgehen, muss eine Cacheregel
erstellt werden, die die Zwischenspeicherung von Outlook Web AccessObjekten mit Ausnahme von Bildern verhindert.
5.
Stellen Sie die Optionen für Outlook Web Access ein, beispielsweise formularbasierte
Authentifizierung und Sperren von Anlagen für öffentliche (gemeinsam genutzte) oder
private Computer.
Anmerkung
Ein Outlook Web Access-Server kann auch unter Verwendung einer
Serververöffentlichungsregel für das HTTPS-Protokoll veröffentlicht werden.
Diese Lösung zur Veröffentlichung von ISA Server Outlook Web Access wird
nicht empfohlen, da dabei der gesamte Server (und nicht ausschließlich die
für Outlook Web Access erforderlichen Ordner) veröffentlicht wird.
Serververöffentlichungsregeln ermöglichen nicht wie MailserverVeröffentlichungsregeln die Steuerung der Anforderungen zur
Benutzerauthentifizierung. Darüber hinaus bietet die Verwendung von
Mailserverregeln bei der Veröffentlichung eines Outlook Web Access-Servers
die durch den HTTP-Filter gewährleistete zusätzliche Sicherheit.
Informationen zu Serververöffentlichungsregeln und dem HTTP-Filter finden
Sie in der Hilfe zu ISA Server 2004.
Netzwerktopologie
Zur Anwendung dieser Lösung sind drei Computer erforderlich:

Ein Computer übernimmt die Funktion des Outlook Web Access-Servers im internen
Netzwerk. Auf dem Outlook Web Access-Server sollte Microsoft Windows
Server™ 2003 oder Windows® 2000 Server Service Pack 3 installiert sein.

Ein Computer ist der ISA Server 2000-Computer.

Ein Computer befindet sich im externen Netzwerk, um die Lösung zu testen.
Veröffentlichen des Outlook Web AccessServers – Kurzanleitung
Diese Anleitung umfasst die folgenden Vorgänge:

Sichern der aktuellen Konfiguration
Lösungen 5

Konfigurieren des Outlook Web Access-Servers

Konfigurieren des ISA Server-Computers

Sichern von Outlook Web Access durch den Listener

Speichern von Anlagen in Exchange

Testen der bereitgestellten Lösung

Anzeigen von Outlook Web Access-Sitzungsinformationen in den ISA ServerProtokollierungen
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 1: Sichern der aktuellen Konfiguration
Es wird empfohlen, die aktuelle Konfiguration zu sichern, bevor Änderungen ausgeführt
werden. Wenn die vorgenommenen Änderungen nicht zum gewünschten Ergebnis führen,
kann die ursprüngliche, abgesicherte Konfiguration wiederhergestellt werden. Folgen Sie den
Anweisungen, um die gesamte Konfiguration des ISA Server-Computers zu sichern.
1.
Erweitern Sie die Microsoft ISA Server-Verwaltung.
2.
Klicken Sie mit der rechten Mautaste auf den Namen des ISA Server-Computers, und
klicken Sie anschließend auf Sichern.
3.
Geben Sie unter Konfiguration sichern den Pfad und den Namen der Datei an, in der
die Konfiguration gespeichert werden soll. Zur einfacheren Identifizierung können Sie
das Datum des Exportvorgangs in den Dateinamen einbeziehen, wie beispielsweise
ExportSicherung2Juni2004.
4.
Klicken Sie auf Sichern. Da vertrauliche Informationen wie beispielsweise
Benutzerkennwörter exportiert werden, wird die Eingabe eines Kennworts gefordert.
Dieses muss erneut eingegeben werden, wenn die Konfiguration aus der Exportdatei
wiederhergestellt wird.
5.
Klicken Sie nach Abschluss des Exportvorgangs auf OK.
Anmerkung
Da die XML-Datei als Sicherungsdatei verwendet wird, sollte für den Fall
eines schwerwiegenden Fehlers eine Kopie auf einem anderen Computer
gespeichert werden.
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 2: Konfigurieren des Outlook Web AccessServers
Führen Sie die folgenden Schritte durch, um den Outlook Web Access-Server zu
konfigurieren.
Installieren eines digitalen Zertifikats auf dem Outlook Web Access-Server
Bereiten Sie ein digitales Zertifikat vor, und installieren Sie es wie im Dokument Digitale
Zertifikate für ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794) beschrieben
auf dem Outlook Web Access-Server.
6 Outlook Web Access-Serververöffentlichung in ISA Server 2004
Anmerkung
Bei der Konfiguration der Outlook Web Access-Veröffentlichung wird
empfohlen, für die Datenübertragung vom externen Client zum ISA ServerComputer und vom ISA Server-Computer zum Outlook Web Access-Server die
SSL-Verschlüsselung (HTTPS) zu verwenden. Der Grund dafür besteht darin,
dass die bei der Authentifizierung verwendeten Anmeldeinformationen
geschützt werden müssen und selbst im internen Netzwerk nicht einsehbar
sein dürfen. Sie müssen daher sowohl auf dem ISA Server-Computer als
auch auf dem Outlook Web Access-Server digitale Zertifikate installieren.
ISA Server unterstützt keine Outlook Web Access-Veröffentlichungsregeln,
die HTTP-Anforderungen von externen Clients an den Outlook Web AccessServer in HTTPS weiterleiten.
Zum Erstellen einer Veröffentlichungsregel, die HTTPS-Anforderungen vom
externen Client zum Outlook Web Access-Server in HTTP weiterleitet, darf die
Linkübersetzung nicht aktiviert sein.
Konfigurieren von IIS zur Unterstützung von SSL-verschlüsselter
Standardauthentifizierung:
1.
Öffnen Sie den Internetdienste-Manager oder die benutzerdefinierte Microsoft
Management Console (MMC), die das IIS-Snap-In (Internet Information Services)
enthält. Erweitern Sie den Serverknoten, dann den Knoten Standardwebsite, und
wählen Sie den virtuellen Pfad /Exchange aus. Klicken Sie anschließend auf
Eigenschaften.
2.
Klicken Sie unter Authentifizierung und Zugriffsteuerung auf die Registerkarte
Verzeichnissicherheit und dann auf Bearbeiten.
3.
Wählen Sie unter Authentifizierter Zugriff die Option Standardauthentifizierung
aus, und geben Sie die Domäne an, der gegenüber Benutzer authentifiziert werden
sollen. Deaktivieren Sie Integrierte Windows-Authentifizierung, wenn die Option
ausgewählt ist, da das bevorzugte Authentifizierungsschema die
Standardauthentifizierung ist.
4.
Klicken Sie auf OK. In einem Dialogfeld wird angezeigt, dass die Methode zur
Standardauthentifizierung nicht sicher ist. Da das Authentifizierungsprotokoll mit SSL
verschlüsselt wird, können Sie auf Ja klicken, um fortzufahren.
5.
Klicken Sie auf OK. Ein Dialogfeld kann angezeigt werden, das abfragt, wie die
Einstellungen zur Authentifizierung an untergeordnete Knoten auf der Standardseite
weitergeleitet werden sollen. Klicken Sie auf Alle auswählen und dann auf OK.
6.
Klicken Sie unter Sichere Kommunikation auf Bearbeiten, wählen Sie das
Kontrollkästchen Sicherer Kanal (SSL) ist erforderlich aus, und klicken Sie dann
zweimal auf OK.
7.
Wiederholen Sie die bisherigen Schritte von Schritt 3 an für den virtuellen Pfad /public.
8.
Wiederholen Sie die bisherigen Schritte von Schritt 3 an für den virtuellen Pfad
/exchweb, wählen Sie jedoch die Option Anonymen Zugriff aktivieren aus, und
deaktivieren Sie alle anderen Kontrollkästchen für authentifizierten Zugriff.
Lösungen 7
Wichtig
Exchange Server 2003 beinhaltet eine Option zum Aktivieren der
formularbasierten Authentifizierung. Wählen Sie diese Option nicht aus, da
sonst Konflikte mit ISA Server-Mailveröffentlichungsregeln auftreten. Die
formularbasierte Authentifizierung sollte auf dem ISA Server-Computer
konfiguriert werden.
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 3: Konfigurieren des ISA Server-Computers
Führen Sie die folgenden Schritte durch, um den ISA Server-Computer zu konfigurieren.
Installieren eines digitalen Zertifikats
Bereiten Sie ein digitales Zertifikat vor, und installieren Sie es wie im Dokument Digitale
Zertifikate für ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794) beschrieben
auf dem ISA Server-Computer.
Anmerkung
Bei der Konfiguration der Outlook Web Access-Veröffentlichung wird
empfohlen, für die Datenübertragung vom externen Client zum ISA ServerComputer und vom ISA Server-Computer zum Outlook Web Access-Server die
SSL-Verschlüsselung (HTTPS) zu verwenden. Sie müssen daher sowohl auf
dem ISA Server-Computer als auch auf dem Outlook Web Access-Server
digitale Zertifikate installieren.
Erstellen einer Mailserver-Veröffentlichungsregel
Erstellen Sie mithilfe des Assistenten für neue Mailserver-Veröffentlichungsregeln eine neue
Mailserver-Veröffentlichungsregel.
1.
Erweitern Sie die Microsoft ISA Server-Verwaltung, und klicken Sie auf
Firewallrichtlinie.
2.
Klicken Sie auf der Registerkarte Aufgaben im Aufgabenbereich Firewallrichtlinie auf
Mailserver veröffentlichen, um den Assistenten für neue
Mailserververöffentlichungsregeln zu starten.
3.
Geben Sie auf der Seite Willkommen des Assistenten einen Namen für die Regel ein,
und klicken Sie auf Weiter.
4.
Wählen Sie auf der Seite Zugriffstyp auswählen die Option Webbrowser: Outlook
Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync, und
klicken Sie anschließend auf Weiter.
5.
Wählen Sie auf der Seite Dienste auswählen die Option Outlook Web Access aus. Sie
können auch Outlook Mobile Access und Exchange ActiveSync auswählen. Diese
Dienste werden in diesem Dokument unter Outlook Web Access und ISA Server
beschrieben.
6.
Wählen Sie auf der Seite Bridgingmodus aus, welche Abschnitte des
Übertragungsweges durch digitale Zertifikate geschützt werden und deshalb das
HTTPS-Protokoll erfordern. Sie können wählen zwischen der Datenübertragung vom
8 Outlook Web Access-Serververöffentlichung in ISA Server 2004
Client zum ISA Server-Computer, der Datenübertragung vom ISA Server-Computer
zum Outlook Web Access-Server, beiden Kommunikationstypen oder keiner dieser
Möglichkeiten. Es wird empfohlen, dass Sie die Standardeinstellung Sichere
Verbindung mit Clients und Mailserver auswählen und dadurch beide Abschnitte des
Übertragungsweges mit digitalen Zertifikaten gesichert werden. Dafür ist das
Installieren eines digitalen Zertifikats auf dem Outlook Web Access-Server und dem
ISA Server-Computer erforderlich, wie im Dokument Digitale Zertifikate für ISA
Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20794) beschrieben.
7.
Geben Sie auf der Seite Webmailserver festlegen den Namen oder die IP-Adresse des
Outlook Web Access-Servers ein. Dieser Name muss dem für das digitale Zertifikat auf
dem Outlook Web Access-Server angegebenen entsprechen.
8.
Geben Sie auf der Seite Details des öffentlichen Namens Informationen dazu ein,
welche Anforderungen vom ISA Server-Computer empfangen und zum Outlook Web
Access-Server weitergeleitet werden. Wenn Sie unter Domänenname die Option Jeden
Domänennamen auswählen, wird jede Anforderung, die zur IP-Adresse des externen
Weblisteners auf dem ISA Server-Computer aufgelöst wird, an den Outlook Web
Access-Server weitergeleitet. Bei Auswahl von Diesen Domänenname und der Eingabe
eines bestimmten Domänennamens (z. B. mail.fabrikam.com) werden, wenn dieser
Domänenname zur IP-Adresse des externen Weblisteners auf dem ISA Server-Computer
aufgelöst wird, nur Anforderungen für https://mail.fabrikam.com an den Outlook Web
Access-Server weitergeleitet.
9.
Geben Sie auf der Seite Weblistener auswählen den Weblistener an, der den
Datenverkehr auf Anforderungen für Webseiten abhört, die an den Webserver
weitergeleitet werden sollen. Klicken Sie anschließend auf Weiter. Wenn Sie noch
keinen Weblistener definiert haben, klicken Sie auf Neu, und führen Sie die folgenden
Schritte durch, um einen neuen Listener zu erstellen.
a.
Geben Sie auf der Seite Willkommen im Assistenten für neue Weblistener den
Namen des neuen Listeners ein, beispielsweise Listener am externen Netzwerk
zum Veröffentlichen von Outlook Web Access, und klicken Sie dann auf Weiter.
b.
Wählen Sie auf der Seite IP-Adressen das Netzwerk aus, durch das
Webanforderungen abgehört werden. Da ISA Server Anforderungen aus dem
externen Netzwerk (Internet) empfangen soll, sollte der Listener eine oder zwei IPAdressen auf dem externen Netzwerkadapter von ISA Server beinhalten. Wählen
Sie dazu Extern aus, und klicken Sie anschließend auf Weiter.
c.
Deaktivieren Sie auf der Seite Portspezifizierung die Option HTTP aktivieren, da
empfohlen wird, nur SSL-Anforderungen abzuhören. Wählen Sie SSL aktivieren
aus. Wählen Sie SSL aus, stellen Sie sicher, dass der SSL-Port auf 443
(Standardeinstellung) eingestellt ist, und geben Sie in das Feld Zertifikat den
Namen des Zertifikats ein. Weitere Informationen zu SSL finden Sie unter Digitale
Zertifikate für ISA Server2004 (http://go.microsoft.com/fwlink/?LinkId=20794).
Klicken Sie auf Weiter.
Wichtig
Für eine sichere Veröffentlichung von Outlook Web Access wird empfohlen,
nur SSL-Anforderungen abzuhören.
Verwenden Sie nur die der Standardeinstellung entsprechenden
Standardportnummern, um Outlook Web Access zu veröffentlichen.
Lösungen 9
d.
Auf der Seite Fertigstellen des Assistenten werden die vorgenommenen
Einstellungen erneut angezeigt, überprüfen Sie diese, und klicken Sie auf Fertig
stellen.
10. Klicken Sie auf der Seite Weblistener auswählen auf Weiter.
Anmerkung
Aus Sicherheitsgründen sollte erwogen werden, die formularbasierte
Authentifizierung zu verwenden und den Zugriff auf Anlagen von öffentlichen
Computern aus einzuschränken. Diese Funktionen sind Bestandteil des in
der Mailserververöffentlichungsregel verwendeten Listeners und werden
nicht mithilfe des Assistenten für neue Weblistener konfiguriert. Weitere
Informationen finden Sie in diesem Dokument unter Sichern von Outlook
Web Access durch den Listener.
11. Auf der Seite Benutzersätze wird die Standardeinstellung Alle Benutzer angezeigt.
Damit wird für jeden im externen Netzwerk authentifizierten Benutzer der Zugriff auf
den Outlook Web Access-Server zugelassen. Um den Zugriff auf bestimmte Benutzer
einzuschränken, entfernen Sie über die Schaltfläche Entfernen die Option Alle
Benutzer. Zeigen Sie über die Schaltfläche Hinzufügen das Dialogfeld Benutzer
hinzufügen an, und wählen Sie darin den Benutzersatz aus, auf den die Regel
angewendet werden soll. Im Dialogfeld Benutzer hinzufügen kann über das
Menüelement Neu auf den Assistenten für neue Benutzersätze zugegriffen werden.
Klicken Sie nach abgeschlossener Auswahl des Benutzersatzes auf Weiter.
12. Gehen Sie auf der Seite Fertigstellen des Assistenten für neue MailserverVeröffentlichungsregeln die konfigurierte Regel noch einmal durch, und überprüfen
Sie, ob diese korrekt ist. Klicken Sie anschließend auf Fertig stellen.
13. Klicken Sie im Detailbereich von ISA Server auf Übernehmen, um die
vorgenommenen Änderungen zu übernehmen. Das Übernehmen der Änderungen kann
einige Sekunden in Anspruch nehmen.
Erstellen einer Cacheregel
Wenn Sie die formularbasierte Authentifizierung von ISA Server wie empfohlen verwenden,
werden vom Outlook Web Access-Server keine Objekte zwischengespeichert. Um die
Funktion zur Zwischenspeicherung in ISA Server zu verwenden, kann eine Cacheregel zum
Aktivieren der Zwischenspeicherung für alle durch Outlook Web Access bedienten Bilder
erstellt werden. Aktivieren Sie keinesfalls die Zwischenspeicherung für andere Objekte, da
dies zum unerwarteten Abmelden von Benutzern führen kann. Die Cacheregel muss folgende
Eigenschaften aufweisen:

Cacheregelziel. Ein URL-Satz, der nur http://namedesowaservers/exchweb/img/*
enthält

Inhaltsabruf. Nur wenn eine gültige Version des Objekts im Cache vorhanden ist

Cacheinhalt. Wenn Quell- und Anforderungsheader Zwischenspeichern indizieren
und Inhalt, der Benutzerauthentifizierung für Abruf erfordert

Alle anderen Eigenschaften können in der ursprünglichen Standardeinstellung belassen
werden.
Wenn die formularbasierte Authentifizierung in ISA Server nicht verwendet wird, werden
bei aktivierter Zwischenspeicherung alle Outlook Web Access-Objekte zwischengespeichert.
Dies kann zum unerwarteten Abmelden von Benutzern führen. Um dieses Problem zu
10 Outlook Web Access-Serververöffentlichung in ISA Server 2004
umgehen, muss eine Cacheregel erstellt werden, die die Zwischenspeicherung von Outlook
Web Access-Objekten mit Ausnahme von Bildern verhindert. Die Cacheregel muss folgende
Eigenschaften aufweisen:

Cacheregelziel. Ein URL-Satz, der http://namedesowaservers/exchweb/* enthält
Öffnen Sie nach dem Erstellen der Regel mithilfe des Assistenten für neue Cacheregel
die Eigenschaften der Regel. Fügen Sie auf der Registerkarte Nach die Option
http://namedesowaservers/exchweb/img/* zu den Ausnahmen hinzu. Dadurch wird
Zwischenspeicherung für den IMG-Pfad (Bild) zugelassen.

Inhaltsabruf. Nur wenn eine gültige Version des Objekts im Cache vorhanden ist

Cacheinhalt. Niemals, kein Inhalt wird zwischengespeichert
So erstellen Sie eine Cacheregel
1.
Erweitern Sie zuerst die Microsoft ISA Server-Verwaltung, anschließend
Konfiguration, und klicken Sie dann auf Cache.
2.
Wählen Sie im Aufgabenbereich auf der Registerkarte Aufgaben die Option
Cacheregel erstellen aus, um den Assistenten für neue Cacheregel zu starten.
3.
Geben Sie auf der Seite Willkommen des Assistenten einen Namen für die Regel ein,
und klicken Sie auf Weiter.
4.
Klicken Sie auf der Seite Cacheregelziel auf Hinzufügen, um das Dialogfeld
Netzwerkidentitäten hinzufügen zu öffnen. Wählen Sie die entsprechende
Netzwerkidentität aus, klicken Sie auf Hinzufügen und dann auf Schließen. Klicken Sie
auf der Seite Zugriffsregelziele auf Weiter.
5.
Lassen Sie auf der Seite Inhaltsabruf die Standardauswahl Nur wenn eine gültige
Version des Objekts im Cache vorhanden ist unverändert, und klicken Sie auf
Weiter.
6.
Wählen Sie auf der Seite Cacheinhalt die oben in diesem Thema bereits beschriebenen
Optionen aus.
7.
Auf den verbleibenden Seiten des Assistenten können Sie die Standardeinstellungen
unverändert übernehmen. Informationen zu Eigenschaften von Cacheregeln finden Sie
in der Hilfe zu diesem Produkt. Überprüfen Sie die Informationen auf der
Zusammenfassungsseite des Assistenten, und klicken Sie dann auf Fertig stellen.
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 4: Sichern von Outlook Web Access durch den
Listener
Der Listener, der die Outlook Web Access-Serveranforderungen abhört (erstellt in Schritt 3),
verfügt über folgende wichtige Funktionen zum Schutz des Outlook Web Access-Servers:

Formularbasierte Authentifizierung, in diesem Dokument unter Fehler! Verweisquelle
konnte nicht gefunden werden. beschrieben.

Steuern der Verfügbarkeit von Anlagen, in diesem Dokument unter Steuern der
Verfügbarkeit von Anlagen beschrieben.
Diese Funktionen können nicht mithilfe des Assistenten für neue Weblistener konfiguriert
werden. Nach dem Erstellen eines neuen Weblisteners mithilfe des Assistenten für neue
Lösungen 11
Weblistener führen Sie die folgenden Schritte durch, um für den Listener formularbasierte
Authentifizierung und die Einschränkung der Verfügbarkeit von Anlagen zu konfigurieren.
1.
Wählen Sie in der ISA Server-Verwaltung den Knoten Firewallrichtlinie aus. Wählen
Sie im Aufgabenbereich die Registerkarte Toolbox und den Header Netzwerkobjekte
aus.
2.
Erweitern Sie im Header Netzwerkobjekte die Option Weblistener. Doppelklicken Sie
auf den Weblistener, der für Outlook Web Access-Veröffentlichungen erstellt wurde.
3.
Klicken Sie auf der Registerkarte Einstellungen unter Zugelassene
Authentifizierungsmethoden konfigurieren auf Authentifizierung.
4.
Deaktivieren Sie alle ausgewählten Authentifizierungsmethoden in der Liste (die
Standardeinstellung ist Integriert), und wählen Sie dann die Option Formularbasierte
Authentifizierung für OWA aus. Dadurch wird für den Outlook Web AccessWeblistener und für die Mailserver-Veröffentlichungsregel, die diesen Listener
verwendet, die formularbasierte Authentifizierung eingerichtet. Mit den folgenden
verbleibenden Schritten können ein Zeitlimit für Leerlaufsitzung und
Anlagensteuerungsoptionen konfiguriert werden.
5.
Klicken Sie unter Formularbasierte OWA-Authentifizierung konfigurieren auf
Konfigurieren, um das Outlook Web Access-Dialogfeld Formularbasierte
Authentifizierung zu öffnen.
6.
Geben Sie unter Zeitlimit für Leerlaufsitzung die Zeitspanne ein, während der eine
Clientverbindung maximal inaktiv sein kann, bevor sie getrennt wird. Normalerweise
wird für Clients auf öffentlichen Computern ein geringeres Zeitlimit eingestellt als für
Clients auf privaten Computern. Dadurch wird das Risiko verringert, dass eine andere
Person auf ein E-Mail-Konto zugreift, nachdem ein Benutzer einen öffentlichen
Computer verlassen hat, ohne sich abzumelden. Beachten Sie, dass es sich dabei um eine
globale Einstellung für alle Weblistener handelt.
7.
Unter E-Mail-Anlagen können Sie auswählen, ob E-Mail-Anlagen für öffentliche und
private Computer gesperrt werden sollen.
8.
Sie können die Option Von OWA abmelden wenn der Benutzer von der OWA-Site
wechselt auswählen, wenn Benutzer automatisch abgemeldet werden sollen, wenn das
Internet Explorer-Fenster geschlossen, das Fenster aktualisiert oder auf eine andere Seite
gewechselt wird.
9.
Klicken Sie auf OK, um die Weblistenereigenschaften zu schließen. Klicken Sie im
Detailbereich der Firewallrichtlinie auf Übernehmen, um die vorgenommenen
Änderungen zu übernehmen.
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 5: Erzwingen des Speicherns von Anlagen in
Exchange
Über Outlook Web Access empfangene Anlagen können vollständig gesperrt werden, so
dass sie vom Benutzer weder geöffnet noch gespeichert werden können. Das Verfahren zum
Sperren von E-Mail-Anlagen wird in diesem Dokument unter Sichern von Outlook Web
Access durch den Listener beschrieben.
Beachten Sie, dass einige Anlagen wie Windows Media-Dateien und Excel-Tabellen von
einem Benutzer über eine Remoteverbindung zum Outlook Web Access-Server nicht direkt
12 Outlook Web Access-Serververöffentlichung in ISA Server 2004
geöffnet werden können. Der Versuch, eine solche Anlage zu öffnen, führt zu einem Fehler
in der Anwendung, mit der die Datei geöffnet werden soll. Diese Dateien müssen lokal
gespeichert werden, bevor sie geöffnet werden können. Sie können dieses Problem umgehen,
indem Sie Exchange Server 2003 oder Exchange 2000 Server so konfigurieren, dass Anlagen
durch Benutzer immer gespeichert werden müssen. Diese Funktion ist in Exchange
Server 5.5 nicht verfügbar.
Um das Speichern von Anlagen zu erzwingen, konfigurieren Sie auf dem Exchange ServerComputer den folgenden Registrierungsschlüssel:
HKLM\SYSTEM\CurrentControlSet\Services\MSExchangeWEB\OWA\Level2FileTyp
es
Als Wert dieses Registrierungsschlüssels wird eine Gruppe von Dateierweiterungen
angegeben, die als Anlagen potenziell gefährlich sind. Anlagen mit Dateierweiterungen
dieses Typs werden nicht automatisch geöffnet. Stattdessen wird der Benutzer aufgefordert,
die Anlage auf dem lokalen Computer zu speichern.
Anmerkung
In Exchange Server 5.5 kann das erforderliche Speichern von Anlagen nicht
konfiguriert werden.
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 6: Testen der bereitgestellten Lösung
Nach Beendigung der Konfiguration sollten die konfigurierten Funktionen getestet werden.
Testen von Outlook Web Access
Ein externer Client kann unter der Bedingung auf den Outlook Web Access-Server
zugreifen, dass ein vollqualifizierter Domänenname zur externen IP-Adresse des ISA ServerComputers aufgelöst werden kann. Das wird normalerweise erreicht, indem ein öffentlicher
Internetdomänenname auf einem öffentlichen DNS-Server registriert wird, der den Namen
der Website der externen IP-Adresse von ISA Server zuweist. Zum Testen der Bereitstellung
in einer Laborumgebung können Sie die Informationen zur Auflösung des WebsiteHostnamens unter Verwendung von Notepad in die Datei Hosts eingeben. Sie befindet sich
im Windows-Installationsverzeichnis: \system32\drivers\etc\hosts.
Geben Sie zur Herstellung einer Verbindung vom externen Client zur Outlook Web AccessSite die Webadresse ein, beispielsweise https://mail.fabrikam.com/exchange. Stellen Sie
sicher, dass Sie wie im Beispiel https im URL verwenden.
Bei der Verbindungsherstellung sollte eine Anmeldeseite angezeigt werden, auf der
Anmeldeinformationen und der Sitzungstyp (privat oder öffentlich) anzugeben sind. Diese
Informationen müssen eingegeben werden, bevor auf das Postfach zugegriffen werden kann.
Wenn Sie Zeitlimits oder das Sperren von Anlagen konfiguriert haben, können Sie diese
Funktionen testen, indem Sie den Browser für eine bestimmte Zeit inaktiv lassen und
anschließend versuchen, auf E-Mails zuzugreifen und Anlagen zu öffnen oder zu speichern.
Lösungen 13
Testen von Outlook Mobile Access
Stellen Sie von einem Computer mit Internetzugriff unter Verwendung von Internet Explorer
eine Verbindung zu Ihrer Outlook Mobile Access-DNS-Adresse her. Stellen Sie sicher, dass
Outlook Mobile Access richtig funktioniert.
Anmerkung
Obwohl Internet Explorer von Outlook Mobile Access nicht als Client
unterstützt wird, sollte getestet werden, ob eine Kommunikation mit dem
Exchange-Front-End-Server möglich ist.
Überprüfen Sie nach der erfolgreichen Verbindungsherstellung zum Exchange-Server mit
Outlook Mobile Access, ob Sie von einem unterstützten mobilen Gerät mit
Internetkonnektivität aus eine Verbindung zum Exchange-Server herstellen können.
Testen von Exchange ActiveSync
Konfigurieren Sie ein mobiles Gerät zur Verbindungsherstellung zum Exchange-Server unter
Verwendung von Exchange ActiveSync. Stellen Sie sicher, dass ISA Server und Exchange
ActiveSync richtig funktionieren.
Anmerkung
Sie können Exchange ActiveSync auch unter Verwendung von Internet
Explorer testen. Öffnen Sie Internet Explorer, und geben Sie in Adresse den
URL https://published_server_name/Microsoft-Server-Activesync ein, wobei
veröffentlichter_Servername der Name des Outlook Web Access-Servers ist
(der Name, über den ein Benutzer auf Outlook Web Access zugreift). Wenn
Sie nach der Authentifizierung die Meldung Fehler 501/505 – Nicht
implementiert oder nicht unterstützt erhalten, funktionieren ISA Server und
Exchange ActiveSync richtig.
Kurzanleitung zum Veröffentlichen des Outlook Web AccessServers – Schritt 7: Anzeigen von Outlook Web AccessSitzungsinformationen in ISA Server-Protokollierungen
ISA Server protokolliert Anforderungen, die mit der Mailserver-Veröffentlichungsregel
übereinstimmen, wenn in den Eigenschaften der Regeln auf der Registerkarte Aktion die
Option Anforderungen protokollieren, die mit dieser Regel übereinstimmen ausgewählt
ist (entspricht der Standardeinstellung).
Überprüfen der Protokollierungseigenschaft der Regel
1.
Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option
Firewallrichtlinie aus.
2.
Doppelklicken Sie im Detailbereich auf die Mailserver-Veröffentlichungsregel, um das
Dialogfeld mit deren Eigenschaften zu öffnen.
3.
Wählen Sie die Registerkarte Aktion aus, und stellen Sie sicher, dass die Option
Anforderungen protokollieren, die mit dieser Regel übereinstimmen ausgewählt ist.
4.
Klicken Sie zum Schließen des Dialogfelds auf OK.
Anzeigen der protokollierten Informationen
14 Outlook Web Access-Serververöffentlichung in ISA Server 2004
1.
Wählen Sie in der Konsolenstruktur der Microsoft ISA Server-Verwaltung die Option
Überwachung aus.
2.
Wählen Sie im Detailbereich Überwachung die Option Protokollierung aus.
3.
Erstellen Sie einen Filter, um nur Protokollierungsinformationen zu Zugriffsversuchen
auf Outlook Web Access zu empfangen. Klicken Sie im Aufgabenbereich auf der
Registerkarte Aufgaben auf Filter bearbeiten, um das Dialogfeld Filter bearbeiten zu
öffnen. Drei Standardbedingungen des Filters bestimmen, dass die Protokollierungszeit
Aktuell ist, dass Protokollierungsinformationen vom Firewall und vom Webproxy
bereitgestellt werden und dass der Verbindungsstatus nicht angezeigt wird. Diese
Einstellungen können bearbeitet werden. Mit zusätzlichen Bedingungen können die auf
die Abfrage erhaltenen Informationen zusätzlich eingeschränkt werden.
4.
Wählen Sie Protokollierungszeit aus. Wählen Sie im Dropdownmenü Bedingung die
Option Letzte 24 Stunden aus, und klicken Sie dann auf Aktualisieren.
5.
Wählen Sie Protokolldatensatztyp aus. Wählen Sie im Dropdownmenü Wert die
Option Firewall aus, und klicken Sie dann auf Aktualisieren.
6.
Klicken Sie im Aufgabenbereich auf der Registerkarte Aufgaben auf Filter bearbeiten,
um das Dialogfeld Filter bearbeiten zu öffnen. Fügen Sie weitere Ausdrücke hinzu,
indem Sie ein Element in der Dropdownliste Filtern nach auswählen und anschließend
eine Bedingung und einen Wert bestimmen. Um beispielsweise die angezeigten
Protokollierungsinformationen auf den Zugriff auf veröffentlichte Webserver
einzuschränken, können Sie unter Filtern nach folgende Ausrücke hinzufügen:
Protokolldatensatztyp, Bedingung: Gleich, Wert: Webproxyfilter und Filtern nach:
Dienst, Bedingung: Gleich, Wert: Reverseproxy. Dadurch wird die Protokollierung auf
Elemente eingeschränkt, die mit Webveröffentlichungsregeln übereinstimmen
(einschließlich der Outlook Web Access-Veröffentlichungsregel).
7.
Nach der Erstellung eines Ausdrucks klicken Sie auf Zur Liste hinzufügen, um ihn zur
Abfragenliste hinzuzufügen. Klicken Sie dann auf Abfrage starten, um die Abfrage
durchzuführen. Der Befehl Abfrage starten ist auch im Aufgabenbereich auf der
Registerkarte Aufgaben verfügbar.
Verweise
Informationen zur Bereitstellung von Outlook Web Access in Exchange Server 2003 finden
Sie im Bereitstellungshandbuch für Exchange Server 2003, zum Download verfügbar unter
http://go.microsoft.com/fwlink/?LinkId=20338.
Informationen zur Bereitstellung von Outlook Web Access in Exchange 2000 Server finden
Sie in Outlook Web Access in Exchange 2000 Server, zum Download verfügbar unter
http://go.microsoft.com/fwlink/?LinkId=20339, und in Anpassen von Microsoft Outlook Web
Access, zum Download verfügbar unter http://go.microsoft.com/fwlink/?LinkId=20340.
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, EMail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit
mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen,
Logos, Personen, Orten und Ereignissen ist rein zufällig.
Verweise 15
Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und
Verweise auf andere Internetwebsites, können ohne vorherige Ankündigung geändert
werden. Die in den Beispielen verwendeten Firmen, sonstigen Namen und Daten sind frei
erfunden, soweit nichts Anderes angegeben ist. Die Benutzer sind verpflichtet, sich an alle
anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der
entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der
Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt
oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig
davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch
Fotokopieren, Aufzeichnen usw.) dies geschieht.
Microsoft Corporation kann Besitzer von Patenten oder Patentanträgen, Marken,
Urheberrechten oder anderen Rechten an geistigem Eigentum sein, die den Inhalt dieses
Dokuments betreffen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch
auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn,
dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
© 2004
Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory, Outlook, Windows, Windows Media und Windows NT sind
entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA
und/oder anderen Ländern.
Haben Sie Fragen oder Anmerkungen zu diesem Dokument? Senden Sie Feedback.
Zugehörige Unterlagen
e-Archiv - hss daa Systemberatung
e-Archiv - hss daa Systemberatung
HOSTED EXCHANGE BEI CYBITE WEITERE OPTIONEN IN EUR
HOSTED EXCHANGE BEI CYBITE WEITERE OPTIONEN IN EUR
Sun Java System Connector für Microsoft Outlook
Sun Java System Connector für Microsoft Outlook
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Winjur, Fehlermeldung Fehler bei der Anmeldung für den Benutzer
Office-Tips - Markus Wagensohn
Office-Tips - Markus Wagensohn
presentation
presentation
Manuelle Sicherung mit SQL Server 2005_2008
Manuelle Sicherung mit SQL Server 2005_2008
de_NI_ATO - National Instruments
de_NI_ATO - National Instruments
Vereinfachen Sie Ihre Terminplanung Gewinnen Sie Zeit So
Vereinfachen Sie Ihre Terminplanung Gewinnen Sie Zeit So
Anleitung für die automatische Datensicherung der
Anleitung für die automatische Datensicherung der
Übungsbeispiel Internet Grundlagen
Übungsbeispiel Internet Grundlagen
Installation BSInkasso bei Microsoft SQL
Installation BSInkasso bei Microsoft SQL
Herunterladen
Werbung