Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR:
2016 2019 Subscription Edition
Einführung
Die Standardauthentifizierung ist eine Methode der Clientauthentifizierung, die einen Benutzernamen und ein Kennwort für den Zugriff auf eine Ressource erfordert. Die Standardauthentifizierung kann jedoch ein Sicherheitsrisiko darstellen. Da viele unserer Kunden geschäftliche Entscheidungen treffen, um die Standardauthentifizierung in ihren Umgebungen zu beseitigen, stellen wir diese Dokumentation bereit, um diese Bemühungen im Zusammenhang mit Exchange Server zu unterstützen.
Wichtig
Das Deaktivieren von NTLM oder Negotiate (integrierte Windows-Authentifizierung, die NTLM und Kerberos enthält) für die virtuellen Exchange-Verzeichnisse wird nicht unterstützt. Wenn Sie verhindern möchten, dass Clients NTLM oder Kerberos beim Herstellen einer Verbindung mit Exchange Onprem verwenden, unterstützen und empfehlen wir die Verwendung von Authentifizierungsrichtlinien gemäß unserer Anleitung hier: Deaktivieren der Legacyauthentifizierung in Exchange Server 2019
In diesem Artikel erfahren Sie, wie Sie die Standardauthentifizierung für jedes virtuelle Verzeichnis deaktivieren, in dem sie standardmäßig auf einem Exchange Server aktiviert ist.
Wenn Sie zuvor die Standardauthentifizierung für andere als die in diesem Artikel aufgeführten virtuellen Verzeichnisse aktiviert haben, verwenden Sie die dokumentierten Schritte, um die vorgenommenen Änderungen rückgängig zu machen, oder verwenden Sie den Artikel Standardeinstellungen für Exchange Server virtuellen Verzeichnisse, um die Authentifizierungsmethode wieder auf die Standardeinstellungen festzulegen.
Voraussetzungen
Outlook im Web (OWA) und Exchange Admin Center (EAC) sollten beide mit derselben Authentifizierungsmethode konfiguriert werden.
Standardmäßig verwenden OWA und EAC Forms Based Authentication (FBA), die auf der Standardauthentifizierung basiert. Wenn Sie die Standardauthentifizierung für diese virtuellen Verzeichnisse deaktivieren möchten, kann FBA nicht verwendet werden, und es muss eine andere Authentifizierungsmethode konfiguriert werden.
Die Standardauthentifizierung ist die einzige Methode, die standardmäßig für das virtuelle Verzeichnis Microsoft-Server-ActiveSync aktiviert ist. Dieses Verzeichnis wird von mobilen Clients für die Exchange Active Sync-Konnektivität (EAS) verwendet. Sie müssen eine andere Methode konfigurieren, bevor Sie die Standardauthentifizierung für dieses virtuelle Verzeichnis deaktivieren. Erwägen Sie für diesen Zweck die moderne Hybridauthentifizierung mit Outlook Mobile oder zertifikatbasierte Authentifizierung.
Deaktivieren der Standardauthentifizierung für das virtuelle OWA-Verzeichnis
Das virtuelle OWA-Verzeichnis wird von Clients verwendet, die auf Outlook im Web (OWA) zugreifen, um eine Verbindung mit dem Exchange-Server herzustellen. OWA- und ECP-Authentifizierungsmethoden müssen auf dieselbe Konfiguration festgelegt werden.
Wichtig
Vor dem Deaktivieren der Standardauthentifizierung für OWA und ECP muss eine weitere Authentifizierungsmethode konfiguriert werden. Wenn Sie bereits eine andere Authentifizierungsmethode wie NTLM, Kerberos, ADFS oder zertifikatbasierte Authentifizierung für diese virtuellen Verzeichnisse konfiguriert haben, ist die Standardauthentifizierung wahrscheinlich bereits deaktiviert. Wenn dies nicht der Fall ist, helfen Ihnen die folgenden Anleitungen beim Deaktivieren der Standardauthentifizierung, wenn Sie keine FBA mehr benötigen und bereits eine andere Methode verwenden.
Führen Sie die folgenden Schritte aus, um die Standardauthentifizierung für das virtuelle OWA-Verzeichnis zu deaktivieren.
Aus exchange Admin Center (EAC)
Öffnen Sie das EAC, und navigieren Sie zu Virtuelle Serververzeichnisse>.
Wählen Sie im Dropdownmenü den Server aus, den Sie bearbeiten möchten.
Wählen Sie das virtuelle Verzeichnis OWA (Standardwebsite) aus, und klicken Sie auf Bearbeiten.
Wählen Sie Authentifizierung aus, deaktivieren Sie das Kontrollkästchen Standardauthentifizierung, und klicken Sie auf Speichern.
Verwenden Sie alternativ das Cmdlet Set-OwaVirtualDirectory in der Exchange-Verwaltungsshell.
Der folgende Befehl deaktiviert beispielsweise die Standardauthentifizierung im virtuellen OWA-Verzeichnis auf dem Server mit dem Namen EX01:
Set-OwaVirtualDirectory -Identity "EX01\owa (Default Web Site)" -BasicAuthentication $False
Deaktivieren der Standardauthentifizierung für das virtuelle ECP-Verzeichnis
Das virtuelle ECP-Verzeichnis wird von Clients verwendet, die auf Exchange Admin Center (EAC) zugreifen, um eine Verbindung mit dem Exchange-Server herzustellen. OWA- und ECP-Authentifizierungsmethoden müssen auf dieselbe Konfiguration festgelegt werden.
Wichtig
Vor dem Deaktivieren der Standardauthentifizierung für OWA und ECP muss eine weitere Authentifizierungsmethode konfiguriert werden. Wenn Sie bereits eine andere Authentifizierungsmethode wie NTLM, Kerberos oder ADFS oder zertifikatbasierte Authentifizierung für diese virtuellen Verzeichnisse konfiguriert haben, ist die Standardauthentifizierung wahrscheinlich bereits deaktiviert. Wenn dies nicht der Fall ist, helfen Ihnen die folgenden Anleitungen beim Deaktivieren der Standardauthentifizierung, wenn Sie keine FBA mehr benötigen und bereits eine andere Methode verwenden.
Führen Sie die folgenden Schritte aus, um die Standardauthentifizierung für das virtuelle ECP-Verzeichnis zu deaktivieren.
Aus exchange Admin Center (EAC)
Öffnen Sie das EAC, und navigieren Sie zu Virtuelle Serververzeichnisse>.
Wählen Sie im Dropdownmenü den Server aus, den Sie bearbeiten möchten.
Wählen Sie das virtuelle ECP-Verzeichnis (Standardwebsite) aus, und klicken Sie auf Bearbeiten.
Wählen Sie Authentifizierung aus, deaktivieren Sie das Kontrollkästchen Standardauthentifizierung, und klicken Sie auf Speichern.
Alternativ können Sie das Cmdlet Set-EcpVirtualDirectory in der Exchange-Verwaltungsshell verwenden.
Der folgende Befehl deaktiviert beispielsweise die Standardauthentifizierung im virtuellen ECP-Verzeichnis auf dem Server mit dem Namen EX01:
Set-EcpVirtualDirectory -Identity "EX01\ecp (Default Web Site)" -BasicAuthentication $False
Deaktivieren der Standardauthentifizierung für das virtuelle AutoErmittlungsverzeichnis
Das virtuelle AutoErmittlungsverzeichnis wird von Outlook und mobilen Geräten verwendet, um die Verbindungseinstellungen für den Exchange-Server automatisch zu konfigurieren.
Führen Sie die folgenden Schritte aus, um die Standardauthentifizierung für das virtuelle AutoErmittlungsverzeichnis zu deaktivieren.
Aus exchange Admin Center (EAC)
Öffnen Sie das EAC, und navigieren Sie zu Virtuelle Serververzeichnisse>.
Wählen Sie im Dropdownmenü den Server aus, den Sie bearbeiten möchten.
Wählen Sie das virtuelle Verzeichnis AutoErmittlung (Standardwebsite) aus, und klicken Sie auf Bearbeiten.
Wählen Sie Authentifizierung aus, deaktivieren Sie das Kontrollkästchen Standardauthentifizierung, und klicken Sie auf Speichern.
Alternativ können Sie das Cmdlet Set-AutodiscoverVirtualDirectory in der Exchange-Verwaltungsshell verwenden.
Der folgende Befehl deaktiviert beispielsweise die Standardauthentifizierung für das virtuelle AutoErmittlungsverzeichnis auf dem Server mit dem Namen EX01:
Set-AutodiscoverVirtualDirectory -Identity "EX01\Autodiscover (Default Web Site)" -BasicAuthentication $False
Deaktivieren der Standardauthentifizierung im virtuellen Verzeichnis Microsoft-Server-ActiveSync
Das virtuelle Verzeichnis Microsoft-Server-ActiveSync (Exchange Active Sync) wird von mobilen Clients verwendet, um eine Verbindung mit dem Exchange-Server herzustellen.
Wichtig
Sie müssen eine andere Methode wie die hybride moderne Authentifizierung (Hybrid Modern Authentication, HMA) oder die zertifikatbasierte Authentifizierung (Certificate Based Authentication, CBA) konfigurieren, bevor Sie die Standardauthentifizierung für dieses virtuelle Verzeichnis deaktivieren. Andernfalls können Clients keine Verbindung mit ActiveSync herstellen.
Führen Sie die folgenden Schritte aus, um die Standardauthentifizierung im virtuellen Verzeichnis Microsoft-Server-ActiveSync zu deaktivieren.
Aus exchange Admin Center (EAC)
Öffnen Sie das EAC, und navigieren Sie zu Virtuelle Serververzeichnisse>.
Wählen Sie im Dropdownmenü den Server aus, den Sie bearbeiten möchten.
Wählen Sie das virtuelle Verzeichnis Microsoft-Server-ActiveSync (Standardwebsite) aus, und klicken Sie auf Bearbeiten.
Wählen Sie Authentifizierung aus, deaktivieren Sie das Kontrollkästchen Standardauthentifizierung, und klicken Sie auf Speichern.
Alternativ können Sie das Cmdlet Set-ActiveSyncVirtualDirectory in der Exchange-Verwaltungsshell verwenden.
Der folgende Befehl deaktiviert beispielsweise die Standardauthentifizierung im virtuellen Verzeichnis Microsoft-Server-ActiveSync auf dem Server mit dem Namen EX01:
Set-ActiveSyncVirtualDirectory -Identity "EX01\ Microsoft-Server-ActiveSync (Default Web Site)" -BasicAuthentication $False
Deaktivieren der Standardauthentifizierung für das virtuelle RPC-Verzeichnis (Outlook Anywhere)
Das virtuelle Outlook Anywhere-Verzeichnis wird von Outlook-Clients verwendet, die das Legacyprotokoll RPC über HTTP verwenden, um eine Verbindung mit einem Exchange-Server herzustellen.
Führen Sie die folgenden Schritte aus, um die Standardauthentifizierung für das virtuelle Outlook Anywhere-Verzeichnis zu deaktivieren:
Wichtig
Nur die externe Authentifizierungsmethode kann mithilfe des EAC festgelegt werden, sodass dies nicht die empfohlene Methode ist.
Sie müssen das Cmdlet Set-OutlookAnywhere in der Exchange-Verwaltungsshell verwenden, um sowohl die interne als auch die externe Authentifizierungsmethode zu konfigurieren.
Da Outlook empfiehlt, sowohl interne als auch externe Authentifizierungsmethoden für die Outlook Anywhere-Konnektivität gleich festzulegen und Kerberos in der Regel nicht extern verwendet werden kann, empfiehlt es sich, den Parameter "DefaultAuthenticationMethod" zu verwenden und ihn auf NTLM festzulegen. Dadurch werden die vorhandenen Einstellungen ExternalClientAuthenticationMethod, InternalClientAuthenticationMethod und IISAuthenticationMethods gleichzeitig auf NTLM aktualisiert.
Die meisten Organisationen verwenden das Legacyprotokoll RPC über HTTP nicht mehr, und es wurde weitgehend durch MAPI über HTTP ersetzt, das jetzt das Standardprotokoll in modernen Versionen von Outlook ist. Wenn Sie in Ihrer Organisation weiterhin RPC über HTTP verwenden, aber nur über interne Verbindungen mit diesem Protokoll verfügen, ist Kerberos die empfohlene Authentifizierungsmethode, sofern verfügbar.
OAuth ist für RPC über HTTP nicht verfügbar.
Der folgende Befehl deaktiviert die Standardauthentifizierung im virtuellen Outlook Anywhere-Verzeichnis auf dem Server mit dem Namen EX01 und legt die Authentifizierungsmethode für interne und externe Verbindungen auf NTLM fest:
Set-OutlookAnywhere -Identity "EX01\Rpc (Default Web Site)" -DefaultAuthenticationMethod NTLM
Zusammenfassung
In diesem Artikel wurde beschrieben, wie Sie die Standardauthentifizierung für jedes relevante virtuelle Verzeichnis deaktivieren, in dem sie standardmäßig auf einem Exchange Server aktiviert ist. Indem Sie die Standardauthentifizierung deaktivieren, können Sie die Sicherheit Ihrer Exchange-Umgebung erhöhen.
Verwandte Artikel
Deaktivieren der Legacyauthentifizierung in Exchange Server 2019
Verwenden der modernen Hybridauthentifizierung mit Outlook für iOS und Android
Konfigurieren der zertifikatbasierten Authentifizierung in Exchange 2016
Verwenden der anspruchsbasierten AD FS-Authentifizierung mit Outlook im Web