Freigeben über


Konfigurieren der ActiveSync-Veröffentlichung

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

Mit Exchange ActiveSync können Benutzer mit einem hohen Maß an Sicherheit auf ihre Exchange-Postfächer über Geräte zugreifen, die auf Microsoft Windows Mobile® basieren, z. B. Windows Mobile 2003-Software für Pocket PC, einschließlich Pocket PC Phone Edition und Windows Mobile 2003-Software für Smartphone. Die Benutzer können dann ihre E-Mail-Nachrichten, Termine, Kontaktinformationen und Aufgaben in ihren Postfächern synchronisieren und sämtliche dieser Informationen verwenden, wenn das mobile Gerät offline ist.

Wenn Sie Exchange Server 2007 oder Exchange Server 2010 verwenden, können Sie mit einer auf Clientzertifikaten basierenden Authentifizierung eine ActiveSync-Verbindung authentifizieren. Forefront TMG unterstützt die eingeschränkte Kerberos-Delegierung, durch die Forefront TMG eine Clientverbindung mit einem Clientzertifikat authentifizieren und ein Kerberos-Ticket abrufen kann. Dieses Ticket kann dem veröffentlichten Webserver präsentiert werden, der das Kerberos-Ticket anstelle von Clientanmeldeinformationen akzeptiert.

So konfigurieren Sie die ActiveSync-Veröffentlichung

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Bereich Aufgaben auf die Registerkarte Toolbox.

  3. Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte, klicken Sie anschließend auf Neu, und wählen Sie dann Weblistener aus, um den Assistenten für neue Weblistener zu öffnen.

  4. Führen Sie die Arbeitsschritte des Assistenten für neue Weblistener aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Weblistenername

    Geben Sie einen Namen für den Weblistener ein. Geben Sie beispielsweise ActiveSync-Listener ein.

    Sicherheit der Clientverbindung

    Wählen Sie Sichere SSL-Verbindungen mit Clients erforderlich aus.

    Weblistener-IP-Adressen

    In diesen Netzwerken auf eingehende Webanforderungen achten

    Wählen Sie das Netzwerk Extern aus. Klicken Sie auf IP-Adressen auswählen, und aktivieren Sie dann die Option Angegebenen IP-Adressen auf dem Forefront TMG-Computer im ausgewählten Netzwerk. Wählen Sie unter Verfügbare IP-Adressen die IP-Adresse für die Website aus, klicken Sie dann auf Hinzufügen und anschließend auf OK.

              </p>
            </td>
          </tr>
          <tr>
            <td colspan="2">
              <p>
                <strong>Listener-SSL-Zertifikate</strong>
              </p>
            </td>
            <td colspan="1">
              <p />
              <p>
    
              </p>
            </td>
            <td colspan="2">
              <p>Wählen Sie <strong>Ein einziges Zertifikat für diesen Weblistener verwenden</strong> aus, klicken Sie auf <strong>Zertifikat auswählen</strong>, und wählen Sie dann ein Zertifikat aus, für das der Hostname, den Benutzer für den Zugriff auf die veröffentlichte Website verwenden, im Feld <strong>Ausgestellt für</strong> angezeigt wird.</p>
            </td>
          </tr>
          <tr>
            <td colspan="2">
              <p>
                <strong>Authentifizierungseinstellungen</strong>
              </p>
            </td>
            <td colspan="1">
              <p>
                <strong>Legen Sie fest, wie die Clients die Anmeldeinformationen an Forefront TMG übermitteln sollen</strong>
              </p>
            </td>
            <td colspan="2">
              <p>Wählen Sie in der Dropdownliste die Option <strong>HTML-Formularauthentifizierung</strong> aus. Wenn Sie die eingeschränkte Kerberos-Delegierung verwenden möchten, aktivieren Sie die Option <strong>SSL-Clientzertifikatsauthentifizierung</strong>.</p>
            </td>
          </tr>
          <tr>
            <td colspan="2">
              <p />
            </td>
            <td colspan="1">
              <p>
                <strong>Weitere delegierte Benutzeranmeldeinformationen im Formular erfassen</strong>
              </p>
            </td>
            <td colspan="2">
              <p>Lassen Sie dieses Kontrollkästchen deaktiviert.</p>
            </td>
          </tr>
          <tr>
            <td colspan="2">
              <p />
            </td>
            <td colspan="1">
              <p>
                <strong>Legen Sie fest, wie Forefront TMG die Client-Anmeldeinformationen überprüfen soll</strong>
              </p>
            </td>
            <td colspan="2">
              <p>Wenn Forefront TMG in einer Domäne bereitgestellt wird, wählen Sie <strong>Windows (Active Directory)</strong> aus. In einer Arbeitsgruppenbereitstellung können Sie <strong>LDAP (Active Directory)</strong>, <strong>RADIUS</strong>, <strong>RADIUS OTP</strong> oder <strong>SecurID</strong> auswählen.</p>
            </td>
          </tr>
          <tr>
            <td colspan="2">
              <p>
                <strong>Einstellungen für einmaliges Anmelden (SSO)</strong>
              </p>
            </td>
            <td colspan="1">
              <p>
                <strong>SSO für Websites aktivieren, die mit diesem Weblistener veröffentlicht werden</strong>
              </p>
            </td>
            <td colspan="2">
              <p>Lassen Sie dieses Kontrollkästchen deaktiviert.</p>
            </td>
          </tr>
          <tr>
            <td colspan="2">
              <p>
                <strong>Fertigstellen des Assistenten</strong>
              </p>
            </td>
            <td colspan="1">
              <p />
            </td>
            <td colspan="2">
              <p>Überprüfen Sie die Einstellungen, und klicken Sie auf <strong>Fertig stellen</strong>.  </p>
            </td>
          </tr>
        </table>
    
  5. Klicken Sie im Bereich Aufgaben auf die Registerkarte Aufgaben.

  6. Klicken Sie auf der Registerkarte Aufgaben auf Exchange-Webclientzugriff veröffentlichen, um den Assistenten für neue Exchange-Veröffentlichungsregeln zu öffnen.

  7. Führen Sie die Arbeitsschritte des Assistenten für neue Exchange-Veröffentlichungsregeln aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Name der Exchange-Veröffentlichungsregel

    Geben Sie einen Namen für die Exchange-Veröffentlichungsregel ein. Geben Sie beispielsweise ActiveSync-Clients ein.

    Dienste auswählen

    Exchange-Version

    Wählen Sie Exchange Server 2003, Exchange Server 2007 oder Exchange Server 2010 aus.

    Webclient-E-Mail-Dienste

    Wählen Sie Exchange ActiveSync aus.

    Veröffentlichungstyp

    Wählen Sie Einzelne Website oder Lastenausgleich veröffentlichen aus. Die anderen Optionen liegen außerhalb des Anwendungsbereichs dieses Verfahrens.

    Sicherheit der Serververbindung

    Wählen Sie SSL verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen aus. Diese Option erfordert die Installation eines SSL-Serverzertifikats auf jedem Exchange-Front-End-Server, für das der als interner Sitename angegebene Hostname im Feld Ausgestellt für verwendet wird.

    Interne Veröffentlichungsdetails

    Interner Sitename

    Geben Sie den Hostnamen ein, den Forefront TMG in HTTP-Anforderungsnachrichten verwenden wird, die an den veröffentlichten Server gesendet wurden.

    Wenn der in diesem Feld angegebene interne Sitename nicht aufgelöst werden kann und es sich nicht um den Computernamen oder die IP-Adresse des veröffentlichten Servers handelt, aktivieren Sie Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen, und geben Sie anschließend den auflösbaren Computernamen oder die IP-Adresse des veröffentlichten Servers ein.

    Details des öffentlichen Namens

    Anforderungen annehmen für

    Wählen Sie Diesen Domänennamen (unten eingeben) aus.

    Öffentlicher Name

    Geben Sie den öffentlichen vollqualifizierten Domänenname (FQDN) oder die IP-Adresse ein, die externe Benutzer verwenden werden, um auf die veröffentlichte Exchange ActiveSync-Site zuzugreifen.

    Weblistener auswählen

    Weblistener

    Wählen Sie in der Dropdownliste den in Schritt 4 erstellten Weblistener aus. Sie können dann auf Bearbeiten klicken, um die Eigenschaften des ausgewählten Weblisteners zu ändern.

    Authentifizierungsdelegierung

    Legen Sie die Methode fest, mit der Forefront TMG sich beim veröffentlichten Webserver authentifizieren soll

    Für die formularbasierte Authentifizierung wählen Sie Standardauthentifizierung aus. Für die SSL-Clientzertifikatauthentifizierung wählen Sie Eingeschränkte Kerberos-Delegierung aus.

    Benutzersätze

    Diese Regel betrifft Anforderungen von folgenden Benutzersätzen

    Wenn Sie die Verifizierung über Windows-Anmeldeinformationen verwenden, ändern Sie nicht die Standardoption Alle authentifizierten Benutzer. Wenn Sie die RADIUS-, LDAP- oder SecurID-Verifizierung verwenden, müssen Sie entsprechend einen für den entsprechenden Namespace konfigurierten Benutzersatz verwenden.

    Fertigstellen des Assistenten

    Überprüfen Sie die Einstellungen, und klicken Sie auf Fertig stellen.

  8. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

  9. Hinweis

    • Wenn die Veröffentlichung über SSL erfolgt, muss ein für den Hostnamen der veröffentlichten Website ausgestelltes SSL-Serverzertifikat im persönlichen Speicher für den lokalen Computer auf dem Forefront TMG-Computer installiert werden. Weitere Informationen zum Abrufen und Installieren eines SSL-Serverzertifikats finden Sie unter Konfigurieren von Serverzertifikaten für die SSL-Webveröffentlichung.

    • Auf der Seite Weblistener-IP-Adressen des Assistenten für neue Weblistener können Sie auch die Option Standard-IP-Adressen für Netzwerkadapter in diesem Netzwerk aktivieren. Wenn der Netzwerklastenausgleich aktiviert ist, wird über diese Option automatisch die virtuelle IP-Adresse ausgewählt. Andernfalls wird die Standard-IP-Adresse für jeden Netzwerkadapter automatisch ausgewählt.

    • Wenn Sie die Verifizierung mithilfe von RADIUS-Anmeldeinformationen verwenden, muss der Forefront TMG-Computer als RADIUS-Client auf dem RADIUS-Server registriert und die RADIUS-Systemrichtlinienregel aktiviert sein, um den RADIUS-Datenverkehr vom Forefront TMG-Computer (lokales Hostnetzwerk) zum internen Netzwerk zuzulassen. Diese Regel unterstellt, dass sich der RADIUS-Server im internen Netzwerk befindet.

    • Wenn Sie die Verifizierung mithilfe von RADIUS-, LDAP- oder RADIUS OTP-Anmeldeinformationen auswählen, müssen Sie die Eigenschaften des Weblisteners bearbeiten, den Sie zum Festlegen der für die Authentifizierung erforderlichen RADIUS- oder LDAP-Server verwenden.

    • Exchange ActiveSync wird nur von Exchange Server 2003 und Exchange Server 2007 unterstützt.

    • Mit Exchange ActiveSync können Benutzer mit einem hohen Maß an Sicherheit auf ihre Exchange-Postfächer über Geräte zugreifen, die auf Microsoft Windows Mobile basieren, z. B. Windows Mobile 2003-Software für Pocket PC, einschließlich Pocket PC Phone Edition und Windows Mobile 2003-Software für Smartphone.

    • Forefront TMG verwendet den Benutzer-Agent-Header in einer Clientanforderung, um das HTML-Formular zu ermitteln, das in der an den Webbrowser zurückgegebenen Antwort verwendet wird. Die unterstützten Formulartypen sind HTML 4.01, XHTML-MP und cHTML. Wenn der Benutzer-Agent-Header in der Anforderung keinem Format zugeordnet ist, verwendet Forefront TMG wieder die Standardauthentifizierung.

    • Benutzer stellen die Verbindung mit Exchange ActiveSync durch Aufruf einer URL her, die normalerweise das Format „https://Hostname/Microsoft-Server-ActiveSync“ aufweist. Sie müssen möglicherweise die Zuordnungen zwischen den von Benutzern angegebenen und den internen Pfaden auf der Registerkarte Pfade der Eigenschaften für die Webveröffentlichungsregel ändern.

    • Weitere Informationen zu anderen Einstellungen in den Webveröffentlichungsregeln finden Sie unter Planen einer Veröffentlichung.

    Verwandte Themen

    Konzepte

    Konfigurieren der Webveröffentlichung