Konfigurieren des Zugriffs für Outlook Web Access-Clients
Veröffentlicht: November 2009
Letzte Aktualisierung: Februar 2010
Betrifft: Forefront Threat Management Gateway (TMG)
So konfigurieren Sie den Zugriff für Outlook Web Access-Clients
Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.
Klicken Sie im Bereich Aufgaben auf die Registerkarte Toolbox.
Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte, klicken Sie anschließend auf Neu und wählen Sie dann Weblistener aus, um den Assistenten für neue Weblistener zu öffnen.
Führen Sie die Arbeitsschritte des Assistenten für neue Weblistener aus (siehe nachfolgende Tabelle).
Seite Feld oder Eigenschaft Einstellung oder Aktion Willkommen
Weblistenername
Geben Sie einen Namen für den Weblistener ein. Geben Sie z. B. OWA-Clientlistener ein.
Sicherheit der Clientverbindung
Wählen Sie Sichere SSL-Verbindungen mit Clients erforderlich aus.
Weblistener-IP-Adressen
In diesen Netzwerken auf eingehende Webanforderungen achten
Wählen Sie das Netzwerk Extern aus. Klicken Sie auf IP-Adressen auswählen, und aktivieren Sie dann die Option Angegebenen IP-Adressen auf dem Forefront TMG-Computer im ausgewählten Netzwerk. Wählen Sie unter Verfügbare IP-Adressen die IP-Adresse für die Website aus, klicken Sie dann auf Hinzufügen und anschließend auf OK.
Wenn Netzwerklastenausgleich aktiviert ist, wählen Sie in einem Array mit mehreren Arraymitgliedern die gleiche virtuelle IP-Adresse für jedes Arraymitglied aus. Wählen Sie andernfalls eine entsprechende IP-Adresse für jedes Arraymitglied aus.
Listener-SSL-Zertifikate
</p> </td> <td colspan="2"> <p>Wählen Sie <strong>Ein einziges Zertifikat für diesen Weblistener verwenden</strong> aus, klicken Sie auf <strong>Zertifikat auswählen</strong>, und wählen Sie dann ein Zertifikat aus, für das der Hostname, den die Benutzer für den Zugriff auf die veröffentlichte Website verwenden, im Feld <strong>Ausgestellt für</strong> angezeigt wird.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Authentifizierungseinstellungen</strong> </p> </td> <td colspan="1"> <p> <strong>Legen Sie fest, wie die Clients die Anmeldeinformationen an Forefront TMG übermitteln sollen</strong> </p> </td> <td colspan="2"> <p>Aktivieren Sie für die HTTP-Authentifizierung (die Standardoption) ein oder mehrere der Kontrollkästchen. In einer Arbeitsgruppenbereitstellung können Sie nur <strong>Standard</strong> auswählen.</p> <p>Wenn die Clients ein Zertifikat bereitstellen sollen, wählen Sie in der Dropdownliste die Option <strong>SSL-Clientzertifikatsauthentifizierung</strong> aus. </p> <p>Anweisungen zum Verwenden der <strong>HTML-Formularauthentifizierung</strong> finden Sie unter <a runat="server" href="cc441468(v=technet.10).md">Konfigurieren von Outlook Web Access mit formularbasierter Authentifizierung</a>.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Legen Sie fest, wie Forefront TMG die Client-Anmeldeinformationen überprüfen soll</strong> </p> </td> <td colspan="2"> <p>Wenn Sie für die HTTP-Authentifizierung die Standardauthentifizierung in einer Arbeitsgruppenbereitstellung auswählen, können Sie <strong>LDAP (Active Directory)</strong> oder <strong>RADIUS</strong> aktivieren.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Einstellungen für einmaliges Anmelden (SSO)</strong> </p> </td> <td colspan="1"> <p> <strong>SSO für Websites aktivieren, die mit diesem Weblistener veröffentlicht werden</strong> </p> </td> <td colspan="2"> <p>Die einmalige Anmeldung (SSO) ist nur bei Verwendung der formularbasierten Authentifizierung verfügbar.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Fertigstellen des Assistenten</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>Überprüfen Sie die Einstellungen und klicken Sie auf <strong>Fertig stellen</strong>. Wenn ein Meldungsfeld angezeigt wird, klicken Sie auf <strong>Ja</strong>, um die Systemrichtlinienregel „Gesamten HTTP-Datenverkehr von Forefront TMG an alle Netzwerke (für Zertifikatsperrlistendownloads) zulassen“ zu aktivieren. </p> </td> </tr> </table>Klicken Sie im Bereich Aufgaben auf die Registerkarte Aufgaben.
Klicken Sie auf der Registerkarte Aufgaben auf Exchange-Webclientzugriff veröffentlichen, um den Assistenten für neue Exchange-Veröffentlichungsregeln zu öffnen.
Führen Sie die Arbeitsschritte des Assistenten für neue Exchange-Veröffentlichungsregeln aus (siehe nachfolgende Tabelle).
Seite Feld oder Eigenschaft Einstellung oder Aktion Willkommen
Name der Exchange-Veröffentlichungsregel
Geben Sie einen Namen für die Exchange-Veröffentlichungsregel ein. Geben Sie z. B. OMA-Clients ein.
Dienste auswählen
Exchange-Version
Wählen Sie die Version von Exchange Server aus, die auf Ihren Exchange-Servern ausgeführt wird.
Webclient-E-Mail-Dienste
Wählen Sie Outlook Web Access aus.
Veröffentlichungstyp
Wählen Sie Einzelne Website oder Lastenausgleich veröffentlichen aus. Die anderen Optionen liegen außerhalb des Anwendungsbereichs dieses Verfahrens.
Sicherheit der Serververbindung
Wählen Sie SSL verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen aus. Diese Option erfordert die Installation eines SSL-Serverzertifikats auf jedem Exchange-Front-End-Server, für das der von Forefront TMG zum Herstellen des Kontakts zu einem Exchange-Server verwendete Hostname im Feld Ausgestellt für angezeigt wird.
Interne Veröffentlichungsdetails
Interner Sitename
Geben Sie den Hostnamen ein, den Forefront TMG in HTTP-Anforderungsnachrichten verwenden wird, die an den veröffentlichten Server gesendet wurden.
Wenn der in diesem Feld angegebene interne Sitename nicht aufgelöst werden kann und es sich nicht um den Computernamen oder die IP-Adresse des veröffentlichten Servers handelt, aktivieren Sie Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen, und geben Sie anschließend den auflösbaren Computernamen oder die IP-Adresse des veröffentlichten Servers ein.
Details des öffentlichen Namens
Anforderungen annehmen für
Wählen Sie Diesen Domänennamen (unten eingeben) aus.
Öffentlicher Name
Geben Sie den öffentlichen vollqualifizierten Domänenname (FQDN) oder die IP-Adresse ein, die externe Benutzer verwenden werden, um auf die veröffentlichte Outlook Web Access-Website zuzugreifen.
Weblistener auswählen
Weblistener
Wählen Sie in der Dropdownliste den in Schritt 4 erstellten Weblistener aus. Sie können dann auf Bearbeiten klicken, um die Eigenschaften des ausgewählten Weblisteners zu ändern.
Authentifizierungsdelegierung
Legen Sie die Methode fest, mit der Forefront TMG sich beim veröffentlichten Webserver authentifizieren soll
Wenn Exchange Server 2010, Exchange Server 2007 oder Exchange Server 2003 auf den Exchange-Servern ausgeführt wird, können Sie Eingeschränkte Kerberos-Delegierung auswählen. Andernfalls müssen Sie eine andere Option auswählen.
Benutzersätze
Diese Regel betrifft Anforderungen von folgenden Benutzersätzen
Wenn Sie die Verifizierung über Windows-Anmeldeinformationen verwenden, ändern Sie nicht die Standardoption Alle authentifizierten Benutzer. Wenn Sie die RADIUS- oder LDAP-Verifizierung verwenden, müssen Sie entsprechend einen für den RADIUS- oder LDAP-Namespace konfigurierten Benutzersatz verwenden.
Fertigstellen des Assistenten
Überprüfen Sie die Einstellungen, und klicken Sie auf Fertig stellen.
Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.
Hinweis
- Wenn die Veröffentlichung über SSL erfolgt, muss ein für den öffentlichen Hostnamen der veröffentlichten Website ausgestelltes SSL-Serverzertifikat im Speicher „Eigene Zertifikate“ für den lokalen Computer auf jedem Forefront TMG-Computer im Array installiert werden. Weitere Informationen zum Abrufen und Installieren von SSL-Serverzertifikaten finden Sie unter Konfigurieren von Serverzertifikaten für die SSL-Webveröffentlichung.
- Auf der Seite Weblistener-IP-Adressen des Assistenten für neue Weblistener können Sie auch die Option Standard-IP-Adressen für Netzwerkadapter in diesem Netzwerk aktivieren. Wenn der Netzwerklastenausgleich aktiviert ist, wird über diese Option automatisch die virtuelle IP-Adresse ausgewählt. Andernfalls wird die Standard-IP-Adresse für jeden Netzwerkadapter automatisch ausgewählt.
- Für die SSL-Clientzertifikatauthentifizierung muss die Systemrichtlinienregel „Gesamten HTTP-Datenverkehr vom Forefront TMG auf alle Netzwerke (für Zertifikatsperrlistendownloads) zulassen“ aktiviert sein. Durch diese Systemrichtlinienregel kann Forefront TMG aktualisierte Zertifikatsperrlisten zur Überprüfung der Clientzertifikate empfangen.
- Wenn Sie die Verifizierung mithilfe von RADIUS-Anmeldeinformationen verwenden, muss der Forefront TMG-Computer als RADIUS-Client auf dem RADIUS-Server registriert und die RADIUS-Systemrichtlinienregel aktiviert sein, um den RADIUS-Datenverkehr vom Forefront TMG-Computer (lokales Hostnetzwerk) zum internen Netzwerk zuzulassen. Diese Regel unterstellt, dass sich der RADIUS-Server im internen Netzwerk befindet.
- Wenn Sie die Verifizierung mithilfe von RADIUS-, LDAP- oder RADIUS OTP-Anmeldeinformationen auswählen, müssen Sie die Eigenschaften des Weblisteners bearbeiten, den Sie zum Festlegen der für die Authentifizierung erforderlichen RADIUS- oder LDAP-Server verwenden.
- Benutzer stellen die Verbindung mit Outlook Web Access durch Öffnen einer URL her, die normalerweise die Form „https://Hostname/exchange“ aufweist. Sie müssen möglicherweise die Zuordnungen zwischen den von Benutzern angegebenen und den internen Pfaden auf der Registerkarte Pfade der Eigenschaften für die Webveröffentlichungsregel ändern.
- Weitere Informationen zu anderen Einstellungen in den Webveröffentlichungsregeln finden Sie unter Planen einer Veröffentlichung.
Verwandte Themen
Konzepte