Verwenden von ISA Server 2006 mit Outlook Web Access
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-04-20
Outlook Web Access für Exchange Server 2007 wurde entwickelt, um die neuen Features, die in Internet Security and Acceleration (ISA) Server 2006 verfügbar sind, in vollem Umfang nutzen zu können. Exchange 2007 ist außerdem so konzipiert, dass die Integration mit früheren Versionen von ISA Server möglich ist. Wenn Sie Exchange 2007 in einer Umgebung bereitstellen, in der ISA Server 2006 zum Sichern des Unternehmensnetzwerks verwendet wird, sind sämtliche Features für den Exchange-Clientzugriff verfügbar.
Vorzüge beim Verwenden von ISA Server 2006 mit Outlook Web Access
In der folgenden Tabelle sind Features in ISA Server 2006 aufgelistet, mit deren Hilfe eine Microsoft Exchange-Messagingumgebung geschützt werden kann, die Outlook Web Access umfasst.
Features von ISA Server 2006 mit Outlook Web Access
Feature | Beschreibung |
---|---|
Linkübersetzung |
ISA Server 2006 leitet Outlook Web Access-Anforderungen für interne URLs, die im Nachrichtentext eines beliebigen Objekts in Outlook Web Access,wie etwa einer E-Mail-Nachricht oder einem Kalendereintrag, enthalten sind, um. Dadurch brauchen Benutzer sich für interne Unternehmensinformationen, die einem externen Namespace zugeordnet sind, nicht die externen Namespaces zu merken. Wenn ein Benutzer z. B. einen Link in einer E-Mail-Nachricht an einen internen Namespace wie http://contoso sendet und diesen internen URL einem externen Namespace (z. B. https://www.contoso.com) zugeordnet ist, wird der interne URL automatisch in den externen URL übersetzt, sobald der Benutzer auf den internen URL klickt. |
Lastenausgleich beim Webpublishing |
ISA Server 2006 kann Lastenausgleich für Clientanforderungen durchführen und diese an einen Array von Clientzugriffsservern senden. Wenn ISA Server 2006 eine Anforderung für eine Verbindung mit Outlook Web Access empfängt, wählt das Programm einen Clientzugriffsserver aus und sendet dann den Namen des Clientzugriffsservers in einem Cookie zurück an den Webbrowser. |
HTTP-Komprimierung |
Wenn bisher formularbasierte Authentifizierung auf dem Computer mit ISA Server, auf dem Exchange Server 2003 und ISA Server 2004 oder ISA Server 2000 installiert war, verwendet wurde, konnte keine gzip-Komprimierung verwendet werden. Der Grund liegt darin, dass ISA Server die Informationen nicht ordnungsgemäß entkomprimieren und anschließend wieder komprimieren konnte. ISA Server 2006 ist in der Lage, Daten vor dem Versand an Ihre Exchange-Server zu entkomprimieren, zu untersuchen und dann erneut zu komprimieren. Hinweis Gzip-Komprimierung steht auch in ISA Server 2004, Service Pack 2 (SP2), zur Verfügung. |
Exchange-Serverspeicherorte werden ausgeblendet. |
Wenn Sie eine Anwendung über ISA Server veröffentlichen, schützen Sie den Server vor dem direkten externen Zugriff, weil der Name und die IP-Adresse des Servers nicht vom Benutzer angezeigt werden können. Der Benutzer greift auf den Computer mit ISA Server zu. Der Computer mit ISA Server erstellt dann eine Verbindung gemäß den Bedingungen der Serververöffentlichungsregel mit dem Clientzugriffsserver. |
SSL-Bridging und -Überprüfung |
SSL-Bridging (Secure Sockets Layer) schützt vor Angriffen, die in durch SSL verschlüsselten Verbindungen verborgen werden. Für SSL-aktivierte Webanwendungen entschlüsselt ISA Server nach dem Empfang der Anforderung des Clients die Anforderung, untersucht sie und fungiert als Endpunkt für die SSL-Verbindung mit dem Clientcomputer. Die Webveröffentlichungsregeln bestimmen, wie ISA Server die Anforderung für das Objekt an den veröffentlichten Webserver übermittelt. Wenn Sie SSL-Bridging verwenden, wird die sichere Webveröffentlichungsregel für das Weiterleiten der Anforderung mithilfe von HTTPS (Secure HTTP) konfiguriert. Anschließend leitet ISA Server eine neue SSL-Verbindung mit dem veröffentlichten Server ein. Da der Computer mit ISA Server jetzt zu einem SSL-Client geworden ist, muss der veröffentlichte Webserver mit einem Zertifikat antworten. Ein weiterer Vorzug von SSL-Bridging besteht darin, dass eine Organisation nur für die Computer mit ISA Server SSL-Zertifikate bei einer externen Zertifizierungsstelle erwerben muss. Server, die ISA Server als Reverse-Proxy verwenden, können SSL entweder nicht anfordern oder verwenden intern generierte SSL-Zertifikate. Außerdem können Sie die SSL-Verbindung beim Computer mit ISA Server beenden und die Verbindung zum Clientzugriffsserver ohne Verschlüsselung fortsetzen. Dies wird als SSL-Verschiebung bezeichnet. Wenn Sie in dieser Weise vorgehen, muss der interne URL für Outlook Web Access für die Verwendung von HTTP und der externe URL für die Verwendung von HTTPS eingestellt sein. Der interne URL und der externe URL können mithilfe der Exchange-Verwaltungskonsole oder unter Verwendung des Cmdlets Set-OwaVirtualDirectory mit den Parametern InternalURL und ExternalURL in der Exchange-Verwaltungsshell konfiguriert werden. Weitere Informationen zur Verwendung des Cmdlets Set-OwaVirtualDirectory und der Exchange-Verwaltungskonsole zum Verwalten von virtuellen Verzeichnissen von Outlook Web Access finden Sie unter Set-OwaVirtualDirectory und Ändern von Eigenschaften eines virtuellen Outlook Web Access-Verzeichnisses. |
Einmalige Anmeldung |
Mithilfe der einmaligen Anmeldung können Benutzer auf eine Gruppe veröffentlichter Websites zugreifen, ohne sich bei jeder Website authentifizieren zu müssen. Wenn Sie ISA Server 2006 als Reverse-Proxyserver für Outlook Web Access verwenden, kann ISA Server 2006 dafür verwendet werden, die Anmeldeinformationen des Benutzers abzurufen und sie an den Clientzugriffsserver zu übergeben, so dass die Benutzer nur einmal zur Eingabe ihrer Anmeldeinformationen aufgefordert werden. |
Weitere Informationen über die neuen Erweiterungen von ISA Server 2006 in Verbindung mit Exchange 2007 finden Sie unter What's New and Improved in ISA Server 2006 (englischsprachig).
Bereitstellungsoptionen
Wenn Sie ISA Server 2006 zusammen mit Exchange 2007 bereitstellen, müssen Sie keine weitere Konfigurationseinstellungen an Ihrer Microsoft Exchange-Infrastruktur vornehmen. ISA Server 2006 kann jedoch auf verschiedene Weisen konfiguriert werden, um den Exchange-Clientzugriff mithilfe von Outlook Web Access, POP3 oder IMAP, Exchange ActiveSync und Outlook Anywhere zu ermöglichen. Die Konfigurationsoptionen hängen von der Authentifizierungsmethode ab, die für den Zugriff auf Exchange verwendet werden soll.
Frühere Versionen von ISA Server, einschließlich ISA Server 2004 und ISA Server 2000 umfassen bei der Bereitstellung mit Exchange 2007 nicht die gleichen Bereitstellungsoptionen für die Authentifizierung. Darüber hinaus können Sie die folgenden Authentifizierungsoptionen verwenden, wenn Sie Exchange 2007 sowohl mit ISA Server 2006 als auch mit einer früheren Version von ISA Server bereitstellen:
Standardauthentifizierung für Outlook Web Access Wenn Sie die Standardauthentifizierung für Outlook Web Access verwenden möchten, sollten ISA Server 2006 und alle früheren Versionen von ISA Server Outlook Web Access mithilfe von Webpublishing veröffentlichen.
Clientzertifikatsauthentifizierung Wenn Sie eine Clientzertifikat-basierte Authentifizierungsmethode verwenden möchten, führt ISA Server automatisch eine Authentifizierung auf dem Computer durch, auf dem ISA Server ausgeführt wird. Bei früheren Versionen von ISA Server, einschließlich ISA Server 2004 und ISA Server 2000, ist die Serververöffentlichung erforderlich, um die Clientzertifikatsauthentifizierung einsetzen zu können. Wenn Sie Clientzertifikatauthentifizierung verwenden, können Sie ISA Server nicht verwenden, um die SSL-Pakete vor dem Senden an den Clientzugriffsserver zu untersuchen.
Bereitstellen von ISA Server 2006 für Outlook Web Access
Wenn Sie ISA Server 2006 für Outlook Web Access bereitstellen, verwenden Sie den Assistenten für neue Exchange-Veröffentlichungsregeln für die Firewallrichtlinientasks. Dieser neue Assistent macht Sie mit den für den Microsoft Exchange-Zugriff erforderlichen Einstellungen vertraut.
Wichtig
Wenn Sie mehrere Versionen von Microsoft Exchange in Ihrer Exchange-Organisation einsetzen, müssen Sie eine Exchange-Veröffentlichungsregel für jede unterstützte Version von Microsoft Exchange erstellen.
Zum Konfigurieren von ISA Server 2006 für Outlook Web Access führen Sie die folgenden Schritte aus:
Erstellen Sie eine neue Veröffentlichungsregel.
Konfigurieren Sie zusätzliche Optionen.
In den folgenden Abschnitten werden die Einstellungen beschrieben, die Sie für eine erfolgreiche Bereitstellung von ISA Server 2006 für Outlook Web Access auf die neue Veröffentlichungsregel anwenden müssen.
Erstellen einer neuen Exchange-Veröffentlichungsregel
Während dieses Vorgangs müssen Sie die folgenden Informationen angeben:
Name der Exchange-Veröffentlichungsregel Geben Sie einen Anzeigenamen für die Veröffentlichungsregel an, z. B. "Exchange-E-Mail-Zugriff".
Unterstützte Clientzugriffsdienste Wählen Sie auf der Seite Dienste auswählen die bereitgestellte Version von Microsoft Exchange und den Clientzugriffsdienst, den Sie für die Benutzer unterstützen möchten. Wenn Sie Exchange Server 2007 auswählen, wird standardmäßig Outlook Web Access aktiviert.
Veröffentlichungstyp Wählen Sie auf der Seite Veröffentlichungstyp die zu verwendende Option aus, je nachdem, ob Sie eine einzelne Site oder einen externen Lastenausgleich, eine Webserverfarm oder mehrere Websites veröffentlichen möchten.
Serververbindungssicherheit Auf dieser Seite können Sie auswählen, ob Sie SSL (Secure Sockets Layer) oder nicht gesicherte Verbindungen vom Computer mit ISA Server zu Microsoft Exchange verwenden möchten.
Interne Veröffentlichungsdetails Geben Sie auf der Seite Interne Veröffentlichungsdetails den Namen der internen Site von Outlook Web Access an, oder wählen Sie die Option aus, um die Verbindung mit Microsoft Exchange über einen Computernamen oder eine IP-Adresse herzustellen.
Details des öffentlichen Namens Auf der Seite Details des öffentlichen Namens können Sie auswählen, von welchen Domänen Anforderungen akzeptiert werden. Sie müssen auch einen öffentlichen Namen, z. B. www.contoso.com, angeben.
Weblistener auswählen Auf der Seite Weblistener auswählen können Sie den Listener für den Exchange-Server angeben, zu dem Sie eine Verbindung herstellen. Es wird ein Listener verwendet, um den Authentifizierungstyp anzugeben, der für die erstmalige Verbindung des Clients mit dem Computer mit ISA Server verwendet wird. Der Listener enthält Informationen über die Weise, in der der Computer mit ISA Server Anforderungen von Clients akzeptiert, wie etwa die Verschlüsselung, die Komprimierung und die Authentifizierung, die für die externe Verbindung verwendet werden sollen. Sie können diese Seite verwenden, um einen neuen Listener zu erstellen oder vorhandene Listener zu bearbeiten.
Authentifizierungsstellvertretung Auf der Seite Authentifizierungsstellvertretung können Sie angeben, welche Art von Authentifizierungsmechanismus der Clientzugriffsserver vom ISA Server erwarten soll. Wählen Sie eine der folgenden Optionen aus:
Keine Zuweisung, aber der Client kann eine unmittelbare Authentifizierung durchführen
Standardauthentifizierung
NTLM-Authentifizierung
Aushandeln (Kerberos/NTLM)
Kerberos-beschränkte Zuweisung
Benutzersätze Auf der Seite Benutzersätze können Sie auswählen, welche Benutzer die Verbindung zu Exchange mit dieser Regel herstellen können.
Wenn Sie den Computer mit ISA Server für die Authentifizierung der Benutzer konfiguriert haben, sollten Sie die virtuellen Verzeichnisse von Outlook Web Access entweder für die Verwendung der Integrierten Windows-Authentifizierung oder der Standardauthentifizierung konfigurieren, abhängig von dem von Ihrer Organisation erforderten Authentifizierungstyp. Bei der Verwendung von Standardauthentifizierung oder Integrierter Windows-Authentifizierung für die virtuellen Outlook Web Access-Verzeichnisse in Kombination mit ISA Server 2006-Authentifizierung werden die Benutzer nur einmal zur Eingabe ihrer Anmeldeinformationen aufgefordert.
Hinweis
Wenn Sie für den ISA-Listener formularbasierte Authentifizierung auswählen, wird der Benutzer zur erneuten Eingabe der Authentifizierungs-Anmeldeinformationen aufgefordert, wenn die Outlook Web Access-Sitzung ihren Timeoutwert erreicht.
Die integrierte Windows-Authentifizierung verbietet den Zugriff von Outlook Web Access auf Dokumente in Windows-Dateifreigaben oder in Windows SharePoint Services-Dokumentbibliotheken. Wenn Sie von Outlook Web Access aus auf Dokumente zugreifen müssen, müssen Sie Standardauthentifizierung für das virtuelle Outlook Web Access-Verzeichnis verwenden.
Nachdem Sie den Assistenten abgeschlossen haben, erstellt der Assistent die Exchange-Veröffentlichungsregel. Die erstellte Regel wird in der Liste Firewallrichtlinienregeln auf der Registerkarte Firewallrichtlinie angezeigt.
Hinweis
Nachdem Sie die Erstellung der Veröffentlichungsregel abgeschlossen haben, müssen Sie warten, bis die Einstellungen wirksam werden. Sie können den Status der ISA Server 2006-Veröffentlichungsregel mithilfe des Knotens Überwachung auf der ISA Server 2006-Verwaltungskonsole überwachen.
Konfigurieren zusätzlicher Optionen
Sie können für die neue in ISA Server Management erstellte Regel zusätzliche Features konfigurieren, z. B. Linkübersetzung und HTTP-Komprimierung. Zusätzliche Einstellungen für Linkübersetzung und HTTP-Komprimierung werden unter dem Knoten Allgemein aus der ISA Server 2006-Verwaltungskonsole verwaltet.
Konfigurieren der Linkübersetzung
Zum Konfigurieren der Linkübersetzung wählen Sie die erstellte Exchange-Veröffentlichungsregel aus, und klicken Sie dann unter Richtlinienbearbeitungaufgaben auf Ausgewählte Regel bearbeiten. Auf der Registerkarte Linkübersetzung können Sie die Linkübersetzung entsprechend den Anforderungen der Benutzer konfigurieren.
Konfigurieren der HTTP-Komprimierung
Die HTTP-Komprimierungsoption kann in der ISA Server-Verwaltungskonsole unter dem Knoten Allgemein unter Konfiguration konfiguriert werden. Klicken Sie auf HTTP-Komprimierungseinstellungen definieren, und wählen Sie dann die Optionen aus, die für die Benutzer unterstützt werden sollen.
Nach der Konfiguration dieser Optionen ist die ISA Server-Konfiguration für Microsoft Exchange abgeschlossen.
Installieren eines Serverzertifikats für ISA Server 2006
Um einen verschlüsselten Kanal mithilfe von SSL zwischen dem Clientcomputer und dem Computer mit ISA Server zu aktivieren, müssen Sie ein Serverzertifikat auf dem Computer mit ISA Server installieren. Dieses Zertifikat sollte von einer öffentlichen Zertifizierungsstelle ausgestellt worden sein, weil Benutzer im Internet darauf zugreifen werden. Wenn eine private Zertifizierungsstelle verwendet wird, muss das Stammzertifikat von der privaten Zertifizierungsstelle auf jedem Computer installiert werden, der einen verschlüsselten Kanal (HTTPS) zum Computer mit ISA Server erstellt. Andernfalls wird den Benutzern eine Warnung angezeigt, dass das Zertifikat nicht vertrauenswürdig ist.
Weitere Informationen zum Installieren eines Serverzertifikats für ISA Server 2006 finden Sie unter Veröffentlichen von Exchange Server 2007 mit ISA Server 2006.
Weitere Informationen
Weitere Informationen zum Verwenden von ISA Server 2006 mit Exchange 2007 finden Sie unter Verwenden von ISA Server 2006 mit Exchange 2007.
Weitere Informationen über ISA Server 2006 finden Sie auf der ISA Server-Website.
Weitere Informationen über Features von ISA Server 2006 finden Sie unter ISA Server 2006 Features at a Glance (englischsprachig).
Weitere Informationen zum Verwenden eines Reverse-Proxyservers finden Sie unter Konfigurieren von Proxyservern für Outlook Web Access.
Weitere Informationen zur Verwendung des Cmdlets Set-OwaVirtualDirectory und der Exchange-Verwaltungskonsole zum Verwalten von virtuellen Outlook Web Access-Verzeichnissen finden Sie in den folgenden Themen:
Weitere Informationen zum Konfigurieren von Outlook Web Access finden Sie unter: