Empfehlungen für Outlook Anywhere
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-10-24
Dieses Thema enthält Empfehlungen für die Verwendung von Outlook Anywhere in Ihrer Exchange-Infrastruktur.
Wir empfehlen die folgende Konfiguration bei Verwendung von Microsoft Exchange mit Outlook Anywhere:
NTLM-Authentifizierung über SSL (Secure Sockets Layer) Es wird angeraten, SSL auf dem Microsoft Exchange Server 2007-Computer zu aktivieren, auf dem die ClientAccess-Serverfunktion für die gesamte Kommunikation zwischen Client und Server installiert ist. Darüber hinaus empfehlen wir die Verwendung der NTLM-Authentifizierung. Die HTTP-Sitzung sollte immer über SSL (Anschluss 443) eingerichtet werden. Informationen zum Konfigurieren von Outlook Anywhere-Authentifizierung, die SSL verwendet, finden Sie unter Verwalten von Outlook Anywhere-Sicherheit.
Wichtig
Bei Einsatz einer Firewall, die NTLM nicht verarbeitet, müssen Sie die Standardauthentifizierung über SSL verwenden.
Verwenden eines erweiterten Firewallservers im Perimeternetzwerk Es wird angeraten, einen dedizierten Firewallserver zu verwenden, um die Sicherheit des Exchange-Computers zu erhöhen. Bei ISA Server 2006 (Microsoft Internet Security and Acceleration) handelt es sich um einen dedizierten Firewallserver. ISA Server 2006 ermöglicht die Verwendung von NTLM-Authentifizierung, da ISA Server NTLM-Authentifizierung verarbeiten kann. Andere Firewallserver sind unter Umständen in der Lage, NTLM-Authentifizierung zu verwenden. Informationen darüber, ob der eingesetzte Firewallserver NTLM-Authentifizierung zulässt, finden Sie in der Dokumentation des Firewallprodukts.
Beziehen eines Zertifikats von einer Zertifizierungsstelle eines Drittanbieters Um SSL für die gesamte Kommunikation zwischen dem Clientzugriffsserver und den Outlook-Clients zu aktivieren, müssen Sie ein Zertifikat beziehen und auf Ebene der Standardwebsite veröffentlichen. Wir empfehlen den Erwerb des Zertifikats über eine Zertifizierungsstelle eines Drittanbieters, dessen Zertifikate von zahlreichen Webbrowsern anerkannt werden.
Authentifizierungsoptionen für Outlook Anywhere in Exchange 2007 Service Pack 1 (SP1)
In der Originalversion (RTM) von Exchange 2007 war das virtuelle Verzeichnis /rpc standardmäßig für Standardauthentifizierung und integrierte Windows-Authentifizierung aktiviert und konnte nicht geändert werden. Selbst wenn nur eine Authentifizierungsmethode verwendet wurde, waren immer beide Authentifizierungsmethoden für das virtuelle Verzeichnis /rpc aktiviert. Da dieses Verhalten eine Sicherheitsanfälligkeit darstellt, können Sie nun in Exchange 2007 SP1 auswählen, nur eine Authentifizierungsmethode für das virtuelle Verzeichnis /rpc zu verwenden. Sie können jedoch wahlweise auch sowohl Standard- als auch integrierte Windows-Authentifizierung ermöglichen. Dies wird jedoch nicht empfohlen.
Für neue Installationen von Exchange 2007 SP1 ist standardmäßig die Authentifizierungsmethode für das virtuelle Verzeichnis /rpc identisch mit der Authentifizierungsmethode, die Sie auswählen, wenn Sie Outlook Anywhere mithilfe des Assistenten zum Aktivieren von Outlook Anywhere aktivieren. Die Standardauthentifizierungsmethode für IIS (Internet Information Services, Internetinformationsdienste) kann unter Verwendung des Cmdlets Set-OutlookAnywhere von der integrierten Windows-Authentifizierung in die Standardauthentifizierung und umgekehrt geändert werden. Als Alternative zur Verwendung des Assistenten zum Aktivieren von Outlook Anywhere kann das Cmdlet Enable-OutlookAnywhere zum Konfigurieren von Outlook Anywhere verwendet werden.
Wichtig
Nachdem Sie aus der RTM-Version von Exchange 2007 auf Exchange 2007 SP1 aktualisiert haben, wird empfohlen, manuell eine Authentifizierungsmethode mithilfe des Cmdlets Set-OutlookAnywhere anzugeben.
Verwenden mehrerer Authentifizierungsmethoden für Outlook Anywhere
Wenn Sie einen Firewallserver bereitstellen, der Authentifizierungsstellvertretung durchführt, müssen Sie die Authentifizierungsmethode für das virtuelle Verzeichnis /rpc in eine Methode ändern, die sich von der vom Client verwendeten Authentifizierungsmethode unterscheidet. Wenn Sie z. B. einen Firewallserver bereitstellen, der Authentifizierungsstellvertretung durchführt, authentifiziert sich der Firewallserver am Clientzugriffsserver mithilfe von NTLM-Authentifizierung. Der Client verwendet jedoch Standardauthentifizierung. In diesem Beispiel ist der Firewallserver für die Stellvertretung der Authentifizierung des Benutzers verantwortlich. Auf diesem Grund konfigurieren Sie das virtuelle Verzeichnis /rpc in IIS für die Verwendung von NTLM-Authentifizierung.
In Exchange 2007 SP1 können Sie das virtuelle Verzeichnis /rpc in IIS für die Verwendung sowohl von NTLM- als auch von Standardauthentifizierung konfigurieren, auch wenn dies nicht empfohlen wird. Eine gängige Situation, in der beide Authentifizierungsmethoden verwendet werden können, liegt dann vor, wenn zusätzliche Dienste für RPC über HTTP über Proxyfunktionen an den gleichen Clientzugriffsserver weitergeleitet werden, der den Zugriff auf Outlook Anywhere zur Verfügung stellt. In diesem Beispiel erfordert jeder Dienst beide Authentifizierungsmethoden. Führen Sie den folgenden Befehls aus, um das virtuelle Verzeichnis /rpc in IIS für die Verwendung sowohl von NTLM- als auch von Standardauthentifizierung zu konfigurieren:
Set-OutlookAnywhere -Name Server01 -IISAuthenticationMethod Basic,NTLM
Verwenden der eigenen Zertifizierungsstelle
Sie können das Zertifizierungsstellentool in Microsoft Windows verwenden, um Ihre eigene Zertifizierungsstelle zu installieren. Standardmäßig erkennen Anwendungen und Webbrowser die Stammzertifizierungsstelle nicht an, wenn eine eigene Zertifizierungsstelle installiert wird. Wenn ein Benutzer unter Verwendung von Outlook Anywhere eine Verbindung in Microsoft Office Outlook 2007 oder Outlook 2003 herstellen möchte, wird die Verbindung dieses Benutzers mit Microsoft Exchange unterbrochen. Der Benutzer wird nicht benachrichtigt. Die Verbindung des Benutzers wird unterbrochen, wenn eine der folgenden Bedingungen zutrifft:
Der Client erkennt das Zertifikat nicht an.
Das Zertifikat stimmt nicht mit dem Namen überein, mit dem der Client eine Verbindung herstellen möchte.
Das Datum des Zertifikats ist falsch.
Deshalb müssen Sie sicherstellen, dass die Clientcomputer die Zertifizierungsstelle anerkennen. Darüber hinaus müssen Sie bei Verwendung Ihrer eigenen Zertifizierungsstelle und der Ausgabe eines Zertifikats an den Clientzugriffsserver sicherstellen, dass das Feld Gemeinsamer Name oder das Feld Ausgestellt für in diesem Zertifikat denselben Namen wie der URL auf dem Clientzugriffsserver enthält, der im Internet zur Verfügung steht. Das Feld Gemeinsamer Name oder das Feld Ausgestellt für muss einen Namen enthalten, der dem Beispiel mail.contoso.com entspricht. Diese Felder können nicht den internen vollqualifizierten Domänennamen des Computers enthalten, wie z. B. mycomputer.contoso.com.
Weitere Informationen
Weitere Informationen zu Outlook Anywhere finden Sie unter den folgenden Themen: