Unterstützung für sichere Kommunikation zwischen Client und Front-End Server
Letztes Änderungsdatum des Themas: 2006-07-27
Zur Gewährleistung einer sicheren Datenübertragung zwischen dem Client und dem Front-End-Server wird dringend empfohlen, dass der Front-End-Server SSL-fähig ist. Für einen umfassenden Schutz der Benutzerdaten sollte der Zugriff auf den Front-End-Server ohne SSL deaktiviert werden (dies ist eine Option bei der SSL-Konfiguration). Bei Verwendung der Standardauthentifizierung sollte der Netzwerkverkehr unbedingt durch SSL gesichert werden, um Benutzerkennwörter vor nicht autorisierter Einsichtnahme in Netzwerkpakete zu schützen.
.gif "note") Anmerkung: |
|---|
| Wenn Sie zwischen Clients und dem Front-End-Server kein SSL verwenden, ist die Datenübertragung zum Front-End-Server nicht sicher. Es wird dringend empfohlen, den Front-End-Server so einzurichten, dass SSL erforderlich ist. |
Sie sollten nach Möglichkeit ein SSL-Zertifikat von einer Zertifizierungsstelle eines Drittanbieters erwerben. Der Erwerb eines Zertifikats von einer Zertifizierungsstelle ist die bevorzugte Methode, da die meisten Browser viele dieser Zertifizierungsstellen als vertrauenswürdig anerkennen.
Verwenden Sie Microsoft Certificate Server, um Ihre eigenen Zertifizierungsstellen zu installieren. Diese Methode ist zwar unter Umständen kostengünstiger, hat jedoch den Nachteil, dass Browser die Zertifikate nicht als vertrauenswürdig anerkennen und eine entsprechende Warnmeldung angezeigt wird.
Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 320291, "XCCC: Aktivieren von SSL für Exchange 2000 Server Outlook Web Access."
Konfigurieren von SSL in einer Front-End- und Back-End-Topologie
Wenn Sie einen Front-End-Server einsetzen, ist die Konfiguration von SSL auf den Back-End-Servern nicht erforderlich, da der Front-End-Server die Verwendung von SSL zur Kommunikation mit Back-End-Servern nicht unterstützt. Sie können SSL auf Back-End-Servern für Clients konfigurieren, die direkt auf diese zugreifen.
Wenn HTTP für den Datenzugriff verwendet wird, müssen Back-End-Server absolute URLs generieren, wie zum Beispiel eine Liste mit URLs für Nachrichten im Posteingang eines Benutzers. Wenn SSL zwischen dem Client und dem Front-End-Server verwendet wird, muss der Back-End-Server darüber informiert werden, um URLs mit HTTPS anstelle von HTTP zu formulieren. Wenn die SSL-Verschiebung auf dem Front-End-Server abgeschlossen ist, weiß der Front-End-Server, dass SSL verwendet wurde und benachrichtigt den Back-End-Server über einen "Front-End-Https: on"-HTTP-Header, indem er einen HTTP-Header mit dem Hinweis "Front-End-Https: on" in allen Anfragen an den Back-End-Server weiterleitet.
Wenn ein separater Server zwischen dem Client und dem Front-End-Server die SSL-Entschlüsselung verschiebt, weiß der Front-End-Server nicht, dass die ursprüngliche Anfrage unter Verwendung von SSL durchgeführt wurde. In diesem Fall muss der Server in der Lage sein, den "Front-End-Https: on"-Header an den Front-Server zu übergeben, der diesen anschließend an den Back-End-Server zurückgibt. ISA Server bietet dafür Unterstützung. Informationen zu dieser Aktivierung finden Sie im Microsoft Knowledge Base-Artikel 307347, "Sichere OWA-Veröffentlichung hinter ISA Server kann benutzerdefinierten HTTP-Header erfordern."
Alternativ dazu können Sie SSL zwischen dem SSL-Entschlüsselungsserver und dem Front-End-Server konfigurieren. Wenn Sie jedoch einen separaten Server zum Verschieben von zusätzlichem durch SSL-Verschlüsselung und -Entschlüsselung entstandenen Datenverkehr hinzugefügt haben, ist diese Methode nicht geeignet. Bei dieser Methode kann der separate Server weiterhin den Datenverkehr filtern.
SSL-Beschleuniger
Da beim Einrichten von SSL-Verbindungen die Systemleistung abnimmt, können Sie Ihrer Front-End- und Back-End-Topologie einen SSL-Beschleuniger hinzufügen.
Es gibt zwei Arten von SSL-Beschleunigern:
- SSL-Beschleuniger-Netzwerkkarte, die Sie auf jedem Front-End-Server platzieren können.
- Einzelnes Gerät oder Computer, den Sie zwischen den Clients oder den Front-End-Servern platzieren können. Ein Beispiel für diese Beschleuniger ist das Microsoft Internet Security and Acceleration Server 2000 Feature Pack
| Anmerkung: |
|---|
| Informationen zum Konfigurieren des ISA-Servers für Outlook Web Access finden Sie im Microsoft Knowledge Base-Artikel 307347, "Sichere OWA-Veröffentlichung hinter ISA Server kann benutzerdefinierten HTTP-Header erfordern." |
Beschleunigerkarten werden normalerweise direkt auf dem Front-End-Server verwendet und verschiebenden den aufgrund der Ver- und Entschlüsselung entstehenden Datenverkehr. Dadurch wird der Durchsatz jeder einzelnen Verbindung erhöht und die Software auf dem Server entlastet.
Externe Beschleunigergeräte sind zwischen den Clients und den Front-End-Servern positioniert. Der vom Client kommende Datenverkehr wird auf dem Beschleunigergerät entschlüsselt und unverschlüsselt an den Front-End-Server weitergeleitet. Entsprechend wird der Datenverkehr vom Front-End-Server unverschlüsselt an das Beschleunigergerät und dann verschlüsselt an den Client weitergeleitet.
Der wichtigste Aspekt, den Sie bei der Auswahl des SSL-Beschleunigertyps beachten sollten, ist die Anzahl der Front-End-Server in Ihrer Topologie. Wenn Sie wenige Front-End-Server einsetzen, stellt das Hinzufügen von SSL-Beschleunigerkarten eine einfache und kostengünstige Möglichkeit dar, SSL-Aufgaben zu verschieben. Da die SSL-Entschlüsselung auf dem Front-End-Server stattfindet, ist die gesonderte Konfiguration des "Front-End-Https: on"-Headers für Outlook Web Access nicht erforderlich.
Bei einer großen Anzahl von Front-End-Servern sind die Kosten für zusätzliche Beschleunigerkarten und die Verwaltungskosten für das Speichern und Konfigurieren von SSL-Zertifikaten auf allen Servern möglicherweise zu hoch. In diesem Fall stellt ein separates SSL-Beschleunigergerät eine kostengünstigere Option für Ihre Topologie dar, da unabhängig von der Anzahl der Front-End-Server lediglich eine einmalige Konfiguration erforderlich ist. Diese Geräte kosten normalerweise mehr als eine Beschleunigerkarte. Wägen Sie daher die verschiedenen Optionen für Ihre Topologie ab. Beachten Sie, dass es für Outlook Web Access erforderlich ist, dass ein externes SSL-Gerät den Front-End-Server über die Verwendung von SSL mit dem "Front-End-Https: on"-Header informieren muss.
SSL-Verschiebung
Wenn ein separater Server zwischen dem Client und dem Front-End-Server die SSL-Verschlüsselung verschiebt, weiß der Front-End-Server nicht, dass die ursprüngliche Anfrage unter Verwendung von SSL durchgeführt wurde. In diesem Fall muss der Server in der Lage sein, den "Front-End-Https: on"-Header an den Front-Server zu übergeben, der diesen anschließend an den Back-End-Server zurückgibt.
Wenn Ihr Server für die SSL-Verschiebung das Hinzufügen eines benutzerdefinierten Headers nicht unterstützt, können Sie eine ISAP (Internet Server Application Programming Interface) auf dem Front-End-Server installieren, um diesen Header hinzuzufügen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 327800, "How to configure SSL Offloading for Outlook Web Access in Exchange 2000 Server and in Exchange Server 2003". Alternativ dazu können Sie SSL zwischen dem SSL-Entschlüsselungsserver und dem Front-End-Server konfigurieren. Wenn Sie jedoch einen separaten Server zum Verschieben von zusätzlichem durch SSL-Verschlüsselung und -Entschlüsselung entstandenen Datenverkehr hinzugefügt haben, ist diese Methode ungeeignet. Bei dieser Methode kann der separate Server weiterhin den Datenverkehr filtern.
In diesem Fall stellt ein separates SSL-Beschleunigergerät eine kostengünstigere Option für Ihre Topologie dar, da unabhängig von der Anzahl der Front-End-Server lediglich eine einmalige Konfiguration erforderlich ist. Diese Geräte kosten normalerweise mehr als eine Beschleunigerkarte. Wägen Sie daher die verschiedenen Optionen für Ihre Topologie ab. Beachten Sie, dass es für Outlook Web Access erforderlich ist, dass ein externes SSL-Gerät den Front-End-Server über die Verwendung von SSL mit dem "Front-End-Https: on"-Header informieren muss.
Formularbasierte Authentifizierung
Wenn Sie die formularbasierte Authentifizierung mit SSL-Verschiebung verwenden, müssen Sie Ihre Exchange-Front-End-Server für dieses Szenario konfigurieren. Ausführliche Anweisungen finden Sie unter Aktivieren der formularbasierten Authentifizierung bei Verwendung von SSL-Verschiebung.