Konfigurieren von Exchange 2003 für den Clientzugriff

  • Artikel

 

Letztes Änderungsdatum des Themas: 2010-11-19

In diesem Thema finden Sie Informationen zur Konfiguration von Microsoft® Exchange Server 2003 für den Clientzugriff. Insbesondere werden in diesem Thema folgende Vorgänge behandelt:

  • Absichern der Exchange-Messagingumgebung
  • Bereitstellen der Serverarchitektur
  • Konfigurieren der Exchange-Server für die unterstützten Clientzugriffsverfahren

Berechtigungen zum Konfigurieren von Exchange 2003 für den Clientzugriff

Tabelle 1 enthält die erforderlichen Berechtigungen oder Funktionen für die Verfahren, auf die in diesem Thema verwiesen wird.

Tabelle 1   Verfahren und entsprechende Berechtigungen, auf die in diesem Thema verwiesen wird

Verfahren Erforderliche Berechtigungen oder Funktionen

Einrichten von SSL (Secure Sockets Layer) auf einem Server
  • Lokaler Administrator

Anfordern eines Serverzertifikats von der Zertifizierungsstelle
  • Lokaler Administrator

Hinzufügen der Zertifikatverwaltung zu MMC (Microsoft Management Console)
  • Lokaler Administrator

Erstellen einer Sicherungskopie des Serverzertifikats
  • Lokaler Administrator

Anfordern von SSL
  • Lokaler Administrator

Festlegen eines Front-End-Servers
  • Lokaler Administrator

Konfigurieren des Exchange-Front-End-Servers für die Verwendung mit dem Remoteprozeduraufruf (Remote Procedure Call, RPC) über HTTP
  • Lokaler Administrator

Konfigurieren des virtuellen RPC-Verzeichnisses
  • Lokaler Administrator
  • Domänenadministrator

Konfigurieren des RPC-Proxyservers für die Verwendung mit den Standardanschlüssen für RPC über HTTP innerhalb des Unternehmensnetzwerks
  • Lokaler Administrator
  • Domänenadministrator

Konfigurieren der globalen Katalogserver für die Verwendung mit den Standardanschlüssen für RPC über HTTP innerhalb des Umkreisnetzwerks
  • Lokaler Administrator
  • Domänenadministrator

Erstellen eines Microsoft Office Outlook®-Profils für die Verwendung mit RPC über HTTP
  • Keine speziellen Berechtigungen erforderlich

Konfigurieren von Exchange 2003 für die Verwendung mit Microsoft Exchange ActiveSync®
  • Lokaler Administrator

Konfigurieren von Pocket PC Phone Edition-Geräten für die Verwendung mit Exchange ActiveSync
  • Keine speziellen Berechtigungen erforderlich

Überprüfen der Konfiguration von ACE/Agent zum Schutz des gesamten Webservers
  • Lokaler Administrator

Beschränken der SecurID-Authentifizierung auf das virtuelle Microsoft Exchange ActiveSync-Verzeichnis
  • Lokaler Administrator

Konfigurieren benutzerdefinierter HTTP-Antworten für Geräte
  • Lokaler Administrator

Aktivieren von Microsoft Outlook Mobile Access
  • Lokaler Administrator

Konfigurieren von Pocket PC Phone Edition-Geräten für die Verwendung mit Outlook Mobile Access
  • Keine speziellen Berechtigungen erforderlich

Aktivieren der formularbasierten Authentifizierung
  • Lokaler Administrator
  • Exchange-Administrator

Aktivieren der Datenkomprimierung
  • Lokaler Administrator
  • Exchange-Administrator

Starten, Anhalten oder Beenden des virtuellen Servers
  • Lokaler Administrator
  • Exchange-Administrator

Absichern der Exchange-Messagingumgebung

Das Absichern der Exchange-Messagingumgebung umfasst folgende Aktivitäten:

  1. Aktualisieren der Serversoftware
  2. Absichern der Messagingumgebung
  3. Absichern der Kommunikation

Führen Sie zum Absichern des Messagingsystems diese Schritte in der genannten Reihenfolge aus.

Aktualisieren der Serversoftware

Nach der Installation von Exchange Server 2003 sollten Sie die Serversoftware auf den Exchange-Servern sowie allen anderen Servern aktualisieren, mit denen Exchange kommuniziert, z. B. die globalen Katalogserver und die Domänencontroller. Weitere Informationen über das Aktualisieren der Software mit den neuesten Sicherheitspatches finden Sie auf der Exchange Server Security Center-Website (https://go.microsoft.com/fwlink/?LinkId=18412).

Weitere Informationen zur Sicherheit bei Microsoft finden Sie auf der Microsoft-Website für Sicherheit unter (https://www.microsoft.com/germany/sicherheit/default.mspx).

Absichern der Exchange-Messagingumgebung

Als empfohlene Alternative zum Platzieren des Exchange 2003-Front-End-Servers im Umkreisnetzwerk können Sie ISA Server (Microsoft Internet Security and Acceleration) bereitstellen. ISA Server fungieren als erweiterte Firewalls, die den Datenverkehr aus dem Internet in das Netzwerk steuern. Bei dieser Konfiguration platzieren Sie alle Exchange 2003-Server innerhalb des Unternehmensnetzwerks und verwenden ISA Server als erweiterten Firewallserver, der im Umkreisnetzwerk dem Datenverkehr aus dem Internet ausgesetzt ist.

Der gesamte ankommende und an die Exchange-Server gerichtete Internet-Datenverkehr (z. B. Anforderungen aus Microsoft Office Outlook Web Access, Datenübertragungen von Outlook 2003-Clients mit RPC über HTTP, Outlook Mobile Access, mittels POP3 (Post Office Protocol, Version 3), IMAP4 (Internet Message Access Protocol, Version 4, Rev. 1) usw.) wird von ISA Server verarbeitet. Wenn eine Anforderung an einen Exchange-Server bei ISA Server eingeht, wird diese an die geeigneten Exchange-Server im internen Netzwerk weitergeleitet. Die internen Exchange-Server geben die angeforderten Daten an ISA Server zurück, und ISA Server sendet dann die Daten über das Internet an den Client. In Abbildung 1 wird ein Beispiel für eine empfohlene ISA Server-Bereitstellung dargestellt.

ISA Server im Umkreisnetzwerk

Absichern der Kommunikation

Um die Kommunikation für die Exchange-Messagingumgebung abzusichern, müssen Sie folgende Aufgaben ausführen:

  • Absichern der Kommunikation zwischen den Client-Messaginganwendungen und dem Exchange-Front-End-Server
  • Absichern der Kommunikation zwischen dem Exchange-Front-End-Server und dem internen Netzwerk

In den folgenden Abschnitten finden Sie Informationen über das Absichern der Kommunikation in diesen beiden Situationen.

Absichern der Kommunikation zwischen dem Client und dem Exchange-Front-End-Server

Um die Datenübertragung zwischen dem Client und dem Front-End-Server abzusichern, wird dringend empfohlen, den Front-End Server für die Verwendung mit SSL (Secure Sockets Layer) einzurichten. Darüber hinaus sollten Sie den Zugriff auf den Front-End-Server ohne SSL deaktivieren, damit gewährleistet ist, dass Benutzerdaten stets sicher sind (diese Option kann in der SSL-Konfiguration eingerichtet werden). Bei Verwendung der Standardauthentifizierung sollte der Netzwerkverkehr unbedingt durch SSL gesichert werden, um Benutzerkennwörter vor nicht autorisierter Einsichtnahme in Netzwerkpakete zu schützen.

noteAnmerkung:
Wenn Sie zwischen Clients und dem Front-End-Server kein SSL verwenden, ist die HTTP-Datenübertragung zum Front-End-Server nicht sicher. Es wird dringend empfohlen, den Front-End-Server so einzurichten, dass SSL erforderlich ist.

Sie sollten nach Möglichkeit ein SSL-Zertifikat von einer Zertifizierungsstelle eines Drittanbieters erwerben. Der Erwerb eines Zertifikats von einer Zertifizierungsstelle ist die bevorzugte Methode, da die meisten Browser viele dieser Zertifizierungsstellen als vertrauenswürdig anerkennen.

Alternativ dazu können Sie mithilfe der Zertifikatsdienste auch ihre eigenen Zertifizierungsstellen installieren. Diese Methode ist zwar unter Umständen kostengünstiger, hat jedoch den Nachteil, dass Browser die Zertifikate nicht als vertrauenswürdig anerkennen und eine entsprechende Warnmeldung angezeigt wird. Weitere Informationen über SSL finden Sie im Microsoft Knowledge Base-Artikel 320291, „XCCC: Aktivieren von SSL für Exchange 2000 Server Outlook Web Access“ (https://go.microsoft.com/fwlink/?linkid=3052&kbid=320291).

Verwenden von SSL

Um ausgehende und eingehende Nachrichten zu schützen, sollten Sie den Messagingverkehr durch SSL verschlüsseln. Sie können SSL-Sicherheitsfeatures auf einem Exchange-Server konfigurieren, um die Integrität des Inhalt und die Identität der Benutzer zu überprüfen und um Netzwerkübertragungen zu verschlüsseln. Ebenso wie jeder andere Webserver benötigt Exchange zum Einrichten der SSL-Kommunikation ein gültiges Serverzertifikat. Mithilfe des Assistenten für Webserverzertifikate können Sie entweder eine Zertifikatsanforderung generieren (in der Standardeinstellung die Datei NewKeyRq.txt), die Sie an eine Zertifizierungsstelle senden können, oder eine Anforderung für eine Online-Zertifizierungsstelle wie die Zertifikatsdienste.

Sofern Sie nicht über die Zertifikatsdienste ihre eigenen Serverzertifikate ausstellen, muss eine Zertifizierungsstelle eines Drittanbieters die Anforderung genehmigen und das Serverzertifikat ausstellen. Weitere Informationen über Serverzertifikate finden Sie unter „Anfordern und Installieren von Serverzertifikaten“ weiter unten in diesem Thema. Je nach Authentifizierungsstufe des Serverzertifikats kann es mehrere Tage oder sogar Monate dauern, bis die Zertifizierungsstelle die Anforderung genehmigt und Ihnen eine Zertifikatsdatei zusendet. Für jede Website kann nur ein Serverzertifikat ausgestellt werden.

Nachdem Sie eine Zertifikatsdatei erhalten haben, installieren Sie sie mithilfe des Assistenten für Webserverzertifikate. Beim Installationsvorgang wird Ihr Zertifikat mit einer Website verbunden.

Ausführliche Anweisungen finden Sie unter Einrichten von SSL auf einem Server.

Wichtig

Um das vorangehende Verfahren durchführen zu können, müssen Sie Mitglied der Administratorgruppe auf dem lokalen Computer sein bzw. über die entsprechende Berechtigung verfügen. Um optimale Sicherheit zu gewährleisten, sollten Sie bei der Anmeldung an Ihrem Computer ein Konto verwenden, das nicht der Administratorgruppe angehört, und anschließend den Ausführungsbefehl aufrufen, um IIS Manager als Administrator auszuführen. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: runas /user:administrative_accountname "mmc%systemroot%\system32\inetsrv\iis.msc"

Wenn Sie eine 128-Bit-Verschlüsselung benötigen, müssen die Benutzer Webbrowser verwenden, die diese Verschlüsselung unterstützen. Informationen über die Aktualisierung auf eine 128-Bit-Verschlüsselung finden Sie auf der Website des Microsoft-Produktsupports (https://go.microsoft.com/fwlink/?linkid=14898).

Anfordern und Installieren von Serverzertifikaten

Sie können Serverzertifikate von einer externen Zertifizierungsstelle anfordern oder mithilfe der Zertifikatsdienste ihre eigenen Serverzertifikate ausstellen. Nachdem Sie ein Serverzertifikat erhalten haben, können Sie es installieren. Wenn Sie den Assistenten für Webserverzertifikate verwenden, um ein Serverzertifikat anzufordern und zu installieren, wird dieser Vorgang als Erstellung und Zuweisung eines Serverzertifikats bezeichnet.

Ausführliche Anweisungen finden Sie unter Anfordern eines Serverzertifikats von der Zertifizierungsstelle.

In diesem Abschnitt wird erläutert, welche Aspekte bei der Entscheidung darüber, ob Serverzertifikate von einer externen Zertifizierungsstelle bezogen oder eigene ausgestellt werden sollten, zu berücksichtigen sind. Dieser Abschnitt enthält die folgenden Themen:

  • Anfordern von Serverzertifikaten von einer Zertifizierungsstelle
  • Ausstellen eigener Serverzertifikate
  • Installieren von Serverzertifikaten
  • Sichern von Serverzertifikaten

Anfordern von Serverzertifikaten von einer Zertifizierungsstelle

Wenn Sie Ihr aktuelles Serverzertifikat ersetzen, verwendet IIS das Zertifikat weiterhin so lange, bis die neue Anforderung abgeschlossen ist. Bei der Wahl einer Zertifizierungsstelle sollten Sie folgende Fragen berücksichtigen:

  • Ist die Zertifizierungsstelle in der Lage ein Zertifikat auszustellen, das mit allen Browsern kompatibel ist, die für den Zugriff auf den Server verwendet werden?
  • Ist die Zertifizierungsstelle eine anerkannte und vertrauenswürdige Organisation?
  • Wie überprüft die Zertifizierungsstelle meine Identität?
  • Verfügt die Zertifizierungsstelle über ein System zum Empfang von Online-Zertifikatsanforderungen, z. B. Anforderungen, die vom Assistenten für Webserverzertifikate generiert wurden?
  • Wie hoch sind die anfänglichen Zertifikatskosten, und was kosten Erneuerungen oder andere Dienste?
  • Ist die Zertifizierungsstelle mit meiner Organisation und ihren Geschäftsinteressen vertraut?
noteAnmerkung:
Einige Zertifizierungsstellen verlangen einen Identitätsnachweis, bevor sie die Anforderung verarbeiten und ein Zertifikat ausstellen.

Ausstellen eigener Serverzertifikate

Bei der Entscheidung, ob Sie Ihre eigenen Zertifikate ausstellen, sollten Sie Folgendes beachten:

  • Beachten Sie, dass die Zertifikatsdienste unterschiedliche Zertifikatsformate berücksichtigen und zertifikatsbezogene Aktivitäten überwachen und protokollieren können.
  • Vergleichen Sie die Kosten, die mit dem Ausstellen eigener Zertifikate verbunden sind, mit den Kosten für den Erwerb eines Zertifikats von einer Zertifizierungsstelle.
  • Denken Sie daran, dass in Ihrer Organisation eine Einführungsphase benötigt wird, um die Zertifikatsdienste zu verstehen, zu implementieren und sie auf die vorhandenen Sicherheitssysteme und -richtlinien abzustimmen.
  • Schätzen Sie die Bereitschaft Ihrer Kunden ein, Ihrer Organisation als Zertifikatsanbieter zu vertrauen.

Verwenden Sie die Zertifikatsdienste, um einen anpassbaren Dienst zur Ausstellung und Verwaltung von Zertifikaten zu erstellen. Sie können Serverzertifikate für das Internet bzw. für Unternehmens-Intranets erstellen und Ihrer Organisation die vollständige Kontrolle über die Richtlinien der Zertifikatverwaltung einräumen. Weitere Information finden Sie unter „Zertifikatsdienste“ in der Windows Server™ 2003-Hilfe.

Onlineanforderungen für Serverzertifikate können nur an lokale und entfernte Enterprise-Zertifikatsdienste sowie entfernte eigenständige Zertifikatsdienste gesendet werden. Der Assistent für Webserverzertifikate erkennt keine eigenständige Installation der Zertifikatsdienste auf demselben Computer, wenn er ein Zertifikat anfordert. Wenn Sie den Assistenten für Webserverzertifikate auf demselben Computer verwenden müssen, auf dem sich auch eine eigenständige Installation der Zertifikatsdienste befindet, verwenden Sie die Offline-Zertifikatsanforderung, um die Anforderung in einer Datei zu speichern und anschließend als Offline-Anforderung zu verarbeiten. Weitere Information finden Sie unter „Zertifikatsdienste“ in der Windows Server 2003-Hilfe.

noteAnmerkung:
Wenn Sie ein SGC-Zertifikat (Server Gated Cryptography) öffnen, wird auf der Registerkarte Allgemein möglicherweise folgende Meldung angezeigt: Keiner der beabsichtigten Zwecke dieses Zertifikats konnte bestätigt werden. Diese Meldung wird aufgrund der Interaktion von SGC-Zertifikaten mit Microsoft Windows® ausgegeben. Sie stellt keinen Indikator dafür dar, dass das Zertifikat möglicherweise nicht ordnungsgemäß funktioniert.

Installieren von Serverzertifikaten

Nachdem Sie von einer Zertifizierungsstelle ein Serverzertifikat erhalten bzw. mithilfe der Zertifikatsdienste ein eigenes erstellt haben, verwenden Sie den Assistenten für Webserverzertifikate, um es zu installieren.

Sichern von Serverzertifikaten

Sie können mit dem Assistenten für Webserverzertifikate eine Sicherungskopie von Serverzertifikaten erstellen. Da IIS eng mit Windows zusammenarbeitet, können Sie die Zertifikatverwaltung verwenden, die in Microsoft Management Console (MMC) Zertifikate genannt wird, um Serverzertifikate zu exportieren und eine Sicherungskopie zu erstellen.

Detaillierte Anweisungen zum Hinzufügen der Zertifikatverwaltung in eine leere MMC finden Sie unter Hinzufügen der Zertifikatverwaltung zu MMC (Microsoft Management Console).

Nachdem Sie die Zertifikatverwaltung installiert haben, können Sie eine Sicherungskopie des Zertifikats erstellen. Ausführliche Anweisungen finden Sie unter Sichern des Serverzertifikats.

Nachdem Sie Ihr Netzwerk für die Ausstellung von Serverzertifikaten konfiguriert haben, müssen Sie den Exchange-Front-End-Server und die Dienste für den Exchange-Server abssichern, indem Sie für die Kommunikation mit dem Exchange-Front-End-Server SSL voraussetzen. Im folgenden Abschnitt wird beschrieben, wie Sie SSL für die Standardwebsite aktivieren.

Aktivieren von SSL für die Standardwebsite

Wenn Sie über ein SSL-Zertifikat verfügen, das mit dem Exchange-Front-End-Server auf der Standardwebsite bzw. auf der Website, auf der Sie die virtuellen Verzeichnisse \RPC, \OMA, \Microsoft-Server-ActiveSync, \Exchange, \Exchweb und \Public verwalten, verwendet werden kann, können Sie für die Standardwebsite SSL aktivieren.

Einzelheiten finden Sie unter Konfigurieren virtueller Verzeichnisse für SSL.

noteAnmerkung:
Die virtuellen Verzeichnisse \Exchange, \Exchweb, \Public, \OMA und \Microsoft-Server-ActiveSync werden bei jeder Exchange 2003-Installation als Standard installiert. Das virtuelle Verzeichnis \RPC für RPC über HTTP wird manuell installiert, wenn Sie Exchange für die Unterstützung von RPC über HTTP konfigurieren. Weitere Informationen über das Einrichten von Exchange zur Verwendung von RPC über HTTP finden Sie unter „Exchange Server 2003 RPC over HTTP Deployment Scenarios“ (https://go.microsoft.com/fwlink/?LinkId=47577).

Daraufhin sind alle virtuellen Verzeichnisse auf dem Exchange-Front-End-Server auf der Standardwebsite für die Verwendung mit SSL konfiguriert.

Absichern der Kommunikation zwischen dem Exchange-Front-End-Server und anderen Servern

Nachdem Sie die Kommunikation zwischen den Clientcomputern und den Exchange-Front-End-Servern abgesichert haben, müssen Sie dies auch für die Kommunikation zwischen dem Exchange-Front-End-Server und den Back-End-Servern in Ihrer Organisationen vornehmen. Bei Verwendung von HTTP, POP und IMAP wird die Datenübertragung zwischen dem Front-End-Server und einem beliebigen anderen Server, mit dem der Front-End-Server kommuniziert (beispielsweise Back-End-Server, Domänencontroller und globale Katalogserver), nicht verschlüsselt. Wenn der Front-End- und Back-End-Server sich in einem vertrauenswürdigen physischen oder vermittelten Netzwerk befinden, ist die fehlende Verschlüsselung nicht von Bedeutung. Wenn Sie sich aber in separaten Subnets befinden, erfolgt der Netzwerkverkehr unter Umständen über unsichere Netzwerkbereiche. Das Sicherheitsrisiko nimmt zu, wenn zwischen dem Front-End- und Back-End-Server eine größere physische Distanz besteht. In diesem Fall ist es empfehlenswert, den Netzwerkverkehr zu verschlüsseln, um Kennwörter und Daten zu schützen.

Verschlüsseln des IP-Verkehrs mit IPSec

Windows 2000 unterstützt IPSec (Internet Protocol Security). Dieser Internetstandard ermöglicht es einem Server, den gesamten IP-Verkehr zu verschlüsseln, mit Ausnahme von Datenübertragungen, die Broadcast- oder Multicast-IP-Adressen verwenden. Im Allgemeinen wird IPSec zur Verschlüsselung von HTTP-Verkehr verwendet. Mit IPSec können jedoch auch Datenübertragungen mittels LDAP (Lightweight Directory Access Protocol), RPC, POP und IMAP verschlüsselt werden. IPSec ermöglicht Folgendes:

  • Konfigurieren von zwei Servern, auf denen Windows 2000 ausgeführt wird, für die Verwendung mit vertrauenswürdigem Netzwerkzugriff.
  • Übertragen von Daten, die schreibgeschützt sind (mithilfe einer kryptografischen Prüfsumme auf jedem Paket).
  • Verschlüsseln von Datenübertragungen zwischen beiden Servern auf der IP-Ebene.

In einer Front-End-/Back-End-Topologie können Sie mithilfe von IPSec den Datenverkehr zwischen dem Front-End- und Back-End-Server verschlüsseln, der ansonsten nicht verschlüsselt würde. Weitere Informationen zum Konfigurieren von IPSec mit Firewalls finden Sie im Microsoft Knowledge Base-Artikel 233256, "Aktivieren von IPSec-Verkehr über eine Firewall" (https://go.microsoft.com/fwlink/?linkid=3052&kbid=233256).

Bereitstellen der Exchange-Serverarchitektur

Nachdem Sie die Exchange-Messagingumgebung abgesichert haben, können Sie die Exchange-Front-End- und Back-End-Serverarchitektur bereitstellen. Weitere Informationen über die Exchange-Front-End- und Back-End-Serverarchitektur finden Sie im Handbuch Planen eines Exchange 2003-Messagingsystems unter "Protokolle" (https://go.microsoft.com/fwlink/?linkid=47584).

Für die Konfiguration der Exchange-Front-End- und -Back-End-Serverarchitektur müssen Sie einen Exchange-Server als Front-End-Server konfigurieren. Bevor Sie die Installation fortsetzen, sollten Sie die Bereitstellungsoptionen überprüfen. Der folgende Abschnitt bietet eine Hilfestellung bei der Entscheidung, ob Sie Exchange 2003 in einer Front-End- und Back-End-Serverkonfiguration bereitstellen.

Eine Front-End- und Back-End-Konfiguration empfiehlt sich für Organisationen mit mehreren Servern, die Outlook Web Access, POP oder IMAP verwenden, sowie für Organisationen, die ihren Mitarbeitern HTTP-, POP- oder IMAP-Zugriff bereitstellen möchten.

Konfigurieren eines Front-End-Servers

Ein Front-End-Server ist zunächst einmal ein gewöhnlicher Exchange-Server, bis er entsprechend konfiguriert wird. Ein Front-End-Server darf keine Benutzer oder öffentlichen Ordner verwalten und muss ein Mitglied derselben Exchange 2003-Organisation sein wie die Back-End-Server (d. h. ein Mitglied derselben Gesamtstruktur von Windows 2000 Server bzw. Windows Server 2003). Server, auf denen Exchange Server 2003 Enterprise Edition oder Exchange Server 2003 Standard Edition ausgeführt wird, können als Front-End-Server konfiguriert werden.

Genaue Anweisungen finden Sie unter „How to Designate a Front-End Server“ im Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Server Topology Guide (https://go.microsoft.com/fwlink/?LinkId=47567).

Um den Server als Front-End-Server zu verwenden, müssen Sie ihn neu starten. Weitere Informationen über Front-End- und Back-End-Szenarien, Konfigurationen und Installationen finden Sie in den folgenden Handbüchern:

Konfigurieren von Exchange für den Clientzugriff

Das Konfigurieren von Exchange für den Clientzugriff beinhaltet das Konfigurieren von Exchange für die Verarbeitung der Protokolle und Clients, die Sie unterstützen möchten. Im folgenden Abschnitt wird erläutert, wie Sie die Clientprotokolle aktivieren, die von Exchange auf dem Exchange-Server unterstützt werden. Dieser Abschnitt enthält die folgenden Themen:

  • Konfigurieren der Unterstützung mobiler Geräte
  • Konfigurieren von Outlook Web Access
  • Aktivieren virtueller POP3- und IMAP4-Server

Informationen zum Konfigurieren von RPC über HTTP für Outlook 2003 finden Sie unter Bereitstellungsszenarien für Exchange Server 2003 - RPC über HTTP (https://go.microsoft.com/fwlink/?LinkId=47577).

Konfigurieren der Unterstützung mobiler Geräte

Das Konfigurieren der Unterstützung mobiler Geräte für Exchange 2003 umfasst folgende Aktivitäten:

  • Konfigurieren der Synchronisierung
  • Konfigurieren von Exchange ActiveSync für die Verwendung mit RSA SecurID
  • Aktivieren von Outlook Mobile Access

Konfigurieren der Synchronisierung

Bei der Standardinstallation von Exchange wird der Synchronisierungszugriff auf Exchange für alle Benutzer in der Organisation aktiviert. Sie können den Synchronisierungszugriff auch mit dem Active Directory-Benutzer und -Computer-Snap-In für einzelne Benutzer aktivieren.

Konfigurieren von Exchange ActiveSync

Exchange ActiveSync kann auf Organisationsebene und auf Benutzerebene von Exchange aktiviert und deaktiviert werden.

Ausführliche Informationen zum Aktivieren bzw. Deaktivieren von ActiveSync auf Organisationsebene finden Sie unter Aktivieren oder Deaktivieren von Exchange ActiveSync-Funktionen auf Organisationsebene.

Informationen zum Aktivieren bzw. Deaktivieren von Exchange ActiveSync für einzelne Benutzer finden Sie unter Aktivieren oder Deaktivieren von Exchange ActiveSync-Funktionen auf Benutzerebene.

Nachdem Sie Exchange ActiveSync aktiviert haben, können Sie für die Verwendung von Exchange ActiveSync ein mobiles Gerät konfigurieren, z. B. ein Pocket PC Phone Edition-Gerät. Führen Sie diese Schritte auf jedem mobilen Gerät in Ihrer Organisation durch. Sie können Ihren Benutzern auch Anweisungen zur Konfiguration ihrer eigenen Geräte geben.

Ausführliche Anleitungen finden Sie unter Konfigurieren eines Mobilgeräts für Exchange ActiveSync.

Aktuelle Benachrichtigungen

Microsoft Windows Mobile™ 2003-Geräte können Benachrichtigungen empfangen, die von Exchange 2003 generiert wurden und die Exchange ActiveSync-Synchronisierung zwischen dem Gerät eines Benutzers und dessen Exchange-Postfach initiieren. Diese Synchronisation ermöglicht es, dass die mobilen Geräte der Benutzer auf den neuesten Stand der Exchange-Informationen gebracht werden. Ausführliche Anleitungen finden Sie unter Angeben eines Mobilfunkbetreibers für die Aktualisierungsbenachrichtigungen für ein Gerät.

Konfigurieren von Exchange ActiveSync für die Verwendung mit RSA SecurID

Als zusätzliche Sicherheitsmaßnahme können Sie Microsoft Windows Mobile-Geräte mit Exchange ActiveSync in Verbindung mit der Zweifaktor-Authentifizierung von RSA SecurID verwenden.

noteAnmerkung:
Für die Unterstützung von RSA SecurID wird keine zusätzliche Gerätekonfiguration benötigt. Bei der Synchronisierung mit einem Exchange ActiveSync-Server, der durch RSA SecurID geschützt ist, schlägt das Gerät automatisch die richtige Authentifizierung vor.

Die Verwendung von RSA SecurID mit Exchange ActiveSync umfasst folgende Schritte:

  1. Einrichten der RSA SecurID-Serverkomponenten
  2. Konfigurieren von Internet Information Server (IIS) für die Verwendung mit RSA SecurID
  3. Einrichten von Benutzerkonten
  4. Konfigurieren von ISA Server 2000

Einrichten der RSA SecurID-Serverkomponenten

Zur Konfiguration der RSA SecurID-Serverkomponenten müssen Sie folgende Aufgaben ausführen:

  • Einrichten des RSA ACE/Server   Der RSA ACE/Server ist der RSA-Server, auf dem sich die Authentifizierungstickets und -berechtigungen Ihrer Benutzer befinden und verwaltet werden. Um den RSA ACE/Server einzurichten, folgen Sie den Anleitungen in der Dokumentation zu RSA SecurID, die durch die RSA Security Inc. bereitgestellt wird.
  • Einrichten des RSA ACE/Agent auf dem Front-End-Server   Der RSA ACE/Agent ist der ISAPI-Filter (Internet Server Application Programming Interface), der die Authentifizierung durchführt und die SecurID-Berechtigungen vom ACE/Server abruft. Um den RSA ACE/Agent einzurichten, folgen Sie den Anweisungen in der Dokumentation zu RSA.

Konfigurieren von IIS für die Verwendung mit RSA SecurID

Die Konfiguration von IIS für RSA und Exchange ActiveSync umfasst folgende Aufgaben:

  1. Schützen der virtuellen Exchange ActiveSync-Verzeichnisse
  2. Anpassen der benutzerdefinierten HTTP-Antwortheader
  3. Installieren von SecurID-Bildschirmen (optional) Informationen zum Installieren dieser Bildschirme finden Sie in der Dokumentation zu RSA SecurID.

Führen Sie diese Schritte aus, um IIS für SecurID- und Exchange ActiveSync-Operationen zu konfigurieren.

Schützen der virtuellen Exchange ActiveSync-Verzeichnisse

Der erste Schritt bei der Konfiguration von IIS besteht darin, die virtuellen Verzeichnisse zu schützen, auf die die Benutzer bei Verwendung von Exchange ActiveSync zugreifen. Exchange Server 2003 verwendet das virtuelle Verzeichnis \Microsoft-Server-ActiveSync.

Sie können dieses virtuelle Verzeichnis auf eine der beiden folgenden Arten schützen:

  • Schützen des gesamten Webservers (empfohlen)   Durch diese Option schützen Sie alle virtuellen Stammverzeichnisse auf dem IIS-Server mit RSA ACE/Agent, einschließlich aller anderen Dienste, die vom Front-End-Server bereitgestellt werden. Beispielsweise kann es sein, dass Sie den Exchange-Front-End-Server als Zugriffspunkt für Outlook Mobile Access oder Outlook Web Access konfiguriert haben. Der ACE/Agent wird als Standard zum Schutz des gesamten Webservers konfiguriert. Ausführliche Anleitungen zum Überprüfen dieses Vorgangs finden Sie unter Überprüfen der Konfiguration von ACE/Agent zum Schutz des gesamten Webservers.
  • Schützen nur virtueller Exchange ActiveSync-Verzeichnisse   Durch diese Option konfigurieren Sie den RSA ACE/Agent so, dass nur Exchange ActiveSync durch SecurID geschützt wird. Verwenden Sie diese Option, wenn Sie beabsichtigen, weitere Dienste wie Outlook Web Access und Outlook Mobile Access auf demselben Server zu aktivieren, ohne diese Dienste mit SecurID zu schützen. Ausführliche Anleitungen finden Sie unter Beschränken der SecurID-Authentifizierung auf das virtuelle Microsoft Exchange ActiveSync-Verzeichnis.

Anpassen des HTTP-Antwortheaders für Geräte

Der ActiveSync-Client auf dem Microsoft Windows Mobile-Gerät muss in der Lage sein, zwischen der RSA SecurID-Authentifizierung und Exchange ActiveSync-Antworten zu unterscheiden. Um diese Funktion zu aktivieren, müssen Sie benutzerdefinierte HTTP-Antwortheader im virtuellen WebID-Stammverzeichnis konfigurieren, das die vom RSA ACE/Agent konfigurierten HTML-Formulare enthält.

Ausführliche Anleitungen finden Sie unter Konfigurieren von benutzerdefinierten HTTP-Antworten für Geräte.

Einrichten von Benutzerkonten

Die Benutzerkonten für SecurID sollten vom Administrator wie in der Produktdokumentation zu RSA SecurID empfohlen mit folgender Beschränkung eingerichtet werden:

  • Für alle Benutzer muss die SecurID-Benutzer-ID an den Namen des Windows-Kontos angepasst werden. Exchange ActiveSync mit SecurID funktioniert nicht für Benutzer, deren definierte RSA-Benutzer-ID nicht dem Namen des Windows-Kontos entspricht.

Konfigurieren von ISA Server 2000

ISA Server 2000 Feature Pack 1 und die RSA SecurID-Technologie sind auf dem ISA Server integriert. Derzeit wird die Verwendung von RSA SecurID mit ISA Server 2000 Feature Pack 1 nicht unterstützt. Sie können RSA SecurID zwar mit ISA Server 2000 Feature Pack 1 bereitstellen, müssen aber den ISA Server für die Verwendung der Durchsatzauthentifizierung konfigurieren. In diesem Szenario erfolgt die RSA-Authentifizierung immer noch am Front-End-Server, nicht am ISA Server. Informationen zur Aktivierung der Durchsatzauthentifizierung finden Sie in der Dokumentation zu ISA Server 2000.

Aktivieren von Outlook Mobile Access

Die Verwendung von Exchange ActiveSync und Outlook Mobile Access wird als Standard für alle Benutzer aktiviert. Auf dem Exchange-Server wird jedoch nur Exchange ActiveSync aktiviert. Outlook Mobile Access ist in der Standardeinstellung deaktiviert. In diesem Abschnitt wird beschrieben, wie Sie Outlook Mobile Access auf dem Exchange-Server aktivieren.

Führen Sie die folgenden Schritte durch, um die Verwendung von Outlook Mobile Access für die Exchange 2003-Benutzer zu aktivieren:

  1. Konfigurieren Sie den Exchange 2003-Front-End-Server für Outlook Mobile Access.
  2. Aktivieren Sie Outlook Mobile Access auf dem Exchange-Server.
  3. Konfigurieren Sie die Benutzergeräte für die Verwendung einer Mobilverbindung.
  4. Weisen Sie die Benutzer in die Verwendung von Outlook Mobile Access ein.

Schritt 1: Konfigurieren des Exchange 2003-Front-End-Servers für Outlook Mobile Access

In der Standardeinstellung wird das virtuelle Verzeichnis von Outlook Mobile Access (das den Benutzern Zugriff auf Exchange von einem mobilen Gerät ermöglicht) mit Exchange 2003 installiert. Dieses virtuelle Verzeichnis verfügt über die gleichen Funktionen und Konfigurationseinstellungen wie das virtuelle Verzeichnis von Outlook Web Access. Wenn Sie einen Server für die Verwendung mit Outlook Mobile Access konfigurieren, sollten Sie den Server wie einen Server für Outlook Web Access konfigurieren. Informationen zur Konfiguration der Exchange 2003-Server für die Verwendung mit Outlook Web Access finden Sie im Handbuch Using Microsoft Exchange 2000 Front-End Servers (https://go.microsoft.com/fwlink/?linkid=14575).

Schritt 2: Aktivieren von Outlook Mobile Access auf dem Exchange-Server

Nachdem Sie den Front-End-Server für die Verwendung mit Outlook Mobile Access konfiguriert haben, müssen Sie Outlook Mobile Access auf den Exchange-Servern aktivieren. Outlook Mobile Access kann auf Organisationsebene und auf Benutzerebene aktiviert werden.

Ausführliche Informationen zum Aktivieren von Outlook Mobile Access auf Organisationsebene finden Sie unter Aktivieren oder Deaktivieren von Outlook Mobile Access auf Organisationsebene.

Nach der Aktivierung von Outlook Mobile Access können Sie die Einstellungen von Outlook Mobile Access für Benutzer oder Benutzergruppen mithilfe des Snap-Ins Active Directory-Benutzer und -Computers ändern. Genaue Anweisungen zur Aktivierung von Outlook Mobile Access auf der Benutzerebene finden Sie unter Aktivieren oder Deaktivieren von Outlook Mobile Access auf Benutzerebene.

Schritt 3: Konfigurieren der Benutzergeräte für die Verwendung einer Mobilverbindung

Damit Benutzer mit Outlook Mobile Access auf Exchange 2003 zugreifen können, müssen Sie über ein Mobilgerät eines Mobilnetzbetreibers verfügen, der ein Datennetzwerk für Mobildaten aufgebaut hat. Bevor die Benutzer eine Verbindung mit Exchange 2003 herstellen und Outlook Mobile Access oder Exchange ActiveSync über eine Mobilverbindung verwenden, sollten Sie die Benutzer über die ordnungsgemäße Konfiguration der Geräte für die Verwendung eines Mobilnetzwerks informieren oder entsprechende Ressourcen zur Verfügung stellen. Weitere Informationen zum Konfigurieren von mobilen Geräten und Exchange ActiveSync finden Sie unter Konfigurieren eines Mobilgeräts für Exchange ActiveSync.

Schritt 4: Einweisen der Benutzer in die Verwendung von Outlook Mobile Access

Nachdem Sie Exchange 2003 für Outlook Mobile Access konfiguriert haben und die Benutzer über Mobilgeräte verfügen, die über ein Mobilnetzwerk auf Exchange 2003-Server zugreifen können, benötigen die Benutzer Informationen, wie sie auf den Exchange-Server zugreifen und Outlook Mobile Access verwenden können. Genaue Anweisungen zur Konfiguration eines auf Pocket PC basierenden mobilen Geräts zur Verwendung mit Outlook Mobile Access finden Sie unter Zugreifen auf Exchange-Daten mithilfe von Outlook Mobile Access.

Konfigurieren von Outlook Web Access

Outlook Web Access wird nach der Installation von Exchange 2003 als Standard für alle Benutzer aktiviert. Sie können jedoch folgende Funktionen für Outlook Web Access aktivieren:

  • Formularbasierte Authentifizierung
  • Outlook Web Access-Komprimierung

Formularbasierte Authentifizierung

Sie können eine neue Anmeldeseite für Outlook Web Access aktivieren, in der die Namen und Kennwörter der Benutzer nicht im Browser, sondern in einem Cookie gespeichert werden. Beim Schließen des Browsers wird das Cookie gelöscht. Zusätzlich wird das Cookie auch nach einem bestimmten Zeitraum der Inaktivität des Benutzers gelöscht. Auf der neuen Anmeldeseite müssen Benutzer entweder ihren Domänen- und Benutzernamen (im Format Domäne\Benutzername) sowie das Kennwort oder die E-Mail-Adresse und das Kennwort ihres Benutzerprinzipalnamens (UPN – User Principal Name) eingeben, um auf ihre E-Mail-Nachrichten zugreifen zu können.

Zum Aktivieren der Anmeldeseite von Outlook Web Access müssen Sie auf dem Server die formularbasierte Authentifizierung aktivieren. Ausführliche Anweisungen finden Sie unter Aktivieren der formularbasierten Authentifizierung.

Outlook Web Access-Komprimierung

Outlook Web Access unterstützt eine Datenkomprimierung, die für langsame Netzwerkverbindungen optimal ist. Je nach verwendeter Komprimierungseinstellung komprimiert Outlook Web Access statische und/oder dynamische Webseiten. Ausführliche Anweisungen finden Sie unter Aktivieren der Outlook Web Access-Datenkomprimierung.

In Tabelle 4 sind die bei Exchange Server 2003 für Outlook Web Access verfügbaren Komprimierungseinstellungen aufgeführt.

Tabelle 4   Für Outlook Web Access verfügbare Komprimierungseinstellungen

Komprimierungseinstellung Beschreibung

Hoch

Statische und dynamische Seiten werden komprimiert.

Niedrig

Nur statische Seiten werden komprimiert.

Keine

Es wird keine Komprimierung verwendet.

Datenkomprimierung macht sich für Benutzer mit langsameren Netzwerkverbindungen, z. B. herkömmliche DFÜ-Verbindungen, in Leistungssteigerungen von bis zu 50 % bemerkbar.

Anforderungen für die Outlook Web Access-Komprimierung

Wenn Sie Datenkomprimierung für Outlook Web Access in Exchange Server 2003 verwenden möchten, müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  • Der Exchange-Server für die Benutzerauthentifizierung für Outlook Web Access muss unter Windows Server 2003 ausgeführt werden.

  • Die Postfächer der Benutzer müssen sich auf Exchange 2003-Servern befinden. (Bei einer gemischten Exchange-Postfachumgebung können Sie auf dem Exchange-Server einen eigenen virtuellen Server nur für Exchange 2003-Benutzer erstellen und auf diesem die Komprimierung aktivieren.)

  • Auf Clientcomputern muss Internet Explorer, Version 6 oder höher, ausgeführt werden. Außerdem muss auf den Computern Windows XP oder Windows 2000 ausgeführt werden, und es muss die Sicherheitsaktualisierung installiert sein, die im Microsoft Security Bulletin MS02-066, „Cumulative Patch for Internet Explorer (Q328970)“ (https://go.microsoft.com/fwlink/?LinkId=16694) erläutert wird.

    noteAnmerkung:
    Wenn ein Benutzer einen Browser verwendet, für den keine Komprimierung unterstützt wird, funktioniert der Client dennoch ordnungsgemäß.

  • Für bestimmte DFÜ-Verbindungen müssen Sie u. U. die HTTP 1.1-Unterstützung über Proxyserver aktivieren. (HTTP 1.1-Unterstützung ist für eine ordnungsgemäße Funktionsweise der Komprimierung erforderlich.)

Aktivieren virtueller POP3- und IMAP4-Server

Bei einer Neuinstallation von Exchange Server 2003 sind die virtuellen POP3- und IMAP4-Server als Standard deaktiviert. Um die virtuellen POP3- und IMAP4-Server zu aktivieren, müssen Sie zunächst das Services-Snap-In für MMC verwenden und die Dienste für den automatischen Start einrichten. Wenn Sie die Dienste für den automatischen Start einrichten und sie danach starten, anhalten oder beenden müssen, verwenden Sie den Exchange-System-Manager. Ausführliche Anweisungen finden Sie unter Starten, Anhalten oder Beenden eines virtuellen Servers.

noteAnmerkung:
Informationen zur Aktivierung von IMAP4 und POP3 und zum Hinzufügen dieser Ressourcen zu einem Exchange-Cluster finden Sie im Technischen Referenzhandbuch für Exchange Server 2003 unter „Verwalten von Exchange-Clustern“ (https://go.microsoft.com/fwlink/?LinkId=47617).