Grundlegendes zur Sicherheit für Outlook Anywhere
Gilt für: Exchange Server 2010
Letztes Änderungsdatum des Themas: 2009-11-20
Zum Sichern von Outlook Anywhere (zuvor bekannt als RPC-über-HTTP) stehen mehrere Methoden zur Verfügung. In einer Microsoft Exchange Server 2010-Messagingumgebung, die für Outlook Anywhere aktiviert ist, können Benutzer über das Internet auf Exchange zugreifen. Wenn ein Benutzer mithilfe von Outlook Anywhere über das Internet auf sein Postfach zugreift, erkennt der AutoErmittlungsdienst bei jedem Erstellen oder Aktualisieren des Outlook-Profils automatisch die Outlook-Profilinformationen und stellt dem Benutzer Zugriff auf Exchange-Webdienste bereit. Hierzu gehören das Offlineadressbuch, der Verfügbarkeitsdienst und Unified Messaging. Da der Datenverkehr im Internet anfällig für Abfangen und Angriffe ist, wird empfohlen, eine Sicherheitsstrategie mit so vielen Sicherheitsoptionen wie möglich in Betracht zu ziehen.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Outlook Anywhere gibt? Informationen hierzu finden Sie unter Verwalten von Outlook Anywhere.
Inhalt
Verwenden eines erweiterten Firewallservers für Outlook Anywhere
Verwenden von SSL mit Outlook Anywhere
Wählen einer SSL-Bereitstellungsoption für Outlook Anywhere
Verwenden der SSL-Verschiebung für Outlook Anywhere
Konfigurieren der Authentifizierung für Outlook Anywhere
Grundlegendes zur Authentifizierung für Outlook Anywhere und das virtuelle RPC-Verzeichnis
Verwenden eines erweiterten Firewallservers für Outlook Anywhere
Durch die Verwendung eines erweiterten Firewallservers, z. B. Microsoft Internet Security and Acceleration (ISA) Server 2006, wird die Sicherheit für Ihre Outlook Anywhere-Bereitstellung erhöht. ISA Server 2006 bietet einen Installationsassistenten, mit dem Sie ISA Server 2006 für Exchange 2010 für die Zusammenarbeit mit Outlook Anywhere konfigurieren können. Weitere Informationen finden Sie unter Verwenden von ISA Server mit Outlook Anywhere.
Verwenden von SSL mit Outlook Anywhere
Wenn Sie Outlook Anywhere für den Zugriff auf Exchange-Informationen über das Internet verwenden, müssen Sie ein gültiges SSL-Zertifikat (Secure Sockets Layer) installieren, das von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt wurde, die für das Betriebssystem des Clientcomputers vertrauenswürdig ist. Weitere Informationen zum Verwenden von SSL-Zertifikaten für den Clientzugriff finden Sie unter Grundlegendes zu digitalen Zertifikaten und SSL. Weitere Informationen zum Verwenden von SSL mit Outlook Anywhere finden Sie unter Konfigurieren von SSL für Outlook Anywhere.
Für Outlook 2007- und Outlook 2010-Clients außerhalb der Organisation bietet Outlook Anywhere Konnektivität mit der Exchange-Organisation. In diesem Fall verwendet Outlook 2007 bzw. Outlook 2010 DNS (Domain Name System) für die Suche nach Informationen zur Verbindungsherstellung mit dem AutoErmittlungsdienst. Da bei DNS das potenzielle Risiko verschiedener böswilliger Angriffe besteht, fordern Outlook 2007 und Outlook 2010 Informationen des AutoErmittlungsdiensts nur von zwei URL-Kombinationen aus an, die durch SSL gesichert sind.
Bei einer Organisation namens "www.contoso.com", deren E-Mail-Adressen vom Namen der Hauptwebsite abgeleitet werden (z. B. "kwekua@contoso.com"), sehen die beiden URL-Kombinationen beispielsweise folgendermaßen aus:
- Outlook unternimmt den ersten Versuch mit der URL https://contoso.com/autodiscover/autodiscover.xml.
- Wenn der AutoErmittlungsdienst mit der ersten URL nicht gefunden werden kann, versucht es Outlook mit der URL https://autodiscover.contoso.com/autodiscover/autodiscover.xml.
Nach oben
Wählen einer SSL-Bereitstellungsoption für Outlook Anywhere
Es gibt verschiedene Möglichkeiten zur Verwendung von SSL (Secure Sockets Layer) zur Sicherung der Kommunikation zwischen Outlook 2007- und Outlook 2010-Clients und dem AutoErmittlungsdienst. Bei Outlook Anywhere fragen Outlook-Clients DNS für den Verbindungspunkt des AutoErmittlungsdiensts ab. Es empfiehlt sich, das Feld Alternativer Antragstellername in Ihrem SSL-Zertifikat zu verwenden, um die Kommunikation zwischen Clients und dem Clientzugriffsserver zu sichern, auf dem der AutoErmittlungsdienst gehostet wird. Weitere Informationen zum Konfigurieren des alternativen Antragstellernamens für ein SSL-Zertifikat finden Sie unter Konfigurieren von SSL-Zertifikaten zur Verwendung mehrerer Hostnamen für Clientzugriffsserver.
Alternativ können auch mehrere SSL-Zertifikate verwendet werden. Weitere Informationen finden Sie unter Konfigurieren von Outlook Anywhere für die Verwendung mehrerer SSL-Zertifikate.
Eine andere Möglichkeit besteht darin, ein SSL-Zertifikat in Verbindung mit einer Umleitung zu verwenden. Weitere Informationen finden Sie unter Konfigurieren von Outlook Anywhere für die Verwendung eines SSL-Zertifikats mit Umleitung.
Verwenden der SSL-Verschiebung für Outlook Anywhere
Wenn Sie über eine Hardwarelösung zum Verschieben der SSL-Verschlüsselung des an den Clientzugriffsserver gerichteten Datenverkehrs verfügen, müssen Sie die SSL-Verschiebung für Outlook Anywhere konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der SSL-Verschiebung für Outlook Anywhere.
Nach oben
Konfigurieren der Authentifizierung für Outlook Anywhere
Wenn Sie den Clientzugriffsserver mithilfe des Assistenten zum Aktivieren von Outlook Anywhere für die Bereitstellung von Outlook Anywhere-Zugriff konfigurieren, müssen Sie eine Authentifizierungsmethode für die Outlook-Clients auswählen. Nach Auswahl einer Authentifizierungsmethode können Sie diese Methode über das Cmdlet Set-OutlookAnywhere in der Exchange-Verwaltungsshell ändern.
Grundlegendes zur Authentifizierung für Outlook Anywhere und das virtuelle RPC-Verzeichnis
Die für Outlook Anywhere ausgewählte Authentifizierungsmethode ist die Authentifizierungsmethode, die vom Outlook 2007- oder Outlook 2010-Client verwendet wird. Diese Authentifizierungsmethode wird dem Client automatisch vom AutoErmittlungsdienst bereitgestellt. Standardmäßig ist das virtuelle RPC-Verzeichnis in Exchange 2010 sowohl für die Standardauthentifizierung als auch für die integrierte Windows-Authentifizierung (zuvor als NTLM-Authentifizierung bezeichnet) aktiviert. Die Authentifizierungsmethode im virtuellen RPC-Verzeichnis kann über das Cmdlet Set-OutlookAnywhere entweder in die NTLM- oder in die Standardauthentifizierung geändert werden. Es empfiehlt sich, NTLM zu wählen. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für Outlook Anywhere.
Nach oben
Standardauthentifizierung und Outlook Anywhere
Sie können die Standardauthentifizierung mit Outlook Anywhere verwenden. Bei der Standardauthentifizierung werden ein Benutzername und ein Kennwort benötigt, die als unformatierter Text über das Internet gesendet werden. Solange Sie die Verbindung zwischen dem Microsoft Office Outlook-Webanwendung-Client und der Exchange-Messaginginfrastruktur mit SSL (Secure Sockets Layer) absichern, wird die Standardauthentifizierung mit Outlook Anywhere unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für Outlook Anywhere.
Integrierte Windows-Authentifizierung und Outlook Anywhere
ISA Server 2006 unterstützt die Verwendung der integrierten Windows-Authentifizierung für Outlook Anywhere. Wenn Sie jedoch eine Firewall verwenden, die die integrierte Windows-Authentifizierung nicht verarbeiten kann, müssen Sie die Standardauthentifizierung mit SSL einsetzen. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für Outlook Anywhere.
Nach oben