Konfigurieren von Outlook Web App für die Nutzung der Active Directory-Verbunddienste

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2009-10-14

Sie können die Exchange-Verwaltungskonsole oder die Shell verwenden, um die Outlook-Webanwendung-Authentifizierung für den Einsatz mit den Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS) zu konfigurieren. ADFS erweitert die Möglichkeit, die Funktionalität zur einmaligen Anwendung (Single Sign-On, SSO) zu verwenden, die in einzelnen Sicherheits- oder Unternehmensbegrenzungen für mit dem Internet verbundene Anwendungen zur Verfügung steht. Mithilfe von SSO kann Ihren Kunden, Partnern und Lieferanten eine optimierte Benutzererfahrung beim Zugriff auf webbasierte Anwendungen, wie etwa Outlook-Webanwendung, geboten werden.

Die zeitgesteuerte Abmeldung in ADFS, auch als Ablaufen von Sitzungen bezeichnet, bietet keine Interoperabilität mit Outlook-Webanwendung. Die zeitgesteuerte Abmeldung muss in ADFS deaktiviert werden, um ADFS mit Outlook-Webanwendung zu verwenden.

ADFS unterstützt tokenbasierte Windows NT-Anwendungen und Ansprüche unterstützende Anwendungen. Outlook-Webanwendung ist eine tokenbasierte Windows NT-Anwendung. Stellen Sie beim Konfigurieren von ADFS für Outlook-Webanwendung sicher, dass Sie die Anweisungen für eine tokenbasierte Anwendung befolgen.

Zum Verwenden von ADFS mit Outlook-Webanwendung müssen Sie Outlook-Webanwendung für das Zulassen von anonymem Zugriff konfigurieren.

Warnung

Outlook-Webanwendung sollte nur dann für das Zulassen von anonymem Zugriff konfiguriert werden, wenn der Zugriff über eine Verbindung erfolgt, die eine Authentifizierung erfordert (z. B. über ADFS). Da die Konfiguration von Outlook-Webanwendung für das Zulassen von anonymem Zugriff ein mögliches Sicherheitsrisiko darstellt, werden Sie beim Konfigurieren von Outlook-Webanwendung und IIS (Internetinformationsdienste) in Warnmeldungen darüber informiert, dass Sie alle Authentifizierungsverfahren deaktiviert haben.

Nachdem Sie alle Formen der Authentifizierung für ein virtuelles Outlook-Webanwendung-Verzeichnis mithilfe der Exchange-Verwaltungskonsole oder der Shell deaktiviert haben, müssen Sie den IIS-Manager verwenden, um den anonymen Zugriff auf das virtuelle Verzeichnis in IIS zu aktivieren.

Weitere Informationen über ADFS und über das Vorbereiten einer ADFS-Bereitstellung für Outlook-Webanwendung finden Sie unter Active Directory Federation Services und Deploying Federated Applications (englischsprachig).

Möchten Sie wissen, welche anderen Verwaltungsaufgaben es im Zusammenhang mit der Outlook-Webanwendung-Sicherheit gibt? Weitere Informationen finden Sie hier: Verwalten der Sicherheit von Outlook Web App.

Deaktivieren aller Authentifizierungsmethoden für Outlook Web App mithilfe der Exchange-Verwaltungskonsole

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Virtuelle Outlook-Webanwendung-Verzeichnisse" im Thema Clientzugriffsberechtigungen.

  1. Navigieren Sie in der Konsolenstruktur zu Serverkonfiguration > Clientzugriff.

  2. Klicken Sie auf den Server, der das virtuelle Outlook-Webanwendung-Verzeichnis hostet.

    Hinweis

    Zum Aktivieren von Outlook-Webanwendung für das Akzeptieren von anonymem Zugriff müssen alle Formen von Authentifizierung deaktiviert werden.

  3. Öffnen Sie auf der Registerkarte Outlook Web App die Eigenschaften des virtuellen Verzeichnisses, das für anonymen Zugriff konfiguriert werden soll, und klicken Sie auf die Registerkarte Authentifizierung.

  4. Aktivieren Sie Eins oder mehrere der folgenden Standardauthentifizierungsverfahren verwenden.

  5. Wählen Sie keine Authentifizierungsmethode aus. Wenn eine Authentifizierungsmethode ausgewählt ist, klicken Sie auf das Kontrollkästchen, um es zu deaktivieren.

  6. Klicken Sie auf OK.

  7. Es wird eine Warnung angezeigt, dass Sie keine Authentifizierungsmethode ausgewählt haben, und Sie werden aufgefordert, mithilfe der Shell eine Authentifizierungsmethode festzulegen. Klicken Sie auf OK, um die Warnung zu schließen.

  8. Starten Sie IIS neu, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

Deaktivieren aller Authentifizierungsmethoden für Outlook Web App mithilfe der Shell

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Outlook-Webanwendung-Postfachrichtlinien" im Thema Clientzugriffsberechtigungen.

Öffnen Sie die Shell auf dem Clientzugriffsserver, der die zu konfigurierenden virtuellen Outlook-Webanwendung-Verzeichnisse hostet, und deaktivieren Sie die aktive Authentifizierung anhand der folgenden Beispiele.

Hinweis

Zum Aktivieren von Outlook-Webanwendung für das Akzeptieren von anonymem Zugriff müssen alle Formen von Authentifizierung deaktiviert werden.

  1. In diesem Beispiel wird die formularbasierte Authentifizierung für das virtuelle Verzeichnis "/owa" und den Standort "Default Web Site" deaktiviert.

    Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false
    
  2. In diesem Beispiel werden alle Arten der Standardauthentifizierung für das virtuelle Verzeichnis "/owa" und den Standort Default Web Site deaktiviert.

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false
    
  3. Wenn die letzte aktive Authentifizierungsmethode deaktiviert wurde, wird eine Warnung angezeigt, dass keine Authentifizierungsmethode für das virtuelle Verzeichnis angegeben ist, und Sie werden aufgefordert, das Cmdlet Set-OwaVirtualDirectory zu verwenden, um eine Authentifizierungsmethode anzugeben. Ignorieren Sie diese Warnung.

  4. Starten Sie IIS neu, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

Weitere Informationen zu Syntax und Parametern finden Sie unter Set-OwaVirtualDirectory.

Aktivieren des anonymen Zugriffs auf ein virtuelles Verzeichnis mithilfe des IIS-Managers

Bevor Sie dieses Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Internetinformationsdienste-Manager" im Thema Clientzugriffsberechtigungen.

  1. Öffnen Sie den IIS-Manager.
  2. Navigieren Sie zu der Website und dem virtuellen Verzeichnis, für die Sie in den vorhergehenden Schritten alle Authentifizierungsmethoden deaktiviert haben. In einer Standardkonfiguration befindet sich dieses Verzeichnis unter Websites\Standardwebsite\owa.
  3. Öffnen Sie die Eigenschaften des virtuellen Verzeichnisses, und klicken Sie anschließend auf die Registerkarte Verzeichnissicherheit.
  4. Klicken Sie unter Authentifizierung und Zugriffssteuerung auf Bearbeiten.
  5. Wählen Sie Anonymen Zugriff aktivieren aus.
  6. Klicken Sie zwei Mal auf OK, um Ihre Änderungen zu speichern. Möglicherweise wird eine Warnung angezeigt, dass die Vererbung außer Kraft gesetzt wurde. Klicken Sie auf OK, um die Warnung zu schließen.
  7. Starten Sie IIS neu, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.