Konfigurieren der SSL-Abladung in Exchange 2013

Gilt für: Exchange Server 2013

Im Folgenden finden Sie Informationen zum Konfigurieren der SSL-Abladung für die Protokolle und zugehörigen Dienste auf Exchange 2013-Clientzugriffsservern, auf denen Service Pack 1 (SP1) installiert ist. Wenn Sie über mehrere Clientzugriffsserver verfügen, müssen Sie die erforderlichen Schritte für jedes Protokoll oder jeden Dienst auf jedem Clientzugriffsserver ausführen, auf dem SP1 in Ihrer lokalen Organisation installiert ist. Das heißt nicht, dass jeder Clientzugriffsserver in Ihrer Organisation identisch konfiguriert werden muss. Wenn Sie ein Upgrade auf neuere kumulative Aktualisierungen (CUs) oder Service Packs durchführen und die SSL-Auslagerung weiterhin verwenden möchten, müssen Sie die folgenden Schritte erneut ausführen, nachdem Sie diese Updates auf Ihre Exchange 2013-Clientzugriffsserver aktualisiert oder angewendet haben.

Einer der größten Vorteile der SSL-Abladung besteht darin, dass sich die verwendeten Zertifikate einfacher verwalten lassen. Statt separater SSL-Zertifikate für jeden Clientzugriffsserver mit SP1 wird ein einzelnes SSL-Zertifikat verwendet, das auf allen Clientzugriffsservern importiert wird. Das verwendete Zertifikat kann ein vorhandenes oder ein neu erstelltes SSL-Zertifikat sein.

Warnung

Wenn Sie den Internetinformationsdienste-Manager, die Exchange-Verwaltungsshell oder eine Befehlszeilenschnittstelle zum Konfigurieren der SSL-Abladung verwenden, beachten Sie, dass es eine Standardwebsite und eine Exchange-Back-End-Website gibt. Konfigurieren Sie für die SSL-Abladung nur die Standardwebsite, und lassen Sie die Exchange-Back-End-Website unverändert.

Was sollten Sie wissen, bevor Sie beginnen?

  • Installieren Sie alle erforderlichen Clientzugriffs- und Postfachserver in Ihrer Organisation.

  • Installieren Sie Service Pack 1 (SP1) auf jedem Clientzugriffs- und Postfachserver in der Organisation. SP1 können Sie unter Updates for Exchange 2013 herunterladen.

  • Bestimmen Sie die erforderlichen Berechtigungen für Exchange 2013. Informationen dazu finden Sie unter Funktionsberechtigungen.

  • Informationen zu den erforderlichen Berechtigungen für Clientzugriffsserver finden Sie unter "Clientzugriffsserver - Berechtigungen" in Berechtigungen für Clients und mobile Geräte.

  • Informationen zu den erforderlichen Berechtigungen für Clientzugriffsserver finden Sie unter "Berechtigungen für Outlook Web App" in Berechtigungen für Clients und mobile Geräte.

  • Möglicherweise können Sie einige Verfahren nur mit der Shell durchführen. Wie eine Shell in Ihrer lokalen Exchange-Organisation geöffnet wird, erfahren Sie unter Open the Shell.

  • Um ein vorhandenes Zertifikat auf den Clientzugriffsservern und dem Gerät, mit dem Sie die SSL-Verbindungen beenden, zu verwenden, exportieren Sie das Zertifikat mit dem privaten Schlüssel auf einem Clientzugriffsserver und importieren oder installieren es auf dem Gerät. Weitere Informationen finden Sie unter Export-ExchangeCertificate.

  • Um ein neues Zertifikat zu verwenden, müssen Sie dieses mit der Exchange-Verwaltungskonsole oder der Shell erstellen, importieren und aktivieren. Weitere Informationen finden Sie unter Exchange 2013-Benutzeroberfläche zur Zertifikatsverwaltung.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Konfigurieren der SSL-Abladung für Outlook Web App

Um die SSL-Abladung für Outlook Web App zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis owa auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den IIS-Manager (Internetinformationsdienste) oder eine Befehlszeile verwenden, um SSL im virtuellen Verzeichnis owa zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle Verzeichnis owa aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
      
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeOWAAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeOWAAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Konfigurieren der SSL-Abladung für das Exchange Admin Center (EAC)

Um die SSL-Abladung für die Exchange-Verwaltungskonsole zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis ecp auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den Internetinformationsdienste-Manager (IIS) oder eine Befehlszeile verwenden, um SSL im virtuellen Verzeichnis ecp zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle Verzeichnis ecp aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
      
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeECPAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeECPAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Konfigurieren der SSL-Abladung für Outlook Anywhere

SSL-Auslagerung für Outlook Anywhere ist standardmäßig aktiviert. Outlook Anywhere-Clients können E-Mails aus einem privaten oder öffentlichen Netzwerk erhalten. Standardmäßig wird der interne Hostname oder FQDN des Servers verwendet, um internen Outlook-Clients das Herstellen einer Verbindung zu ermöglichen. Wenn Outlook Anywhere jedoch nicht intern verwendet wird, sollten Sie den internen Hostnamen entfernen. Um sowohl internen als auch externen Zugriff für Outlook-Clients zuzulassen, müssen Sie die internen und externen Hostnamen konfigurieren, die Authentifizierungsmethode für jeden festlegen und sowohl die internen als auch die externen Clients so festlegen, dass SSL erforderlich ist. Um die Authentifizierungsmethode für die externen Clients zu konfigurieren, können Sie EAC oder die Exchange-Verwaltungsshell verwenden, aber für interne Clients müssen Sie die Shell verwenden:

  • Schritt 1: Sie können EAC oder die Shell verwenden, wenn Sie keinen externen Hostnamen für Outlook Anywhere hinzugefügt haben:

    • In der Exchange-Verwaltungskonsole: Gehen Sie zu Server, wählen Sie in der Liste den Namen des Clientzugriffsservers aus, und klicken Sie dann auf Bearbeiten. Klicken Sie im Fenster Exchange-Server auf Outlook Anywhere, und geben Sie dann im Feld Geben Sie den externen Hostnamen (z. B. „contoso.com") an, den Benutzer zum Herstellen der Verbindung mit Ihrer Organisation verwenden den externen Hostnamen ein. Stellen Sie sicher, dass die Option SSL-Abladung zulassen ausgewählt ist, und klicken Sie dann auf Speichern.

    • In der Exchange-Verwaltungsshell: Klicken Sie auf Start, und klicken Sie dann im Menü Start auf Exchange-Verwaltungsshell. Geben Sie im Fenster Folgendes ein, und drücken Sie dann die EINGABETASTE:

      Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -Externalhostname ClientAccessServer1.contoso.com -ExternalClientsRequireSsl:$True -ExternalClientAuthenticationMethod Basic
      
  • Schritt 2: Standardmäßig ist die SSL-Abladung aktiviert. Falls sie jedoch deaktiviert wurde, können Sie sie auf Wunsch mit der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell wieder aktivieren:

    • In der Exchange-Verwaltungskonsole: Gehen Sie zu Server, wählen Sie in der Liste den Namen des Clientzugriffsservers aus, und klicken Sie dann auf Bearbeiten. Klicken Sie im fenster Exchange Server auf Outlook Anywhere, klicken Sie auf die Option SSL-Auslagerung zulassen, und klicken Sie dann auf Speichern.

    • Mit der Shell: Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

      Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -SSLOffloading $true
      
  • Schritt 3: Standardmäßig ist SSL anfordern nicht im virtuellen Rpc-Verzeichnis ausgewählt. Wenn Sie jedoch überprüfen möchten, ob SSL deaktiviert ist, können Sie den IIS-Manager (Internetinformationsdienste) verwenden.

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle Verzeichnis Rpc aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Stellen Sie im Ergebnisbereich SSL-Einstellungen sicher, dass das Kontrollkästchen SSL erforderlich deaktiviert ist, und klicken Sie dann im Bereich Aktionen auf Übernehmen.
  • Schritt 4: Sie müssen den richtigen Anwendungspool wiederverwenden oder Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeRpcProxyFrontEndAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeRpcProxyFrontEndAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Wichtig

Sie müssen warten, bis der Diensthostprozess alle 15 Minuten Änderungen von Active Directory in Internetinformationsdienste (IIS) übernimmt. Dies gilt auch, wenn Sie IIS auf einem Clientzugriffsserver neu starten.

Konfigurieren der SSL-Abladung für das Offlineadressbuch (OAB)

Um die SSL-Abladung für das Offlineadressbuch (OAB) zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis OAB auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den IIS-Manager (Internetinformationsdienste) oder eine Befehlszeile verwenden, um SSL im virtuellen OAB-Verzeichnis zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle OAB-Verzeichnis aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
      
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeOABAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeOABAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Konfigurieren der SSL-Abladung für Exchange ActiveSync (EAS)

Um die SSL-Abladung für Exchange ActiveSync (EAS) zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis Microsoft-Server-ActiveSync auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den IIS-Manager (Internetinformationsdienste) oder eine Befehlszeile verwenden, um SSL im virtuellen Verzeichnis Microsoft-Server-ActiveSync zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste) dieOption Standardwebsite für Websites>, und wählen Sie dann das virtuelle Verzeichnis Microsoft-Server-ActiveSync aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      appcmd set config "Default Web Site/MSExchangeSyncAppPool" /section:access /sslFlags:None /commit:APPHOST
      
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder die Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeSyncAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeSyncAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Konfigurieren der SSL-Abladung für Exchange-Webdienste (EWS)

Um die SSL-Abladung für Exchange-Webdienste (EWS) zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis EWS auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den IIS-Manager (Internetinformationsdienste) oder eine Befehlszeile verwenden, um SSL im virtuellen EWS-Verzeichnis zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle EWS-Verzeichnis aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

    appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
    
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeServicesAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeServicesAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Konfigurieren der SSL-Abladung für den AutoErmittlungsdienst

Um die SSL-Abladung für den AutoErmittlungsdienst zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis Autodiscover auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den IIS-Manager (Internetinformationsdienste) oder eine Befehlszeile verwenden, um SSL für das virtuelle AutoErmittlungsverzeichnis zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle Verzeichnis AutoErmittlung aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      appcmd set config "Default Web Site/autodiscover" /section:access /sslFlags:None /commit:APPHOST
      
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeAutodiscoverAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeAutodiscoverAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Konfigurieren der SSL-Abladung für den Proxydienst für die Postfachreplikation (MRSProxy)

Der Proxydienst für die Postfachreplikation (Mailbox Replication Proxy Service, MRSProxy Service) wird auf jedem Exchange 2013-Clientzugriffsserver installiert. MRSProxy hilft Ihnen, gesamtstrukturübergreifende Verschiebungsanforderungen lokal zu erstellen und lokale Postfächer in Microsoft 365 oder Office 365 zu verschieben. MRSProxy ist jedoch standardmäßig deaktiviert. Wenn Sie es aktivieren, sollten Sie es in der Exchange-Remotegesamtstruktur für gesamtstrukturübergreifende, lokale Postfachverschiebungen oder in der lokalen Exchange-Gesamtstruktur zum Verschieben eines Postfachs nach Microsoft 365 oder Office 365 aktivieren. Auch wenn der MRSProxy-Dienst unter den Exchange-Webdiensten (EWS) ausgeführt wird, wird die Konfiguration der SSL-Abladung dafür nicht unterstützt.

Dies liegt daran, dass der MRSProxy-Dienst signierten/verschlüsselten Datenverkehr erwartet. Jegliche Lastenausgleichshardware oder Firewall muss den MRSProxy-Verkehr vor der Übertragung an Clientzugriffsserver erneut verschlüsseln. In diesem Fall wird empfohlen, SSL-Bridging zu konfigurieren, damit die Abladung funktioniert.

Reverse SSL oder SSL Bridging: Wenn Sie Reverse SSL oder SSL-Bridging auf Hardwarelastenausgleichsmodulen aktivieren, müssen Sie die vorherigen Schritte nicht auf jedem CAS-Server ausführen. Allerdings bedeutet die Aktivierung von Reverse SSL auf den Hardwaregeräten zum Lastenausgleich, dass die SSL-Verschlüsselung und -Entschlüsselung auf den Clientzugriffsservern erhalten bleibt. Dann erfolgt die SSL-Verschlüsselung und -Entschlüsselung sowohl auf den Hardwaregeräten für den Lastenausgleich als auch auf den Clientzugriffsservern. Die Entscheidung für die Verwendung der Exchange 2013 SSL-Abladung oder von Reverse SSL (SSL-Bridging) hängt von den zu implementierenden Unternehmenszielen und Sicherheitspraktiken ab. Die folgende Abbildung zeigt die Clientkonnektivität mit aktiviertem SSL-Bridging (Reverse SSL).

SSL-Bridging.

Konfigurieren der SSL-Abladung für Outlook-Clients (virtuelles Verzeichnis MAPI)

Um die SSL-Abladung für Outlook-Clients zu aktivieren, müssen Sie die SSL-Anforderung für das virtuelle Verzeichnis MAPI auf der Standardwebsite entfernen:

  • Schritt 1: Sie können den Internetinformationsdienste-Manager (IIS) oder eine Befehlszeile verwenden, um SSL im virtuellen MAPI-Verzeichnis zu deaktivieren:

    • Erweitern Sie mithilfe des IIS-Managers (Internetinformationsdienste)die Option Standardwebsite für Websites>, und wählen Sie dann das virtuelle MapI-Verzeichnis aus. Doppelklicken Sie im Ergebnisbereich unter IIS auf SSL-Einstellungen. Deaktivieren Sie im Ergebnisbereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich, und klicken Sie dann im Bereich Aktionen auf Übernehmen.

    • Geben Sie in der Befehlszeile den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
      
  • Schritt 2: Sie müssen den richtigen Anwendungspool wiederverwenden oder die Internetinformationsdienste mit einer der folgenden Methoden neu starten:

    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      appcmd Recycle AppPool MSExchangeMapiFrontEndAppPool
      
    • Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE.

      Restart-WebAppPool MSExchangeMapiFrontEndAppPool
      
    • Über eine Befehlszeile: Wechseln Sie zu Startausführung>, geben Sie cmd ein, und drücken Sie dann die EINGABETASTE. Geben Sie im Eingabeaufforderungsfenster Folgendes ein, und drücken Sie dann die EINGABETASTE.

      iisreset /noforce
      
    • Mit dem Internetinformationsdienste-Manager: Klicken Sie im Internetinformationsdienste-Manager im Bereich Aktionen auf Neu starten.

Aktivieren der SSL-Abladung für alle Protokolle und Dienste mithilfe eines Skripts

Wenn Sie eine umfangreiche Organisation mit mehreren Exchange 2013-Clientzugriffsservern verwenden, können Sie die vorherigen Schritte beschleunigen. Sie können die Befehle aus jedem der folgenden Skripts kopieren und in Editor einfügen, dort Änderungen vornehmen, die Datei mit der Erweiterung ".ps1" speichern und dann in der Exchange-Verwaltungsshell ausführen. Sie können beide Skripts je nach Ihren Anforderungen verwenden, um die SSL-Abladung für alle Protokolle und Dienste für einen einzelnen oder mehrere Clientzugriffsserver zu konfigurieren.

Hinweis

Ersetzen Sie für die Einträge des Cmdlets Set-OutlookAnywhere "MyServer" durch den Namen Ihres/Ihrer Clientzugriffsserver(s).

Mithilfe von "Set-WebConfigurationProperty"

Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OWA"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/ecp"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/EWS"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Autodiscover"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Microsoft-Server-ActiveSync"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OAB"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/MAPI"
iisreset /noforce

Mithilfe von "appcmd"

Hinweis

Ersetzen Sie für die Einträge des Cmdlets Set-OutlookAnywhere "MyServer" durch den Namen Ihres/Ihrer Clientzugriffsserver(s).

Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Autodiscover" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Microsoft-Server-ActiveSync" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
iisreset /noforce

Konfigurieren der Koexistenz mit Exchange 2007 und Exchange 2010

In einem Koexistenzszenario, bei dem sowohl Exchange 2003- als auch Exchange 2010-Server in der Organisation verwendet werden, besteht einer der ersten Schritte nach der Bereitstellung der Exchange 2010-Clientzugriffsserver in der Änderung von DNS, sodass Exchange 2003-Benutzer von einer Gruppe von Exchange 2010-Clientzugriffsservern auf ihre Postfächer zugreifen. In einem solchen Szenario wird die Aktivierung der SSL-Abladung auf der Lastenausgleichshardware, mit der der Clientdatenverkehr auf die Clientzugriffsserver verteilt wird, vollständig unterstützt.

Koexistenz mit anderen Versionen von Outlook Web App

Wenn die SSL-Abladung auf den Exchange 2013-Clientzugriffsservern konfiguriert ist, ist Koexistenz mit Exchange 2007 und Exchange 2010 möglich:

  • Für die Koexistenz mit Exchange 2007 ist ein früherer Namespace erforderlich, und die Umleitung zu diesem erfolgt nur für Outlook Web App und Exchange-Webdienste. AutoErmittlung, Outlook Anywhere und Exchange ActiveSync werden über einen Proxy an die früheren Versionen weitergeleitet.

  • Für die Koexistenz mit Exchange 2010 wird, wenn Sie die externe URL festgelegt haben, eine Umleitung verwendet. Andernfalls wird ein Proxy verwendet.