Konfigurieren von Standardauthentifizierungsverfahren für Outlook Web App

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2011-04-28

Standardauthentifizierungsverfahren können Sie beim Sichern von Microsoft Exchange Server 2010-Clientzugriffsservern für Outlook Web App unterstützen.

In Exchange 2010 unterstützen Clientzugriffsserver die integrierte Windows-Authentifizierung und die HTTP 1.1 Digest-Authentifizierung für virtuelle Exchange 2010-Verzeichnisse. Virtuelle Exchange 2010-Verzeichnisse auf einem Server, auf dem nur die Clientzugriffs-Serverrolle ausgeführt wird, unterstützen nur die Standard- und die formularbasierte Authentifizierung.

Zu den Standardauthentifizierungsverfahren gehören die Standardauthentifizierung, die Digestauthentifizierung und die integrierte Windows-Authentifizierung.

Hinweis

Standardmäßig wird die formularbasierte Authentifizierung von Exchange 2010 aktiviert.

Inhalt

Standardauthentifizierung

Digestauthentifizierung

Integrierte Windows-Authentifizierung

Standardauthentifizierung

Die Standardauthentifizierung ist ein einfacher Authentifizierungsmechanismus, der durch die HTTP-Spezifikation definiert wird. Sie codiert den Anmeldenamen und das Kennwort eines Benutzers, bevor die Anmeldeinformationen des Benutzers an den Server gesendet werden.

Die Standardauthentifizierung unterstützt kein einmaliges Anmelden. Die Windows Server 2008-Authentifizierung ermöglicht einmalige Anmeldungen bei allen Netzwerkressourcen. Bei einer einmaligen Anmeldung kann sich ein Benutzer bei der Domäne mit einem einzigen Kennwort oder einer Smartcard ein einziges Mal anmelden und sich dann bei jedem Computer in der Domäne authentifizieren.

Die Standardauthentifizierung wird von allen Webbrowsern unterstützt, ist aber nur sicher, wenn die SSL-Verschlüsselung (Secure Sockets Layer) angefordert wird.

Digestauthentifizierung

Die Digestauthentifizierung überträgt zur Erhöhung der Sicherheit Kennwörter als Hashwert über das Netzwerk. Die Digestauthentifizierung kann nur in Windows Server 2008-, Windows Server 2003- und MicrosoftWindows 2000 Server-Domänen für Benutzer verwendet werden, die über ein Konto verfügen, das in Active Directory gespeichert ist. Weitere Informationen über die Digestauthentifizierung finden Sie in der Dokumentation von Windows Server 2008 und IIS-Manager (Internetinformationsdienste).

Die Digestauthentifizierung ist nur für virtuelle Exchange 2010-Verzeichnisse verfügbar.

Wichtig

Wenn Sie die Digest- oder die Standardauthentifizierung verwenden und ein Benutzer einen Kiosk nutzt, kann das Zwischenspeichern von Anmeldeinformationen ein Sicherheitsrisiko darstellen, wenn der Benutzer den Browser zwischen Sitzungen nicht schließen und den Browserprozess nicht beenden kann. Dieses Risiko tritt auf, weil die Anmeldeinformationen eines Benutzers im Cache verbleiben, wenn der nächste Benutzer auf den Kiosk zugreift. Um Outlook Web App in einem Kiosk zu aktivieren, müssen Sie sicherstellen, dass der Benutzer den Browser zwischen Sitzungen schließen und die Browserprozesse beenden kann. Andernfalls müssen Sie den Einsatz eines Drittanbieterprodukts mit zweistufiger Authentifizierung in Betracht ziehen, bei der der Benutzer ein physisches Token zusammen mit einem Kennwort vorweisen muss, um Outlook Web App im Kiosk verwenden zu können.

Integrierte Windows-Authentifizierung

Die integrierte Windows-Authentifizierung erfordert für den Zugriff auf Informationen, dass Benutzer über einen gültigen Windows Server 2008-, Windows Server 2003- oder Windows 2000 Server-Benutzerkontonamen und ein zugehöriges Kennwort verfügen. Im lokalen Netzwerk angemeldete Benutzer werden nicht zur Eingabe von Benutzernamen und Kennwörtern aufgefordert. Stattdessen kommuniziert der Server mit den Windows-Sicherheitspaketen, die auf dem Clientcomputer installiert sind. Diese Methode ermöglicht dem Server die Authentifizierung von Benutzern, ohne von diesen Anmeldeinformationen zu fordern. Die Anmeldeinformationen sind geschützt, die gesamte restliche Kommunikation wird jedoch unverschlüsselt gesendet, wenn nicht SSL verwendet wird.

Auf einem Server mit Exchange 2010, auf dem lediglich die Clientzugriffs-Serverrolle installiert ist, kann die integrierte Windows-Authentifizierung nur für virtuelle Exchange 2010-Verzeichnisse verwendet werden. Auf einem Server, auf dem die Clientzugriffs- und die Postfachserverrolle installiert ist, kann die integrierte Windows-Authentifizierung für alle virtuellen Verzeichnisse verwendet werden. Weitere Informationen zur integrierten Windows-Authentifizierung finden Sie in der Windows Server 2008-Dokumentation.

Hinweis

Die integrierte Windows-Authentifizierung wird nur auf Computern unterstützt, auf denen ein Windows-Betriebssystem zusammen mit Internet Explorer ausgeführt wird. Die integrierte Windows-Authentifizierung kann mit anderen Webbrowsern funktionieren, wenn diese so konfiguriert wurden, dass sie die Anmeldeinformationen des Benutzers an den Server weitergeben, von dem die Authentifizierung angefordert wird.

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.