Grundlegendes zur Sicherheit für Outlook Anywhere

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2010-09-13

Zum Sichern von Outlook Anywhere (zuvor bekannt als RPC-über-HTTP) stehen mehrere Methoden zur Verfügung. In einer Microsoft Exchange Server 2010-Messagingumgebung, die für Outlook Anywhere aktiviert ist, können Benutzer über das Internet auf Exchange zugreifen. Wenn ein Benutzer mithilfe von Outlook Anywhere über das Internet auf sein Postfach zugreift, erkennt der AutoErmittlungsdienst bei jedem Erstellen oder Aktualisieren des Outlook-Profils automatisch die Outlook-Profilinformationen und stellt dem Benutzer Zugriff auf Exchange-Webdienste bereit. Hierzu gehören das Offlineadressbuch, der Verfügbarkeitsdienst und Unified Messaging. Da der Datenverkehr im Internet anfällig für Abfangen und Angriffe ist, wird empfohlen, eine Sicherheitsstrategie mit so vielen Sicherheitsoptionen wie möglich in Betracht zu ziehen.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Outlook Anywhere gibt? Informationen hierzu finden Sie unter Verwalten von Outlook Anywhere.

Inhalt

Verwenden eines erweiterten Firewallservers für Outlook Anywhere

Verwenden von SSL mit Outlook Anywhere

Wählen einer SSL-Bereitstellungsoption für Outlook Anywhere

Verwenden der SSL-Verschiebung für Outlook Anywhere

Konfigurieren der Authentifizierung für Outlook Anywhere

Grundlegendes zur Authentifizierung für Outlook Anywhere und das virtuelle RPC-Verzeichnis

Unter Verwendung eines erweiterten Firewallservers wie Microsoft Internet Security and Acceleration (ISA) Server 2006, MicrosoftForefront Threat Management Gateway 2010 oder MicrosoftForefront Unified Access Gateway 2010 wird die Sicherheit Ihrer Outlook Anywhere-Bereitstellung verbessert. ISA Server 2006 bietet einen Installationsassistenten, mit dem Sie ISA Server 2006 für Exchange 2010 für die Zusammenarbeit mit Outlook Anywhere konfigurieren können. Weitere Informationen finden Sie unter Verwenden von ISA Server mit Outlook Anywhere und Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010.

Wenn Sie Outlook Anywhere für den Zugriff auf Exchange-Informationen über das Internet verwenden, müssen Sie ein gültiges SSL-Zertifikat (Secure Sockets Layer) installieren, das von einer Zertifizierungsstelle (Certification Authority, CA) ausgestellt wurde, die für das Betriebssystem des Clientcomputers vertrauenswürdig ist. Weitere Informationen zum Verwenden von SSL-Zertifikaten für den Clientzugriff finden Sie unter Grundlegendes zu digitalen Zertifikaten und SSL. Weitere Informationen zum Verwenden von SSL mit Outlook Anywhere finden Sie unter Konfigurieren von SSL für Outlook Anywhere.

Zurück zum Seitenanfang

Es gibt verschiedene Möglichkeiten zur Verwendung von SSL (Secure Sockets Layer) zur Sicherung der Kommunikation zwischen Outlook 2007- und Outlook 2010-Clients und dem AutoErmittlungsdienst. Bei Outlook Anywhere fragen Outlook-Clients DNS für den AutoErmittlungsdienst ab. Es wird empfohlen, das Feld für den alternativen Antragstellernamen auf Ihrem SSL-Zertifikat zu verwenden. Mithilfe dieses Felds können Sie ein einziges Zertifikat verwenden, um die Kommunikation zwischen Clients und dem Clientzugriffsserver zu sichern, auf dem der AutoErmittlungsdienst sowie die Outlook Anywhere-Verbindung gehostet wird. Weitere Informationen zur SAN-Konfiguration für ein SSL-Zertifikat finden Sie unter Konfigurieren von SSL-Zertifikaten zur Verwendung mehrerer Hostnamen für Clientzugriffsserver.

Alternativ können auch mehrere SSL-Zertifikate verwendet werden. Weitere Informationen finden Sie unter Konfigurieren von Outlook Anywhere für die Verwendung mehrerer SSL-Zertifikate.

Eine andere Möglichkeit besteht darin, ein SSL-Zertifikat in Verbindung mit einer Umleitung zu verwenden. Weitere Informationen finden Sie unter Konfigurieren von Outlook Anywhere für die Verwendung eines SSL-Zertifikats mit Umleitung.

Wenn Sie über eine Hardwarelösung zum Verschieben der SSL-Verschlüsselung des an den Clientzugriffsserver gerichteten Datenverkehrs verfügen, müssen Sie die SSL-Verschiebung für Outlook Anywhere konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der SSL-Verschiebung für Outlook Anywhere.

Zurück zum Seitenanfang

Wenn Sie den Assistenten zum Aktivieren von Outlook Anywhere verwenden, um die Clientzugriffsservers für die Bereitstellung des Outlook Anywhere-Zugriffs zu konfigurieren, müssen Sie die von den Outlook-Clients zu verwendende Authentifizierungsmethode auswählen. Nachdem Sie eine Authentifizierungsmethode ausgewählt haben, können Sie diese Methode mithilfe des Cmdlets Set-OutlookAnywhere in der Exchange-Verwaltungsshell ändern.

Die für Outlook Anywhere ausgewählte Authentifizierungsmethode ist die Authentifizierungsmethode, die vom Outlook 2007- oder Outlook 2010-Client verwendet wird. Diese Authentifizierungsmethode wird dem Client automatisch vom AutoErmittlungsdienst bereitgestellt. Sie wählen den Authentifizierungstyp für das virtuelle Verzeichnis \RPC, wenn Sie Outlook Anywhere aktivieren. Sie können die Standardauthentifizierung, NTLM-Authentifizierung oder beide Authentifizierungstypen aktivieren. Die Aktivierung von sowohl Standard- als auch NTLM-Authentifizierung kann sinnvoll sein, wenn Sie das virtuelle IIS-Verzeichnis mit mehreren Anwendungen verwenden, die unterschiedliche Authentifizierungsmethoden erfordern.

HinweisHinweis:
Wenn Sie diese Einstellung über die IIS-Schnittstelle konfigurieren, kann eine beliebige Anzahl von Authentifizierungsmethoden aktiviert werden.

Die Authentifizierungsmethode für das virtuelle Verzeichnis \RPC kann mit dem Cmdlet Set-OutlookAnywhere geändert werden. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für Outlook Anywhere.

Zurück zum Seitenanfang

Sie können die Standardauthentifizierung mit Outlook Anywhere verwenden. Bei der Standardauthentifizierung werden ein Benutzername und ein Kennwort benötigt, die als unformatierter Text über das Internet gesendet werden. Solange Sie die Verbindung zwischen dem Microsoft OfficeOutlook Web App-Client und der Exchange-Messaginginfrastruktur mit SSL (Secure Sockets Layer) absichern, wird die Standardauthentifizierung mit Outlook Anywhere unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für Outlook Anywhere.

ISA Server 2006, Threat Management Gateway 2010 und Unified Access Gateway 2010 unterstützen die Verwendung der integrierten Windows-Authentifizierung für Outlook Anywhere. Wenn Sie jedoch eine Firewall verwenden, die die integrierte Windows-Authentifizierung nicht verarbeiten kann, müssen Sie die Standardauthentifizierung mit SSL einsetzen. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für Outlook Anywhere. Ausführliche Konfigurationsschritte für die Verwendung der NTLM-Authentifizierung finden Sie unter Publishing Outlook Anywhere Using NTLM Authentication With Forefront TMG or Forefront UAG.

Zurück zum Seitenanfang

Eine Möglichkeit zur Implementierung einer sicheren Verbindung zwischen Client und Server beim Veröffentlichen von Exchange bieten IPsec-Verbindungen mit Computerauthentifizierung. Bei dieser Methode müssen sich Computer erfolgreich authentifizieren, bevor die Benutzer Daten vom Server abrufen bzw. auf diesen hochladen dürfen. Mithilfe von IPsec für sichere Verbindungen wird gewährleistet, dass bei Verwendung des Diensts nicht nur der Benutzer, sondern auch der Computer authentifiziert ist. Daher kann IPsec verwendet werden, um die Anforderungen der zweistufigen Authentifizierung zu erfüllen. Ausführliche Informationen zur Konfiguration dieser Lösung finden Sie unter Using IPsec to Secure Access to Exchange.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Anzeigen: