Verwenden von Active Directory-Verbunddiensten mit Outlook Web Access für Exchange 2007

  • Artikel

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-07-19

In diesem Thema wird die Verwendung der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell zum Konfigurieren der Microsoft Office Outlook Web Access-Authentifizierung für die Zusammenarbeit mit Active Directory-Verbunddiensten (Active Directory Federation Services, ADFS) erläutert. ADFS erweitert die Möglichkeit, die Funktionalität zur einmaligen Anwendung zu verwenden, die in einzelnen Sicherheits- oder Unternehmensbegrenzungen für mit dem Internet verbundene Anwendungen zur Verfügung steht. Mithilfe von SSO kann Ihren Kunden, Partnern und Lieferanten eine optimierte Benutzererfahrung beim Zugriff auf webbasierte Anwendungen, wie etwa Outlook Web Access, geboten werden.

Informationen zu Outlook Web Access und ADFS

Wenn die Authentifizierung mithilfe von ADFS erfolgt, kann Outlook Web Access nur für den Zugriff auf Exchange 2007-Postfächer verwendet werden. ADFS unterstützt keinen Outlook Web Access-Zugriff auf Postfächer von Exchange 2000 oder Exchange 2003, selbst wenn die Verbindung mit den Postfächern über einen Exchange 2007 ClientAccess-Server erfolgt.

In ADFS funktioniert zeitgesteuerte Abmeldung, auch als Ablaufen von Sitzungen bezeichnet, nicht mit Outlook Web Access zusammen. Die zeitgesteuerte Abmeldung muss in ADFS ausgeschaltet werden, um ADFS mit Outlook Web Access zu verwenden.

ADFS unterstützt tokenbasierte Windows NT-Anwendungen und Ansprüche unterstützende Anwendungen. Outlook Web Access ist eine tokenbasierte Windows NT-Anwendung. Stellen Sie beim Konfigurieren von ADFS für Outlook Web Access sicher, dass Sie die Anweisungen für eine tokenbasierte Anwendung befolgen.

Zum Verwenden von ADFS mit Outlook Web Access müssen Sie Outlook Web Access für das Zulassen von anonymem Zugriff konfigurieren.

Achtung

Outlook Web Access sollte nicht für das Zulassen von anonymem Zugriff konfiguriert werden, sofern darauf nicht mithilfe einer Verbindung zugegriffen wird, die Authentifizierung erfordert, wie etwa mithilfe von ADFS. Weil die Konfiguration von Outlook Web Access für das Zulassen von anonymem Zugriff ein mögliches Sicherheitsrisiko darstellt, werden beim Konfigurieren von Outlook Web Access und IIS (Internetinformationsdienste) Warnungen angezeigt, dass Sie alle Authentifizierungsverfahren deaktiviert haben.

Weitere Informationen über ADFS und über das Vorbereiten einer ADFS-Bereitstellung für Outlook Web Access finden Sie unter Active Directory Federation Services und Deploying Federated Applications (englischsprachig).

Bevor Sie beginnen

Damit Sie die nachstehenden Verfahren ausführen können, muss Folgendes an das verwendete Konto delegiert worden sein: die Rolle Exchange-Serveradministrator und die Mitgliedschaft in der lokalen Gruppe Administratoren für den Zielserver.

Weitere Informationen zu Berechtigungen, zum Delegieren von Rollen sowie zu den Rechten, die für die Verwaltung von Exchange Server 2007 erforderlich sind, finden Sie unter Überlegungen zu Berechtigungen.

Verfahren

So verwenden Sie die Exchange-Verwaltungskonsole zum Konfigurieren von Outlook Web Access ohne Authentifizierungsverfahren

  1. Klicken Sie in der Exchange-Verwaltungskonsole auf Serverkonfiguration und dann auf Clientzugriff.

    Hinweis

    Zum Aktivieren von Outlook Web Access für das Akzeptieren von anonymem Zugriff müssen alle Formen von Authentifizierung deaktiviert werden.

  2. Öffnen Sie auf der Registerkarte Outlook Web Access die Eigenschaften des virtuellen Verzeichnisses, das für anonymen Zugriff konfiguriert werden soll.

  3. Klicken Sie auf die Registerkarte Authentifizierung.

  4. Aktivieren Sie Eins oder mehrere der folgenden Standardauthentifizierungsverfahren verwenden.

  5. Wählen Sie keine Authentifizierungsmethode aus. Wenn eine Authentifizierungsmethode ausgewählt ist, klicken Sie auf das Kontrollkästchen, um es zu deaktivieren.

  6. Klicken Sie auf OK.

  7. Es wird eine Warnung angezeigt, dass Sie keine Authentifizierungsmethode ausgewählt haben, und Sie werden angewiesen, die Exchange-Verwaltungsshell zu verwenden, um eine Authentifizierungsmethode festzulegen. Klicken Sie auf OK, um die Warnung zu schließen.

  8. Starten Sie IIS erneut, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

So verwenden Sie die Exchange-Verwaltungsshell zum Konfigurieren von Outlook Web Access ohne Authentifizierungsverfahren

  1. Öffnen Sie die Exchange-Verwaltungsshell auf dem Clientzugriffsserver, der die zu konfigurierenden virtuellen Outlook Web Access-Verzeichnisse enthält.

    Hinweis

    Zum Aktivieren von Outlook Web Access für das Akzeptieren von anonymem Zugriff müssen alle Formen von Authentifizierung deaktiviert werden.

  2. Führen Sie den folgenden Befehl aus, um die formularbasierte Authentifizierung für das virtuelle Verzeichnis /owa und die Site mit dem Namen "Standardwebsite" zu deaktivieren.

    Set-owavirtualdirectory -identity "owa (default web site)" -FormsAuthentication:$false

  3. Führen Sie den folgenden Befehl aus, um alle Formen von Standardauthentifizierung für das virtuelle Verzeichnis /owa und die Site mit dem Namen Standardwebsite zu deaktivieren.

    Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -WindowsAuthentication $false
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -BasicAuthentication $false
Set-OwaVirtualDirectory -Identity "owa (Default Web Site)" -DigestAuthentication $false

  4. Wenn die letzte aktive Authentifizierungsmethode deaktiviert wurde, wird eine Warnung angezeigt, dass keine Authentifizierungsmethode für das virtuelle Verzeichnis angegeben ist, und Sie werden aufgefordert, das Cmdlet Set-ÖS zu verwenden, um eine Authentifizierungsmethode anzugeben. Ignorieren Sie diese Warnung.

  5. Starten Sie IIS erneut, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

Nachdem Sie alle Formen der Authentifizierung für ein virtuelles Outlook Web Access-Verzeichnis mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell deaktiviert haben, müssen Sie IIS-Manager (Internetinformationsdienste) verwenden, um den anonymen Zugriff auf das virtuelle Verzeichnis in IIS zu aktivieren.

So verwenden Sie IIS-Manager, um den anonymen Zugriff auf ein virtuelles Verzeichnis zu aktivieren

  1. Öffnen Sie IIS-Manager.

  2. Navigieren Sie zu der Website und dem virtuellen Verzeichnis, für die Sie in den vorhergehenden Schritten alle Authentifizierungsmethoden deaktiviert haben. In einer Standardkonfiguration befindet sich dieses Verzeichnis unter Websites\Standardwebsite\owa.

  3. Öffnen Sie die Eigenschaften des virtuellen Verzeichnisses, und klicken Sie anschließend auf die Registerkarte Verzeichnissicherheit.

  4. Klicken Sie unter Authentifizierung und Zugriffssteuerung auf die Schaltfläche Bearbeiten.

  5. Wählen Sie Anonymen Zugriff aktivieren aus.

  6. Klicken Sie zwei Mal auf OK, um Ihre Änderungen zu speichern. Möglicherweise wird eine Warnung angezeigt, dass die Vererbung außer Kraft gesetzt wurde. Klicken Sie auf OK, um die Warnung zu schließen.

  7. Starten Sie IIS erneut, indem Sie ein Eingabeaufforderungsfenster öffnen und den Befehl iisreset/noforce eingeben.

Weitere Informationen zu Syntax und Parametern finden Sie unter Set-OwaVirtualDirectory.

Weitere Informationen

Weitere Informationen über Outlook Web Access-Authentifizierungsmethoden finden Sie unter: