Share via

Konfigurieren von Outlook Web Access mit formularbasierter Authentifizierung

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

So konfigurieren Sie Outlook Web Access mit formularbasierter Authentifizierung

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Bereich Aufgaben auf die Registerkarte Toolbox.

  3. Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte, klicken Sie anschließend auf Neu, und wählen Sie dann Weblistener aus, um den Assistenten für neue Weblistener zu öffnen.

  4. Führen Sie die Arbeitsschritte des Assistenten für neue Weblistener aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Weblistenername

    Geben Sie einen Namen für den Weblistener ein. Geben Sie beispielsweise Formularbasierter OWA-Listener ein.

    Sicherheit der Clientverbindung

    Wählen Sie Sichere SSL-Verbindungen mit Clients erforderlich aus.

    Weblistener-IP-Adressen

    In diesen Netzwerken auf eingehende Webanforderungen achten

    Wählen Sie das Netzwerk Extern aus. Klicken Sie auf IP-Adressen auswählen, und aktivieren Sie dann die Option Angegebenen IP-Adressen auf dem Forefront TMG-Computer im ausgewählten Netzwerk. Wählen Sie unter Verfügbare IP-Adressen die IP-Adresse für die Website aus, klicken Sie dann auf Hinzufügen und anschließend auf OK.

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Listener-SSL-Zertifikate</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
          <p>

          </p>
        </td>
        <td colspan="2">
          <p>Wählen Sie <strong>Ein einziges Zertifikat für diesen Weblistener verwenden</strong> aus, klicken Sie auf <strong>Zertifikat auswählen</strong>, und wählen Sie dann ein Zertifikat aus, für das der Hostname, den die Benutzer für den Zugriff auf die veröffentlichte Website verwenden, im Feld <strong>Ausgestellt für</strong> angezeigt wird.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Authentifizierungseinstellungen</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Legen Sie fest, wie die Clients die Anmeldeinformationen an Forefront TMG übermitteln sollen</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Wählen Sie in der Dropdownliste die Option <strong>HTML-Formularauthentifizierung</strong> aus.</p>
          <p>Anweisungen zum Verwenden der HTTP-Authentifizierung (die Standardoption) oder der Option <strong>SSL-Clientzertifikatsauthentifizierung</strong> finden Sie unter <a runat="server" href="cc441538(v=technet.10).md">Konfigurieren des Zugriffs für Outlook Web Access-Clients</a>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Weitere delegierte Benutzeranmeldeinformationen im Formular erfassen</strong>
          </p>
          <p>Dieses Kontrollkästchen wird nur angezeigt, wenn die Option <strong>HTML-Formularauthentifizierung</strong> aktiviert ist.</p>
        </td>
        <td colspan="2">
          <p>Aktivieren Sie dieses Kontrollkästchen nur, wenn <strong>RADIUS OTP</strong> oder <strong>SecurID</strong> auswählen möchten.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Legen Sie fest, wie Forefront TMG die Client-Anmeldeinformationen überprüfen soll</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Wählen Sie eine der verfügbaren Optionen aus. In einer Arbeitsgruppenbereitstellung können Sie nur <strong>RADIUS</strong>, <strong>LDAP (Active Directory)</strong>, <strong>RADIUS OTP</strong> oder <strong>SecurID</strong> verwenden. </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Einstellungen für einmaliges Anmelden (SSO)</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>SSO für Websites aktivieren, die mit diesem Weblistener veröffentlicht werden</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Wenn Sie das einmalige Anmelden (SSO) aktivieren, müssen Sie auf <strong>Hinzufügen</strong> klicken und dann eine Domäne angeben, in der das einmalige Anmelden angewendet wird.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Fertigstellen des Assistenten</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>Überprüfen Sie die Einstellungen, und klicken Sie auf <strong>Fertig stellen</strong>. Wenn ein Meldungsfeld angezeigt wird, klicken Sie auf <strong>Ja</strong>, um die Systemrichtlinienregel „Gesamten HTTP-Datenverkehr von Forefront TMG an alle Netzwerke (für Zertifikatsperrlistendownloads) zulassen“ zu aktivieren.  </p>
        </td>
      </tr>
    </table>

  5. Klicken Sie im Bereich Aufgaben auf die Registerkarte Aufgaben.

  6. Klicken Sie auf der Registerkarte Aufgaben auf Exchange-Webclientzugriff veröffentlichen, um den Assistenten für neue Exchange-Veröffentlichungsregeln zu öffnen.

  7. Führen Sie die Arbeitsschritte des Assistenten für neue Exchange-Veröffentlichungsregeln aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Name der Exchange-Veröffentlichungsregel

    Geben Sie einen Namen für die Exchange-Veröffentlichungsregel ein. Geben Sie z. B. Formularbasierte OWA-Authentifizierung ein.

    Dienste auswählen

    Exchange-Version

    Wählen Sie die Version von Exchange Server aus, die auf Ihren Exchange-Servern ausgeführt wird.

    Webclient-E-Mail-Dienste

    Wählen Sie Outlook Web Access aus.

    Veröffentlichungstyp

    Wählen Sie Einzelne Website oder Lastenausgleich veröffentlichen aus. Die anderen Optionen liegen außerhalb des Anwendungsbereichs dieses Verfahrens.

    Sicherheit der Serververbindung

    Wählen Sie SSL verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen aus. Diese Option erfordert die Installation eines SSL-Serverzertifikats auf jedem Exchange-Front-End-Server, für das der von Forefront TMG zum Herstellen des Kontakts zu einem Exchange-Server verwendete Hostname im Feld Ausgestellt für angezeigt wird.

    Interne Veröffentlichungsdetails

    Interner Sitename

    Geben Sie den Hostnamen ein, den Forefront TMG in HTTP-Anforderungsnachrichten verwenden wird, die an den veröffentlichten Server gesendet wurden.

    Wenn der in diesem Feld angegebene interne Sitename nicht aufgelöst werden kann und es sich nicht um den Computernamen oder die IP-Adresse des veröffentlichten Servers handelt, aktivieren Sie Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen, und geben Sie anschließend den auflösbaren Computernamen oder die IP-Adresse des veröffentlichten Servers ein.

    Details des öffentlichen Namens

    Anforderungen annehmen für

    Wählen Sie Diesen Domänennamen (unten eingeben) aus.

    Öffentlicher Name

    Geben Sie den öffentlichen vollqualifizierten Domänenname oder die IP-Adresse ein, die externe Benutzer verwenden werden, um auf die veröffentlichte Outlook Web Access-Website zuzugreifen.

    Weblistener auswählen

    Weblistener

    Wählen Sie in der Dropdownliste den in Schritt 4 erstellten Weblistener aus. Sie können dann auf Bearbeiten klicken, um die Eigenschaften des ausgewählten Weblisteners zu ändern.

    Authentifizierungsdelegierung

    Legen Sie die Methode fest, mit der Forefront TMG sich beim veröffentlichten Webserver authentifizieren soll

    Wählen Sie Standardauthentifizierung aus.

    Benutzersätze

    Diese Regel betrifft Anforderungen von folgenden Benutzersätzen

    Wenn Sie die Verifizierung über Windows-Anmeldeinformationen verwenden, ändern Sie nicht die Standardoption Alle authentifizierten Benutzer. Wenn Sie die RADIUS- oder LDAP-Verifizierung verwenden, müssen Sie entsprechend einen für den RADIUS- oder LDAP-Namespace konfigurierten Benutzersatz verwenden.

    Fertigstellen des Assistenten

    Überprüfen Sie die Einstellungen, und klicken Sie auf Fertig stellen.

  8. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

    9. Hinweis

    • Wenn die Veröffentlichung über SSL erfolgt, muss ein für den öffentlichen Hostnamen der veröffentlichten Website ausgestelltes SSL-Serverzertifikat im Speicher „Eigene Zertifikate“ für den lokalen Computer auf dem Forefront TMG-Computer installiert werden. Weitere Informationen zum Abrufen und Installieren von SSL-Serverzertifikaten finden Sie unter Konfigurieren von Serverzertifikaten für die SSL-Webveröffentlichung.

    • Auf der Seite Weblistener-IP-Adressen des Assistenten für neue Weblistener können Sie auch die Option Standard-IP-Adressen für Netzwerkadapter in diesem Netzwerk aktivieren. Wenn der Netzwerklastenausgleich aktiviert ist, wird über diese Option automatisch die virtuelle IP-Adresse ausgewählt. Andernfalls wird die Standard-IP-Adresse für jeden Netzwerkadapter automatisch ausgewählt.

    • Wenn Benutzer ein SSL-Clientzertifikat bereitstellen sollen, muss die Systemrichtlinienregel "Gesamten HTTP-Datenverkehr von Forefront TMG an alle Netzwerke (für Zertifikatsperrlistendownloads) zulassen" aktiviert sein. Durch diese Systemrichtlinienregel kann Forefront TMG aktualisierte Zertifikatsperrlisten zur Überprüfung der Clientzertifikate empfangen.

    • Die formularbasierte Authentifizierung kann auf dem Forefront TMG-Computer oder auf dem Exchange-Server, jedoch nicht auf beiden aktiviert werden. Dieses Verfahren bezieht sich auf die formularbasierte Authentifizierung auf dem Forefront TMG-Computer und nicht auf den Exchange-Servern.

    • Bei der formularbasierten Authentifizierung wird der Benutzer zu einem HTML-Formular geführt. Nach der Eingabe der Anmeldeinformationen durch den Benutzer und der Überprüfung dieser Anmeldeinformationen wird vom System ein Cookie ausgestellt, das ein Ticket enthält. Bei nachfolgenden Anforderungen überprüft das System dieses Cookie, um festzustellen, ob der Benutzer bereits authentifiziert wurde und somit seine Anmeldeinformationen nicht erneut eingeben muss.

    • Wenn Sie die Verifizierung mithilfe von RADIUS-Anmeldeinformationen verwenden, muss der Forefront TMG-Computer als RADIUS-Client auf dem RADIUS-Server registriert und die RADIUS-Systemrichtlinienregel aktiviert sein, um den RADIUS-Datenverkehr vom Forefront TMG-Computer (lokales Hostnetzwerk) zum internen Netzwerk zuzulassen. Diese Regel unterstellt, dass sich der RADIUS-Server im internen Netzwerk befindet.

    • Wenn Sie die Verifizierung mithilfe von RADIUS-, LDAP- oder RADIUS OTP-Anmeldeinformationen auswählen, müssen Sie die Eigenschaften des Weblisteners bearbeiten, den Sie zum Festlegen der für die Authentifizierung erforderlichen RADIUS- oder LDAP-Server verwenden.

    • Benutzer stellen die Verbindung mit Outlook Web Access durch Öffnen einer URL her, die normalerweise die Form „https://Hostname/exchange“ aufweist. Sie müssen möglicherweise die Zuordnungen zwischen den von Benutzern angegebenen und den internen Pfaden auf der Registerkarte Pfade der Eigenschaften für die Webveröffentlichungsregel ändern.

    • Bei der formularbasierten Authentifizierung und der Standardauthentifizierung können die an den Forefront TMG-Computer gesendeten Anmeldeinformationen an den veröffentlichten Server delegiert werden.

    • Weitere Informationen zu anderen Einstellungen in den Webveröffentlichungsregeln finden Sie unter Planen einer Veröffentlichung.

    • Im Anschluss an diese Aufgabe finden Sie weitere Informationen unter Blockieren von Anlagen für Outlook Web Access-Clients.

    Verwandte Themen

    Konzepte

    Konfigurieren der Outlook Web Access-Veröffentlichung