Verwenden der anspruchsbasierten AD FS-Authentifizierung mit Outlook Web App und Exchange-Verwaltungskonsole

Gilt für: Exchange Server 2013 SP1

Zusammenfassung:

Bei lokalen Bereitstellungen von Exchange 2013 Service Pack 1 (SP1) bedeutet die Installation und Konfiguration von Active Directory-Verbunddiensten (AD FS), dass Sie nun die anspruchsbasierte AD FS-Authentifizierung zum Herstellen einer Verbindung mit Outlook Web App und EAC verwenden können. Sie können AD FS und anspruchsbasierte Authentifizierung mit Exchange 2013 SP1 integrieren. Die anspruchsbasierte Authentifizierung ersetzt die herkömmlichen Authentifizierungsmethoden, einschließlich der folgenden:

  • Windows-Authentifizierung
  • Formularbasierte Authentifizierung
  • Digestauthentifizierung
  • Standardauthentifizierung
  • Active Directory-Authentifizierung mit Clientzertifikaten

Die Authentifizierung ist der Vorgang, bei dem die Identität eines Benutzers überprüft wird. Die Authentifizierung prüft, ob die tatsächliche Identität des Benutzers seinen Angaben entspricht. Anspruchsbasierte Identität ist eine andere Möglichkeit zur Authentifizierung. Die anspruchsbasierte Authentifizierung entfernt die Verwaltung der Authentifizierung aus der Anwendung (in diesem Fall Outlook Web App und EA), um die Verwaltung von Konten durch die Zentralisierung der Authentifizierung zu vereinfachen. Outlook Web App und Exchange-Verwaltungskonsole sind nicht für die Authentifizierung der Benutzer, das Speichern von Benutzerkonten und Kennwörtern, das Suchen von Benutzeridentitätsdaten oder die Integration mit anderen Identitätssystemen zuständig. Die zentralisierte Authentifizierung vereinfacht die Aktualisierung auf zukünftige Authentifizierungsmethoden.

Hinweis

OWA für Geräte bietet keine Unterstützung für anspruchsbasierte AD FS-Authentifizierung.

Es gibt mehrere Versionen von AD FS, die verwendet werden können. Diese sind in der folgenden Tabelle zusammengefasst.

Windows Server-Version Installation Version von AD FS
Windows Server 2008 R2 Herunterladen und installieren von AD FS 2.0, einer Zusatzkomponente für Windows. AD FS 2.0
Windows Server 2012 Installieren Sie die integrierte AD FS-Serverrolle. AD FS 2.1
Windows Server 2012 R2 Installieren Sie die integrierte AD FS-Serverrolle. AD FS 3.0

Die Aufgaben, die Sie hier ausführen werden, basieren auf Windows Server 2012 R2, das den AD FS-Rollendienst enthält.

Übersicht über die erforderlichen Schritte:

Schritt 1: Überprüfen Sie die Zertifikatanforderungen für AD FS

Schritt 2: Installation und Konfiguration der Active Directory-Verbunddienste (AD FS)

Schritt 3: Erstellen einer Vertrauensstellung und benutzerdefinierte Anspruchsregeln für Outlook Web App und Exchange-Verwaltungskonsole

Schritt 4: Installieren des Webanwendungsproxy-Rollendiensts (optional)

Schritt 5: Konfigurieren des Webanwendungsproxy-Rollendiensts (optional)

Schritt 6: Veröffentlichen von Outlook Web App und EAC mithilfe des Webanwendungsproxy (optional)

Schritt 7: Konfigurieren von Exchange 2013 für die Verwendung der AD FS-Authentifizierung

Schritt 8: Aktivieren der AD FS-Authentifizierung für die virtuellen Verzeichnisse „OWA" und „ECP"

Schritt 9: Neustart oder Wiederverwendung von Internetinformationsdiensten (Internet Information Services, IIS)

Schritt 10: Testen der AD FS-Ansprüche für Outlook Web App und Exchange-Verwaltungskonsole

Additional information you might want to know

Was muss ich wissen, bevor ich beginne?

  • Sie müssen mindestens getrennte Server mit Windows Server 2012 R2 installieren: einen als Domänencontroller, der Active Directory-Domänendienste (AD DS) verwendet, einen Exchange 2013-Server, einen Webanwendungsproxy-Server und einen Active Directory-Verbunddienste (AD FS)-Server. Stellen Sie sicher, dass alle Updates installiert wurden.

  • Installieren Sie AD DS auf der entsprechenden Anzahl von Windows Server 2012 R2-Servern in Ihrer Organisation. Sie können auch Benachrichtigungen in Server-Manager>Dashboard verwenden, um diesen Server auf einen Domänencontroller heraufzustufen.

  • Installieren Sie entsprechende Anzahl von Clientzugriffs- und Postfachservern für Ihre Organisation. Stellen Sie sicher, dass alle Updates einschließlich SP1 auf allen Exchange 2013-Servern in Ihrer Organisation installiert wurden. SP1 können Sie unter Updates for Exchange 2013 herunterladen.

  • Das Bereitstellen des Webanwendungsproxy auf einem Server erfordert lokale Administratorberechtigungen. Sie müssen AD FS auf einem Server mit Windows Server 2012 R2 in Ihrer Organisation bereitstellen, bevor Sie den Webanwendungsproxy bereitstellen können.

  • Installieren und konfigurieren Sie die AD FS-Rolle und erstellen Sie Vertrauensstellungen und Anspruchsregeln unter Windows Server 2012 R2. Gehen Sie zu diese Zweck wie folgt vor: Melden Sie sich mit einem Benutzerkonto an, das Mitglied der Gruppe "Domänen-Admins", "Organisations-Admins" oder der lokalen Administratorengruppe ist.

  • Bestimmen Sie die erforderlichen Berechtigungen für Exchange 2013. Informationen dazu finden Sie unter Funktionsberechtigungen.

  • Sie müssen über Berechtigungen zum Verwalten von Outlook Web App verfügen. Informationen zu den erforderlichen Berechtigungen finden Sie unter "Berechtigungen für Outlook Web App" im Thema Berechtigungen für Clients und mobile Geräte.

  • Sie müssen über Berechtigungen zum Verwalten von EAC verfügen. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Konnektivität der Exchange-Verwaltungskonsole" im Thema Exchange- und Shellinfrastrukturberechtigungen.

  • Möglicherweise können Sie lediglich mit der Shell einige Verfahren durchführen. Wie eine Shell in Ihrer lokalen Exchange-Organisation geöffnet wird, erfahren Sie unter Open the Shell.

  • Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen in der Exchange-Verwaltungskonsole.

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren auf Exchange Server.

Step 1 - Review the certificate requirements for AD FS

Zertifikate spielen eine entscheidende Rolle beim Absichern der Kommunikation zwischen Exchange 2013 SP1-Servern, Webclients wie Outlook Web App, der Exchange-Verwaltungskonsole und Windows Server 2012 R2-Servern, einschließlich Active Directory-Verbunddienst (AD FS)-Servern und Webanwendungsproxy-Servern. Die Anforderungen für Zertifikate unterscheiden sich je nachdem, ob Sie einen AD FS-Server, AD FS-Proxy oder einen Webanwendungsproxy-Server einrichten. Die Zertifikate, die für AD FS-Dienste verwendet werden, einschließlich der SSL- und Tokensignaturzertifikate, müssen in den Speicher für vertrauenswürdige Stammzertifizierungsstellen auf allen Exchange-, AD FS- und Webanwendungsproxy-Servern importiert werden. Der Fingerabdruck für das importierte Zertifikat wird auch auf den Exchange 2013 SP1-Servern verwendet, wenn Sie das Cmdlet Set-OrganizationConfig benutzen.

Bei jedem AD FS-Design müssen verschiedene Zertifikate verwendet werden, um die Kommunikation zwischen Benutzern im Internet und AD FS-Servern abzusichern. Jeder Verbundserver muss über ein Dienstkommunikationszertifikat oder ein SSL (Secure Socket Layer)-Zertifikat und ein Tokensignaturzertifikat verfügen, bevor AD FS-Server, Active Directory-Domänencontroller und Exchange 2013-Server kommunizieren und sich authentifizieren können. Erwägen Sie sorgfältig, welche Zertifikate Sie entsprechend Ihren Sicherheits- und Kostenanforderungen von einer öffentlichen Zertifizierungsstelle oder einer Organisationszertifizierungsstelle beschaffen. Wenn Sie eine Stamm- oder untergeordnete Zertifizierungsstelle der Organisation installieren und konfigurieren wollen, können Sie Active Directory-Zertifikatdienste (AD CS) verwenden. Weitere Informationen zu AD CS finden Sie unter Active Directory-Zertifikatdienste: Übersicht.

AD FS erfordert zwar keine Zertifikate, die von einer ZS ausgestellt wurden, allerdings muss das SSL-Zertifikat (das auch standardmäßig als Dienstkommunikationszertifikat verwendet wird) von den AD FS-Clients als vertrauenswürdig eingestuft werden. Es wird empfohlen, dass Sie nicht selbst-signierte Zertifikate verwenden. Verbundserver verwenden ein SSL-Zertifikat, um den Datenverkehr von Webdiensten für SSL-Kommunikation mit Webclients und Verbundserver-Proxys abzusichern. Da das SSL-Zertifikat von Clientcomputern als vertrauenswürdig eingestuft werden muss, empfehlen wir Ihnen, ein Zertifikat zu verwenden, das von einer vertrauenswürdigen ZS signiert wurde. Alle von Ihnen ausgewählten Zertifikate müssen über einen entsprechenden privaten Schlüssel verfügen. Nachdem Sie ein Zertifikat von einer ZS (Organisation oder öffentlich) empfangen haben, stellen Sie sicher, dass alle Zertifikate in den Speicher für vertrauenswürdige Stammzertifizierungsstellen auf allen Servern importiert werden. Sie können Zertifikate mit dem MMC-Snap-In Zertifikate importieren oder die Zertifikate mithilfe der Active Directory-Zertifikatdienste verteilen. Es ist wichtig, dass Sie bei Ablauf eines importierten Zertifikats manuell ein anderes, gültiges Zertifikat importieren.

Wichtig

Wenn Sie das selbstsignierte Tokensignaturzertifikat von AD FS verwenden, müssen Sie dieses Zertifikat in den Speicher für vertrauenswürdige Stammzertifizierungsstellen auf allen Ihren Exchange 2013-Servern importieren. Wenn das selbstsignierte Tokensignaturzertifikat nicht verwendet und der Webanwendungsproxy bereitgestellt wird, müssen Sie den öffentlichen Schlüssel in der Webanwendungsproxy-Konfiguration und allen AD FS-Vertrauensstellungen aktualisieren.

Befolgen Sie diese Zertifikatempfehlungen, wenn Sie Exchange 2013 SP1, AD FS und Webanwendungsproxy einrichten:

  • Postfachserver: Bei den auf den Postfachservern verwendeten Zertifikaten handelt es sich um selbstsignierte Zertifikate, die bei der Installation von Exchange 2013 erstellt werden. Da alle Clients über einen Exchange 2013-Clientzugriffsserver eine Verbindung mit einem Exchange 2013-Postfachserver herstellen, müssen Sie nur die Zertifikate auf den Clientzugriffsservern verwalten.

  • Clientzugriffsserver: Ein SSL-Zertifikat, das für die Dienstkommunikation verwendet wird, ist erforderlich. Wenn Ihr vorhandenes SSL-Zertifikat bereits den FQDN enthält, den Sie zum Einrichten des Vertrauensstellungsendpunkts verwenden, sind keine zusätzlichen Zertifikate erforderlich.

  • AD FS: Für AD FS sind zwei Arten von Zertifikaten erforderlich:

    • SSL-Zertifikat für Dienstkommunikation

      • Antragstellername: adfs.contoso.com (AD FS-Bereitstellungsname)
      • Alternativer Antragstellername (SAN): Keine
    • Tokensignaturzertifikat

      • Antragstellername: tokensigning.contoso.com
      • Alternativer Antragstellername (SAN): Keine

    Hinweis

    Wenn Sie das Tokensignaturzertifikat in AD FS ersetzen, müssen alle vorhandenen Vertrauensstellungen aktualisiert werden, sodass Sie das neue Tokensignaturzertifikat verwenden.

  • Webanwendungsproxy

    • SSL-Zertifikat für Dienstkommunikation

      • Antragstellername: owa.contoso.com
      • Alternativer Antragstellername (SAN): Keine

      Hinweis

      Wenn die externe URL Ihres Webanwendungsproxys mit Ihrer internen URL übereinstimmt, können Sie das SSL-Zertifikat von Exchange hier wiederverwenden.

      • AD FS-Proxy-SSL-Zertifikat

        • Antragstellername: adfs.contoso.com (AD FS-Bereitstellungsname)
        • Alternativer Antragstellername (SAN): Keine
      • Tokensignaturzertifikat - Dies wird im Rahmen der folgenden Schritte automatisch aus AD FS kopiert. Wird dieses Zertifikat verwendet, muss es von den Exchange 2013-Servern in Ihrer Organisation als vertrauenswürdig eingestuft werden.

Weitere Informationen zu Zertifikaten finden Sie im Abschnitt Zertifikatanforderungen unter AD FS-Anforderungen .

Hinweis

Sie benötigen ein SSL-Verschlüsselungszertifikat für Outlook Web App und EAC, auch wenn Sie über ein SSL-Zertifikat für AD FS verfügen. Das SSL-Zertifikat wird für die virtuellen Verzeichnisse "OWA" und "ECP" verwendet.

Step 2 - Install and configure Active Directory Federation Services (AD FS)

AD FS bietet unter Windows Server 2012 R2 vereinfachte, sichere Identitätsverbund- und Web-Einmalanmeldungsfunktionen (Single Sign-On, SSO). AD FS umfasst einen Verbunddienst, der browserbasiertes Web-SSO sowie mehrstufige und anspruchsbasierte Authentifizierung ermöglicht. AD FS vereinfacht den Zugriff auf Systeme und Anwendungen mithilfe einer anspruchsbasierten Authentifizierung und eines Autorisierungsmechanismus, um die Anwendungssicherheit zu gewährleisten.

Installieren von AD FS auf Windows Server 2012 R2:

  1. Öffnen Sie den Server-Manager auf dem Startbildschirm oder wählen Sie Server-Manager auf der Taskleiste auf dem Desktop. Klicken Sie im Menü Verwalten auf Rollen und Funktionen hinzufügen.

  2. Klicken Sie auf der Seite Vorbereitung auf Weiter.

  3. Klicken Sie auf der Seite Installationsart auswählen auf Rollenbasierter oder funktionsbasierte Installation und dann auf Weiter.

  4. Klicken Sie auf der Seite Zielserver auswählen auf Server aus dem Serverpool auswählen, stellen Sie sicher, dass der lokale Computer ausgewählt wird, und klicken Sie anschließend auf Weiter.

  5. Klicken Sie auf der Seite Serverrollen auswählen auf Active Directory-Verbunddienste und dann auf Weiter.

  6. Klicken Sie auf der Seite Funktionen auswählen auf Weiter. Die erforderlichen Voraussetzungen und Funktionen sind bereits für Sie ausgewählt. Sie müssen keine weiteren Funktionen auswählen.

  7. Klicken Sie auf der Seite Active Directory-Verbunddienst (AD FS) auf Weiter.

  8. Markieren Sie auf der Seite Installationsauswahl bestätigenZielserver wenn nötig automatisch neu starten und klicken Sie anschließend auf Installieren.

    Hinweis

    Schließen Sie den Assistenten nicht während der Installation.

Nachdem Sie die benötigten AD FS-Server installiert und die erforderlichen Zertifikate erstellt haben, müssen Sie AD FS konfigurieren und dann die ordnungsgemäße Funktion prüfen. Sie können auch die folgende Prüfliste als Hilfe bei der Einrichtung und Konfiguration von AD FS verwenden: Prüfliste: Einrichten eines Verbundservers.

So konfigurieren Sie Active Directory-Verbunddienste:

  1. Klicken Sie auf der Seite Installationsstatus im Fenster unter Active Directory-Verbunddienste auf Verbunddienst auf diesem Server konfigurieren. Der Assistent zum Konfigurieren von Active Directory-Verbunddiensten wird geöffnet.

  2. Klicken Sie auf der Begrüßungsseite auf Ersten Verbundserver in einer Verbundserverfarm erstellen und anschließend auf Weiter.

  3. Geben Sie auf der Seite Mit AD DS verbinden ein Konto mit Domänenadministratorrechten für die entsprechende Active Directory-Domäne an, der dieser Computer angehört, und klicken Sie dann auf Weiter. Wenn Sie einen anderen Benutzer auswählen wollen, klicken Sie auf Ändern.

  4. Führen Sie anschließend auf der Seite Diensteigenschaften angeben die folgenden Schritte aus und klicken Sie dann auf Weiter:

    • Importieren Sie das SSL-Zertifikat, das Sie zuvor von AD CS oder einer öffentlichen ZS erhalten haben. Dieses Zertifikat ist das benötigte Dienstauthentifizierungszertifikat. Navigieren Sie zum Speicherort des SSL-Zertifikats. Weitere Informationen zum Erstellen und Importieren von SSL-Zertifikaten finden Sie unter Serverzertifikate.

    • Geben Sie einen Namen für Ihren Verbunddienst ein (z. B. adfs.contoso.com).

    • Um einen Anzeigenamen für Ihren Verbunddienst anzugeben, geben Sie den Namen Ihrer Organisation ein (z. B. Contoso, Ltd.).

  5. Wählen Sie auf der Seite Dienstkonto angeben die Option Ein Domänenbenutzerkonto oder ein gruppenverwaltetes Dienstkonto verwenden aus und geben Sie dann das GMSA-Konto (FsGmsa) an, das Sie bei der Erstellung des Domänencontrollers erstellt haben. Geben Sie das Kennwort für das Konto ein und klicken Sie dann auf Weiter.

    Hinweis

    Ein global verwaltetes Dienstkonto (Globally Managed Service Account, GMSA) ist ein Konto, das erstellt werden muss, wenn Sie einen Domänencontroller konfigurieren. Das GMSA-Konto ist für die AD FS-Installation und -Konfiguration erforderlich. Wenn Sie dieses Konto noch nicht erstellt haben, führen Sie den folgenden Windows PowerShell-Befehl aus. Dieser erstellt das Konto für die Domäne "contoso.com" und den AD FS-Server:

  6. Führen Sie den folgenden Befehl aus.

    Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
    
  7. In diesem Beispiel wird ein neues GMSA-Konto namens FsGmsa für den Verbunddienst namens adfs.contoso.com erstellt. Der Verbunddienstname ist der Wert, der für Clients sichtbar ist.

    New-ADServiceAccount FsGmsa -DNSHostName adfs.contoso.com -ServicePrincipalNames http/adfs.contoso.com
    
  8. Wählen Sie auf der Seite Konfigurationsdatenbank angeben die Option Auf diesem Server eine Datenbank mit der internen Windows-Datenbank erstellen und klicken Sie dann auf Weiter.

  9. Auf der Seite Optionen überprüfen bestätigen Sie Ihre Konfigurationsauswahl. Optional können Sie die Schaltfläche Skript anzeigen verwenden, um weitere AD FS-Installationen zu automatisieren. Klicken Sie auf Weiter.

  10. Auf der Seite Überprüfung von Voraussetzungen prüfen Sie, ob alle Überprüfungen erfolgreich abgeschlossen wurden, und klicken Sie anschließend auf Konfigurieren.

  11. Überprüfen Sie auf der Seite Installationsstatus, ob alles richtig installiert wurde, und klicken Sie anschließend auf Schließen.

  12. Auf der Seite Ergebnisse prüfen Sie die Ergebnisse, überprüfen, ob die Konfiguration erfolgreich abgeschlossen wurde, und klicken anschließend auf Weitere Schritte, die zum Abschluss der Bereitstellung des Verbunddiensts erforderlich sind.

Die folgenden Windows PowerShell Befehle führen dasselbe wie die vorherigen Schritte aus.

Import-Module ADFS
Install-AdfsFarm -CertificateThumbprint 0E0C205D252002D535F6D32026B6AB074FB840E7 -FederationServiceDisplayName "Contoso Corporation" -FederationServiceName adfs.contoso.com -GroupServiceAccountIdentifier "contoso\FSgmsa`$"

Weitere Informationen und die Syntax finden Sie unter Install-AdfsFarm.

So überprüfen Sie die Installation: Öffnen Sie auf dem AD FS-Server Ihren Webbrowser, und navigieren Sie dann zur URL der Verbundmetadaten (z. B https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml. ).

Schritt 3: Erstellen einer Vertrauensstellung und benutzerdefinierte Anspruchsregeln für Outlook Web App und Exchange-Verwaltungskonsole

Für alle Anwendungen und Dienste, die Sie über den Webanwendungsproxy veröffentlichen wollen, müssen Sie eine Vertrauensstellung auf dem AD FS-Server erstellen. Bei Bereitstellungen mit mehreren Active Directory-Websites, die separate Namespaces verwenden, muss für jeden Namespace eine Vertrauensstellung für Outlook Web App und Exchange-Verwaltungskonsole hinzugefügt werden.

Die Exchange-Verwaltungskonsole verwendet das virtuelle Verzeichnis "ECP". Sie können Einstellungen für die Exchange-Verwaltungskonsole mithilfe der Cmdlets Get-EcpVirtualDirectory und Set-EcpVirtualDirectory anzeigen und konfigurieren. Um auf die Exchange-Verwaltungskonsole zuzugreifen, müssen Sie einen Webbrowser benutzen und http://server1.contoso.com/ecp aufrufen.

Hinweis

The inclusion of the trailing slash / in the URL examples shown below is intentional. It's important to ensure that both the AD FS relying party trusts and Exchange Audience URI's are identical. This means the AD FS relying party trusts and Exchange Audience URI's should both have or both emit the trailing slashes in their URLs. The examples in this section contain the trailing /'s after any url ending with "owa" ( /owa/) or "ecp" (/ecp/).

So erstellen Sie Vertrauensstellungen für Outlook Web App mithilfe des AD FS-Verwaltungs-Snap-Ins in Windows Server 2012 R2:

  1. Klicken Sie in Server-Manager auf Tools und wählen Sie anschließend AD FS-Verwaltung aus.

  2. Klicken Sie im AD FS-Snap-In unter AD FS\Vertrauensstellungen mit der rechten Maustaste auf Vertrauensstellungen. Klicken Sie dann auf Vertrauensstellung hinzufügen, um den Assistenten Vertrauensstellung hinzufügen zu öffnen.

  3. Klicken Sie auf der Begrüßungsseite auf Start.

  4. Klicken Sie auf der Seite Datenquelle auswählen auf Daten der vertrauenden Seite manuell eingeben und anschließend auf Weiter.

  5. Geben Sie auf der Seite Anzeigenamen angeben im Feld AnzeigenameOutlook Web App ein, und geben Sie dann unter Notizen eine Beschreibung für diese Vertrauensstellung der vertrauenden Seite ein (z. B. Dies ist eine Vertrauensstellung für https://mail.contoso.com/owa/), und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Profil auswählen auf AD FS-Profil und anschließend auf Weiter.

  7. Klicken Sie auf der Seite Zertifikat konfigurieren auf Weiter.

  8. Klicken Sie auf der Seite URL konfigurieren auf Unterstützung für den passiven Verbund mit WS-Protokoll aktivieren. Geben Sie dann unter URL der vertrauenden Seite für den passiven Verbund mit dem WS-Protokoll Folgendes ein: type https://mail.contoso.com/owa/. Klicken Sie anschließend auf Weiter.

  9. Geben Sie auf der Seite IDs konfigurieren eine oder mehrere IDs für die vertrauende Seite ein. Klicken Sie auf Hinzufügen, um sie zur Liste hinzuzufügen, und klicken Sie anschließend auf Weiter.

  10. Auf der Seite Mehrstufige Authentifizierung jetzt konfigurieren? wählen Sie Mehrstufige Authentifizierungseinstellungen für diese Vertrauensstellung konfigurieren.

  11. Auf der Seite Mehrstufige Authentifizierung konfigurieren prüfen Sie, ob Ich möchte jetzt keine mehrstufigen Authentifizierungseinstellungen für diese Vertrauensstellung konfigurieren ausgewählt ist, und klicken Sie dann auf Weiter.

  12. Auf der Seite Regeln für Ausstellungsautorisierung wählen wählen Sie Allen Benutzern Zugriff auf diese vertrauende Seite gewähren aus. Klicken Sie dann auf Weiter.

  13. Auf der Seite Vertrauensstellung kann hinzugefügt werden prüfen Sie die Einstellungen und klicken dann auf Weiter, um die Daten der Vertrauensstellung zu speichern.

  14. Auf der Seite Fertig stellen stellen Sie sicher, dass die Option Dialog zum Bearbeiten der Anspruchsregeln für diese Vertrauensstellung öffnen, wenn der Assistent geschlossen wird nicht aktiviert ist. Klicken Sie dann auf Schließen.

Um eine Vertrauensstellung der vertrauenden Seite für EAC zu erstellen, müssen Sie diese Schritte erneut ausführen und eine zweite Vertrauensstellung der vertrauenden Seite erstellen. Anstatt Outlook Web App für den Anzeigenamen einzugeben, geben Sie EAC ein. Geben Sie für die Beschreibung Dies ist eine Vertrauensstellung für das Exchange Admin Center ein, und die vertrauende Seite WS-Federation passive Protokoll-URL lautet https://mail.contoso.com/ecp.

Bei einem anspruchsbasierten Identitätsmodell ist die Funktion von Active Directory-Verbunddiensten (AD FS) als Verbunddienst, ein Token auszustellen, das eine Reihe von Ansprüchen enthält. Anspruchsregeln bestimmen die Entscheidungen in Bezug auf Ansprüche, die AD FS stellt. Anspruchsregeln und alle Serverkonfigurationsdaten werden in der AD FS-Konfigurationsdatenbank gespeichert.

Es ist erforderlich, dass Sie zwei Anspruchsregeln erstellen:

  • Active Directory-Benutzer-SID
  • Active Directory UPN

So fügen Sie die erforderlichen Anspruchsregeln hinzu:

  1. Klicken Sie in Server-Manager auf Tools und anschließend auf AD FS-Verwaltung.

  2. Klicken Sie in der Konsolenstruktur unter AD FS\Vertrauensstellungen entweder auf Vertrauensstellungen von Anspruchsanbietern oder Vertrauensstellungen von vertrauenden Seiten und anschließend auf die Vertrauensstellung für Outlook Web App.

  3. Klicken Sie im Fenster Vertrauensstellungen von vertrauenden Seiten mit der rechten Maustaste auf die Vertrauensstellung Outlook Web App und klicken Sie anschließend auf Anspruchsregeln bearbeiten.

  4. Im Fenster Anspruchsregeln bearbeiten klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen, um den Assistenten zum Hinzufügen einer Regel zur Anspruchstransformation zu starten.

  5. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage den Eintrag Ansprüche mit einer benutzerdefinierten Regel senden aus der Liste aus und klicken Sie auf Weiter.

  6. Auf der Seite Regel konfigurieren geben Sie beim Schritt Regeltyp wählen unter Name der Anspruchsregel den Namen der Anspruchsregel ein. Verwenden Sie einen beschreibenden Namen für die Anspruchsregel (z. B. ActiveDirectoryUserSID). Geben Sie unter Benutzerdefinierte Regel die folgende Anspruchsregel-Sprachsyntax für die Regel ein:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
    
  7. Klicken Sie auf der Seite Regel konfigurieren auf Fertig stellen.

  8. Im Fenster Anspruchsregeln bearbeiten klicken Sie auf der Registerkarte Ausstellungstransformationsregeln auf Regel hinzufügen, um den Assistenten zum Hinzufügen einer Regel zur Anspruchstransformation zu starten.

  9. Wählen Sie auf der Seite Regelvorlage auswählen unter Anspruchsregelvorlage den Eintrag Ansprüche mit einer benutzerdefinierten Regel senden aus der Liste aus und klicken Sie auf Weiter.

  10. Auf der Seite Regel konfigurieren geben Sie beim Schritt Regeltyp wählen unter Name der Anspruchsregel den Namen der Anspruchsregel ein. Verwenden Sie einen beschreibenden Namen für die Anspruchsregel (z. B. ActiveDirectoryUPN). Geben Sie unter Benutzerdefinierte Regel die folgende Anspruchsregel-Sprachsyntax für die Regel ein:

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);
    
  11. Klicken Sie auf Fertig stellen.

  12. Klicken Sie im Fenster Anspruchsregeln bearbeiten auf Übernehmen und dann auf OK.

  13. Wiederholen Sie die Schritte 3 bis 12 dieses Verfahrens für die Vertrauensstellung der Exchange-Verwaltungskonsole.

Alternativ können Sie Vertrauensstellungen und Anspruchsregeln mithilfe von Windows PowerShell erstellen:

  1. Erstellen Sie die beiden TXT-Dateien "IssuanceAuthorizationRules.txt" und "IssuanceTransformRules.txt".

  2. Importieren Sie ihre Inhalte in zwei Variablen.

  3. Führen Sie zum Erstellen der Vertrauensstellungen die folgenden zwei Cmdlets aus. In diesem Beispiel werden dadurch auch die Anspruchsregeln konfiguriert.

IssuanceAuthorizationRules.txt enthält:

@RuleTemplate = "AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");

IssuanceTransformRules.txt enthält:

@RuleName = "ActiveDirectoryUserSID" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"), query = ";objectSID;{0}", param = c.Value);
@RuleName = "ActiveDirectoryUPN" c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"), query = ";userPrincipalName;{0}", param = c.Value);

Führen Sie die folgenden Befehle aus:

[string]$IssuanceAuthorizationRules=Get-Content -Path C:\IssuanceAuthorizationRules.txt

[string]$IssuanceTransformRules=Get-Content -Path c:\IssuanceTransformRules.txt

Add-ADFSRelyingPartyTrust -Name "Outlook Web App" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/owa/" -WSFedEndpoint https://mail.contoso.com/owa/ -Identifier https://mail.contoso.com/owa/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Add-ADFSRelyingPartyTrust -Name "Exchange admin center (EAC)" -Enabled $true -Notes "This is a trust for https://mail.contoso.com/ecp/" -WSFedEndpoint https://mail.contoso.com/ecp/ -Identifier https://mail.contoso.com/ecp/ -IssuanceTransformRules $IssuanceTransformRules -IssuanceAuthorizationRules $IssuanceAuthorizationRules

Schritt 4: Installieren des Webanwendungsproxy-Rollendiensts (optional)

Hinweis

Schritt 4, Schritt 5 und Schritt 6 sind für Benutzer bestimmt, die Exchange OWA und ECP mithilfe von Web Anwendungsproxy veröffentlichen möchten und web Anwendungsproxy die AD FS-Authentifizierung durchführen möchten. Die Veröffentlichung von Exchange mit Web Anwendungsproxy ist jedoch nicht erforderlich, sodass Sie mit Schritt 7 fortfahren können, wenn Sie web Anwendungsproxy nicht verwenden und möchten, dass Exchange die AD FS-Authentifizierung selbst durchführt.

Webanwendungsproxy ist ein neuer Remotezugriff-Rollendienst in Windows Server 2012 R2. Webanwendungsproxy bietet Reverseproxy-Funktionalität für Webanwendungen in Ihrem Unternehmensnetzwerk, sodass Benutzer von vielen Geräten von außerhalb des Unternehmensnetzwerks auf diese Anwendungen zugreifen können. Webanwendungsproxy nimmt mithilfe von Active Directory-Verbunddiensten (AD FS) eine Vorauthentifizierung des Zugriffs auf Webanwendungen vor und fungiert außerdem auch als AD FS-Proxy. Webanwendungsproxy ist zwar nicht erforderlich, wird aber empfohlen, wenn AD FS für externe Clients zugänglich ist. Allerdings wird der Offlinezugriff in Outlook Web App nicht unterstützt, wenn die AD FS-Authentifizierung über Webanwendungsproxy verwendet wird. Weitere Informationen zur Integration mit Webanwendungsproxy finden Sie unter Installieren und Konfigurieren von Webanwendungsproxy für das Veröffentlichen interner Anwendungen.

Warnung

Sie können Webanwendungsproxy nicht auf demselben Server installieren wie AD FS.

Um Webanwendungsproxy bereitzustellen, müssen Sie die Serverrolle "Remotezugriff" mit dem Webanwendungsproxy-Rollendienst auf einem Server installieren, der als Webanwendungsproxy-Server fungieren wird. So installieren Sie den Webanwendungsproxy-Dienst:

  1. Klicken Sie auf dem Webanwendungsproxy-Server unter Server-Manager auf Verwalten und anschließend auf Rollen und Funktionen.

  2. Klicken Sie im Assistenten "Rollen und Funktionen hinzufügen" dreimal auf Weiter, um zur Seite Serverrollen zu gelangen.

  3. Wählen Sie auf der Seite ServerrollenRemotezugriff aus der Liste aus und klicken Sie anschließend auf Weiter.

  4. Klicken Sie auf der Seite Funktionen auf Weiter.

  5. Lesen Sie auf der Seite Remotezugriff die Informationen und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite RollendiensteWebanwendungsproxy aus. Klicken Sie im Fenster Assistent zum Hinzufügen von Rollen und Funktionen auf Funktionen hinzufügen und dann auf Weiter.

  7. Klicken Sie im Fenster Bestätigung auf Installieren. Falls erforderlich, können Sie auch Zielserver wenn nötig automatisch neu starten aktivieren.

  8. Bestätigen Sie im Dialogfeld Installationsstatus, dass die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Das folgende Windows PowerShell-Cmdlet erfüllt dieselbe Funktion wie die vorangegangenen Schritte.

Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

Schritt 5: Konfigurieren des Webanwendungsproxy-Rollendiensts (optional)

Sie müssen Webanwendungsproxy konfigurieren, um eine Verbindung mit dem AD FS-Server herzustellen. Wiederholen Sie dieses Verfahren für alle Server, die Sie als Webanwendungsproxy-Server bereitstellen möchten.

So konfigurieren Sie den Rollendienst für die Webanwendung:

  1. Klicken Sie auf dem Webanwendungsproxy-Server unter Server-Manager auf Tools und anschließend auf Remotezugriffsverwaltung.

  2. Klicken Sie im Bereich Konfiguration auf Webanwendungsproxy.

  3. In der Konsole Remotezugriffsverwaltung klicken Sie im mittleren Bereich auf Konfigurationsassistenten für Webanwendungsproxy ausführen.

  4. Klicken Sie im Dialogfeld Willkommen des Konfigurationsassistenten für Webanwendungsproxy auf Weiter.

  5. Führen Sie anschließend auf der Seite Verbundserver die folgenden Schritte aus und klicken Sie dann auf Weiter:

    • Geben Sie im Feld Verbunddienstname den vollqualifizierten Domänennamen (FQDN) des AD FS-Servers ein (z. B. adfs.contoso.com).

    • Geben Sie im Feld Benutzername und Kennwort die Anmeldeinformationen eines lokalen Administratorkontos auf den AD FS-Servern ein.

  6. Wählen Sie im Dialogfeld AD FS-Proxyzertifikat in der Liste der Zertifikate, die derzeit auf dem Web Anwendungsproxy-Server installiert sind, das Zertifikat aus, das von Web Anwendungsproxy für DIE AD FS-Proxyfunktionalität verwendet werden soll, und klicken Sie dann auf Weiter. Das Zertifikat, das Sie hier auswählen, sollte das Zertifikat sein, dessen Betreff der Name des Verbunddiensts ist (z. B. adfs.contoso.com).

  7. Prüfen Sie im Dialogfeld Bestätigung die Einstellungen. Falls erforderlich, können Sie das Windows PowerShell-Cmdlet kopieren, um weitere Installationen zu automatisieren. Klicken Sie auf Konfigurieren.

  8. Prüfen Sie im Dialogfeld Ergebnisse, ob die Installation erfolgreich war, und klicken Sie dann auf Schließen.

Das folgende Windows PowerShell-Cmdlet erfüllt dieselbe Funktion wie die vorangegangenen Schritte.

Install-WebApplicationProxy -CertificateThumprint 1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b -FederationServiceName adfs.contoso.com

Schritt 6: Veröffentlichen von Outlook Web App und EAC mithilfe des Webanwendungsproxy (optional)

In Schritt 3 haben Sie Anspruchsrelayer-Parteienvertrauensstellungen für Outlook Web App und EAC erstellt und müssen nun beide Anwendungen veröffentlichen. Bevor Sie dies tun, überprüfen Sie jedoch, ob eine Vertrauensstellung der vertrauenden Seite für sie erstellt wurde, und vergewissern Sie sich, dass Sie über ein Zertifikat auf dem Web-Anwendungsproxy-Server verfügen, das für Outlook Web App und EAC geeignet ist. Für alle AD FS-Endpunkte, die von Web Anwendungsproxy veröffentlicht werden müssen, müssen Sie in der AD FS-Verwaltungskonsole den Endpunkt auf Proxy aktiviert festlegen.

Befolgen Sie die Schritte, um Outlook Web App mithilfe von Webanwendungsproxy zu veröffentlichen. Für die Exchange-Verwaltungskonsole wiederholen Sie diese Schritte. Wenn Sie die Exchange-Verwaltungskonsole veröffentlichen, müssen Sie den Namen, die externe URL, das externe Zertifikat und die Back-End-URL ändern.

So veröffentlichen Sie Outlook Web App und Exchange-Verwaltungskonsole mithilfe von Webanwendungsproxy:

  1. Auf dem Webanwendungsproxy-Server klicken Sie in der Konsole Remotezugriffsverwaltung im Bereich Navigation auf Webanwendungsproxy. Klicken Sie dann im Bereich Aufgaben auf Veröffentlichen.

  2. Klicken Sie im Assistenten zum Veröffentlichen neuer Anwendungen auf der Seite Willkommen auf Weiter.

  3. Klicken Sie auf der Seite Vorauthentifizierung auf Active Directory-Verbunddienst (AD FS) und anschließend auf Weiter.

  4. Auf der Seite Vertrauende Seite wählen Sie aus der Liste der vertrauenden Seiten die vertrauende Seite für die Anwendung aus, die Sie veröffentlichen wollen, und klicken Sie anschließend auf Weiter.

  5. Führen Sie anschließend auf der Seite Veröffentlichungseinstellungen die folgenden Schritte aus und klicken Sie dann auf Weiter:

    1. Geben Sie einen Anzeigenamen für die Anwendung in das Feld Name ein. Dieser Name wird nur in der Liste der veröffentlichten Anwendungen in der Remotezugriff-Verwaltungskonsole verwendet. Sie können OWA und EAC für die Namen verwenden.

    2. Geben Sie im Feld Externe URL die externe URL für diese Anwendung ein (zhttps://external.contoso.com/owa/. B. für Outlook Web App und https://external.contoso.com/ecp/ für EAC).

    3. Wählen Sie aus der Liste Externes Zertifikat ein Zertifikat aus, dessen Antragstellername mit dem Hostnamen der externen URL übereinstimmt.

    4. Geben Sie im Feld Back-End-Server-URL die URL des Back-End-Servers ein. Beachten Sie, dass dieser Wert automatisch eingegeben wird, wenn Sie die externe URL eingeben. Sie sollten ihn nur ändern, wenn die Back-End-Server-URL anders ist (z. https://mail.contoso.com/owa/ B. für Outlook Web App und https://mail.contoso.com/ecp/ für EAC).

    Hinweis

    Webanwendungsproxy kann Hostnamen in URLs übersetzen, für Pfade gilt dies jedoch nicht. Daher können Sie verschiedenen Hostnamen eingeben, müssen jedoch denselben Pfad eingeben. Sie können beispielsweise eine externe URL von https://external.contoso.com/app1/ und die Back-End-Server-URL eingeben https://mail.contoso.com/app1/. Sie können jedoch keine externe URL von https://external.contoso.com/app1/ und die Back-End-Server-URL eingeben https://mail.contoso.com/internal-app1/.

  6. Überprüfen Sie auf der Seite Bestätigung die Einstellungen und klicken Sie dann auf Veröffentlichen. Sie können den Windows PowerShell-Befehl kopieren, um weitere veröffentlichte Anwendungen einzurichten.

  7. Stellen Sie auf der Seite Ergebnisse sicher, dass die Anwendung erfolgreich veröffentlicht wurde, und klicken Sie anschließend auf Schließen.

Das folgende Windows PowerShell-Cmdlet erfüllt dieselben Aufgaben wie das vorangegangene Verfahren für Outlook Web App.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/owa/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/owa/' -Name 'OWA' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Outlook Web App'

Das folgende Windows PowerShell-Cmdlet erfüllt dieselben Aufgaben wie das vorangegangene Verfahren für die Exchange-Verwaltungskonsole.

Add-WebApplicationProxyApplication -BackendServerUrl 'https://mail.contoso.com/ecp/' -ExternalCertificateThumbprint 'E9D5F6CDEA243E6E62090B96EC6DE873AF821983' -ExternalUrl 'https://external.contoso.com/ecp/' -Name 'EAC' -ExternalPreAuthentication ADFS -ADFSRelyingPartyName 'Exchange admin center'

Nachdem Sie diese Schritte ausgeführt haben, führt Web Anwendungsproxy die AD FS-Authentifizierung für Outlook Web App- und EAC-Clients durch. Außerdem werden die Verbindungen für exchange in ihrem Namen als Proxy verwendet. Sie müssen Exchange selbst nicht für die AD FS-Authentifizierung konfigurieren. Fahren Sie daher mit Schritt 10 fort, um Ihre Konfiguration zu testen.

Schritt 7: Konfigurieren von Exchange 2013 für die Verwendung der AD FS-Authentifizierung

Wenn Sie AD FS für die anspruchsbasierte Authentifizierung mit Outlook Web App und Exchange-Verwaltungskonsole in Exchange 2013 konfigurieren, müssen Sie AD FS für Ihre Exchange-Organisation aktivieren. Zum Konfigurieren der AD FS-Einstellungen für Ihre Organisation müssen Sie das Cmdlet Set-OrganizationConfig verwenden:

  • Legen Sie als AD FS-Aussteller https://adfs.contoso.com/adfs/ls/ fest.

  • Legen Sie als AD FS-URIs https://mail.contoso.com/owa/ und https://mail.contoso.com/ecp/ fest.

  • Suchen Sie den Fingerabdruck des AD FS-Tokensignaturzertifikats, indem Sie Windows PowerShell auf dem AD FS-Server verwenden und eingebenGet-ADFSCertificate -CertificateType "Token-signing". Weisen Sie dann den Fingerabdruck des Tokensignaturzertifikats zu, den Sie gefunden haben. Wenn das AD FS-Tokensignaturzertifikat abgelaufen ist, muss der Fingerabdruck des neuen AD FS-Tokensignaturzertifikats mit dem Cmdlet Set-OrganizationConfig aktualisiert werden.

Führen Sie die folgenden Befehle in der Exchange-Verwaltungsshell aus.

$uris = @("https://mail.contoso.com/owa/","https://mail.contoso.com/ecp/")
Set-OrganizationConfig -AdfsIssuer "https://adfs.contoso.com/adfs/ls/" -AdfsAudienceUris $uris -AdfsSignCertificateThumbprint "88970C64278A15D642934DC2961D9CCA5E28DA6B"

Hinweis

Der Parameter -AdfsEncryptCertificateThumbprint wird für diese Szenarien nicht unterstützt.

Weitere Informationen und die Syntax finden Sie unter Set-OrganizationConfig und Get-ADFSCertificate.

Schritt 8: Aktivieren der AD FS-Authentifizierung für die virtuellen Verzeichnisse „OWA“ und „ECP“

Aktivieren Sie für die virtuellen Verzeichnisse "OWA" und "ECP" die AD FS-Authentifizierung als einzige Authentifizierungsmethode und deaktivieren Sie alle anderen Authentifizierungsmethoden.

Warnung

Sie müssen das virtuelle Verzeichnis "ECP" vor dem virtuellen Verzeichnis "OWA" konfigurieren.

Sie konfigurieren das virtuelle Verzeichnis "ECP" mithilfe der Exchange-Verwaltungsshell. Führen Sie im Shellfenster den folgenden Befehl aus.

Get-EcpVirtualDirectory | Set-EcpVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false

Konfigurieren Sie das virtuelle Verzeichnis "OWA" mithilfe der Exchange-Verwaltungsshell. Führen Sie im Shellfenster den folgenden Befehl aus.

Get-OwaVirtualDirectory | Set-OwaVirtualDirectory -AdfsAuthentication $true -BasicAuthentication $false -DigestAuthentication $false -FormsAuthentication $false -WindowsAuthentication $false -OAuthAuthentication $false

Hinweis

Die vorangegangenen Exchange-Verwaltungsshellbefehle konfigurieren die virtuellen Verzeichnisse "OWA" und "ECP" auf jedem Clientzugriffsserver in Ihrer Organisation. Wenn Sie diese Einstellungen nicht auf alle Clientzugriffsserver anwenden möchten, verwenden Sie den Parameter -Identity , und geben Sie den Clientzugriffsserver an. Wahrscheinlich wollen Sie die Einstellungen nur für die Clientzugriffsserver mit Internetzugriff in Ihrer Organisation übernehmen.

Weitere Informationen und die Syntax finden Sie unter Get-OwaVirtualDirectory und Set-OwaVirtualDirectory oder Get-EcpVirtualDirectory und Set-EcpVirtualDirectory.

Schritt 9: Neustart oder Wiederverwendung von Internetinformationsdiensten (Internet Information Services, IIS)

Nachdem Sie alle erforderlichen Schritte, einschließlich der Änderungen an virtuellen Exchange-Verzeichnissen, abgeschlossen haben, müssen Sie die Internetinformationsdienste neu starten. Verwenden Sie dazu eine der folgenden Methoden:

  • Mit Windows PowerShell:

    Restart-Service W3SVC,WAS -force
    
  • Verwenden einer Befehlszeile: Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ein IISReset /noforce, und klicken Sie dann auf OK.

  • Verwenden des Internetinformationsserver-Managers (IIS): Klicken Sie in Server-Manager>IIS auf Extras, und klicken Sie dann auf Internetinformationsdienste-Manager (IIS). Klicken Sie im Fenster Internetinformationsdienste im Aktionsbereich unter Server verwalten auf Neu starten.

Schritt 10: Testen der AD FS-Ansprüche für Outlook Web App und Exchange-Verwaltungskonsole

So testen Sie die AD FS-Ansprüche für Outlook Web App:

  • Melden Sie sich in Ihrem Webbrowser bei Outlook Web App an (z. Bhttps://mail.contoso.com/owa. ).

  • Wenn Sie im Browserfenster einen Zertifikatfehler erhalten, fahren Sie einfach fort, und rufen Sie die Outlook Web App-Website auf. Sie werden zur AD FS-Anmeldeseite weitergeleitet oder zur Eingabe der AD FS-Anmeldeinformationen aufgefordert.

  • Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.

Outlook Web App wird im Fenster geladen.

So testen Sie die AD FS-Ansprüche für die Exchange-Verwaltungskonsole:

  1. Rufen Sie im Webbrowser https://mail.contoso.com/ecp auf.

  2. Wenn Sie im Browserfenster einen Zertifikatfehler erhalten, fahren Sie einfach fort, und rufen Sie die ECP-Website auf. Sie werden zur AD FS-Anmeldeseite weitergeleitet oder zur Eingabe der AD FS-Anmeldeinformationen aufgefordert.

  3. Geben Sie Ihren Benutzernamen (Domäne\Benutzer) und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.

  4. Die Exchange-Verwaltungskonsole sollte im Fenster geladen werden.

Weitere hilfreiche Informationen

Mehrstufige Authentifizierung

Bei lokalen Exchange 2013 SP1-Bereitstellungen bedeutet die Bereitstellung und Konfiguration von Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 mithilfe von Ansprüchen, dass Outlook Web App und EAC in Exchange 2013 SP1 mehrstufige Authentifizierungsmethoden unterstützen können, z. B. zertifikatbasierte Authentifizierung, Authentifizierungs- oder Sicherheitstoken und Fingerabdruck Authentifizierung. Die zweistufige Authentifizierung wird häufig mit anderen Authentifizierungsformen verwechselt. Die mehrstufige Authentifizierung erfordert die Verwendung von zwei der drei Authentifizierungsfaktoren. Diese Faktoren sind:

  • Etwas, das nur der Benutzer weiß (z. B. Kennwort, PIN oder Muster)

  • Etwas, das nur der Benutzer besitzt (z. B. Geldkarte, Sicherheitstoken, Smartcard oder Mobiltelefon)

  • Ein Merkmal, das nur der Benutzer besitzt (z. B. eine biometrische Eigenschaft wie ein Fingerabdruck)

Weitere Informationen zur mehrstufigen Authentifizierung in Windows Server 2012 R2 finden Sie unter Übersicht: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen und Handbuch mit exemplarischer Vorgehensweise: Verwalten von Risiken mit zusätzlicher mehrstufiger Authentifizierung für sensible Anwendungen.

Beim AD FS-Rollendienst von Windows Server 2012 R2 fungiert der Verbunddienst als Sicherheitstokendienst, stellt Sicherheitstoken bereit, die mit Ansprüchen verwendet werden, und gibt Ihnen die Möglichkeit, mehrstufige Authentifizierung einzusetzen. Der Verbunddienst stellt Token auf Grundlage der angegebenen Anmeldeinformationen aus. Nachdem der Kontospeicher die Anmeldeinformationen eines Benutzers überprüft hat, werden die Ansprüche für den Benutzer entsprechend den Regeln der Vertrauensrichtlinie erstellt und anschließend einem Sicherheitstoken hinzugefügt, das an den Client ausgegeben wird. Weitere Informationen zu Ansprüchen finden Sie unter Grundlegendes zu Ansprüchen.

Gleichzeitige Installation mit anderen Exchange-Versionen

Es ist möglich, die AD FS-Authentifizierung für Outlook Web App und Exchange-Verwaltungskonsole zu verwenden, wenn Sie mehrere Exchange-Versionen in Ihrer Organisation bereitgestellt haben. Dieses Szenario wird nur für die Bereitstellung von Exchange 2010 und Exchange 2013 unterstützt, und nur dann, wenn alle Clients eine Verbindung über die Exchange 2013-Server herstellen und diese Exchange 2013-Server für die AD FS-Authentifizierung konfiguriert wurden.

Benutzer mit einem Postfach auf einem Exchange 2010-Server können über einen Exchange 2013-Server, der für die AD FS-Authentifizierung konfiguriert wurde, auf ihre Postfächer zugreifen. Die erste Clientverbindung mit dem Exchange 2013-Server verwendet die AD FS-Authentifizierung. Die weitergeleitete Verbindung mit dem Exchange 2010-Server verwendet jedoch Kerberos. Es gibt keine Möglichkeit, Exchange Server 2010 für die direkte AD FS-Authentifizierung zu konfigurieren.