ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
ISA Terminalservice
ISA und SBS
Ping eingehend
Incoming ping response
pcAnyWhere
Terminalserver
TSAC / TSWeb
DNS veröffentlichen
Webserver - Teil 1
Webserver - Teil 2a
Webserver - Teil 2b
Webserver - Teil 3
Webserver mit IP-Zielsatz
Exchange SMTP
Exchange OWA
Exchange OWA mit FP1
OWA SSL Teil 1
OWA SSL Teil 2
OWA SSL Teil 3
OWA SSL Teil 4
OWA SSL Teil 5
Veröffentlichungen einschränken
Exchange RPC
RPC über HTTPS

 

Einrichtung von RPC over HTTPS mit dem ISA Server 2000


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000
  • Microsoft Exchange Server 2003 SP1
  • Microsoft Windows Server 2003

 

In den Artikeln Exchange RPC und Exchange OWA mit FP1 wurde beschrieben, wie Remotebenutzer auf ihr Exchange-Postfach zugreifen können. Neben den bereits beschriebenen Wegen gibt es noch eine weitere Lösung: RPC über HTTPS.

Mittels RPC over HTTPS besteht eine weitere sichere Möglichkeit auf sein Exchange Postfach von Extern zuzugreifen. Hierbei ist es nicht notwendig, wie bei einer reinen RPC Veröffentlichung, den kritischen Port 135 zu öffnen, da die RPC Pakete in einem SSL Tunnel übertragen werden. Die Pakete werden an den RPC über HTTP Proxy übermittelt, von dem der HTTP Header entfernt wird, und die reinen RPC Pakete an den Exchange Server weitergeleitet werden. Daten vom Exchange Server aus werden zuerst an den RPC über HTTP Proxy gesendet und von dort aus wieder als verschlüsselte HTTP Pakete an den Client weitergeleitet.

Vorteile dieser Verbindungsmethode sind:

  • Die Benutzer arbeiten in der gewohnten Microsoft Outlook Umgebung
  • Es besteht nur Zugriff auf den Exchange Server und nicht auf andere interne Ressourcen
  • Aus einem Remote Netzwerk mit Firewall muss nur das Protokoll HTTPS erlaubt sein
  • RPC over HTTPS funktioniert auch bei einem Small Business Server 2003


  • Szenario



    In dieser Anleitung wird die Verbindung zum Exchange Server mittels SSL Bridging hergestellt, d.h. es besteht ein SSL Tunnel zwischen dem Client und dem ISA Server und ein neuer Tunnel zwischen dem ISA- und dem Exchange Server. Hierzu sind zwei Webserverzertifikate für die SSL Verbindung notwendig. Ein Zertifikat für die Verbindung vom Client zum ISA Server für exchange.meinefirma.de, auf dem ISA Server, und intern für die Verschlüsselung vom ISA- zum Exchange Server für exchange.meinefirma.local, auf dem Exchange Server. Wichtig hierbei ist, dass der Client der Zertifizierungsstelle für das externe Zertifikat und der ISA Server der Zertifizierungsstelle des internen Zertifikates vertrauen. Des Weiteren müssen die FQDN's
    (Full Qualified Domain Name) mit denen der Zertifikate übereinstimmen und die Zertifikate dürfen nicht abgelaufen sein, ansonsten kommt kein Verbindungsaufbau zustande.

    Voraussetzungen:

  • Exchange Server 2003 SP1 auf einem Windows 2003 Server
  • Active Directory auf Windows 2003 Server
  • Ein Webserverzertifikat für exchange.meinefirma.de dem ISA Server
  • Ein Webserverzertifikat für exchange.meinefirma.local auf dem Exchange Server
  • Windows XP SP1 mit Patch 331320 oder SP2
  • Outlook 2003
  • 1. Installation des RPC over HTTP Proxys



    Öffnen Sie hierzu die Softwareverwaltung über Start -> Programme -> Systemsteuerung -> Software und klicken auf Windowskomponenten hinzufügen/entfernen.



    Unter Komponenten wählen Sie die Netzwerkdienste aus und klicken auf Details.



    Wählen Sie hier die Option RPC-über-HTTP Proxy aus.



    Anschließend wird der RPC-über-HTTP Proxy installiert.



    Schließen Sie die Installation mit Fertigstellen ab.

    2. Konfiguration des virtuellen RPC Verzeichnisses



    Öffnen Sie den Internetinformationsdiente-Manager über Start -> Programme -> Verwaltung und öffnen Sie Eigenschaften des RPC Verzeichnisses.



    Konfigurieren Sie die Authentifizierungsmethoden, indem Sie über die Option "Authentifizierung und Zugriffsteuerung" auf Bearbeiten klicken.

    Wenn Sie noch kein Zertifikat für den Webserver besitzen können Sie unter Sichere Kommunikation ein Zertifikat anfordern. Wie Sie ein Zertifikat anfordern finden Sie in folgender Anleitung:



    Deaktivieren Sie den anonymen Zugriff, indem Sie den Haken entfernen und wählen Sie als Authentifizierungsmethode die Standartauthentifizierung aus. Die Standartauthentifzierung ist hier kein Sicherheitsrisiko, da die Daten über einen SSL Tunnel transportiert werden. Übernehmen Sie die Einstellungen mit OK.



    Klicken Sie nun unter der Option Sichere Kommunikation auf Bearbeiten.



    Wählen Sie Sicheren Kanal voraussetzen (SSL) aus, um nur SSL Anfrage zu zulassen. Optional kann eine Verschlüsselungsstärke von 128 Bit gefordert werden. Die Konfiguration am Exchange Server ist nun abgeschlossen.

    2.1 Konfiguration der Ports für die Kommunikation des RPC über HTTP Proxys

    Abschließend müssen Sie noch die Ports festlegen auf denen die Kommunikation mit dem RPC über HTTP Proxy statt findet.
    Öffen Sie hierzu über Start -> Ausführen -> regedit den Registrierungseditior und navigieren Sie zu folgednem Pfad:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy

    Ändern Sie den Wert des Registrierungsschlüssels ValidPorts in folgenden Wert ab:

    NETBIOS-Name des Servers:6001-6002;FQDN des Servers:6001-6002;NETBIOS-Name des Servers:6004;FQDN des Servers:6004

    In dieser Anleitung entspricht das:

    exch-srv1:6001-6002;exch-srv1.meinedomain.local:6001-6002;exch-srv1:6004;exch-srv1.meinedomain.local:6004

    Die Konfiguration am Exchange Server ist nun abgeschlossen.

    3. Konfiguration der Globalen Katalog Server

    Hinweis: Folgende Schritte sind nicht notwendig, falls es sich um einen Small Business Server 2003 handelt, oder der Exchange Server auf einem Domänencontroller installiert ist.

    Um die Kommunikation zwischen dem RPC über HTTP Proxy und den Globalen Katalogen zu gewährleisten, müssen Sie die benötigten Ports angeben. Öffnen Sie wieder über Start - >Ausführen -> regedit den Registrierungseditor und navigieren Sie zu folgendem Pfad:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    und erstellen einen neunen Registrierungsschlüssel vom Typ Wert der mehrteiligen Zeichenfolge mit dem Namen NSPI interface protocol sequences. Als Wert für diesen Registrierungsschlüssel geben Sie ncacn_http:6004 ein.

    Wiederholen Sie diesen Schritt für jeden Globalen Katalog Server in Ihrem Netzwerk.

    4. Konfiguration des ISA Servers

    Am ISA Server selbst muss eine Webveröffentlichungsregel erstellt werden, um die Anforderungen an den RPC über HTTP Proxy auf dem Exchange Server weiter zu leiten. Zusätzlich ist ein Zertifikat für die SSL Verschlüsselung notwendig, das an den Listener für eingehende Webanfragen gebunden werden muss.

    Wie Sie ein Zertifikat am ISA importieren und den Weblistener dazu konfigurieren finden Sie unter folgenden Anleitungen:

    Zuerst muss ein Zielsatz für die Webveröffentlichung erstellt werden. Öffnen Sie hierzu die MMC des ISA Servers

    4.1 Erstellen eines Zielsatzes



    Erstellen Sie einen neuen Zielsatz, indem Sie unter den Zielsätzen Neu auswählen.



    Vergeben Sie dem Zielsatz einen Namen und optional eine Beschreibung und klicken anschließend auf Hinzufügen.



    Geben Sie als Ziel die URL ein, unter dem der Exchange Server von extern zu erreichen ist und als Pfad /rpc/*.
    Wichtig hierbei ist ,dass die URL die gleiche sein muss, wie sie im Zertifikat angegeben ist, da ansonsten kein Verbindungsaufbau zustande kommt. Näheres hierzu finden Sie in der Fehlerbehandlung.



    Anschließend sollte Ihr Zielsatz wie folgt aussehen.

    4.2 Erstellen der Webveröffentlichungsregel



    Erstellen Sie über Webveröffentlichungsregeln -> Neu -> Regel eine neue Veröffentlichung.



    Vergeben Sie der Webveröffentlichungsregel einen Namen, damit Sie sie von anderen unterscheiden können.



    Wählen Sie unter "Regel anwenden für" die Option Angegebenen Zielsatz und unter Name den vorhin erstellten Zielsatz für RPC over HTTPS aus.



    Hier können Sie den Zugriff auf bestimmte IP Adressen bzw. Benutzer einschränken.



    Leiten Sie die Anfrage an den RPC-über-HTTP Proxy Dienst auf dem Exchange Server weiter. Tragen Sie hierzu unter "Anfrage an den internen Webserver umleiten" den internen Servernamen des Exchange Servers ein. Verwenden Sie hierzu nicht die IP Adresse des Servers, da es ansonsten zu Problemen mit dem Zertifikat kommt, da die URL nicht übereinstimmt.



    Abschließend bekommen Sie alle Einstellungen als Zusammenfassung angezeigt.



    Öffnen Sie anschließend die Eigenschaften der gerade erstellten Webveröffentlichungsregel und setzen Sie unter dem Karteireiter Umleitung den Haken für den Sicheren Kanal, damit Anfragen nur per SSL an genommen werden. Optional können Sie eine Verschlüsselungsstärke von 128 Bit fordern.

    5. Konfiguration von Outlook 2003



    Erstellen Sie für Outlook ein Profil und fügen diesem ein neues Konto hinzu.



    Als Serverart wählen Sie hier Microsoft Exchange Server aus.



    Tragen Sie unter Microsoft Exchange Server den internen Servernamen des Exchange Servers ein.
    Als Benutzername tragen Sie das entsprechende Postfach ein und öffnen anschließend die weiteren Einstellungen.

    Hinweis: Bei sehr großen Postfächern empfiehlt es sich, den Cachemodus zum Verbindungstest zu deaktivieren. Dieser sollte allerdings aus Performancegründen nach erfolgreicher Verbindung über das Menü Extras -> Konten wieder aktiviert werden.



    Setzen Sie den Haken bei Exchange Verbindung mit HTTP herstellen unter dem Karteireiter Verbindung. Weitere Einstellungen müssen unter dem Punkt Exchange Proxyeinstellungen vorgenommen werden.



    Als Verbindungs-URL tragen Sie hier die externe URL ein unter der Sie die Veröffentlichung erstellt haben. Setzen Sie die beiden Haken für die HTTP Verbindung und stellen Sie die Authentifizierungsmehtode auf Standartauthentifizierung um.



    Durch Schließen der vorigen Fenster ist die Konfiguration abgeschlossen.



    Öffnen Sie anschließend Outlook 2003 über Start -> Ausführen mit dem Befehl Outlook /RPCDIAG. Es sollte obiges Fenster erscheinen in dem Sie sehen können, dass die Verbindung über HTTPS hergestellt wird.



    Bei erfolgreicher Verbindung können Sie nun Outlook 2003 mit allen Features von Extern über einen SSL Tunnel verwenden.

    6. Fehlerbehandlung

    Sollte es nicht zum Verbindungsaufbau kommen, überprüfen Sie bitte folgende Schritte:

    6.1 Überprüfung des internen SSL Tunnels

    Öffnen Sie hierzu auf dem ISA Server ein Browserfenster und geben die interne URL des Exchange Servers und als Pfad /rpc/, hier exchange.meinefirma.local/rpc/. Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen, in das Sie die Anmeldedaten des Benutzers, in der Form Domäne\Benutzer, eingeben. Danach sollte eine HTTP 403.2 Fehlermeldung angezeigt werden. Sollten Sie eine Zertifikatswarnung angezeigt bekommen beheben Sie die angezeigten Fehler.

    Wichtig auf dem ISA Server ist, dass sich das Zertifizierungsstellenzertifikat im Container für Vertrauenswürdige Stammzeritifzierungsstellen des Computers befindet.

    6.2 Überprüfung des externen SSL Tunnels

    Öffnen Sie hierzu auf dem externen Client ein Browserfenster und geben die externe URL des Exchange Servers und als Pfad /rpc/, hier exchange.meinefirma.de/rpc/. Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen, in das Sie die Anmeldedaten des Benutzers, in der Form Domäne\Benutzer, eingeben. Danach sollte eine HTTP 403.2 Fehlermeldung angezeigt werden. Sollten Sie eine Zertifikatswarnung angezeigt bekommen beheben Sie die angezeigten Fehler.

     

    Stand: Tuesday, 22. April 2008/CG.