Outlook Webaccess per SSL mit Formsbased Authentification mit dem ISA 2004
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
- Microsoft Exchange Server 2003
E-Mails haben in den meisten Unternehmen heutzutage einen sehr
hohen Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz
wird über dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt.
Damit ein Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige
technische Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server
beziehungsweise die Clients mit dem E-Mail-Programm an das Internet angebunden
werden. Es gibt mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese
Anbindung zu realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und
geringem E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die
E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client
seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur
Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen
eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei
Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt.
Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die
Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese
Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand
bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie
möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare
Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok,
dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet
Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend
wesentlich entspannter Ihr Wochenende geniessen können. Die Veröffentlichung
eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich
einer der zentralen Einsatzzwecke von ISA Server 2004.
Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden,
jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients
mit ISA Server 2004 sicher zu realisieren.
- Mailzugriff
Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
- SMTP Server veröffentlichen
Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
- Exchange RPC über HTTPS
Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
- Formbased OWA
Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser
Outlook Webaccess ermöglicht den Zugriff auf Ihr Postfach über einen Webbrowser. Durch eine SSL Verschlüsselung und das neue Feature im ISA 2004,
der Formsbased Authentification, kann dieser Zugriff sicher eingerichtet werden. Die Authentifizierung erfolgt bei dieser Authentifizierungsmethode
über ein Cookie, durch das überprüft wird, ob der Benutzer, nach erfolgreicher Anmeldung, authentifiziert ist. Das Cookie wird nicht auf dem Computer gespeichert,
somit bietet diese Methode einen sicheren Zugang von öffentlichen Computern.
Vorteile dieser Verbindungsmethode sind:
- Es können für die unterschiedlichen Computertypen (Öffentlich/Privat) unterschiedliche Sicherheitseinstellunge bzgl. Timeout getroffen werden
- Es können für die unterschiedlichen Computertypen (Öffentlich/Privat) unterschiedliche Sicherheitseinstellunge bzgl. E-Mail Anlagen getroffen werden
- Das Cookie ist nur während dieser Sitzung gültig und verfällt beim Schließen des Browsers oder beim Wechsel der Seite
- Wenn das auch nicht wirklich ein Vorteil ist, aber die Anmeldung per OWA Formsbased Authentification ist Benutzerfreundlicher
Szenario
In dieser Anleitung wird die Verbindung zum Exchange Server mittels SSL Bridging hergestellt, d.h. es besteht ein SSL Tunnel zwischen dem Client und dem ISA Server und ein neuer Tunnel zwischen dem ISA- und dem Exchange Server. Hierzu sind zwei Webserverzertifikate für die SSL Verbindung notwendig. Ein Zertifikat für die Verbindung vom Client zum ISA Server für exchange.meinedomain.de, auf dem ISA Server, und intern für die Verschlüsselung vom ISA- zum Exchange Server für exch-srv1.meinedomain.local, auf dem Exchange Server. Wichtig hierbei ist, dass der Client der Zertifizierungsstelle für das externe Zertifikat und der ISA Server der Zertifizierungsstelle des internen Zertifikates vertrauen. Des Weiteren müssen die FQDN's (Full Qualified Domain Name) mit denen der Zertifikate übereinstimmen und die Zertifikate dürfen nicht abgelaufen sein, ansonsten kommt kein Verbindungsaufbau zustande.
Voraussetzungen:
1. Konfiguration des Exchange Servers
1.1 Konfiguration des HTTP Protokolls
Öffnen Sie, in der Verwaltungskonsole für den Exchange Server, die Einstellungen des virtuellen Exchange Servers für das HTTP Protokoll.
Unter dem Karteireiter Einstellungen deaktivieren Sie die Option Formularbasierte Authentifizierung aktivieren, da diese Authentifizierungsmethode nur an einer Stelle verwendet werden kann, in dieser Anleitung am ISA Server.
1.2 Konfiguration der virtuellen Verzeichnisse (Exchange, Exchweb, Public)
Konfigurieren Sie, wie folgend beschrieben, der Reihe nach die virtuellen Verzeichnisse Exchange, Exchweb und Public.
Unter dem Karteireiter Verzeichnissicherheit öffnen Sie über Bearbeiten zunächst die Authentifizierung und Zugriffssteuerung.
Setzen Sie die Authentifzierungsmehtode auf Standartauthentifzierung. Es erscheint eine Warnmeldung, die Sie bestätigen. Durch den verwendeten SSL Tunnel besteht für die Daten kein Sicherheitsrisiko. Die Authentifizierungsmethode Integriert können Sie für interne Zugriffe aktivert lassen, oder deaktivieren.
Abschließend können Sie unter der Option Sichere Kommunikation weitere Einstellungen bzgl. der SSL Verschlüsselung konfigurieren.
Setzen Sie den Haken bei Sichern Kanal voraussetzen (SSL), um Anfragen nur per SSL zu zulassen. Optional können Sie eine Verschlüsselungsstärke von 128 Bit fordern.
2. Konfiguration des ISA Servers 2004
2.1 Erstellen einer sicheren Webveröffentlichungsregel (Teil 1)
Erstellen Sie über Servername -> Firewallregeln -> Neu -> Mailserververöffentlichungsregel eine neue Veröffentlichungsregel. Es öffnet sich der Assistent zur erstellung einer neuen Firewallrichtlinie zur Veröffentlichung eines Mailservers. Vergeben Sie einen Namen für die Regel.
Wählen Sie die erste Option für den Webzugriff per OWA aus.
Als Webclient E-Mail Dienst wählen Sie Outlook Web Access aus. Die Option High Bit Zeichen aktivien muss aktiviert sein, da es ansonsten zu Problemen mit E-Mails bzw. Ordnern mit Umlauten kommt. Ist diese Auswahl nicht gesetzt, können Sie Z.B. keine neuen E-Mails schreiben, da diese erst im Ordner Entwürfe zwischen gespeichert werden.
Wählen Sie Sichere Verbindung mit Client und Mailserver aus, um einen SSL Tunnel zwischen Client und dem ISA Server und einen neuen SSL Tunnel zwischen ISA Server und dem Exchange Server herzustellen.
Geben Sie den Namen des internen Mailservers an.
Hinweis: Der Name des Zielservers muss mit dem FQDN des Zertifikates auf dem Exchange Server übereinstimmen. Sollte dies nicht der Fall sein, muss ein entsprechender Eintrag in der Hosts Datei auf dem ISA Server vorgenommen werden.
Geben Sie die URL an, unter der Ihr Outlook Webaccess von Extern zu erreichen ist.
2.2 Erstellen eines Weblisteners mit Formsbased Authentification
Erstellen Sie über den Button Neu einen neuen Weblistener.
Vergeben Sie einen Namen für den Weblistener.
Geben Sie das Netzwerk an, von dem Zugriff zugelassen werden soll.
Wählen Sie die Option Angegebenen IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk aus, damit Sie die Möglichkeit haben eventuelle weitere Weblistener individuell zu konfigurieren. Fügen Sie die IP Adresse, auf der die Anfragen entgegengenommen werden sollen, hinzu.
Unter dem ausgewählten Netzwerk sollte anschließend nur die angegebene IP Adresse ausgewählt sein.
Deaktivieren Sie das Protokoll HTTP und aktivieren Sie das Protokoll SSL, um Anfragen nur über einen SSL Tunnel zu zulassen. Geben Sie über den Button Auswählen das Zertifikat für die SSL Verschlüsselung an.
Wählen Sie das Zertifikat aus.
Anschließend sollte der Weblistener wie im Bild abgebildet konfiguriert sein.
Zum Abschluss bekommen Sie eine Zusammenfassung des Weblisteners angezeigt.
Ändern Sie die Authentizierungsmehtode von Integriert auf die Formularbasierte Authentifizierung über den Button Bearbeiten.
Öffnen Sie die Authentifzierungsmethoden über den Button Authentifizeriung.
Wählen Sie die Authentifzierungsmehtode OWA Forms-Based aus. Über Formularbasierte OWA Authentifizierung konfigurieren" können Sie weitere Einstellungen für die Authentizierungsmethode vornehmen.
In diesem Fenster können Sie die Timeouts und die Behandlung von E-Mail Anlagen auf privaten bzw. öffentlichen Computern konfigurieren. Aktivieren Sie die Optoin Von OWA Abmelden wenn der Benutzer von der OWA Site wechselt, damit die Verbindung getrennt wird, sobald der Benutzer Outlook Webaccess verlässt. Diese Einstellungen sind die Grundlage für die Sicherheitsoptionen, die bei der Anmeldung ausgwählt werden können.
Die Konfiguration des Weblisteners ist nun abgeschlossen.
2.1 Erstellen einer sicheren Webveröffentlichungsregel (Teil 2)
Hier könnten Sie den Zugriff auf eine bestimmte Benutzergruppe einschränken.
Zum Abschluss bekommen Sie eine Zusammenfassung der Veröffentlichungsregel angezeigt.
Öffnen Sie zur weiteren Konfiguration die Eigenschaften der Veröffentlichungsregel.
Unter dem Karteireiter Bis können Sie unter der Option Anforderungen an den veröffentlichten Server weiterleiten auswäheln, welche IP Afesse an den Exchange Server übermittelt werden soll. Dies kann für statistische Auswertungen oder zu Fehlersuche relevant sein.
- Ursprung der Anforderung scheint der ISA Server Computer zu sein, übermittelt, wie der ISA Server 2000, die interne IP Adresse des ISA Servers an den Exchange Server
- Ursprung der Anforderung scheint der ursprüngliche Client zu sein, reicht die IP Adresse des externen Clients an den Exchange Server durch.
Eine Verschlüsselungsstärke von 128 Bit kann unter dem Karteireiter Datenverkehr gefordert werden.
Geben Sie die externe URL mit dem Pfad /exchange/, in dieser Anleitung https://exchange.meinedomain.de/exchange, im Internet Explorer ein, um die Veröffentlichungsregel zu testen. Es erscheint die formularbasierte Anmeldemaske von Outlook Webaccess. Geben Sie Ihren Benutzernamen und das Kennwort ein, um sich anzumelden.
Zusätzlich haben Sie die Möglichkeit folgende Optionen zu sezten:
-
Client:
- Premium : Ihnen stehen alle Features von Outlook Webaccess zur Verfügung
- Standart : Stellt Ihnen eine abgespeckte Version von Outlook Webaccess zur Verfügung, mit weniger Features. Diese Methode ist für langsame Netzwerkverbindungen besser geeignet.
- Öffentlicher oder gemeinsam genutzter Computer : Verwendet die unter Kapitel 2.2 eingestellten Optionen (Timeout, E-Mail Anlagen) für einen öffentlichen Computer.
- Privater Computer: Verwendet die unter Kapitel 2.2 eingestellten Optionen (Timeout, E-Mail Anlagen) für einen privaten Computer
Sicherheit:
Nach erfolgreicher Anmeldung haben Sie Zugriff auf Ihr Postfach per Outlook Webaccess.
Stand: Friday, 28. August 2009/CG.
