ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Einrichtung von RPC over HTTPS mit dem ISA Server 2004


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004
  • Microsoft Exchange Server 2003 SP1
  • Microsoft Windows Server 2003

 

E-Mails haben in den meisten Unternehmen heutzutage einen sehr hohen Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz wird über dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt. Damit ein Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige technische Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server beziehungsweise die Clients mit dem E-Mail-Programm an das Internet angebunden werden. Es gibt mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese Anbindung zu realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und geringem E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt. Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok, dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend wesentlich entspannter Ihr Wochenende geniessen können. Die Veröffentlichung eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich einer der zentralen Einsatzzwecke von ISA Server 2004.

Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden, jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients mit ISA Server 2004 sicher zu realisieren.

  • Mailzugriff
    Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
     
  • SMTP Server veröffentlichen
    Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
     
  • Exchange RPC über HTTPS
    Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
     
  • Formbased OWA
    Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser

 

Der ISA Server 2004 bietet, wie schon der ISA Server 2000, viele Möglichkeiten von Extern auf sein Exchange Postfach zu zugreifen. Durch RPC over HTTPS besteht eine sichere Methode den internen Exchange Server zu veröffentlichen. Hierbei ist es nicht notwendig, wie bei einer reinen RPC Veröffentlichung, den kritischen Port 135 zu öffnen, da die RPC Pakete in einem SSL Tunnel übertragen werden. Die Pakete werden an den RPC über HTTP Proxy übermittelt, von dem der HTTP Header entfernt wird, und die reinen RPC Pakete an den Exchange Server weitergeleitet werden. Daten vom Exchange Server aus werden zuerst an den RPC über HTTP Proxy gesendet und von dort aus wieder als verschlüsselte HTTP Pakete an den Client weitergeleitet.

Vorteile dieser Verbindungsmethode sind:

  • Die Benutzer arbeiten in der gewohnten Microsoft Outlook Umgebung
  • Es besteht nur Zugriff auf den Exchange Server und nicht auf andere interne Ressourcen
  • Aus einem Remote Netzwerk mit Firewall muss nur das Protokoll HTTPS erlaubt sein
  • RPC over HTTPS funktioniert auch bei einem Small Business Server 2003


  • Szenario



    In dieser Anleitung wird die Verbindung zum Exchange Server mittels SSL Bridging hergestellt, d.h. es besteht ein SSL Tunnel zwischen dem Client und dem ISA Server und ein neuer Tunnel zwischen dem ISA- und dem Exchange Server. Hierzu sind zwei Webserverzertifikate für die SSL Verbindung notwendig. Ein Zertifikat für die Verbindung vom Client zum ISA Server für exchange.meinedomain.de, auf dem ISA Server, und intern für die Verschlüsselung vom ISA- zum Exchange Server für exch-srv1.meinedomain.local, auf dem Exchange Server. Wichtig hierbei ist, dass der Client der Zertifizierungsstelle für das externe Zertifikat und der ISA Server der Zertifizierungsstelle des internen Zertifikates vertrauen. Des Weiteren müssen die FQDN's (Full Qualified Domain Name) mit denen der Zertifikate übereinstimmen und die Zertifikate dürfen nicht abgelaufen sein, ansonsten kommt kein Verbindungsaufbau zustande.

    Voraussetzungen:

  • Exchange Server 2003 SP1 auf einem Windows 2003 Server
  • Active Directory auf Windows 2003 Server
  • Ein Webserverzertifikat für exchange.meinedomain.de dem ISA Server
  • Ein Webserverzertifikat für exchange.meinedomain.local auf dem Exchange Server
  • Windows XP SP1 mit Patch 331320 oder SP2
  • Outlook 2003
  • 1. Installation des RPC over HTTP Proxys



    Öffnen Sie hierzu die Softwareverwaltung über Start -> Programme -> Systemsteuerung -> Software und klicken auf Windowskomponenten hinzufügen/entfernen.



    Unter Komponenten wählen Sie die Netzwerkdienste aus und klicken auf Details.



    Wählen Sie hier die Option RPC-über-HTTP Proxy aus.



    Anschließend wird der RPC-über-HTTP Proxy installiert.



    Schließen Sie die Installation mit Fertigstellen ab.

    2. Konfiguration des virtuellen RPC Verzeichnisses



    Öffnen Sie den Internetinformationsdiente-Manager über Start -> Programme -> Verwaltung und öffnen Sie Eigenschaften des RPC Verzeichnisses.



    Konfigurieren Sie die Authentifizierungsmethoden, indem Sie über die Option "Authentifizierung und Zugriffsteuerung" auf Bearbeiten klicken.

    Wenn Sie noch kein Zertifikat für den Webserver besitzen können Sie unter Sichere Kommunikation ein Zertifikat anfordern. Wie Sie ein Zertifikat anfordern finden Sie in folgender Anleitung.



    Deaktivieren Sie den anonymen Zugriff, indem Sie den Haken entfernen und wählen Sie als Authentifizierungsmethode die Standartauthentifizierung aus. Die Standartauthentifzierung ist hier kein Sicherheitsrisiko, da die Daten über einen SSL Tunnel transportiert werden. Übernehmen Sie die Einstellungen mit OK.



    Konfigurierien Sie die Authentifizierung und Zugriffssteuerung über den Button Bearbeiten.



    Wählen Sie Sicheren Kanal voraussetzen (SSL) aus, um nur SSL Anfrage zu zulassen. Optional kann eine Verschlüsselungsstärke von 128 Bit gefordert werden.

    2.1 Konfiguration der Ports für die Kommunikation des RPC über HTTP Proxys

    Abschließend müssen Sie noch die Ports festlegen auf denen die Kommunikation mit dem RPC über HTTP Proxy statt findet.
    Öffen Sie hierzu über Start -> Ausführen -> regedit den Registrierungseditior und navigieren Sie zu folgednem Pfad:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy

    Ändern Sie den Wert des Registrierungsschlüssels ValidPorts in folgenden Wert ab:

    NETBIOS-Name des Servers:6001-6002;FQDN des Servers:6001-6002;NETBIOS-Name des Servers:6004;FQDN des Servers:6004

    In dieser Anleitung entspricht das:

    exch-srv1:6001-6002;exch-srv1.meinedomain.local:6001-6002;exch-srv1:6004;exch-srv1.meinedomain.local:6004

    Die Konfiguration am Exchange Server ist nun abgeschlossen.

    3. Konfiguration der Globalen Katalog Server

    Hinweis: Folgende Schritte sind nicht notwendig, falls es sich um einen Small Business Server 2003 handelt, oder der Exchange Server auf einem Domänencontroller installiert ist.

    Um die Kommunikation zwischen dem RPC über HTTP Proxy und den Globalen Katalogen zu gewährleisten, müssen Sie die benötigten Ports angeben. Öffnen Sie wieder über Start - >Ausführen -> regedit den Registrierungseditor und navigieren Sie zu folgendem Pfad:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

    und erstellen einen neunen Registrierungsschlüssel vom Typ Wert der mehrteiligen Zeichenfolge mit dem Namen NSPI interface protocol sequences. Als Wert für diesen Registrierungsschlüssel geben Sie ncacn_http:6004 ein.

    Wiederholen Sie diesen Schritt für jeden Globalen Katalog Server in Ihrem Netzwerk.

    4. Konfiguration des ISA Servers

    Am ISA Server selbst muss eine Sichere Webveröffentlichung erstellt werden, um die Anforderungen an den RPC über HTTP Proxy auf dem Exchange Server weiter zu leiten. Zusätzlich ist ein Zertifikat für die SSL Verschlüsselung notwendig, das an den Weblistener gebunden werden muss.

    Wie Sie ein Zertifikat am ISA importieren finden Sie unter folgender Anleitung:
  • OWA SSL Teil 3
  • 4.1 Erstellen einer Sicheren Webserververöffentlichung (Teil 1)



    Erstellen Sie über Servername -> Firewallregeln -> Neu -> Sichere Webserververöffentlichung eine neue Firewallregel.



    Wählen Sie die Option SSL-Bridging, damit die gesamte Kommunikation über einen SSL Tunnel statt findet.



    Als Regelaktion wählen Sie Zulassen aus.



    Als Bridgingmodus wählen Sie sie die Option Sichere Verbindung mit Clients und Webserver aus, um einen SSL Tunnel zwischen Client und dem ISA Server und zwischem dem ISA Server und dem Exchange Server herzustellen.



    Geben Sie als Ziel der Firewallregel den Namen des internen Exchange Servers und als Pfad /RPC/* an.

    Hinweis: Der Name des Zielservers muss mit dem FQDN des Zertifikates auf dem Exchange Server übereinstimmen. Sollte dies nicht der Fall sein, muss ein entsprechender Eintrag in der Hosts Datei auf dem ISA Server vorgenommen werden.



    Sie müssen angeben unter welcher URL ihr Exchange Server von Extern zu erreichen ist. Der Pfad wird automatisch übernommen.

    3.2 Erstellung/Konfiguration eines Weblisteners



    Erstellen Sie über den Button Neu einen neuen Weblistener



    Vergeben Sie einen Namen im Assistenten zur Erstellung eines neuen Weblisteners.



    Geben Sie das Netzwerk an, von dem Zugriff zugelassen werden soll.



    Wählen Sie die Option Angegebenen IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk aus, damit Sie die Möglichkeit haben eventuelle weitere Weblistener individuell zu konfigurieren. Fügen Sie die IP Adresse, auf der die Anfragen entgegengenommen werden sollen, hinzu.



    Unter dem ausgewählten Netzwerk sollte anschließend nur die angegebene IP Adresse ausgewählt sein.



    Deaktivieren Sie das Protokoll HTTP und aktivieren Sie das Protokoll SSL, um Anfragen nur über einen SSL Tunnel zu zulassen. Geben Sie über den Button Auswählen das Zertifikat für die SSL Verschlüsselung an.



    Wählen Sie das Zertifikat aus.



    Anschließend sollte der Weblistener wie im Bild abgebildet konfiguriert sein.



    Zum Abschluss bekommen Sie eine Zusammenfassung des Weblisteners angezeigt.



    Ändern Sie die Authentifizierungsmethode über den Button Bearbeiten.



    Öffnen Sie die Konfiguration der Authentifizierungsmethoden über Authentifizierung.



    Wählen Sie als Authentifizierungsmethode nur Standart aus. Sie bekommen eine Sicherheitswarnung angezeigt, die Sie bestätigen. Ein Sicherheitsrisiko besteht hier nicht, da die Daten in einem SSL Tunnel übertragen werden.

    3.3 Erstellen einer Sicheren Webserververöffentlichung (Teil 2)



    Hier könnten Sie den Zugriff auf eine bestimmte Benutzergruppe einschränken.



    Zum Abschluss bekommen Sie eine Zusammenfassung der Firewallregel angezeigt.



    Öffnen Sie zur weitern Konfiguration die Eigenschaften der Veröffentlichungsregel.



    Unter dem Karteireiter Allgemein können Sie eine Verschlüsselungsstärke von 128 Bit fordern.

    4. Konfiguration von Outlook 2003



    Erstellen Sie für Outlook ein Profil und fügen diesem ein neues Konto hinzu.



    Als Serverart wählen Sie hier Microsoft Exchange Server aus.



    Tragen Sie unter Microsoft Exchange Server den internen Servernamen des Exchange Servers ein.
    Als Benutzername tragen Sie das entsprechende Postfach ein und öffnen anschließend die weiteren Einstellungen.

    Hinweis: Bei sehr großen Postfächern empfiehlt es sich, den Cachemodus zum Verbindungstest zu deaktivieren. Dieser sollte allerdings aus Performancegründen nach erfolgreicher Verbindung über das Menü Extras -> Konten wieder aktiviert werden.



    Setzen Sie den Haken bei Exchange Verbindung mit HTTP herstellen unter dem Karteireiter Verbindung. Weitere Einstellungen müssen unter dem Punkt Exchange Proxyeinstellungen vorgenommen werden.



    Als Verbindungs-URL tragen Sie hier die externe URL ein unter der Sie die Veröffentlichung erstellt haben. Setzen Sie die beiden Haken für die HTTP Verbindung und stellen Sie die Authentifizierungsmehtode auf Standartauthentifizierung um.



    Durch Schließen der vorigen Fenster ist die Konfiguration abgeschlossen.



    Öffnen Sie anschließend Outlook 2003 über Start -> Ausführen mit dem Befehl Outlook /RPCDIAG. Es sollte obiges Fenster erscheinen in dem Sie sehen können, dass die Verbindung über HTTPS hergestellt wird.



    Bei erfolgreicher Verbindung können Sie nun Outlook 2003 mit allen Features von Extern über einen SSL Tunnel verwenden.

    5. Fehlerbehandlung

    Sollte es nicht zum Verbindungsaufbau kommen, überprüfen Sie bitte folgende Schritte:

    5.1 Überprüfung des internen SSL Tunnels

    Öffnen Sie hierzu auf dem ISA Server ein Browserfenster und geben die interne URL des Exchange Servers und als Pfad /rpc/, hier exch-srv1.meinedomain.local/rpc/. Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen, in das Sie die Anmeldedaten des Benutzers, in der Form Domäne\Benutzer, eingeben. Danach sollte eine HTTP 403.2 Fehlermeldung angezeigt werden. Sollten Sie eine Zertifikatswarnung angezeigt bekommen, beheben Sie die angezeigten Fehler.

    Wichtig auf dem ISA Server ist, dass sich das Zertifizierungsstellenzertifikat im Container für Vertrauenswürdige Stammzeritifzierungsstellen des Computers befindet.

    5.2 Überprüfung des externen SSL Tunnels

    Öffnen Sie hierzu auf dem externen Client ein Browserfenster und geben die externe URL des Exchange Servers und als Pfad /rpc/, hier exchange.meinedomain.de/rpc/. Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen, in das Sie die Anmeldedaten des Benutzers, in der Form Domäne\Benutzer, eingeben. Danach sollte eine HTTP 403.2 Fehlermeldung angezeigt werden. Sollten Sie eine Zertifikatswarnung angezeigt bekommen, beheben Sie die angezeigten Fehler.

    Stand: Friday, 28. August 2009/CG.  


    Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

    Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
    Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
    Stand: Monday, 18. March 2013 / Dieter Rauscher