Einrichtung von RPC over HTTPS mit dem ISA Server 2004
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
- Microsoft Exchange Server 2003 SP1
- Microsoft Windows Server 2003
E-Mails haben in den meisten Unternehmen heutzutage einen sehr
hohen Stellenwert. Immer mehr geschäftliche (und auch private) Korrespondenz
wird über dieses schnelle, günstige und meist unkomplizierte Medium abgewickelt.
Damit ein Unternehmen jedoch E-Mails empfangen und versenden kann, sind einige
technische Voraussetzungen zu erfüllen. Irgendwie müssen der E-Mail-Server
beziehungsweise die Clients mit dem E-Mail-Programm an das Internet angebunden
werden. Es gibt mehrere sinnvolle und weniger sinnvolle Möglichkeiten, diese
Anbindung zu realisieren. Kleine Unternehmen mit bis zu fünf Arbeitsplätzen und
geringem E-Mailverkehr werden sich möglicherweise keinen eigenen Server für die
E-Mail-Kommunikation anschaffen können/wollen. Da muss jeder einzelne Client
seine E-Mails bei einem Anbieter im Internet abholen und an diesen zur
Weiterleitung übermitteln. Etwas größere Unternehmen werden sicherlich einen
eigenen E-Mail-Server einsetzen. Hierbei gibt es dann im Wesentlichen zwei
Möglichkeiten, wie dieser hausinterne E-Mail-Server eingehende E-Mails bekommt.
Die Sparvariante sieht so aus, dass der E-Mail-Server stellvertretend für die
Client E-Mails beim Provider abholt und ausgehende an diesen übermittelt. Diese
Methode bringt in der Regel wenig Stabilität und einen hohen Verwaltungsaufwand
bei fehlender Flexibilität mit sich. Sie sehen schon, diesen Weg sollten Sie
möglichst nicht wählen. Die zuverlässigere und am flexibelsten konfigurierbare
Methode ist die direkte Anbindung des eigenen E-Mail-Servers an das Internet. Ok,
dazu müssen ebenfalls einige Voraussetzungen erfüllt sein, die je nach Internet
Service Provider (ISP) ein paar Euro kostet. Aber Sie werden anschließend
wesentlich entspannter Ihr Wochenende geniessen können. Die Veröffentlichung
eines E-Mail-Servers wie zum Beispiel Microsoft Exchange Server ist sicherlich
einer der zentralen Einsatzzwecke von ISA Server 2004.
Auf dieser Website finden Sie verschiedene Artikel, die Ihnen helfen werden,
jede der oben aufgezählten Methoden zur Anbindung eines E-Mail-Servers/Clients
mit ISA Server 2004 sicher zu realisieren.
- Mailzugriff
Hier finden Sie Konfigurationsschritte, um internen E-Mail-Clients einzeln das Empfangen und Senden von E-Mails zu erlauben. Verwenden Sie diesen Artikel ebenfalls, wenn Sie einen internen E-Mail-Server verwenden, der E-Mails stellvertretend für die Clients abholt und versendet
- SMTP Server veröffentlichen
Hier lernen Sie alles, was Sie benötigen, um einen E-Mail-Server direkt an das Internet anzubinden. Damit kann der E-Mail-Server selbstständig E-Mails empfangen ohne sie bei einem ISP abholen zu müssen. Ausgehende E-Mails werden direkt an den E-Mail-Server des Empfängers zugestellt
- Exchange RPC über HTTPS
Hier sehen Sie, welche Möglichkeiten Microsoft Exchange bietet, um mobilen Arbeitsstationen den Zugriff auf den internen Exchange-Server sicher und komfortabel zu ermöglichen. Diese Methode steht Ihnen nur ab Exchange Server 2003 und Office Outlook 2003 und höher zur Verfügung
- Formbased OWA
Hier finden Sie Konfigurationsschritte, um mobilen Benutzern den sicheren Zugriff auf ihr Postfach (E-Mail, Kalender, Aufgaben etc.) zu ermöglichen. Alles, was der Benutzer benötigt, ist irgendein PC mit einem Internet Browser
Der ISA Server 2004 bietet, wie schon der ISA Server 2000, viele Möglichkeiten von Extern auf sein Exchange Postfach
zu zugreifen. Durch RPC over HTTPS besteht eine sichere Methode den internen Exchange Server zu veröffentlichen.
Hierbei ist es nicht notwendig, wie bei einer reinen RPC Veröffentlichung, den kritischen
Port 135 zu öffnen, da die RPC Pakete in einem SSL Tunnel übertragen werden. Die Pakete werden an den
RPC über HTTP Proxy übermittelt, von dem der HTTP Header entfernt wird, und die reinen RPC Pakete an den
Exchange Server weitergeleitet werden. Daten vom Exchange Server aus werden zuerst an den RPC über HTTP Proxy
gesendet und von dort aus wieder als verschlüsselte HTTP Pakete an den Client weitergeleitet.
Vorteile dieser Verbindungsmethode sind:
Szenario
In dieser Anleitung wird die Verbindung zum Exchange Server mittels SSL Bridging hergestellt, d.h. es besteht ein SSL Tunnel zwischen dem Client und dem ISA Server und ein neuer Tunnel zwischen dem ISA- und dem Exchange Server. Hierzu sind zwei Webserverzertifikate für die SSL Verbindung notwendig. Ein Zertifikat für die Verbindung vom Client zum ISA Server für exchange.meinedomain.de, auf dem ISA Server, und intern für die Verschlüsselung vom ISA- zum Exchange Server für exch-srv1.meinedomain.local, auf dem Exchange Server. Wichtig hierbei ist, dass der Client der Zertifizierungsstelle für das externe Zertifikat und der ISA Server der Zertifizierungsstelle des internen Zertifikates vertrauen. Des Weiteren müssen die FQDN's (Full Qualified Domain Name) mit denen der Zertifikate übereinstimmen und die Zertifikate dürfen nicht abgelaufen sein, ansonsten kommt kein Verbindungsaufbau zustande.
Voraussetzungen:
1. Installation des RPC over HTTP Proxys
Öffnen Sie hierzu die Softwareverwaltung über Start -> Programme -> Systemsteuerung -> Software und klicken auf Windowskomponenten hinzufügen/entfernen.
Unter Komponenten wählen Sie die Netzwerkdienste aus und klicken auf Details.
Wählen Sie hier die Option RPC-über-HTTP Proxy aus.
Anschließend wird der RPC-über-HTTP Proxy installiert.
Schließen Sie die Installation mit Fertigstellen ab.
2. Konfiguration des virtuellen RPC Verzeichnisses
Öffnen Sie den Internetinformationsdiente-Manager über Start -> Programme -> Verwaltung und öffnen Sie Eigenschaften des RPC Verzeichnisses.
Konfigurieren Sie die Authentifizierungsmethoden, indem Sie über die Option "Authentifizierung und Zugriffsteuerung" auf Bearbeiten klicken.
Wenn Sie noch kein Zertifikat für den Webserver besitzen können Sie unter Sichere Kommunikation ein Zertifikat anfordern. Wie Sie ein Zertifikat anfordern finden Sie in folgender Anleitung.
Deaktivieren Sie den anonymen Zugriff, indem Sie den Haken entfernen und wählen Sie als Authentifizierungsmethode die Standartauthentifizierung aus. Die Standartauthentifzierung ist hier kein Sicherheitsrisiko, da die Daten über einen SSL Tunnel transportiert werden. Übernehmen Sie die Einstellungen mit OK.
Konfigurierien Sie die Authentifizierung und Zugriffssteuerung über den Button Bearbeiten.
Wählen Sie Sicheren Kanal voraussetzen (SSL) aus, um nur SSL Anfrage zu zulassen. Optional kann eine Verschlüsselungsstärke von 128 Bit gefordert werden.
2.1 Konfiguration der Ports für die Kommunikation des RPC über HTTP Proxys
Abschließend müssen Sie noch die Ports festlegen auf denen die Kommunikation mit dem RPC über HTTP Proxy statt findet.Öffen Sie hierzu über Start -> Ausführen -> regedit den Registrierungseditior und navigieren Sie zu folgednem Pfad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy
Ändern Sie den Wert des Registrierungsschlüssels ValidPorts in folgenden Wert ab:
NETBIOS-Name des Servers:6001-6002;FQDN des Servers:6001-6002;NETBIOS-Name des Servers:6004;FQDN des Servers:6004
In dieser Anleitung entspricht das:
exch-srv1:6001-6002;exch-srv1.meinedomain.local:6001-6002;exch-srv1:6004;exch-srv1.meinedomain.local:6004
Die Konfiguration am Exchange Server ist nun abgeschlossen.
3. Konfiguration der Globalen Katalog Server
Hinweis: Folgende Schritte sind nicht notwendig, falls es sich um einen Small Business Server 2003 handelt, oder der Exchange Server auf einem Domänencontroller installiert ist.Um die Kommunikation zwischen dem RPC über HTTP Proxy und den Globalen Katalogen zu gewährleisten, müssen Sie die benötigten Ports angeben. Öffnen Sie wieder über Start - >Ausführen -> regedit den Registrierungseditor und navigieren Sie zu folgendem Pfad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
und erstellen einen neunen Registrierungsschlüssel vom Typ Wert der mehrteiligen Zeichenfolge mit dem Namen NSPI interface protocol sequences. Als Wert für diesen Registrierungsschlüssel geben Sie ncacn_http:6004 ein.
Wiederholen Sie diesen Schritt für jeden Globalen Katalog Server in Ihrem Netzwerk.
4. Konfiguration des ISA Servers
Am ISA Server selbst muss eine Sichere Webveröffentlichung erstellt werden, um die Anforderungen an den RPC über HTTP Proxy auf dem Exchange Server weiter zu leiten. Zusätzlich ist ein Zertifikat für die SSL Verschlüsselung notwendig, das an den Weblistener gebunden werden muss.Wie Sie ein Zertifikat am ISA importieren finden Sie unter folgender Anleitung:
4.1 Erstellen einer Sicheren Webserververöffentlichung (Teil 1)
Erstellen Sie über Servername -> Firewallregeln -> Neu -> Sichere Webserververöffentlichung eine neue Firewallregel.
Wählen Sie die Option SSL-Bridging, damit die gesamte Kommunikation über einen SSL Tunnel statt findet.
Als Regelaktion wählen Sie Zulassen aus.
Als Bridgingmodus wählen Sie sie die Option Sichere Verbindung mit Clients und Webserver aus, um einen SSL Tunnel zwischen Client und dem ISA Server und zwischem dem ISA Server und dem Exchange Server herzustellen.
Geben Sie als Ziel der Firewallregel den Namen des internen Exchange Servers und als Pfad /RPC/* an.
Hinweis: Der Name des Zielservers muss mit dem FQDN des Zertifikates auf dem Exchange Server übereinstimmen. Sollte dies nicht der Fall sein, muss ein entsprechender Eintrag in der Hosts Datei auf dem ISA Server vorgenommen werden.
Sie müssen angeben unter welcher URL ihr Exchange Server von Extern zu erreichen ist. Der Pfad wird automatisch übernommen.
3.2 Erstellung/Konfiguration eines Weblisteners
Erstellen Sie über den Button Neu einen neuen Weblistener
Vergeben Sie einen Namen im Assistenten zur Erstellung eines neuen Weblisteners.
Geben Sie das Netzwerk an, von dem Zugriff zugelassen werden soll.
Wählen Sie die Option Angegebenen IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk aus, damit Sie die Möglichkeit haben eventuelle weitere Weblistener individuell zu konfigurieren. Fügen Sie die IP Adresse, auf der die Anfragen entgegengenommen werden sollen, hinzu.
Unter dem ausgewählten Netzwerk sollte anschließend nur die angegebene IP Adresse ausgewählt sein.
Deaktivieren Sie das Protokoll HTTP und aktivieren Sie das Protokoll SSL, um Anfragen nur über einen SSL Tunnel zu zulassen. Geben Sie über den Button Auswählen das Zertifikat für die SSL Verschlüsselung an.
Wählen Sie das Zertifikat aus.
Anschließend sollte der Weblistener wie im Bild abgebildet konfiguriert sein.
Zum Abschluss bekommen Sie eine Zusammenfassung des Weblisteners angezeigt.
Ändern Sie die Authentifizierungsmethode über den Button Bearbeiten.
Öffnen Sie die Konfiguration der Authentifizierungsmethoden über Authentifizierung.
Wählen Sie als Authentifizierungsmethode nur Standart aus. Sie bekommen eine Sicherheitswarnung angezeigt, die Sie bestätigen. Ein Sicherheitsrisiko besteht hier nicht, da die Daten in einem SSL Tunnel übertragen werden.
3.3 Erstellen einer Sicheren Webserververöffentlichung (Teil 2)
Hier könnten Sie den Zugriff auf eine bestimmte Benutzergruppe einschränken.
Zum Abschluss bekommen Sie eine Zusammenfassung der Firewallregel angezeigt.
Öffnen Sie zur weitern Konfiguration die Eigenschaften der Veröffentlichungsregel.
Unter dem Karteireiter Allgemein können Sie eine Verschlüsselungsstärke von 128 Bit fordern.
4. Konfiguration von Outlook 2003
Erstellen Sie für Outlook ein Profil und fügen diesem ein neues Konto hinzu.
Als Serverart wählen Sie hier Microsoft Exchange Server aus.
Tragen Sie unter Microsoft Exchange Server den internen Servernamen des Exchange Servers ein.
Als Benutzername tragen Sie das entsprechende Postfach ein und öffnen anschließend die weiteren Einstellungen.
Hinweis: Bei sehr großen Postfächern empfiehlt es sich, den Cachemodus zum Verbindungstest zu deaktivieren. Dieser sollte allerdings aus Performancegründen nach erfolgreicher Verbindung über das Menü Extras -> Konten wieder aktiviert werden.
Setzen Sie den Haken bei Exchange Verbindung mit HTTP herstellen unter dem Karteireiter Verbindung. Weitere Einstellungen
müssen unter dem Punkt Exchange Proxyeinstellungen vorgenommen werden.
Als Verbindungs-URL tragen Sie hier die externe URL ein unter der Sie die Veröffentlichung erstellt haben. Setzen Sie die
beiden Haken für die HTTP Verbindung und stellen Sie die Authentifizierungsmehtode auf Standartauthentifizierung um.
Durch Schließen der vorigen Fenster ist die Konfiguration abgeschlossen.
Öffnen Sie anschließend Outlook 2003 über Start -> Ausführen mit dem Befehl Outlook /RPCDIAG. Es sollte obiges Fenster erscheinen
in dem Sie sehen können, dass die Verbindung über HTTPS hergestellt wird.
Bei erfolgreicher Verbindung können Sie nun Outlook 2003 mit allen Features von Extern über einen SSL Tunnel verwenden.
5. Fehlerbehandlung
Sollte es nicht zum Verbindungsaufbau kommen, überprüfen Sie bitte folgende Schritte:5.1 Überprüfung des internen SSL Tunnels
Öffnen Sie hierzu auf dem ISA Server ein Browserfenster und geben die interne URL des Exchange Servers und als Pfad /rpc/, hier exch-srv1.meinedomain.local/rpc/. Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen, in das Sie die Anmeldedaten des Benutzers, in der Form Domäne\Benutzer, eingeben. Danach sollte eine HTTP 403.2 Fehlermeldung angezeigt werden. Sollten Sie eine Zertifikatswarnung angezeigt bekommen, beheben Sie die angezeigten Fehler.Wichtig auf dem ISA Server ist, dass sich das Zertifizierungsstellenzertifikat im Container für Vertrauenswürdige Stammzeritifzierungsstellen des Computers befindet.
5.2 Überprüfung des externen SSL Tunnels
Öffnen Sie hierzu auf dem externen Client ein Browserfenster und geben die externe URL des Exchange Servers und als Pfad /rpc/, hier exchange.meinedomain.de/rpc/. Wenn alles funktioniert sollten Sie ein Anmeldefenster angezeigt bekommen, in das Sie die Anmeldedaten des Benutzers, in der Form Domäne\Benutzer, eingeben. Danach sollte eine HTTP 403.2 Fehlermeldung angezeigt werden. Sollten Sie eine Zertifikatswarnung angezeigt bekommen, beheben Sie die angezeigten Fehler.Stand: Friday, 28. August 2009/CG.
