Schritt-für-Schritt Anleitung für die Nutzung des Microsoft Exchange Server 2003 SP2 Mobile Messaging mit Windows Mobile 5.0 basierten Geräten

Transkript

1 Schritt-für-Schritt Anleitung für die Nutzung des Microsoft Exchange Server 2003 SP2 Mobile Messaging mit Windows Mobile 5.0 basierten Geräten Version 1.1 Juli 2006 Gilt für: Exchange Server 2003 SP2 und Windows Mobile 5.0 basierte Geräte mit Messaging and Security Feature Pack

2 Die Direct Push Technology erfordert Windows Mobile 5.0 mit dem Messaging and Security Feature Pack (MSFP) in Verbindung mit Exchange Server 2003 Service Pack 2. Verbindungsfähigkeit und Synchronisation können die Beschaffung zusätzlicher Ausstattung und/oder drahtloser Produkte (d.h. WiFi-Card, Netzwerk-Software, Server-Hardware und/oder Umleitungs-Software) erforderlich machen. Wartungspläne sind für den Zugriff per Internet, WiFi und Telefon erforderlich. Merkmale und Leistung können je nach Diensteanbieter variieren und unterliegen Netzwerkbeschränkungen. Details erhalten Sie bei Geräteherstellern, Diensteanbietern und/oder der IT-Abteilung im Unternehmen. Verfügbare Programme, Merkmale und Funktionalitäten variieren je nach Gerät und Windows Mobile Betriebssystem- Version. PowerPoint Mobile mit Windows Mobile 5.0 verfügbar. Die Informationen in diesem Dokument repräsentieren den aktuellen Stand der Microsoft Corporation hinsichtlich der angesprochenen Themen am Tage der Veröffentlichung. Weil Microsoft auf sich ändernde Marktbedingungen reagieren muss, sollten diese nicht als eine bindende Festlegung seitens Microsoft verstanden werden, und Microsoft kann nicht die Exaktheit der Informationen garantieren, die nach dem Veröffentlichungsdatum vorgelegt werden. Dieses Weißbuch dient nur Informationszwecken. MICROSOFT GIBT KEINE AUSDRÜCKLICHEN, ODER STILLSCHWEIGENDEN ZUSICHERUNGEN BETREFFEND DER INFORMATIONEN IN DIESEM DOKUMENT. Die Einhaltung aller anwendbaren Urheberrechtsgesetze liegt in der Verantwortung des Benutzers. Ohne Beschränkung der dem Urheberrecht unterliegenden Rechte darf kein Teil dieses Dokuments weder reproduziert, in Suchsystemen gespeichert oder eingeleitet, oder in jeglicher Form oder mit anderen Mitteln (elektronisch, mechanisch, durch Fotokopie, Tonaufzeichnung oder sonstwie) oder für jegliche andere Zwecke ohne die ausdrückliche schriftliche Einwilligung der Microsoft Corporation übertragen werden. Microsoft verfügt über Patente, Patentanträge, Markenzeichen, Urheberrechte oder andere geistige Eigentumsrechte bezüglich der Inhalte in diesem Dokument. Außer wenn dies in einer schriftlichen Lizenzvereinbarung seitens Microsoft vorgesehen ist, wird Ihnen durch die Vorlage dieses Dokuments keinerlei Lizenz für diese Patente, Markenzeichen, Urheberrechte oder anderes geistiges Eigentum gewährt Microsoft Corporation. Alle Rechte vorbehalten. Sofern nicht anders angegeben, sind die hierin als Beispiel dargestellten Firmen, Organisationen, Produkte, Domain- Namen, -adressen, Logos, Menschen, Orte und Ereignisse frei erfunden, und jegliche Verbindung mit real existierenden Firmen, Organisationen, Produkten, Domain-Namen, -Adressen, Logos, Personen, Orten oder Ereignissen wäre rein zufällig und kann daraus nicht gefolgert werden. Microsoft, Active Directory, ActiveSync, Exchange Server, Office, Outlook Mobile, PowerPoint, Windows, Windows Media, Windows Mobile, Windows Server System, und Windows Small Business Server sind entweder registrierte Markenzeichen oder Markenzeichen der Microsoft Corporation in den Vereinigten Staaten und/oder anderen Ländern. Die Namen von hierin genannten derzeitigen Firmen und Produkten können die Markenzeichen ihrer jeweiligen Eigentümer sein.

3 Inhalt Nutzung des Microsoft Exchange Server 2003 SP2 Mobile Messaging mit Windows Mobile 5.0 basierten Geräten...5 Einleitung...5 Übersicht: Messaging and Security Feature Pack...8 Beste Vorgehensweise bei der Konfiguration für den Einsatz...12 Einsetzen von Exchange Server 2003 SP2 Mobile Messaging...18 Einrichtungsschritte...18 Schritt 1 - Upgrade auf Exchange Server 2003 SP Schritt 2 - Aktualisieren aller Server mit Sicherheits-Patches...19 Schritt 3 Schützen der Verbindungen mit mobilen Geräten und Ihrem Exchange Server...20 Einsetzen von SSL zum Verschlüsseln von Nachrichtenverkehr...20 Erstellen von Sicherungskopien der Server-Zertifikate...26 Einzel-Server Konfiguration (optional)...29 Konfigurieren der Basis-Authentifizierung...29 Anfordern einer SSL-Verbindung zu den Exchange ActiveSync Website-Verzeichnissen...29 Erforderliche UrlScan Einstellungen...32 Schritt 4 Schützen der Verbindungen zwischen Exchange Server und anderen Servern...34 Schritt 5 - Installieren und Konfigurieren eines ISA Server 2004 oder anderer Firewalls...35 Konfigurieren des HOSTS-Dateieintrags...40 Testen von OWA und Exchange ActiveSync...42 OWA testen (sofern installiert)...42 Schritt 6 - Den Zugriff eines mobilen Geräts auf den Exchange Server konfigurieren...43 Aktivieren des mobilen Zugriffs...43 Freigeben von Exchange ActiveSync für alle Benutzer...43 Freigeben der vom Benutzer veranlassten Synchronisation...44 Freigeben von Aktuelle Benachrichtigungen (optional)...45 Überwachen der Leistung mobiler Geräte auf dem Exchange Server...48 Schritt 7 Installieren des Exchange ActiveSync Mobile Administration Webtools...49 Schritt 8 Verwalten und Konfigurieren mobiler Geräte...50 Anhang A. Nutzung von Exchange ActiveSync mit Zertifikat-basierte Authentifizierung...55 Einleitung...55 Konfigurieren der Zertifikat-basierten Authentifizierung für Exchange ActiveSync...55 Exchange ActiveSync Anforderungen...55 Grundlagen über Kerberos...56 Alternative Benutzungsschritte für Zertifikat-basierte Authentifizierung...56 Einrichten von SSL für das virtuelle Verzeichnis von Exchange ActiveSync...56 Das Erstellen der Veröffentlichungsregel für Exchange ActiveSync beim Verwenden von Tunneling...57 Verwenden von Active Directory Benutzer und Computer zum Konfigurieren einer Kerberos-abhängigen Übertragung und Protokolltransition...58 Übersicht der Konfiguration der Zertifikatsregistrierung...59 Konfigurieren der XML...63 Upload von XML in das Active Directory...65 Anhang B. Hinzufügen eines Zertifikats in den Root-Speicher eines Windows Mobile-basierten Gerätes...69 Veranlassen der Bereitstellung von XML zum Installieren eines Zertifikats im Root-Speicher...69 Erstellen einer CAB-Datei mit der Bereitstellungs-XML...70 Verteilung der CAB-Bereitstellungsdatei...70 Anhang C. Einrichtung von Domain und IP-Adresse zur Nutzung von ActiveServerSync...72

4

5 Nutzung des Microsoft Exchange Server 2003 SP2 Mobile Messaging mit Windows Mobile 5.0 basierten Geräten Einleitung Dieses Dokument wurde hauptsächlich für professionelle Anwender der Informationstechnologie (IT) entwickelt, die für die Planung und Nutzung mobiler Messaging-Systeme verantwortlich sind. Bei denen Microsoft Exchange Server 2003 mit dem Service Pack 2 (SP2) eingesetzt wird, und für Microsoft Windows Mobile -basierte Geräte, die über das Messaging and Security Feature Pack verfügen. Dieses Dokument ist in zwei Abschnitte unterteilt, in denen folgendes beschrieben wird: Die wesentlichen Elemente eines Mobile Messaging Systems, einschließlich der Anforderungen; eine Zusammenfassung der Nutzungsabläufe; eine Übersicht der Merkmale des Messaging and Security Feature Pack; und optimalen Netzwerkeinsatz, Sicherheit, und Gerätemanagement. Die Anleitungen und Ressourcen für die Nutzung eines Mobile Messaging Systems, einschließlich Aktualisierung des Exchange Server 2003 SP2, Einrichtung des Microsoft Exchange ActiveSync für mobilen Zugriff, das Erstellen einer geschützten Kommunikationsumgebung, und Verfahren für das Einrichten und Verwalten mobiler Geräte. Aktuelle Informationen für die Nutzung mobiler Messaging-Lösungen und zum Verwalten Windows Mobile-basierter Geräte erhalten Sie auf der Windows Mobile Center Website unter: Voraussetzungen Dieses Dokument geht von einem Verständnis von Microsoft Office Outlook Web Access, Exchange ActiveSync, Hypertext Transfer Protocol (HTTP), grundlegenden Exchange Server 2003 Konzepten, und grundlegenden Microsoft Windows Internet Information Services (IIS) Konzepten aus. Anforderungen Folgende Betriebssysteme und Anwendungen werden für eine erfolgreiche Nutzung benötigt. Microsoft Windows 2000 Server mit Service Pack 4 (SP4) oder Microsoft Windows Server 2003 mit Service Pack 1 (SP1) (empfohlen) Microsoft Exchange Server 2003 SP2 (beinhaltet Exchange ActiveSync) Microsoft Exchange ActiveSync Mobile Administration Webtool Microsoft Windows Mobile 5.0-basierte Geräte, die über das Messaging and Security Feature Pack verfügen Active Directory Verzeichnisdienst Internet Information Services (IIS) 6.0 Bemerkung Windows Mobile 5.0-basierte Geräte mit einer Versionsnummer von 148xx.2.x.x oder höher beinhalten das Messaging and Security Feature Pack. Um die Betriebssystem-Version am Gerät zu finden, auf Start klicken, Einstellungen wählen, und dann auf Info. Optionen Sie können folgende Sicherheit und Gerätemanagement-Tools implementieren. Siehe Abschnitt Beste Vorgehensweisen. Die aktuelle Version von Microsoft Desktop ActiveSync, finden sie auf der Microsoft Download-Website unter 5

6 Microsoft Internet Security and Acceleration (ISA) Server 2004 Windows certification authority (CA) RSA Authentication Manager (6.0) RSA Authentication Agent for Microsoft Windows RSA SecurID Authenticator Zusammenfassung der Einrichtungsschritte Weil Konfigurationen und Sicherheitsrichtlinien von Unternehmensnetzwerken sich unterscheiden können, sind auch die Einrichtungschritte bei jeder Mobile Messaging Systeminstallation verschieden.. Dieser Einrichtungsprozess beinhaltet die erforderlichen Schritte und die empfohlenen Schritte für die Nutzung einer Mobile Messaging-Lösung, bei der Exchange Server 2003 SP2 und Windows Mobile 5.0-basierte Geräte zum Einsatz kommen. Der Ablauf kann in den folgenden acht Schritten durchgeführt werden: Schritt 1 Upgrade von Frontend Servern auf Exchange Server 2003 SP2 Schritt 2 Aktualisieren aller Server mit Sicherheits-Patches Schritt 3 Schützen der Verbindungen mit mobilen Geräten und Ihrem Exchange Server Schritt 4 Schützen der Verbindungen zwischen Exchange Server und anderen Servern Schritt 5 Installieren und Konfigurieren eines ISA Server 2004 oder anderer Firewalls Schritt 6 Den Zugriff eines mobilen Geräts auf den Exchange Server konfigurieren Schritt 7 Installieren des Exchange ActiveSync Mobile Administration Webtools Schritt 8 Verwalten und Konfigurieren mobiler Geräte Planungsressourcen Die folgenden Microsoft Websites und technischen Artikel liefern Hintergrundinformationen, die für die Planung und Nutzung Ihrer Mobile Messaging Lösung von Bedeutung sind. Exchange Server 2003 Planen eines Exchange Server 2003 Messaging Systems Anleitung für den Zugriff auf Exchange Server 2003 Client Exchange Server 2003 Nutzungsanleitung Windows Server 2003 Nutzungsanleitung ISA Server 2004 mit Exchange Server 2003 verwenden Windows Server 2003 Technische Hinweise IIS 6.0 Nutzungsanleitung (IIS 6.0) Microsoft Exchange Server TechCenter Exchange Server 2003 Technische Dokumentationsbibliothek 6

7 Windows Mobile Unterstützung Windows Mobile-basierter Geräte innerhalb des Unternehmens: Unternehmensrichtlinien für jeden Geräte-Lebenszyklus (Dokument) TechNet Windows Mobile Center Sicherheit Windows Mobile-basierte Geräte und Sicherheit (Dokument) Windows Mobile Sicherheit TechNet Security Center 7

8 Übersicht: Messaging and Security Feature Pack Das Messaging and Security Feature Pack for Windows Mobile 5.0 ermöglicht es, Windows Mobile 5.0-basierte Geräte mit Hilfe des Microsoft Exchange Server 2003 SP2 zu verwalten. Das Ergebnis ist eine Mobile Messaging Lösung, die die Vorteile der Steuerung von Exchange ActiveSync und die Funktionen der neuen Sicherheitsrichtlinie bei Windows Mobile 5.0 basierten Geräten nutzt, die Ihnen dabei helfen, die Geräte besser handhaben und steuern zu können. Der Einsatz Windows Mobile 5.0 basierter Geräte mit dem Messaging and Security Feature Pack bietet Ihnen die folgenden Möglichkeiten: Mit der Direct Push Technologie stehen Ihrem Anwendern sofort die Daten seiner Exchange Mailbox auf dem Gerät bereit. Dazu gehören , Kalender, Kontakte und Aufgaben. Sie können Sicherheitsrichtlinien auf Ihrem Exchange Server definieren und diese werden dann auf Windows Mobile 5.0 basierten Geräten, die direkt mit Ihrem Exchange Server verbunden sind, übernommen. Sie können die Leistung und Funktionssicherheit von Exchange ActiveSync mit Hilfe des Exchange Server Management Pack überwachen und testen. Sie können den Ablauf des Löschens per remote von verlorengegangenen, gestohlenen oder auf andere Weise gefährdeten mobilen Geräten regeln, die unter Einsatz des Microsoft Exchange ActiveSync Mobile Administration Webtools direkt mit Ihrem Exchange Server synchronisiert sind. Merkmale Direct Push Technologie Die in Exchange Server 2003 SP2 integrierte Direct Push Technologie bietet eine neue Methode zur sofortigen Datenbereitstellung von der Exchange Mailbox auf das Mobilgerät des Benutzers. Direct Push unterstützt Mailboxdaten, einschließlich Posteingang, Kalender, Kontakte und Aufgaben. Die Direct Push Technologie verwendet eine HTTPS Verbindung zwischen dem Gerät und dem Exchange Server; ältere Lösungen erforderten den Einsatz des Short Message Service (SMS), was jetzt nicht mehr nötig ist. Auf dem mobilen Gerät ist keine spezielle Konfiguration erforderlich, und Sie können Ihren Standard-Mobilfunkvertrag beibehalten. Der Dienst funktioniert weltweit und keine zusätzliche Software oder Serverinstallationen außer dem Exchange Server 2003 SP2 ist mehr erforderlich. Exchange ActiveSync Exchange ActiveSync ist ein Exchange Synchronisationsprotokoll, das entwickelt wurde, um Ihre Exchange Mailbox mit einem Windows Mobile 5.0 basierten Geräte zu synchronisieren. Exchange ActiveSync ist für den Umgang in Netzwerken mit hoher Latenzzeit und geringer Bandbreite, sowie Clients mit geringer Kapazität, die über begrenzte Speicherleistung, Speicherkapazität und Verarbeitungsleistung verfügen, optimiert. Das Exchange ActiveSync Protokoll basiert auf HTTP, SSL und XML und ist ein Teil von Exchange Server Darüber hinaus bietet Exchange ActiveSync die folgenden Vorteile: Die Ähnlichkeit mit der vertrauten Outlook-Handhabung aus Sicht der Anwender Keine zusätzliche Software zum Installieren oder Konfigurieren der Geräte erforderlich Globale Funktionalität ermöglicht durch standardisierten Datenzugriff per Telefon Globaler Addresslisten-Zugriff Es wird die Over-the-air Suche von globalen Addresslisten (GAL), die auf dem Exchange Server gespeichert sind, unterstützt. Mit dem Messaging and Security Service Pack sind Mobilgerätbenutzer in der Lage, aus dem GAL Kontaktdetails für Personen zu empfangen. Diese Funktion kann dazu verwendet werden, per Fernzugriff schnell nach einer Person zu suchen, 8

9 basierend auf Name, Firma und/oder anderen Eigenschaften. Anwender erhalten alle benötigten Informationen, um Ihre Kontakte zu erreichen, ohne dass sie einen zusätzlichen Datenspeicher in ihrem Gerät benötigen. Sicherheitsmerkmale Sicherheitsrichtlinien für Geräte mit Fernzugriff Exchange Server 2003 SP2 unterstützt Sie beim Konfigurieren und Verwalten einer zentralen Richtlinie, die von allen Mobilgerätbenutzern den Schutz ihres Gerätes durch ein Passwort fordert, um den Zugriff auf den Exchange Server zu ermöglichen. Außerdem können Sie die Länge des Passwortes bestimmen, die Verwendung von Zeichen oder Symbolen verlangen und bestimmen, wie lange das Gerät inaktiv sein kann, bis eine erneute Eingabe des Passworts notwendig wird. Eine zusätzliche Einstellung zum Löschen des Gerätes nach erfolglosen Versuchen ermöglicht es Ihnen, sämtliche Daten im Gerät zu löschen, wenn der Benutzer ein falsches Passwort zu oft (Anzahl der Eingaben kann festgelegt werden) eingegeben hat. Der Benutzer sieht dann Warnsignal-Dialogboxen, die vor einem möglichen Löschen warnen und die Anzahl weiterer möglicher Versuche angeben, bevor es soweit ist. Eine andere Einstellung ermöglicht Ihnen anzugeben, ob nicht konforme Geräte synchronisiert werden können. Geräte werden dann als nicht konform betrachtet, wenn sie nicht die von Ihnen festgelegte Sicherheitsrichtlinie unterstützen. In den meisten Fällen verfügen diese Geräte nicht über das Messaging and Security Feature Pack. Die Gerätesicherheitsrichtlinien werden von der Schnittstelle Mobile Services Eigenschaften des Exchange Systemmanagers aus verwaltet. Remote Device Wipe Das Merkmal RemoteWipe hilft Ihnen dabei, den Prozess des ferngesteuerten Löschens verlorengegangener, gestohlener oder sonstwie gefährdeter mobiler Geräte zu handhaben. Wenn das Gerät unter Einsatz der Direct Push Technologie verbunden war, wird der Löschvorgang unverzüglich eingeleitet und erfolgt binnen Sekunden. Falls Sie die Sicherheitsrichtlinie einer erzwungenen Sperrung verwendet haben, ist das Gerät durch ein Passwort und LocalWipe geschützt, so dass das Gerät nicht in der Lage ist, irgendeinen Arbeitsschritt außer dem Empfang der RemoteWipe Meldung und der Anzeige, dass gelöscht wurde, auszuführen. Das neue Microsoft Exchange ActiveSync Mobile Administration Webtool ermöglicht Ihnen, folgende Aktionen durchzuführen: Ansehen einer Liste aller Geräte, die von jedem Benutzer verwendet werden. Auswählen oder Abwählen von Geräten, die per RemoteWipe gelöscht werden sollen. Den Status laufender Anforderungen für RemoteWipe für jedes Gerät ansehen. Ansehen eines Transaktionsprotokolls, das anzeigt, welche Administratoren Remote Device Wipe ausgelöst haben, zusätzlich zu den Geräten, deren Befehle es betraf. Erweiterte Sicherheitsmerkmale Zertifikat-basierte Authentifizierung Wenn die SSL Basis-Authentifizierung nicht Ihren Sicherheitsanforderungen erspricht und Sie eine bestehende Public Key Infrastruktur (PKI) haben, die Microsoft Certificate Server nutzt, können Sie das Zertifikat-basierte Authentifizierungs-Merkmal in Exchange ActiveSync nutzen. Wenn Sie dieses Merkmal in Verbindung mit den anderen in diesem Dokument beschriebenen Merkmalen benutzen, wie zum Beispiel Local Device Wipe und die erzwungene Verwendung eines Einschalt-Passwortes, können Sie das Mobilgerät selbst in eine Smartcard verwandeln. Der persönliche Schlüssel und das Zertifikat für die Client-Authentifizierung sind im Datenspeicher 9

10 des Gerätes gespeichert. Wenn allerdings ein nicht authorisierter Benutzer versucht, das Einschalt-Passwort für das Gerät gewaltsam zu knacken, werden alle Benutzerdaten einschließlich Zertifikat und persönlicher Schlüssel gelöscht. Für weitere Informationen siehe Anhang A. Nutzung der Exchange ActiveSync Zertifikatbasierten Authentifizierung. Microsoft hat für die Exchange ActiveSync Zertifikat-basierte Authentifizierung ein Tool entwickelt. Sie können Tool und Dokumentation von der Microsoft Download Center Website herunterladen: Support für S/MIME-verschlüsseltes Messaging Das Messaging and Security Feature Pack für Windows Mobile 5.0 bietet von Haus aus Support für digital signierte und verschlüsselte Nachrichtenübermittlung. Wenn die Verschlüsselung ohne die Secure/Multipurpose/Internet Mail Extension (S/MIME) genutzt wird, können Benutzer von ihrem Mobilgerät aus S/MIME-verschlüsselte Nachrichten ansehen und versenden. Die S/MIME Steuerung: Ist ein Standard für -Nachrichten mit erhöhter Sicherheit, bei dem eine Public Key Infrastruktur (PKI) zur gemeinsamen Nutzung der Schlüssel verwendet wird Bietet Absender-Authentifizierung durch Verwenden digitaler Signaturen Kann zum Schutz persönlicher Daten verschlüsselt werden Funktioniert mit jedem standard-konformen -Client Eine Anleitung zum Implementieren der S/MIME Steuerung mit Microsoft Exchange Server 2003 SP2 finden Sie im Exchange Server Message Security Guide auf der folgenden Microsoft Website: Verwalten des Messaging and Security Feature Pack Schutzmaßnahmen wie Passwortrichtlinien und die Möglichkeit des RemoteWipe bieten Ihnen die Sicherheitsmerkmale, die Sie beim Schutz Ihrer Unternehmensdaten unterstützen. Mit der Kombination der in Exchange Server 2003 SP2 integrierten Verwaltungsmöglichkeiten und der in den Windows Mobile 5.0 basierten Geräten integrierten Sicherheits- und Konfigurationsprotokolle, die über das Messaging and Security Feature Pack verfügen, wurde die Kontrolle von mobilen Geräten optimiert. Sie werden erkennen, dass ein Großteil der Verwaltung der Sicherheitsmerkmale für das mobile Gerät auf dem Exchange Server oder über das Exchange ActiveSync Mobile Administration Webtool erfolgt. Die folgende Tabelle fasst die Merkmale und die für den Exchange Server oder das Mobilgerät erforderlichen Einstellungen zusammen. 10

11 Merkmal Exchange Server Einstellungen Mobilgeräteeinstellungen Exchange Direct Push Technologie Exchange ActiveSync Drahtloser Zugriff auf globale Adressliste (GAL) Richtlinien für Remote IT-Geräte RemoteWipe Zertifikat-basierte Authentifizierung S/MIME Support für Mobilgeräte Standardmäßig aktiviert ohne Exchange Server 2003 SP2 Geschützte Konfiguration mit Firewall oder ISA Server Sitzungaabbruch auf 30 Minuten eingestellt Standardmäßig aktiviert mit Exchange Server 2003 SP2 Parameter einstellen durch Verwenden der Eigenschaften von Mobilen Diensten des Exchange Systemmanagers Standardmäßige Exchange Server Installation Erfordert Outlook Web Access, zugänglich auf Exchange Server Aktivieren der Direct Push Technologie in Exchange ActiveSync Verwenden der Eigenschaften von Mobilen Diensten des Exchange Systemmanagers zum Anwenden der Richtlinien Aktivieren der Direct Push Technologie in Exchange ActiveSync Verwenden von Mobile Administration Webtool zum auslösen, verfolgen und abbrechen des RemoteWipe Installieren des Zertifikats auf Exchange Servern ActiveSync 4.2 auf Desktops einsetzen Verwenden des Zertifikatsregistrierungs-Tools zum Konfigurieren der Geräte über ActiveSync Einsetzen eines Exchange Server 2003 Messaging Systems mit PKI Sicherheit Keine Geräteinstallation erforderlich; Benutzer wird beim Einloggen in den Exchange Server Schritt für Schritt durch den ActiveSync Wizard geführt. Keine Geräteinstallation erforderlich; Benutzer wird beim Einloggen in den Exchange Server Schritt für Schritt durch den ActiveSync Wizard geführt. Keine Geräteinstallation erforderlich Vertrauenswürdige Geräte haben automatischen Zugriff auf GAL Keine Geräteinstallation erforderlich; Benutzer wird beim Einloggen in den Exchange Server Schritt für Schritt durch den ActiveSync Wizard geführt. Keine Geräteinstallation erforderlich; Benutzer wird beim Einloggen in den Exchange Server Schritt für Schritt durch den ActiveSync Wizard geführt. Erstmalige Zertifikatsregistrierung durch Verwendung von Desktop ActiveSync ist erforderlich. Installieren des Zertifikatsregistrierungs-Protokolls und -Schlüssels auf dem Gerät 11

12 Beste Vorgehensweise bei der Konfiguration für den Einsatz Für einen reibungslosen Betrieb einer Mobile Messaging Lösung in Ihrem Unternehmensnetzwerk stützen Sie sich am besten auf die folgenden Empfehlungen, die zugleich ein hohes Maß an Sicherheit bieten. Sie können selbst festlegen, welches die beste Vorgehensweise für die Konfiguration Ihres Netzwerks und beim Einsatz Ihres mobilen Gerätes ist. Planung und Entwurf eines Netzwerks Um mit Erfolg ein Exchange Server 2003 SP2 Messaging System zu konfigurieren, müssen Sie zuerst die Möglichkeiten und Grenzen der Software und Hardware kennen, mit der Sie Ihr Messaging System einrichten wollen. Wenn Sie ein neues Exchange Server Messaging System planen oder eine ältere Exchange-Umgebung aktualisieren, erfordert dies den Abgleich der Beschränkungen Ihrer Netzwerk-Infrastruktur mit den Möglichkeiten Ihres Messaging Systems, des Betriebssystems und der Benutzersoftware. Weitere Informationen für die Planung Ihres Messaging Systems finden Sie auf der Webseite Optimales Vorgehen bei der Frontend und Backend Konfiguration für Exchange Server Eine Frontend und Backend Konfiguration wird in Unternehmen mit mehreren Servern empfohlen, wenn diese Exchange ActiveSync, Outlook Web Access, POP, oder IMAP verwenden und ihren Mitarbeitern den Zugriff mittels HTTP, POP oder IMAP bieten wollen. In dieser Architektur akzeptiert ein Frontend Server Anfragen von Clients und Proxys, die diese zur Verarbeitung an den entsprechenden Backend Server senden. Die Frontend und Backend Architektur ermöglicht dem Frontend Server das Einstellen der Secure Sockets Layer (SSL) Verschlüsselung, wodurch die Backend Server eine insgesamt bessere -Leistung bringen. Das Absichern der Messaging-Systemumgebung beinhaltet auch das Abschalten jener Merkmale und Einstellungen des Fontend Servers, die in einer Frontend und Backend Server Architektur nicht erforderlich sind. Weitere Informationen über die Frontend und Backend Server Architektur erhalten Sie unter: Exchange Server 2003 and Exchange 2000 Server Frontend and Backend Topology Überlegungen für die Nutzung auf einem Single Server Wenn Sie eine Mobile Messaging Lösung einsetzen, die einen einzigen Exchange Server verwendet, haben Sie einige spezielle Konfigurationen vorzunehmen, um Konflikte im virtuellen Verzeichnis zu vermeiden. SSL Anforderungen und Formular-basierte Authentifizierung In einer Single-Server Konfiguration greift Exchange Server ActiveSync mittels der Kerberos- Authentifizierung über Port 80 auf das virtuelle Verzeichnis von Exchange zu. Exchange ActiveSync kann nicht auf das virtuelle Verzeichnis von Exchange zugreifen, wenn eine der folgenden Bedingungen zutrifft: Die Konfiguration des virtuellen Verzeichnisses von Exchange erfordert SSL. Formular-basierte Authentifizierung ist konfiguriert. Weitere Informationen darüber und Problemlösungen für diese Konfigurationen entnehmen Sie dem folgenden Artikel in der Microsoft Knowledge Base: 12

13 Mobiler Zugriff auf Exchange Server 2003 über Outlook nicht möglich, wenn das virtuelle Exchange-Verzeichnis SSL erfordert oder formularbasierte Authentifizierung verwendet Exchange ActiveSync Mobile Administration Webtool Beim Einsatz in einer Single-Server Konfiguration verlangt das Exchange ActiveSync Mobile Administration Webtool die Standardkonfiguration des virtuellen Verzeichnisses von ExAdmin. Standardmäßig ist SSL nicht eingeschaltet und das virtuelle Verzeichnis hat eine in Windows integrierte Authentifizierung. In einer Single-Server Konfiguration empfehlen wir folgendes: Abschalten von SSL im virtuelllen Verzeichnis von ExAdmin! Verwenden der in Windows integrierten Authentifizierung im virtuellen Verzeichnis von ExAdmin Bemerkung Das Exchange ActiveSyncMobile Administration Webtool sollte im ExchangeAppPool laufen. Dies ist ein bekanntes Problem, ein Knowledge Base Artikel zu diesem Thema wird in Kürze veröffentlicht. RSA SecurID Kompatibilität RSA SecurID bietet eine token-basierte Authentifizierung, die eine Benutzereingabe erfordert und nicht mit der Direct Push Technologie kompatibel ist, in der das Gerät automatisch synchronisiert. RSA hat den RSA Authentication Agent for Windows aktualisiert, so dass die Direct Push Technologie und vorgesehene Synchronisationsmerkmale problemlos funktionieren. Wenn Sie das Produkt RSA SecurID verwenden, sollte Sie sichergehen, sich die neueste RSA SecurID Software von eder the RSA Security Website herunterzuladen: Beste Vorgehensweise: Nutzung von ISA Server 2004 als erweiterte Firewall Als eine Alternative zur optimalen Vorgehensweise bei der Lokalisierung Ihres Frontend Exchange Servers im Perimeter-Netzwerk können Sie ISA Server 2004 als eine erweiterte Firewall nutzen. In dieser Konfiguration befinden sich alle Exchange Server innerhalb des Unternehmensnetzwerks und der ISA Server agiert als die erweiterte Firewall im Perimeter- Netzwerk, über den der Internet-Datenverkehr läuft. Das gibt Ihrem Netzwerk eine zusätzliche Sicherheitsstufe. Sämtlicher eingehender Internet-Datenverkehr, der für Ihre Exchange Servers bestimmt ist, zum Beispiel Microsoft Office Outlook Web Access und RPC over HTTP Verbindungen von Outlook 2003 Clients, wird vom ISA Server verarbeitet. Wenn der ISA Server eine Anfrage von einem Exchange Server erhält, beendet der ISA Server die Verbindung und leitet die Anfrage an die entsprechenden Exchange Server in Ihrem internen Netzwerk weiter. Die Exchange Server in Ihrem Netzwerk senden dann die angeforderten Daten an den ISA Server zurück, woraufhin der ISA Server die Informationen über das Internet an den Client sendet. Wärend der Installation des ISA Servers empfehlen wir die SSL-Verschlüsselung zu aktivieren und als SSL-Port 443 festzulegen. Dabei bleibt der Port 443 als Web Listener geöffnet, um den Internet-Datenverkehr zu empfangen. Wir empfehlen auch, dass Sie für Exchange ActiveSync eine Basis-Authentifizierung einrichten und von allen Clients die erfolgreiche Überwindung eines SSL-Links verlangen, bevor eine Verbindung zu den Exchange ActiveSync Site Verzeichnisse aufgenommen wird. Wenn Sie diesen Empfehlungen folgen, wird der über den Port 443 laufende Internet-Datenverkehr besser geschützt. Erfolgte die Konfiguration im Webpublishing Modus, bietet ISA Server 2004 eine Protokoll- Filterung und -hygiene, einen Denial of Service (DoS) und einen verteilten Denial of Service (DDoS) Schutz sowie eine Vor-Authentifizierung. 13

14 Die Abbildung oben ist ein Beispiel für eine empfohlene Exchange Server 2003 Nutzung für Mobile Messaging mit ISA Server Beste Vorgehensweise: Konfigurieren Ihrer Firewall für optimale Direct Push-Leistung Die Direct Push Technologie erfordert eine offene Verbindung zwischen dem Server und dem Client. Über diese Verbindung werden keine Daten versendet, ausgenommen zu übertragende E- Mails oder Daten, oder wenn das Gerät die Datenverbindung mit den Server wieder aufbauen muss. Das bedeutet, dass die maximale Länge der Verbindung vom niedrigsten Netzwerk- Timeout auf dem Weg zwischen Gerät und Server bestimmt wird. Bei guter Netzwerkabdeckung wird der maximale Timeout durch den Verbindungs-Timeout bestimmt, erzwungen durch die Firewalls, die mit dem Internet-Datenverkehr zu Ihren Exchange Frontend Servern beschäftigt sind. Bei einem kurzen Timeout werden öfters Daten zwischen dem Server und dem Gerät ausgetasucht, was zu einer geringeren Akkulaufzeit auf dem Gerät führt. Am besten hat sich bewährt, den Verbindungs-Timeout Ihrer Firewall fest einzustellen, um sicherzustellen, dass die Direct Push Funktionalität effizient arbeitet. Für eine optimale Akkuleistung empfehlen wir eine Timeout-Periode zwischen 15 und 30 Minuten. 14

15 Sicherheit: Authentifizierung und Zertifizierung Die Sicherheit bei der Datenübertragung zwischen dem Exchange Server und Client- Mobilgeräten kann mit Hilfe von Secure Sockets Layer (SSL) für die Verschlüsselung und Server- Authentifizierung und mittels Webpublishing zum Schutz von eingehendem Datenverkehr erhöht werden. Die folgende bewährte Vorgehensweise hilft Ihnen beim Einrichten einer sichereren Mobile Messaging Lösung. Optimales Vorgehen: Verwenden von SSL für Verschlüsselung und Server- Authentifizierung Um aus- und eingehende Daten zu schützen, verwenden Sie SSL zum Verschlüsseln sämtlichen Datenverkehrs. Sie können die SSL-Sicherheitsmerkmale auf einem Exchange Server konfigurieren, um die Integrität Ihrer Inhalte und die Identät der Benutzer zu überprüfen, und um die über das Netzwerk übertragenen Daten zu verschlüsseln. Der Exchange Server verlangt genau wie jeder Webserver ein gültiges Server Zertifikat zum Aufbau von SSL-Verbindungen. Windows Mobile 5.0-basierte Geräte werden mit Trusted-Root-Zertifikaten ausgeliefert. Fragen Sie Ihren Gerätehersteller nach einer aktuellen Liste der ausgebenden Stellen jener Zertifikate, die mit Ihrem Gerät geliefert wurden. Wenn Sie ein Root Zertifikat von einem vertrauenswürdigen Dienst erhalten haben, sollten Ihre Client-Mobilgeräte in der Lage sein, SSL-Verbindungen ohne weitere Konfiguration aufzubauen. Bemerkung Einige Server-Zertifikate werden von nicht vertrauenswürdigen Zertifizierungsstellen innerhalb der Zertifizierungskette ausgegeben. Wenn IIS nicht so konfiguriert wurde, dass alle Zertifikate in dieser Kette während des SSL-Handshakes an das Mobilgerät gesendet werden, so wird das Gerät dem Zertifikat nicht vertrauen, weil das Gerät ein dynamisches Wiederfinden der anderen Zertifikate nicht unterstützt. Weitere Informationen über die Erlangung von Server-Zertifikaten erhalten Sie im Exchange Server 2003 Client Access Guide auf der Webseite Weitere Informationen über Root-Zertifikate für Mobilgeräte siehe Anhang B. Hinzufügen von Root-Zertifikaten auf Windows Mobile Geräten in diesem Dokument. Beste Vorgehensweise: Verwenden von Webpublishing mit Basis- Authentifizierung Am besten hat sich Webpublishing bewährt, denn es ist einfacher zu implementieren und bietet einen höheren Sicherheitsgrad als Serverpublishing, obwohl größere Unternehmen, die den Einsatz von Clients mit Zertifikat-basierter Authentifizierung planen, letztere Methode implementieren müssen. Serverpublishing, auch bekannt als Tunneling, dient dem Schutz der Netzwerk-/Transportebene, wohingegen Webpublishing, auch bekannt als Bridging, dem Schutz der Anwendungsebene dient. Webpublishing ist nur dann möglich, wenn SSL auf dem ISA Server 2004 abgeschaltet wird. Weil ISA Server 2004 nur verschlüsselten Datenverkehr kennt, kann es keine Aufgaben wie zum Beispiel Protokollhygiene durchführen, wie es bei der Analyse der Inhalte verlangt wird; somit bietet ISA Server 2004 nur einen Schutz basierend auf den Netzwerk-/Transportebenen. Die folgende Tabelle vergleicht die Sicherheitsmerkmale von Serverpublishing und Webpublishing. 15

16 Sicherheitsmerkmale Server Publishing Web Publishing Synchroner Leerlaufschutz vor Zeichenkettenangriffen (SYN) X X Schutz vor Datenüberflutung Mechanismen, die aktiviert werden wenn verschiedene System- und Netzwerkquoten erreicht sind. Dies kann das Blockieren von Datenverkehr, Verzögerungen oder Freigeben von Speicher beinhalten. Zugriffskontrolle basierend auf Quelladresse, Quellport, Zieladresse, Zielport und Protokoll. Entdeckung und Unterbindung von Portscanning, Fragmentierungsangriffen, verschiedenen TCP/IP Angriffen sowie IP und TCP Header-Validierung. HTTP Protokollhygiene. HTTP Sitzungsanteil. HTTP Filterung Dies erlaubt die Entdeckung von Signaturen in HTTP Anfragen und wird oft verwendet zum Schutz gegen Zeroday -Angriffe, zum Beispiel, wenn die Webserver nicht alle vollständig gepatcht sind. HTTP Filterung vermindert die Angriffsfläche des Webservers indem nur bestimmte HTTP Verben, Aktionen oder URLs zugelassen werden. Vor-Authentifizierung und Authorisierung der Webserver empfängt nur Datenverkehr von beglaubigten und authorisierten Benutzern. Das bedeutet, dass selbst wenn es in IIS eine Schwachstelle gibt, nur Beschäftigte des Unternehmens die Schwachstelle wirklich auswerten könnten. Mit Vor- Authentifizierung befindet sich der Exchange Frontend Server in der vordersten Verteidigungslinie, so wie es in einer DMZ sein muss. Einfaches Anmelden bei ISA 2004 bietet erhöhte Benutzerfreundlichkeit. Link-Übersetzung bietet erhöhte Benutzerfreundlichkeit. X X X X X X X X X X X X Optimales Vorgehen: Verwenden von Serverpublishing mit Zertifikatbasierter Authentifizierung Damit die Zertifikat-basierte Authentifizierung mit Exchange ActiveSync korrekt arbeiten kann, muss die Konfiguration der Unternehmens-Firewall dem Exchange Frontend Server die Beendigung der SSL-Verbindung ermöglichen. Webpublishing funktioniert nicht mit Zertifikatbasierter Authentifizierung. Microsoft hat mehrere Tools bereitgestellt, die Exchange-Administratoren beim Konfigurieren und Validieren der Client Zertifikats-Authentifizierung unterstützen. Weitere Informationen entnehmen sie dem Anhang A: Anwenden der Exchange ActiveSync Zertifikat-basierten Authentifizierung. Das Exchange ActiveSync-Tool für Zertifikat-basierte Authentifizierung kann von der Website Tools für Exchange Server 2003 unter heruntergeladen werden. 16

17 Beste Vorgehensweise: Festlegen und Einsetzen einer Geräte- Passwortrichtlinie Erstmals unterstützen Sie Exchange Server SP2 und Windows Mobile 5.0 basierte Geräte, die über das Messaging and Security Feature Pack verfügen, beim Konfigurieren einer zentralen Sicherheitsrichtlinie. Das erfordert von allen Benutzern mobiler Geräte, ihr Gerät mit einem Passwort zu schützen, um auf den Exchange Server zugreifen zu können. Innerhalb dieser zentralen Sicherheitsrichtlinie können Sie verschiedene Merkmale konfigurieren, einschließlich der Passwortlänge (standardmäßig vier Zeichen), die Verwendung von Zeichen oder Symbolen im Passwort, und wie lange das Gerät inaktiv sein kann, bevor der Benutzer erneut zur Eingabe des Passworts aufgefordert wird. Haben Sie die Sicherheitsrichtlinien für Ihr Gerät einmal festgelegt, können sie diese durch Verwenden von Eigenschaften von mobilen Diensten im Exchange Systemmanager anwenden. Wenn sich Ihre Benutzer mit dem Exchange Server verbinden und anmelden, werden die Richtlinien an das Gerät gesendet. Sie können das Intervall einstellen, bei dem die Sicherheitsrichtlinien automatisch in den Geräten aufgefrischt werden. Weitere Informationen über das Einstellen der Sicherheitsrichtlinien erhalten Sie unter Konfigurieren der Sicherheitseinstellungen für Mobilgeräte in diesem Dokument. 17

18 Einsetzen von Exchange Server 2003 SP2 Mobile Messaging Der Einfachheit halber haben wir den empfohlenen Einsatz mit Hinweisen auf alternative oder optionale Schritte dokumentiert. Ihre Produktionsumgebung kann sich ändern zum Beispiel können Sie eine andere Firewall einsetzen aber wenn Sie sich den Prozess für die Installation und Konfigurinerung des ISA Servers durchlesen, sollten Sie in der Lage sein, Ihre Firewall zu konfigurieren, um mit dieser Aufstellung arbeiten zu können. Einrichtungsschritte Die folgenden Schritte fassen den Ablauf beim Einsatz einer Exchange Server 2003 SP2 Mobile Messaging Lösung zusammen. Schritt 1 Upgrade von Frontend Server auf Exchange Server 2003 SP2 Schritt 2 Aktualisieren aller Server mit Sicherheits-Patches Schritt 3 Schützen der Verbindungen mit mobilen Geräten und Ihrem Exchange Server Verschlüsseln des Messaging Datenverkehrs mit Secure Sockets Layer (SSL) Aktivieren von SSL auf der Standard-Website Konfigurieren der Authentifizierung Basis-Authentifizierung (empfohlen) RSA SecurID (optional) Konfigurieren der Zertifikats-Authentifizierung (optional) Schützen von IIS mittels UrlScan und IIS Lockdown Wizard Schritt 4 Schützen der Verbindungen zwischen Exchange Server und anderen Servern Verwenden Sie IPSec zum Verschlüsseln von IP Datenverkehr (empfohlen) Schritt 5 Installieren und Konfigurieren eines ISA Server 2004 oder anderer Firewalls Erstellen der Exchange ActiveSync Publishing-Regel mittels Bridging Erstellen der Exchange ActiveSync Publishing-Regel mittels Tunneling (mit Zertifikatbasierte Authentifizierung) Konfigurieren der Host File Entry Modifizieren des Firewall-Timeouts bei Leerlauf auf 30 Minuten Schritt 6 Konfigurieren des Zugriffs eines mobilen Geräts auf den Exchange Server Aktivieren von Exchange ActiveSync für alle Benutzer Aktivieren der benutzergesteuerter Synchronisation Aktivieren von Direct Push Festleggen der Einstellungen des Sicherheitsrichtlinie für mobile Geräte Überwachen der Leistung von mobilen Geräten über den Exchange Server Schritt 7 Installieren des Exchange ActiveSync Mobile Administration Webtools Schritt 8 Verwalten und Konfigurieren von mobilen Geräten Einrichten der Mobilgeräte-Verbindung zum Exchange Server Auslösen und Verfolgen von RemoteWipe an mobilen Geräten Bereitstellen oder Konfigurieren mobiler Geräte Auslösen und Verfolgen von RemoteWipe an mobilen Geräten 18

19 Schritt 1 - Upgrade auf Exchange Server 2003 SP2 Exchange Server 2003 SP2 beinhaltet Exchange ActiveSync, das Synchronisationsprotokoll, das die Exchange Mailbox auf Client Mobilgeräten synchronisiert. Standardmäßig ist Exchange ActiveSync eingeschaltet. Exchange Server 2003 SP2 enthält neue Merkmale, die mit dem Windows Mobile 5.0 Messaging and Security Feature Pack zusammenarbeiten und dabei helfen, die Nutzung, Sicherheit und Verwaltung von Mobilgeräten zu verbessern. Bemerkung Um das Windows Mobile 5.0 Messaging and Security Feature Pack benutzen zu können, müssen Sie Ihren Frontend Exchange Server auf Exchange Server 2003 SP2 upgraden. Backend Mailbox Server können unter Exchange 2003 RTM oder SP1 bleiben. Wir empfehlen allerdings, Frontend und Backend Server zu upgraden, um von allen Aktualisierungen in SP2 profitieren zu können. Wie wird ein Upgrade auf Exchange Server 2003 SP2 durchgeführt? Laden Sie die Service Pack 2 für Exchange Server 2003 Datei von der folgenden Microsoft Website herunter: Folgen Sie den Anleitungen zum Upgraden Ihres Exchange Servers auf SP2. Schritt 2 - Aktualisieren aller Server mit Sicherheits-Patches Um Sicherzustellen, dass Ihr Mobile Messaging Netzwerk vom einen Ende zum Anderen stark genug ist, nehmen Sie sich die Zeit, alle Ihrer Server zu aktualisieren. Nachdem Sie Exchange Server 2003 SP2 auf Ihrem Frontend Server installiert haben, aktualisieren Sie die Server-Software auf Ihren anderen Exchange Servern und auf jedem anderen Server, mit dem Exchange in Verbindung steht, wie zum Beispiel Ihren globalen Katalog-Server und Ihren Domain-Controller. Weitere Informationen über das Aktualisieren Ihrer Software mit den neuesten Sicherheits- Patches erhalten Sie auf der Exchange Server Security Center Website: Weitere Informationen zur Microsoft Sicherheit erhalten Sie auf der Website Microsoft Sicherheit: 19

20 Schritt 3 Schützen der Verbindungen mit mobilen Geräten und Ihrem Exchange Server Um Ihnen zu helfen, die Verbindungen zwischen Windows Mobile Geräten und Ihrem Exchange Frontend Server zu schützen, folgen Sie diesen Schritten: Nutzen Sie SSL zum Verschlüsseln des Messaging-Datenverkehrs Schalten Sie SSL auf der Standard-Website Konfigurieren Sie Basis-Authentifizierung für das virtuelle Verzeichnis von Exchange ActiveSync Bemerkung Wenn Sie die Nutzung der Zertifikat-Authentifizierung an Stelle der Basiskonfiguration planen, müssen Sie SSL benutzen un dabei den Anweisungen in Anhang A folgen. Nutzen der Exchange ActiveSync Zertifikat-basierten Authentifizierung. Bemerkung Wenn Sie RSA SecurID verwenden, müssen Sie den RSA Authentication Agent aktualisieren. Schützen Sie IIS mit Hilfe von UrlScan und IIS Lockdown Wizard Im Abschnitt Beste Vorgehensweisen dieses Dokuments erhalten Sie weitere Informationen zur Authentifizierung und Zertifizierung. Einsetzen von SSL zum Verschlüsseln von Nachrichtenverkehr Um eingehende und ausgehende Mails zu schützen, verwenden Sie SSL zum Verschlüsseln des Messaging-Datenverkehrs. Sie können die SSL-Sicherheitsmerkmale auf dem Exchange Server konfigurieren, um die Integrität Ihrer Inhalte und die Identität von Benutzern zu prüfen, und Netzwerkübertragungen zu verschlüsseln. Die Schritte beim Konfigurieren von SSL für Exchange ActiveSync sind wie folgt: 1. Beschaffen und Installieren eines Server-Zertifikats 2. Bestätigen der Installation 3. Sicherungskopie des Server-Zertifikat erstellen 4. Einschalten von SSL für das virtuelle Verzeichnis von Exchange ActiveSync Wichtig Um die folgenden Arbeitsschritte durchzuführen, müssen Sie ein Mitglied der Administratorengruppe des lokalen Rechners sein, oder Sie müssen von der entsprechenden Zertifizierungsstelle beauftragt sein. Für größtmögliche Sicherheit melden Sie sich bei Ihrem Rechner mit einem Benutzerkonto an, das nicht zur Administratorengruppe gehört, und verwenden Sie dann den Ausführen Befehl, um als Administrator den IIS Manager zu starten. In der Befehlszeile geben Sie folgenden Befehl ein: runas /user:administrative_accountname "mmc%systemroot%\system32\inetsrv\iis.msc" Beschaffen und Installieren des Server-Zertifikats Nachdem Sie sich ein Server-Zertifikat beschafft haben, werden Sie das Server-Zertifikat installieren, die Installation des Server-Zertifikats prüfen und eine Sicherungskopie erstellen. Wenn Sie den Web Server Certificate Wizard einsetzen, um ein Server-Zertifikat zu beschaffen und zu installieren, so gehört zu diesem Arbeitsschritt das Erstellen und Rechteübertragen eines Server-Zertifikats. Beschaffen eines Server-Zertifikats von einem CA 1. Melden Sie sich beim Exchange Server mit Ihrem Administrator Benutzerkonto an. 20