Seite 1 von 24 ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2006 Microsoft Windows Server 2003 SP1 Microsoft Exchange Server 2003 SP2 Microsoft Office Outlook 2003 SP2 In diesem Artikel wird die Einrichtung von Exchange 2003 RPC over HTTPS mit NTLM-Authentifizierung beschrieben, so dass Outlook Benutzer nicht zur Eingabe des Kennworts beim Starten von Outlook 2003 aufgefordert werden. Dieser Artikel beschreibt nicht alle notwendigen Schritte zur Einrichtung von Exchange RPC over HTTPS, sondern konzentriert sich auf alle vorzunehmenden Änderungen an der Outlook- und IIS-Konfiguration zur Sicherstellung von RPC over HTTPS mit NTLM-Authentifizierung sowie der Einrichtung der notwendigen Serververöffentlichung in ISA Server 2006. Für eine detaillierte Konfiguration allgemeiner Einstellungen für RPC over HTTPS mit Standard-Authentifizierung lesen Sie den Artikel von Christian Gröbner, welcher für ISA Server 2004 alle notwendigen Schritte zur Einrichtung von RPC over HTTPS erklärt. Sie können alle Einstellungen auch für ISA Server 2006 verwenden. Einstellungen am IIS Die erste Änderung ist am IIS (Internet Information Server) vorzunehmen. Sie müssen dort für das virtuelle RPC-Verzeichnis die integrierte Authentifizierung aktivieren. Standard-Authentifizierung und anonymen Zugriff müssen Sie deaktivieren.
Seite 2 von 24 Einstellungen in ISA Server 2006 ISA Server 2006 enthält eine Reihe von Verbesserungen im Bereich der Server- und Webserververöffentlichungen, sowie eine Reihe neuer und erweiterter Authentifizierungsverfahren. Dieser Artikel zeigt alle notwendigen Schritte zur Einrichtung einer Exchange Web Client-Veröffentlichung. Starten Sie die ISA Server 2006-Verwaltungskonsole und erstellen Sie eine Exchange Web Client-Veröffentlichung.
Seite 3 von 24 Geben Sie der Veröffentlichungsregel einen aussagekräftigen Namen
Seite 4 von 24 Die zu veröffentlichende Exchange Version ist 2003. Aktivieren Sie das Kontrollkästchen "Outlook RPC/HTTP(s)". Alle anderen Kontrollkästchen müssen deaktiviert werden..
Seite 5 von 24 Veröffentlichen Sie eine einzelne Webseite.
Seite 6 von 24 Verwenden Sie SSL zur Kommunikation zwischen ISA Server und Webserver (Exchange Server).
Seite 7 von 24 Geben Sie den FQDN (Fully Qualified Domain Name) oder NetBIOS Namen des Exchange Servers an.
Seite 8 von 24 Der öffentliche Name für diesen Artikel ist "it-training-grote.isa-geek.com". Tragen Sie hier den Namen ein, wie der Exchange Server aus dem Internet erreicht werden kann.
Seite 9 von 24 Erstellen Sie jetzt einen neuen Weblistener. Vergeben Sie einen aussagekräftigen Namen.
Seite 10 von 24 Die Kommunikation zwischen ISA Server und Outlook Clients wird mit SSL verschlüsselt.
Seite 11 von 24 Wählen Sie den Weblistener aus, welche auf Anfragen aus dem Internet am ISA Server abhört. Das Netzwerk ist in der Regel EXTERN. Haben Sie mehrere IP- Adressen an der externen Netzwerkkarte von ISA Server 2006 konfiguriert, klicken Sie auf "Select IP Addresses" um eine IP-Adresse für den Listener festzulegen.
Seite 12 von 24 Da SSL Verschlüsselung verwendet wird ist ein Zertifikat erforderlich, dessen CN (Common Name) identisch mit dem Hostnamen sein muss, welchen Outlook Clients verwenden um aus dem Internet auf den ISA Server zuzugreifen. Dieser Umstand ist eine häufige Ursache für Konfigurationsfehler, so dass Sie dem Konfigurationspunkt besondere Aufmerksamkeit widmen sollten. Weitere Informationen erhalten Sie hier.
Seite 13 von 24 Klicken Sie auf "Select Certificate" und wählen das vorher importierte oder von einer CA angeforderte Zertifikat aus.
Seite 14 von 24 Als Authentifizierungseinstellungen verwenden Sie "HTTP Authentication" und aktivieren das Kontrollkästchen "Basic" und stellen sicher das der Radiobutton "Windows (Active Directory) ausgewählt ist.
Seite 15 von 24 Bei der Delegation der Authentifizierung wählen Sie "No Delegation, but client may authenticate directly" aus. Damit wird die NTLM Authentifizierungsanfrage direkt an den Authentifizierungsserver gesendet.
Seite 16 von 24 ISA Server 2006 wählt automatisch "Alle Authentifizierten Benutzer" für die Regel aus. Sie können diese Einstellung aktiviert lassen.
Seite 17 von 24 Feintuning Nach erfolgter Erstellung der Exchange Client-Veröffentlichungsregel müssen Sie noch etwas Feintuning betreiben. Editieren Sie die Einstellungen des Listeners am ISA Server 2006 und navigieren zu der der Registerkarte "Authentication" und klicken dort auf "Advanced".
Seite 18 von 24 Da Basic Authentication am ISA verwendet wird, geben Sie in dem Textfeld "Domain name" den im internen LAN verwendeten Active Directory Domänennamen an.
Seite 19 von 24 Editieren Sie jetzt die vom Assistenten erstelle Regel "RPCoverHTTPS", navigieren zur Registerkarte "Traffic" und aktivieren das Kontrollkästchen "Require 128- bit encryption for HTTPS traffic".
Seite 20 von 24 Konfiguration von Outlook Die Konfiguration von Outlook 2003 zur Verwendung von RPC over HTTPS unterscheidet sich nur in einer Einstellung von einer normalen RPC over HTTPS Veröffentlichung mit Standardauthentifizierung. Editieren Sie das zutreffende Outlook Profil auf dem Client PC und klicken Sie auf die Schaltfläche "Exchange Proxyeinstellungen".
Seite 21 von 24 Ändern Sie dort die Proxyauthentifizierungseinstellung auf "NTLM-Authentifizierung".
Seite 22 von 24 Wenn Sie jetzt eine Outlook-Verbindung mit dem konfigurierten Outlook-Profil starten, wird eine Outlook-Verbindung über HTTPS hergestellt ohne das der Benutzer zur Eingabe von Namen und Kennwort aufgefordert wird. Zur Anzeige des "Exchange Server-Verbindungsstatus" klicken Sie mit gedrückter STRG-Taste auf das Outlook Symbol in der Taskleiste und wählen aus dem Kontextmenü "Verbindungsstatus" aus. Sie können Outlook auch mit der Option /RPCDIAG starten.
Seite 23 von 24
Seite 24 von 24