ISA Server 2006 - Exchange RPC over HTTPS mit NTLM-Authentifizierung


Die Informationen in diesem Artikel beziehen sich auf:


In diesem Artikel wird die Einrichtung von Exchange 2003 RPC over HTTPS mit NTLM-Authentifizierung beschrieben, so dass Outlook Benutzer nicht zur Eingabe des Kennworts beim Starten von Outlook 2003 aufgefordert werden.

Dieser Artikel beschreibt nicht alle notwendigen Schritte zur Einrichtung von Exchange RPC over HTTPS, sondern konzentriert sich auf alle vorzunehmenden Änderungen an der Outlook- und IIS-Konfiguration zur Sicherstellung von RPC over HTTPS mit NTLM-Authentifizierung sowie der Einrichtung der notwendigen Serververöffentlichung in ISA Server 2006.

Für eine detaillierte Konfiguration allgemeiner Einstellungen für RPC over HTTPS mit Standard-Authentifizierung lesen Sie den Artikel von Christian Gröbner, welcher für ISA Server 2004 alle notwendigen Schritte zur Einrichtung von RPC over HTTPS erklärt. Sie können alle Einstellungen auch für ISA Server 2006 verwenden.

Einstellungen am IIS

Die erste Änderung ist am IIS (Internet Information Server) vorzunehmen. Sie müssen dort für das virtuelle RPC-Verzeichnis die integrierte Authentifizierung aktivieren. Standard-Authentifizierung und anonymen Zugriff müssen Sie deaktivieren.

Einstellungen in ISA Server 2006

ISA Server 2006 enthält eine Reihe von Verbesserungen im Bereich der Server- und Webserververöffentlichungen, sowie eine Reihe neuer und erweiterter Authentifizierungsverfahren. Dieser Artikel zeigt alle notwendigen Schritte zur Einrichtung einer Exchange Web Client-Veröffentlichung.

Starten Sie die ISA Server 2006-Verwaltungskonsole und erstellen Sie eine Exchange Web Client-Veröffentlichung.

Geben Sie der Veröffentlichungsregel einen aussagekräftigen Namen

Die zu veröffentlichende Exchange Version ist 2003. Aktivieren Sie das Kontrollkästchen "Outlook RPC/HTTP(s). Alle anderen Kontrollkästchen müssen deaktiviert werden..

Veröffentlichen Sie eine einzelne Webseite.

Verwenden Sie SSL zur Kommunikation zwischen ISA Server und Webserver (Exchange Server).

Geben Sie den FQDN (Fully Qualified Domain Name) oder NetBIOS Namen des Exchange Servers an.

Der öffentliche Name für diesen Artikel ist "it-training-grote.isa-geek.com". Tragen Sie hier den Namen ein, wie der Exchange Server aus dem Internet erreicht werden kann.

Erstellen Sie jetzt einen neuen Weblistener. Vergeben Sie einen aussagekräftigen Namen.

Die Kommunikation zwischen ISA Server und Outlook Clients wird mit SSL verschlüsselt.

Wählen Sie den Weblistener aus, welche auf Anfragen aus dem Internet am ISA Server abhört. Das Netzwerk ist in der Regel EXTERN. Haben Sie mehrere IP-Adressen an der externen Netzwerkkarte von ISA Server 2006 konfiguriert, klicken Sie auf "Select IP Addresses" um eine IP-Adresse für den Listener festzulegen.

Da SSL Verschlüsselung verwendet wird ist ein Zertifikat erforderlich, dessen CN (Common Name) identisch mit dem Hostnamen sein muss, welchen Outlook Clients verwenden um aus dem Internet auf den ISA Server zuzugreifen. Dieser Umstand ist eine häufige Ursache für Konfigurationsfehler, so dass Sie dem Konfigurationspunkt besondere Aufmerksamkeit widmen sollten. Weitere Informationen erhalten Sie hier.

Klicken Sie auf "Select Certificate" und wählen das vorher importierte oder von einer CA angeforderte Zertifikat aus.

Als Authentifizierungseinstellungen verwenden Sie "HTTP Authentication" und aktivieren das Kontrollkästchen "Basic" und stellen sicher das der Radiobutton "Windows (Active Directory) ausgewählt ist.

Bei der Delegation der Authentifizierung wählen Sie "No Delegation, but client may authenticate directly" aus. Damit wird die NTLM Authentifizierungsanfrage direkt an den Authentifizierungsserver gesendet.

ISA Server 2006 wählt automatisch "Alle Authentifizierten Benutzer" für die Regel aus. Sie können diese Einstellung aktiviert lassen.

Feintuning

Nach erfolgter Erstellung der Exchange Client-Veröffentlichungsregel müssen Sie noch etwas Feintuning betreiben. Editieren Sie die Einstellungen des Listeners am ISA Server 2006 und navigieren zu der der Registerkarte "Authentication" und klicken dort auf "Advanced".

Da Basic Authentication am ISA verwendet wird, geben Sie in dem Textfeld "Domain name" den im internen LAN verwendeten Active Directory Domänennamen an.

Editieren Sie jetzt die vom Assistenten erstelle Regel "RPCoverHTTPS", navigieren zur Registerkarte "Traffic" und aktivieren das Kontrollkästchen "Require 128-bit encryption for HTTPS traffic".

Konfiguration von Outlook

Die Konfiguration von Outlook 2003 zur Verwendung von RPC over HTTPS unterscheidet sich nur in einer Einstellung von einer normalen RPC over HTTPS Veröffentlichung mit Standardauthentifizierung.
Editieren Sie das zutreffende Outlook Profil auf dem Client PC und klicken Sie auf die Schaltfläche "Exchange Proxyeinstellungen".

Ändern Sie dort die Proxyauthentifizierungseinstellung auf "NTLM-Authentifizierung".

Wenn Sie jetzt eine Outlook-Verbindung mit dem konfigurierten Outlook-Profil starten, wird eine Outlook-Verbindung über HTTPS hergestellt ohne das der Benutzer zur Eingabe von Namen und Kennwort aufgefordert wird.
Zur Anzeige des "Exchange Server-Verbindungsstatus" klicken Sie mit gedrückter STRG-Taste auf das Outlook Symbol in der Taskleiste und wählen aus dem Kontextmenü "Verbindungsstatus" aus. Sie können Outlook auch mit der Option /RPCDIAG starten.

Stand: Sonntag, 06. August 2006/MG. - http://www.it-training-grote.de