jadefalke
Goto Top

Einrichtung Exchange 2003 OWA mit Zertifikat ohne ISA Server

Diese Anleitung soll helfen mit wenig Resourcen, die OWA Funktion des MS Exchanges 2003 über ein selbsterstelltes Zertifikat mit HTTPS zu nutzen ohne ein ISA Server einsetzen zu müssen. Zur Sicherheit wird lediglich der IIS benötigt.
Nach langem Suchen und nicht das passende Finden habe ich mich dazu durchgerungen für mich selber ein HowTo zu schreiben. Ich habe hier im Forum zwar eine Anleitung gefunden, jedoch führt diese gänzlich andere Schritte aus.

Inhaltsverzeichnis:
1. Einrichtung eines Zertifikats mit SelfSSL
2. Einrichtung Standardwebseiten im IIS
a. Standardwebseite - Eigenschaften
b. Weiter IIS Webseiten unter Standardwebseite
3. Einrichtung Firewall
4. Veröffentlichung OWA Hostname
5. Aktivierung OWA im Exchange - Exchange Features


Diese Anleitung soll dazu helfen die OWA Seite eines Exchange Servers zu veröffentlichen mittels Zertifikat und HTTPS.

Wir gehen davon aus dass OWA mit Exchange Server 2003 installiert wurde, dass der IIS installiert ist und die OWA Seite im internen Netzwerk aufrufbar ist. zB: http://servername/exchange

Siehe auch: http://www.msxfaq.de/clients/owa2003.htm

*1. Einrichtung eines Zertifikats mit SelfSSL*

Die Veröffentlichung de OWA Seite kann über HTTP sowie auch über HTTPS erfolgen. Es wird hier nur die Veröffentlichung über HTTPS vorgestellt, da man hierfür einen nur geringfügigen Mehraufwand hat.
Für die Veröffentlichung über HTTPS wird ein Zertifikat benötigt. Das Zertifikat kann vom Server selber erstellt werden, wenn eine Zertifizierungsstelle installiert und eingerichtet ist, oder man benutzt ein externes Tool zB. SelfSLL um ein „unsicheres“ Zertifikat zu erstellen.
Das Tool SelfSSL ist im ISS 6 Resource Kit von Microsoft zu finden.
Siehe auch: http://www.msexchangefaq.de/howto/iisssl.htm

Erstellen eines Zertifikates:
- Das Zertifikat wird mit SelfSSL erstellt
- SelfSSL aufrufen
- Parameter wie im Bild dargestellt eingeben

521e807bd4c0b106310706f90d7e4de3-1

Legende:
- /N:CN= hier wird der Zertifikatsname angegeben zB: www.mydomain.com
- /K: Schlüssellänge
- /V: Gültigkeitsdauer
- /S: Seite für welche das Zertifikat Gültigkeit hat
- /P: SSL Port Zuordnung

Nun ist das Zertifikat installiert.
Zur Überprüfung wird das MMC SnapIn „Zertifikate“ – „Eigene Zertifikate“ aufgerufen. Hier sollte das soeben ausgestellte Zertifikat zu sehen sein. Als Nächstes wird das Zertifikat aus „eigene Zertifikate“ in „Vertrauenswürdige Zertifikate“/ „Eigene Zertifikate“ kopiert.
Nun ist unser Zertifikat aktiv
Um zu überprüfen ob das Zertifikat auch für die gewünschte Seite eingerichtet wurde ( in unserem Fall für die Standardwebseite) geht man wie folgt vor:
- Start / Ausführen/ inetmgr aufrufen
- Rechtsklick auf Standardwebseite/ Eigenschaften
- Wie in Bild dargestellt auf „Zertifikat anzeigen“ klicken und das Zertifikat kontrollieren

5501f83e7d3f764ec18af278ca82b31a-2

*2. Einrichtung Standardwebseite im IIS*

*a. Einstellungen Standardwebseite*
Nun geht es darum die Standardwebseite auch sicher zu machen.
Wir benötigen ja nur Zugriff auf OWA und nicht auf alle anderen Webseiten die im IIS eingerichtet sind.

Hierzu geht man wie folgt vor:
Rechtsklick auf Standardwebseite / Eigenschaften und wie im Bild gezeigt Einstellungen überprüfen:

9fa5ceb82e52c17ae028eeb618684abd-3
Auf den Button Erweitert:

461df011ea9d77eeb47bf0dc5a884e7b-4

Benutzt man einen SBS2003 Server auf den Benachrichtigungsoptionen eingerichtet sind, so ist darauf zu achten dass an dieser Stelle auch die Loopback Adresse 127.0.0.1 auf Port 80 für den Server eingetragen ist. Ansonsten kommt es in den Leistungs und Nutzungsberichte des Servers zu „Zugriff verweigert“ Fehlermeldungen und die Berichte werden nicht mehr erzeugt.

Weiter auf den Reiter ISAPI-Filter:
1c939c7b6b2231fae3c3b9076c0be9a0-5

Weiter auf den Reiter Basisverzeichnis
633b56d54817eec442bd57338addb009-6

Weiter auf den Reiter Verzeichnissicherheit / Authentifizierungsmethoden
a5e4ab0d5965805435f06bbd9eb03884-7

Weiter auf Button Einschränkungen für IP-Adressen und Domänennamen
a1c650308476c7d6464e4ad32657a719-8

* b. Einrichtung weitere Webseiten unter Standardwebseiten im IIS*
Überprüfung IIS Webseiten
Nun gilt es die jeweiligen benötigten Webseiten auf Sicherheit zu überprüfen.
Webseite: ExAdmin – Einstellungen wie folgt übernehmen

b0ce291d0206cb84e9c6a253cc386294-9a
e7f59bcfef014586637f07294cac04d8-9b
a7af2170220db9a5cd656b49b9b10203-9c

Webseite: Exchange – Einstellungen wie folgt übernehmen

17e68d9317d30092a2af4cbf63bdae99-10a
f69c43e5aabda2422582d6fc481a8c50-10b
4aea0f69133b14e4f4de0bc4fd95666c-10c

Webseite: Exchange-OMA– Einstellungen wie folgt übernehmen

154b5d0e6fa930dd2df0493e565adc13-11a
4f4e8f35d91f6784f963402f49f21a29-11b
c307c17464ecfb9c913870e435e757a7-11c

Webseite: ExchWeb – Einstellungen wie folgt übernehmen

59d342dad53fb015948150b4f11ad2b7-12
72f93fdc761da6f1c8d77a4dacb2b000-12b
c45f3fa70ae7f294a5a46e230cdcbb1d-12c

Webseite: Public – Einstellungen wie folgt übernehmen

8112f81faaf057523f4ee85b3d96c99d-13
a29de915490567191cf184fdd9f6c8c8-13b
c96b6b396d869872933b50d30b376f7e-13c

Die Einstellungen für unsere OWA Seite seitens IIS sind nun abgeschlossen.

*3. Einrichtung Firewall*
Um die OWA Seite zu veröffentlichen muss nun die Firewall konfiguriert werden.
Da Firewalls sehr unterschiedlich in ihrer Bedienoberfläche sind, werde ich die verwendeten Begriffe hier erläutern so dass die Einstellungen auch auf andere Firewalls übertragen werden könen.

Es wird ein Netzobjekt angelegt mit Statischen NAT Eintrag der auf die IP Adresse des ext NIC verweist.
(In unserem Fall, befindet sich noch ein Router vor der Firewall somit zeigt die IP Adresse auf ext. NIC Transfernetz. In diesem Fall wurde auf dem Router noch der Port 443 geöffnet)

4a55396b7bbd892b2f1254224ea09059-14

Legende:
- Netzobjekt = Für dieses Objekt können Regeln erstellt werden, die Den Zugriff steuern.
- ext NIC = ist die externe Netzwerkkarte an der Firewall. Ist die Firewall gleichzeitig auch ein Router, so wird der ext. NIC in den meisten Fällen die öffentliche IP Adresse vom Provider zugewiesen
- Transfernetz = Ist die Firewall kein Router, so gehören die interne NIC des Routers und die ext NIC der Firewall demselben Netz an. Je kleiner der Host Anteil in diesem Netzwerk ist um so weniger besteht die Gefahr dass ein Eindrinverusch auch diesem Netz stattfindet.Meist ist dieses Netzwerk gesubnettet.

Auf der Firewall wird folgende Regel eingerichtet:
0ffda7c93a7ad941bd35fe152896c988-15

*4. Veröffentlichung OWA Hostname*

Desweiteren muss nun die Zugriffsadresse owa.firma.de im Internet bekannt gemacht werden. In unserem Fall nutzen wir den schon existierenden Provider und richten einen neuen Hostname an, der auf die externe fest IP Adresse verweist. (oder DynDNS Namen fells keine feste IP Adresse vorhanden)

d52679e5de761d93f6020992cd68b99d-16

Es kann bis zu 24 Stunden dauern bis der neue Hostname auch an die Root DNS Server übermittelt wurde und die Adresse über DNS erreichbar ist.

*5. Aktivierung OWA im Exchange - Exchange Features*

Als letztes wird überprüft ob der jeweilige Benutzer, der OWA nutzen soll , das auch darf.
Hierzu wird in der Benutzerverwaltung im Aktive Directory auf den jeweiligen Benutzer geklickt und über „Eigenschaften“/„Exchange Features“ bekommt man folgendes Bild:
e7318bdecf7712e01ed7d6c894ce4f9a-17

Falls Outlook Web Access nicht aktiviert ist, kann man es hier aktivieren und der Benutzer sollte mit der URL https:// hostmane/exchange auf die OWA Seite verbunden werden.
An dieser Stelle kann auch getestet werden ob die vorhin konfigurierten IIS Einstellungen auch wirklich nur die OWA Seite zulassen oder ob man auch auf andere interne Seite die auf der Standardwebseite im IIS eingetragen sind, eine Verbindung aufbauen kann.
zB:
https://hostname/remote
https://hostname/companyweb
https://hotname/backup
Diese Seiten sollten nicht erreichbar sein. (Natürlich falls nicht anders gewünscht /konfiguriert)

Content-ID: 117712

Url: https://administrator.de/tutorial/einrichtung-exchange-2003-owa-mit-zertifikat-ohne-isa-server-117712.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr