Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einrichtung Exchange 2003 OWA mit Zertifikat ohne ISA Server

Anleitung Microsoft Exchange Server

Mitglied: jadefalke

jadefalke (Level 1) - Jetzt verbinden

08.06.2009, aktualisiert 15:14 Uhr, 35929 Aufrufe, 5 Danke

Diese Anleitung soll helfen mit wenig Resourcen, die OWA Funktion des MS Exchanges 2003 über ein selbsterstelltes Zertifikat mit HTTPS zu nutzen ohne ein ISA Server einsetzen zu müssen. Zur Sicherheit wird lediglich der IIS benötigt.
Nach langem Suchen und nicht das passende Finden habe ich mich dazu durchgerungen für mich selber ein HowTo zu schreiben. Ich habe hier im Forum zwar eine Anleitung gefunden, jedoch führt diese gänzlich andere Schritte aus.

Inhaltsverzeichnis:
1. Einrichtung eines Zertifikats mit SelfSSL
2. Einrichtung Standardwebseiten im IIS
a. Standardwebseite - Eigenschaften
b. Weiter IIS Webseiten unter Standardwebseite
3. Einrichtung Firewall
4. Veröffentlichung OWA Hostname
5. Aktivierung OWA im Exchange - Exchange Features


Diese Anleitung soll dazu helfen die OWA Seite eines Exchange Servers zu veröffentlichen mittels Zertifikat und HTTPS.

Wir gehen davon aus dass OWA mit Exchange Server 2003 installiert wurde, dass der IIS installiert ist und die OWA Seite im internen Netzwerk aufrufbar ist. zB: http://servername/exchange

Siehe auch: http://www.msxfaq.de/clients/owa2003.htm

*1. Einrichtung eines Zertifikats mit SelfSSL*

Die Veröffentlichung de OWA Seite kann über HTTP sowie auch über HTTPS erfolgen. Es wird hier nur die Veröffentlichung über HTTPS vorgestellt, da man hierfür einen nur geringfügigen Mehraufwand hat.
Für die Veröffentlichung über HTTPS wird ein Zertifikat benötigt. Das Zertifikat kann vom Server selber erstellt werden, wenn eine Zertifizierungsstelle installiert und eingerichtet ist, oder man benutzt ein externes Tool zB. SelfSLL um ein „unsicheres“ Zertifikat zu erstellen.
Das Tool SelfSSL ist im ISS 6 Resource Kit von Microsoft zu finden.
Siehe auch: http://www.msexchangefaq.de/howto/iisssl.htm

Erstellen eines Zertifikates:
- Das Zertifikat wird mit SelfSSL erstellt
- SelfSSL aufrufen
- Parameter wie im Bild dargestellt eingeben

521e807bd4c0b106310706f90d7e4de3-1 - Klicke auf das Bild, um es zu vergrößern

Legende:
- /N:CN= hier wird der Zertifikatsname angegeben zB: www.mydomain.com
- /K: Schlüssellänge
- /V: Gültigkeitsdauer
- /S: Seite für welche das Zertifikat Gültigkeit hat
- /P: SSL Port Zuordnung

Nun ist das Zertifikat installiert.
Zur Überprüfung wird das MMC SnapIn „Zertifikate“ – „Eigene Zertifikate“ aufgerufen. Hier sollte das soeben ausgestellte Zertifikat zu sehen sein. Als Nächstes wird das Zertifikat aus „eigene Zertifikate“ in „Vertrauenswürdige Zertifikate“/ „Eigene Zertifikate“ kopiert.
Nun ist unser Zertifikat aktiv
Um zu überprüfen ob das Zertifikat auch für die gewünschte Seite eingerichtet wurde ( in unserem Fall für die Standardwebseite) geht man wie folgt vor:
- Start / Ausführen/ inetmgr aufrufen
- Rechtsklick auf Standardwebseite/ Eigenschaften
- Wie in Bild dargestellt auf „Zertifikat anzeigen“ klicken und das Zertifikat kontrollieren

5501f83e7d3f764ec18af278ca82b31a-2 - Klicke auf das Bild, um es zu vergrößern

*2. Einrichtung Standardwebseite im IIS*

*a. Einstellungen Standardwebseite*
Nun geht es darum die Standardwebseite auch sicher zu machen.
Wir benötigen ja nur Zugriff auf OWA und nicht auf alle anderen Webseiten die im IIS eingerichtet sind.

Hierzu geht man wie folgt vor:
Rechtsklick auf Standardwebseite / Eigenschaften und wie im Bild gezeigt Einstellungen überprüfen:

9fa5ceb82e52c17ae028eeb618684abd-3 - Klicke auf das Bild, um es zu vergrößern
Auf den Button Erweitert:

461df011ea9d77eeb47bf0dc5a884e7b-4 - Klicke auf das Bild, um es zu vergrößern

Benutzt man einen SBS2003 Server auf den Benachrichtigungsoptionen eingerichtet sind, so ist darauf zu achten dass an dieser Stelle auch die Loopback Adresse 127.0.0.1 auf Port 80 für den Server eingetragen ist. Ansonsten kommt es in den Leistungs und Nutzungsberichte des Servers zu „Zugriff verweigert“ Fehlermeldungen und die Berichte werden nicht mehr erzeugt.

Weiter auf den Reiter ISAPI-Filter:
1c939c7b6b2231fae3c3b9076c0be9a0-5 - Klicke auf das Bild, um es zu vergrößern

Weiter auf den Reiter Basisverzeichnis
633b56d54817eec442bd57338addb009-6 - Klicke auf das Bild, um es zu vergrößern

Weiter auf den Reiter Verzeichnissicherheit / Authentifizierungsmethoden
a5e4ab0d5965805435f06bbd9eb03884-7 - Klicke auf das Bild, um es zu vergrößern

Weiter auf Button Einschränkungen für IP-Adressen und Domänennamen
a1c650308476c7d6464e4ad32657a719-8 - Klicke auf das Bild, um es zu vergrößern

* b. Einrichtung weitere Webseiten unter Standardwebseiten im IIS*
Überprüfung IIS Webseiten
Nun gilt es die jeweiligen benötigten Webseiten auf Sicherheit zu überprüfen.
Webseite: ExAdmin – Einstellungen wie folgt übernehmen

b0ce291d0206cb84e9c6a253cc386294-9a - Klicke auf das Bild, um es zu vergrößern
e7f59bcfef014586637f07294cac04d8-9b - Klicke auf das Bild, um es zu vergrößern
a7af2170220db9a5cd656b49b9b10203-9c - Klicke auf das Bild, um es zu vergrößern

Webseite: Exchange – Einstellungen wie folgt übernehmen

17e68d9317d30092a2af4cbf63bdae99-10a - Klicke auf das Bild, um es zu vergrößern
f69c43e5aabda2422582d6fc481a8c50-10b - Klicke auf das Bild, um es zu vergrößern
4aea0f69133b14e4f4de0bc4fd95666c-10c - Klicke auf das Bild, um es zu vergrößern

Webseite: Exchange-OMA– Einstellungen wie folgt übernehmen

154b5d0e6fa930dd2df0493e565adc13-11a - Klicke auf das Bild, um es zu vergrößern
4f4e8f35d91f6784f963402f49f21a29-11b - Klicke auf das Bild, um es zu vergrößern
c307c17464ecfb9c913870e435e757a7-11c - Klicke auf das Bild, um es zu vergrößern

Webseite: ExchWeb – Einstellungen wie folgt übernehmen

59d342dad53fb015948150b4f11ad2b7-12 - Klicke auf das Bild, um es zu vergrößern
72f93fdc761da6f1c8d77a4dacb2b000-12b - Klicke auf das Bild, um es zu vergrößern
c45f3fa70ae7f294a5a46e230cdcbb1d-12c - Klicke auf das Bild, um es zu vergrößern

Webseite: Public – Einstellungen wie folgt übernehmen

8112f81faaf057523f4ee85b3d96c99d-13 - Klicke auf das Bild, um es zu vergrößern
a29de915490567191cf184fdd9f6c8c8-13b - Klicke auf das Bild, um es zu vergrößern
c96b6b396d869872933b50d30b376f7e-13c - Klicke auf das Bild, um es zu vergrößern

Die Einstellungen für unsere OWA Seite seitens IIS sind nun abgeschlossen.

*3. Einrichtung Firewall*
Um die OWA Seite zu veröffentlichen muss nun die Firewall konfiguriert werden.
Da Firewalls sehr unterschiedlich in ihrer Bedienoberfläche sind, werde ich die verwendeten Begriffe hier erläutern so dass die Einstellungen auch auf andere Firewalls übertragen werden könen.

Es wird ein Netzobjekt angelegt mit Statischen NAT Eintrag der auf die IP Adresse des ext NIC verweist.
(In unserem Fall, befindet sich noch ein Router vor der Firewall somit zeigt die IP Adresse auf ext. NIC Transfernetz. In diesem Fall wurde auf dem Router noch der Port 443 geöffnet)

4a55396b7bbd892b2f1254224ea09059-14 - Klicke auf das Bild, um es zu vergrößern

Legende:
- Netzobjekt = Für dieses Objekt können Regeln erstellt werden, die Den Zugriff steuern.
- ext NIC = ist die externe Netzwerkkarte an der Firewall. Ist die Firewall gleichzeitig auch ein Router, so wird der ext. NIC in den meisten Fällen die öffentliche IP Adresse vom Provider zugewiesen
- Transfernetz = Ist die Firewall kein Router, so gehören die interne NIC des Routers und die ext NIC der Firewall demselben Netz an. Je kleiner der Host Anteil in diesem Netzwerk ist um so weniger besteht die Gefahr dass ein Eindrinverusch auch diesem Netz stattfindet.Meist ist dieses Netzwerk gesubnettet.

Auf der Firewall wird folgende Regel eingerichtet:
0ffda7c93a7ad941bd35fe152896c988-15 - Klicke auf das Bild, um es zu vergrößern

*4. Veröffentlichung OWA Hostname*

Desweiteren muss nun die Zugriffsadresse owa.firma.de im Internet bekannt gemacht werden. In unserem Fall nutzen wir den schon existierenden Provider und richten einen neuen Hostname an, der auf die externe fest IP Adresse verweist. (oder DynDNS Namen fells keine feste IP Adresse vorhanden)

d52679e5de761d93f6020992cd68b99d-16 - Klicke auf das Bild, um es zu vergrößern

Es kann bis zu 24 Stunden dauern bis der neue Hostname auch an die Root DNS Server übermittelt wurde und die Adresse über DNS erreichbar ist.

*5. Aktivierung OWA im Exchange - Exchange Features*

Als letztes wird überprüft ob der jeweilige Benutzer, der OWA nutzen soll , das auch darf.
Hierzu wird in der Benutzerverwaltung im Aktive Directory auf den jeweiligen Benutzer geklickt und über „Eigenschaften“/„Exchange Features“ bekommt man folgendes Bild:
e7318bdecf7712e01ed7d6c894ce4f9a-17 - Klicke auf das Bild, um es zu vergrößern

Falls Outlook Web Access nicht aktiviert ist, kann man es hier aktivieren und der Benutzer sollte mit der URL https:// hostmane/exchange auf die OWA Seite verbunden werden.
An dieser Stelle kann auch getestet werden ob die vorhin konfigurierten IIS Einstellungen auch wirklich nur die OWA Seite zulassen oder ob man auch auf andere interne Seite die auf der Standardwebseite im IIS eingetragen sind, eine Verbindung aufbauen kann.
zB:
https://hostname/remote
https://hostname/companyweb
https://hotname/backup
Diese Seiten sollten nicht erreichbar sein. (Natürlich falls nicht anders gewünscht /konfiguriert)
Ähnliche Inhalte
Administrator.de Feedback
Neues SSL-Zertifikat von Letsencrypt
Information von admtechAdministrator.de Feedback1 Kommentar

Hallo Administrator User, wir benutzen ab sofort für die administrator.de Domäne ein SSL-Zertifikat von Letsencrypt. Wie immer erhalten wir ...

Windows Server
Internet Information Server (IIS 7.5) verwendet altes Zertifikat trotz korrekter Einbindung eines neuen Zertifikates
Tipp von colinardoWindows Server

Hallo Kollegen, ich hatte eben ein Problem auf einem Windows Server 2008 R2, dass ein neu eingebundenes Zertifikat im ...

MikroTik RouterOS
Mikrotik Zertifikate - Import von Private-Key wird ignoriert
Tipp von colinardoMikroTik RouterOS

Hallo Kollegen, kurzer Tipp für den Import von private Keys von Zertifikaten in der aktuellen RouterOS-Version. Als ich gestern ...

Windows Server
Exchange 2010 auf Windows Server 2016 und AD
Tipp von Herbrich19Windows Server2 Kommentare

Hallo, Ich habe jetzt seit einigen Wochen Exchange 2010 auf Windows Server 2016 am laufen. Nach rekonfiguration der Bindungen ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 5 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 7 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 21 StundenInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...