basierten Geräten mit Microsoft Exchange Server 2007
Contents
1. Response received OK l l l HTTP request with EB 23 min heartbeat interval of 8 minutes T in der Abbildung zeigt den Verlauf des Taktintervalls Die Kommunikation wird in den folgenden Schritten beschrieben Die Zahlen entsprechen den Zahlen in der Abbildung 1 Der Client wird aktiv und sendet ber das Internet eine HTTP Anforderung an den Exchange Server Anschlie end wechselt er in den Ruhezustand Damit die Sitzung aktiv bleibt gibt die Anforderung das Taktintervall an Das ist die Zeitspanne die der Server auf PIM nderungen oder auf den Eingang neuer E Mail Nachrichten warten soll bevor er die OK Antwort an den Client sendet In der Abbildung betr gt das Taktintervall 15 Minuten 2 Da w hrend des Taktintervalls keine E Mail Nachricht eingegangen ist gibt der Server eine HTTP 200 OK Antwort zur ck In diesem Beispiel ist die Antwort verloren gegangen weil das Betreibernetzwerk oder das Unternehmensnetzwerk die dauerhafte HTTP Verbindung nicht aufrechterhalten konnte Der Client erh lt die Antwort somit nicht 3 Der Client wird am Ende des Taktintervalls plus 1 Minute 15 1 16 Minuten insgesamt aktiv 25 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 e Hinweis Das Ger t wartet wiederholte Roundtrips ab bevor es das Taktintervall anpasst Mit einer Abstimmungskomponente im Algorithmus kann die angegebene Zeitabstufung ge ndert werde2. Wechseln Sie in das Verzeichnis und zu der Datei oder geben Sie den Pfad ein die das Serverzertifikat certnew txt auf dem Desktop enth lt und klicken Sie dann auf Weiter W hlen Sie den SSL Port aus den Sie verwenden m chten Es wird empfohlen den SSL Standardport Port 443 zu verwenden Klicken Sie im Dialogfeld Zertifikatzusammenfassung auf Weiter und klicken Sie dann auf Fertig stellen berpr fen der Installation Zeigen Sie das Serverzertifikat an um die Installation zu berpr fen So zeigen Sie das Serverzertifikat an T Klicken Sie im Dialogfeld Eigenschaften von Standardwebsite auf Verzeichnissicherheit Klicken Sie unter Sichere Kommunikation auf Zertifikat anzeigen Die folgende Abbildung zeigt das Dialogfeld Zertifikat 40 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Certificate DL N General Details Certification Path Certificate Information This certificate is intended for the following purpose s Ensures the identity of a remote computer Issued to mail mycompany com Issued by My Company Corp 1 Valid from 10 3 2006 to 9 29 2007 pP You have a private key that corresponds to this certificate C 2 Unten im Dialogfeld Zertifikat gibt eine Meldung gegebenenfalls an dass ein privater Schl ssel installiert ist Klicken Sie auf OK um das Dialogfeld Zertifikat zu schlie en Hinweis Wenn das Zertifikat nicht zeigt
3. ISA Server 2006 bietet ein bessere Steuerung cookiebasierter Sitzungen und verbessert dadurch die Sicherheit und SSO f r webbasierte Clients wie OWA ISA Server 2006 vereinfacht die Zertifikatverwaltung Pro Weblistener k nnen mehrere Zertifikate genutzt und pro Arraymitglied k nnen verschiedene Zertifikate verwendet werden Weitere Informationen zum Konfigurieren von ISA Server 2006 f r Exchange 2007 finden Sie unter Konfigurieren von ISA Server 2006 f r Exchange Clientzugriff m glicherweise in englischer Sprache 22 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Grundlegendes zu Direct Push Bei der Direct Push Technologie wird Exchange ActiveSync verwendet um Daten auf einem Windows Mobile basierten Ger t mit Daten auf einem Microsoft Exchange Server zu synchronisieren SMS ist f r die Benachrichtigung nicht mehr erforderlich Direct Push Technologie Die Direct Push Technologie besteht aus zwei Teilen ein Teil befindet sich auf dem Ger t Client und der andere Teil auf einem Exchange Server 2007 Mailserver In der folgenden Liste werden diese beiden Teile der Technologie beschrieben e Windows Mobile 6 basierte Ger te Mit der ActiveSync Technologie auf dem Ger t wird die Direct Push Kommunikation mit dem Exchange Server verwaltet ActiveSync stellt f r einen angegebenen Zeitraum eine HTTP oder HTTPS Verbindung mit dem Server her und wechselt dann in den Ruhezustand
4. SrIk1FFIIKTDWAAAAAAAAAAMAOGCSqGSIb3DQEBBQUAAAGBAATTzZjg2ykZoFUYt1 EgK106jRsLxJcogj0oEg575eAlUgbN 1e2i L2RWju7cgo9W7uwwpBlaEqd6LJ6s1BR pZz0OyeJTDzGIXByG506kouk OH WHCj2yI30zik8aSsyCQ3rQbNVHoURDMWqVvI9Rp 1BDC1SNAQLEZDgZjKPrsGZAVLb Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf DER codiert und klicken Sie dann auf Download des Zertifikats Klicken Sie im Dialogfeld Dateidownload auf Datei auf Datentr ger speichern und klicken Sie dann auf OK bernehmen Sie die Standardeinstellung um die Datei auf dem Desktop zu speichern und klicken Sie dann auf Speichern Schlie en Sie Internet Explorer An dieser Stelle ist auf Ihrem Desktop ein Serverzertifikat vorhanden das in den Zertifikatsspeicher von Exchange Server importiert werden kann Als N chstes m ssen Sie das Zertifikat installieren 39 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 So installieren Sie das Serverzertifikat 1 2 Starten Sie Internetinformationsdienste Manager und erweitern Sie lt Dom nenname gt Klicken Sie mit der rechten Maustaste auf Standardwebsite und klicken Sie dann auf Eigenschaften Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Verzeichnissicherheit Klicken Sie unter Sichere Kommunikation auf Serverzertifikat Klicken Sie im Dialogfeld IIS Zertifikat Assistent auf Weiter Aktivieren Sie Ausstehende Anforderung verarbeiten und Zertifikat installieren Klicken Sie auf Weiter
5. chten m glicherweise Dom nenressourcen au erhalb des vertrauensw rdigen LANs vermeiden Das k nnte bei einigen Topologien ein Sicherheitsrisiko darstellen Keine speziellen Firewallports oder IPSec Tunnels sind erforderlich KCD funktioniert reibungsloser Als zweite Option wird die Bereitstellung der Mobile Messaging L sung mit der Firewall eines Drittanbieters vorgestellt Die folgenden Bedingungen sollten erf llt sein damit eine effiziente und sichere Architektur erstellt werden kann e Verwenden Sie SSL zum Verschl sseln des Datenverkehrs zwischen dem mobilen Ger t und Exchange Server 2007 e ffnen Sie den eingehenden Port 443 in jeder Firewall zwischen dem mobilen Ger t und Exchange Server e Legen Sie das Zeitlimit f r Leerlaufsitzungen f r alle Firewalls und Netzwerkger te im Pfad zwischen dem mobilen Ger t und Exchange Server auf 30 Minuten fest um die Bandbreite f r die Direct Push Technologie zu optimieren 17 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Hinweis Anweisungen zum ffnen des eingehenden Ports 443 und zur Einstellung des Zeitlimits f r Leerlaufsitzungen finden Sie in der Dokumentation des Herstellers der Firewall Weitere Informationen und Richtlinien zu Direct Push finden Sie unter Grundlegendes zu Direct Push Active Directory LDAP Windows Mobile 6 Powered Activa HTTPS Third Party Firewall s Exchange Server 2007 Clie
6. hrte Methoden f r die Bereitstellung von Mobile Messaging und Grundlegendes zu Direct Push So berpr fen Sie das Zeitlimit f r Leerlaufsitzungen der Firewall 1 Klicken Sie in der Konsolenstruktur der ISA Server Verwaltung auf Firewallrichtlinie 2 Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte 3 Erweitern Sie in der Ordnerliste den Knoten Weblisteners und zeigen Sie die Eigenschafen des entsprechenden Weblisteners an 4 Klicken Sie auf die Registerkarte Verbindungen und klicken Sie dann auf die Schaltfl che Erweitert Stellen Sie sicher dass das Verbindungszeitlimit auf 1800 Sekunden 30 Minuten festgelegt ist ndern Sie die Einstellung gegebenenfalls 6 Klicken Sie zweimal auf OK um eventuelle nderungen zu bernehmen 7 Klicken Sie auf bernehmen damit die nderungen wirksam werden 66 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Testen der Exchange Ver ffentlichungsregel In diesem Abschnitt testen Sie die neue Exchange Ver ffentlichungsregel die Sie gerade erstellt haben Testen von Exchange ActiveSync Konfigurieren Sie ein mobiles Ger t so dass es mit Microsoft Exchange ActiveSync eine Verbindung mit Ihrem Exchange Server herstellt Stellen Sie dann fest ob ISA Server und Exchange ActiveSync ordnungsgem funktionieren Wenn Sie das mobile Ger t konfigurieren werden Sie dazu aufgefordert einen Servernamen einzugeben Geben Sie d
7. mit einem Computer mit ISA Server herstellen m ssen sowie im Speicher des lokalen Computers mit ISA Server installiert werden F hren Sie die folgenden Verfahren auf jedem Server aus auf dem IIS installiert ist Verwenden Sie diese Verfahren um ein Zertifikat auf den Computer mit ISA Server zu importieren 52 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 In diesem Abschnitt wird Folgendes beschrieben e Anfordern und Installieren eines Serverzertifikats von einer ffentlichen Zertifizierungsstelle e Exportieren des Serverzertifikats in eine Datei e Importieren des Serverzertifikats auf dem Computer mit ISA Server Hinweis Eine Liste ffentlicher Zertifikatanbieter finden Sie unter Schritt 6 Zertifikatregistrierung und Ger teprovisioning Anfordern und Installieren eines Serverzertifikats von einer ffentlichen Zertifizierungsstelle F hren Sie die folgenden Schritte aus um ein Serverzertifikat anzufordern und auf einem Computer mit IIS zu installieren So fordern Sie ein Serverzertifikat von einer ffentlichen Zertifizierungsstelle an und installieren das Zertifikat 1 Erstellen Sie in IIS eine neue Website die auf ein neues leeres Verzeichnis verweist 2 Erweitern Sie im IIS Manager den lokalen Computer klicken Sie mit der rechten Maustaste auf den Ordner Websites klicken Sie auf Neu und klicken Sie dann auf Website um den Assistenten zum Erstellen einer Website z
8. r Schritt Anleitungen finden Sie auf der Windows Mobile Website unter http go microsoft com fwlink LinkId 37728 m glicherweise in englischer Sprache Wenn die Benutzer sich f r die Alternative mit Desktop ActiveSync entscheiden raten Sie Ihnen sicherzustellen dass sie ihre mobilen Ger te direkt mit dem Exchange Server synchronisieren Die Direct Push Technologie und Sicherheitsrichtlinien sind nur wirkungsvoll wenn die Ger te direkt mit dem Exchange Server synchronisiert werden Das Synchronisieren der mobilen Ger te mit dem Desktopcomputer ist nicht empfehlenswert Herstellen einer Verbindung mit einem Exchange Server mobil oder ber ein Funknetzwerk Die Benutzer der mobilen Ger te k nnen Ihre Daten mithilfe von ActiveSync auf einem Windows Mobile 6 basierten Ger t direkt mit ihrem Exchange Server synchronisieren Beim ersten Starten von ActiveSync auf ihren mobilen Ger ten werden zwei Optionen angezeigt das Synchronisieren der Daten mithilfe des Desktopcomputers und das direkte Synchronisieren der Daten Wenn die Benutzer die Adresse ihres Exchange Servers ihren Exchange Benutzernamen das Kennwort und die Dom ne kennen erhalten sie vom ActiveSync Assistenten die entsprechenden Anleitungen 87 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 So verbinden Sie ein Windows Mobile 6 basiertes Ger t mit einem Exchange Server 1 W hlen Sie auf der Startseite Start w hlen
9. 12 PKCS 12 Dateien die pers nliche Zertifikate mit privaten Schl sseln enthalten und Zertifikate die in den Zwischen und Stammzertifikatspeichern installiert werden e CER Base64 codierte oder DER codierte X 509 Zertifikate die in den Zwischen und Stammzertifikatspeichern installiert werden e _P7B Public Key Cryptography Standards 7 PKCS 7 Dateien mit denen mehrere Zertifikate in beliebige Zertifikatspeicher des Ger ts installiert werden Es gibt folgende M glichkeiten die Dateien auf das Ger t zu bertragen Desktop ActiveSync austauschbare Speicherkarten E Mail Anlagen oder Mobile Internet Explorer Dateidownload Windows Mobile 6 Professional basierte Ger te erm glichen auch einen Download aus einer Dateifreigabe Beim ffnen der Datei im Datei Explorer wird die Datei vom Zertifikatinstallationsprogramm automatisch verarbeitet und installiert Hinweis Benutzer mit den Berechtigungen der Rolle Benutzer k nnen ein Zertifikat auf einem Windows Mobile 6 basierten Ger t installieren indem Sie die CAB oder CER Datei auf das Ger t kopieren und ausf hren Zur Registrierung eines Zertifikats ber eine Zertifizierungsstelle sollten die Benutzer der Ger te jedoch Desktop ActiveSync verwenden Verwenden der Desktop Registrierung Desktop ActiveSync erm glicht Benutzern von Windows Mobile basierten Ger ten mit einem Cradle die Zertifikatregistrierung ber den Unternehmensserver auszuf hren Die Benutzer st
10. Aktualisieren Ihrer Software mit den neuesten Sicherheitspatches finden Sie auf der Website Exchange Server Security Center http go microsoft com fwlink Linkld 62646 m glicherweise in englischer Sprache Weitere Informationen zu Microsoft Sicherheitsthemen finden Sie auf der Website Microsoft Security http go microsoft com fwlink Linkld 62649 m glicherweise in englischer Sprache 33 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 3 Sch tzen der Kommunikation zwischen Exchange Server 2007 und Windows Mobile 6 basierten Ger ten F hren Sie diese Schritte aus um die Kommunikation zwischen dem Exchange Clientzugriffsserver und Windows Mobile 6 basierten Ger ten besser zu sch tzen e Bereitstellen von SSL zum Verschl sseln des Messagingverkehrs e Aktivieren von SSL f r die Standardwebsite e Konfigurieren der Standardauthentifizierung f r das virtuelle Verzeichnis von Exchange ActiveSync e Sch tzen von IIS durch eine Verringerung potenzieller Angriffsfl chen Weitere Informationen zur Authentifizierung und Zertifizierung finden Sie im Abschnitt Bew hrte Methoden f r die Bereitstellung von Mobile Messaging in diesem Leitfaden Bereitstellen von SSL zum Verschl sseln des Messagingverkehrs Verschl sseln Sie zum Schutz der ein und ausgehenden E Mail Nachrichten den Nachrichtenverkehr mit SSL Sie k nnen SSL Sicherheitsfeatures auf einem Exchange Server k
11. If you see the certificate type you want to use to obtain a certificate select it and click Enroll You can use the view box to filter the list of certificate types Certificate Types View Eertificate types From device Certificate types from device Certificate types from Active Director No certificate types Found Klicken Sie in Get Device Certificate Ger tezertifikat abrufen auf Yes Ja um fortzufahren 4 Damit die Zertifikatanforderung auf dem Windows Mobile 6 basierten Ger t genehmigt werden kann wird ein Ger tebildschirm angezeigt in dem Sie die Installation best tigen m ssen Klicken Sie auf dem Ger t auf Continue Weiter 5 M glicherweise werden Sie auf dem Ger t ein zweites Mal gefragt ob das Zertifikat installiert oder die Anforderung blockiert werden soll W hlen Sie Install Installieren 6 Der Desktopcomputer verarbeitet die Registrierung W hrenddessen wird vom Ger t ein Schl sselpaar privater ffentlicher Schl ssel generiert und die Registrierung ber den Desktopcomputer an den Windows Zertifikatserver weitergeleitet 7 Die Zertifizierungsstelle sendet ein signiertes Zertifikat an den Desktop zur ck der dann das Zertifikat an das Ger t weiterleitet 8 Das Ger t speichert das Zertifikat und dessen Zertifikatkette im Stammzertifizierungsstellenspeicher Wenn sich das Stammzertifikat noch nicht im Stammzertifikatspeicher des Ger ts befindet werden Sie gefragt ob Sie das Zertifik
12. Konfigurieren der Sicherheitseinstellungen f r mobile Ger te mit Postfachrichtlinien Anwenden einer Postfachrichtlinie auf einen Benutzer Ausf hren einer Remoteger tzur cksetzung Deaktivieren von Exchange ActiveSync nnsseeuesensnnnnnnennnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnunnnnnnsnnsnnnnnnnnnnnnn SCHRITT 6 ZERTIFIKATREGISTRIERUNG UND GER TEPROVISIONING nunsennsssssnnnnnnnnnnnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnunnnsnnnnnnnnnnnn Zertifikate auf Windows Mobile basierten Ger ten uunsesesessssnnnnnenunnnnnnnnnnnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Standardauthentifizierungia n esensenre ne e ena e a e a aeiia ai eae aie aiae Zertifikatbasierte Authentifizierung 22222222sssennnnnnnnnnnennnnnennnnnnnnnnnn Verwalten von Ger tezertifikaten ceeeeeeesnnansnennennsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnunnnnnnnnnnsnnnnnnnnnnnnnsnnnnnnnnsnsnnnnnn Windows Mobile Sicherheitsrichtlinien und Ger teprovisioning SCHRITT 7 VERWALTEN UND KONFIGURIEREN VON WINDOWS MOBILE 6 BASIERTEN GER TEN nuaaasnenensnsnnnnnnnunensnnnnnnnnnnn 87 Einrichten einer Verbindung zwischen mobilen Ger ten und dem Exchange Server unsseeeeessnnnnneeennennnnn 87 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Bereitstellen von Mobile Messaging Dieser Leitfaden wur
13. Minimale Kennwortl nge Beschreibung Verwenden Sie diese Option wenn die Benutzer Kennw rter aus Zahlen und Buchstaben verwenden sollen Diese Option ist nicht standardm ig aktiviert Der Administrator kann mithilfe der Exchange Verwaltungskonsole ein Wiederherstellungskennwort abrufen Verlangt f r Smartcards eine Verschl sselung auf dem Ger t Aktiviert oder deaktiviert die M glichkeit ein einfaches Kennwort wie 1234 zu verwenden Gibt die minimale Kennwortl nge an Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Sicherheitsoption Beschreibung Zeitraum ohne Benutzereingabe bis das Kennwort Gibt an ob sich der Benutzer nach Ablauf der erneut eingegeben werden muss angegebenen Minuten w hrend denen das Ger t nicht verwendet wurde anmelden muss Diese Option ist nicht standardm ig aktiviert Bei Aktivierung betr gt die Standardeinstellung 5 Minuten Kennwortablauf Der Administrator kann den Zeitraum konfigurieren nach dem ein Ger tekennwort ge ndert werden muss Das Herunterladen von Anlagen auf das Ger t Erm glicht das Herunterladen von Anlagen auf das zulassen mobile Ger t Nicht bereitstellbare Ger te zulassen L sst die Verbindung lterer Ger te mit Exchange Server 2007 ber ActiveSync zu Eine detaillierte bersicht ber die Postfachrichtlinien von Exchange Server 2007 finden Sie im Abschnitt zu den ActiveSync Postfachrichtlinien unter http
14. Netzwerkbedingungen ab und davon wie lange eine HTTP oder HTTPS Verbindung im Netzwerk des Mobilfunkbetreibers oder dem Unternehmensnetzwerk erhalten bleiben kann Au erdem kann der Mobilfunkbetreiber bestimmte Einstellungen entsprechend festgelegt haben Der Algorithmus f hrt ein Protokoll der Ping Anforderung zur Ermittlung des optimalen Taktintervalls Folgt eine Antwort auf die Ping Anforderung erh ht der Algorithmus das Intervall Ist am Ende des Intervalls keine Antwort eingegangen geht der Client von einem Netzwerktimeout aus und verringert das Intervall Anhand des Algorithmus ermittelt der Client die l ngste Zeitspanne die sich eine Verbindung in einem Funknetzwerk und der Unternehmensfirewall im Leerlauf befinden kann Die folgende Abbildung zeigt wie das Taktintervall bei einer typischen Direct Push Kommunikation zwischen dem Client und dem Exchange Server angepasst wird 24 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Cellular Network Internet i i i i rn N Exchange Server i i i i Client HTTP request with heartbeat interval of ED _ f Request received 15 minutes n aoo l l I l No PIM activity in Response not 2 T 15 min m heartbeat interval received Retums HTTP 200 OK l HTTP request with 3 u heartbeat interval of Brom BR Request Received 8 minutes i i No PIM activity in a E23 mn M heartbeat interval Returns HTTP 200
15. SharePoint Windows Windows Mobile und Windows Server sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und oder anderen L ndern Die in diesem Dokument aufgef hrten Namen bestehender Unternehmen und Produkte sind m glicherweise Marken der jeweiligen Rechteinhaber Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Inhaltsverzeichnis BEREITSTELLEN VON MOBILE MESSAGING uuuuuu0n0n0n0n0nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn 1 VOFQUSSETZUNGEN ners2ananernesenenennderaetesn rennen eearasde kei inn nat gee ee telennegee IR ertereeeae raue tnenene hessen rer een Softwareanforderungen Optionale Komponenten bersicht ber die Bereitstellungssoftware PIGNUNGSFESSOUFGEN arenero ee E rennen ersehen hen E a sender Tender Kernen en drehten ee 3 NEUE ENTERPRISE FEATURES IN WINDOWS MOBILE 6 UND EXCHANGE SERVER 2007 eceeeenenenenenennnenenenenennnnnnnennnennne nennen 4 Neue Features Windows Mobile 6 basierte Ger te 222222204002222202nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnenn 4 Neue Features Exchange Server 2007 zuassesenenssnnnnnenunnnnnnnnnnnnunnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnsnsnsnnnnnnnnnnn 6 BEW HRTE METHODEN F R DIE BEREITSTELLUNG VON MOBILE MESSAGING eneuenssenenenensnnnnnnnennnennnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn Netzwerkkonfigurati n senrenessansen aE E ae an ern
16. Sie Programs Programme w hlen Sie ActiveSync w hlen Sie Menu Men und w hlen Sie dann die Registerkarte Configure Server Server konfigurieren Wenn das mobile Ger t noch nicht mit Exchange Server synchronisiert wurde ist die Option Add Server Source Serverquelle hinzuf gen verf gbar OYit A Today 11 25 AM Office Mobile g alendar EE Contacts Internet Explorer E Messaging Phone Activesync a Programs Settings 7 Help Contacts 2 Geben Sie unter Edit Server Settings Servereinstellungen bearbeiten den Namen des Exchange Servers ein und klicken Sie dann auf Next Weiter 88 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Activesyne 6 Yil 4 Server address OORO Note This is the same as your Outlook Web Access server address V This server requires an encrypted SSL connection 3 Geben Sie Ihren Benutzernamen das Kennwort und den Dom nennamen ein und w hlen Sie dann Next Weiter Wenn das mobile Ger t Ihr Kennwort speichern soll sodass Sie es beim n chsten Herstellen einer Verbindung mit Exchange nicht erneut eingeben m ssen aktivieren Sie das Kontrollk stchen Save password Kennwort speichern 89 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 4 Aktivieren Sie die Kontrollk stchen f r die Informationselemente die Sie mit Exchange Server synchronisieren m ch
17. Stage of the Device s Lifecycle Whitepaper http go microsoft com fwlink Linkld 62635 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Neue Enterprise Features in Windows Mobile 6 und Exchange Server 2007 Dieser Abschnitt enth lt Informationen zur neuen Funktionalit t in Windows Mobile 6 und Microsoft Exchange Server 2007 Features die nicht direkt mit der Bereitstellung von Mobile Messaging zusammenh ngen werden nicht behandelt Sie finden hier jedoch Links zu den entsprechenden Themen Neue Features Windows Mobile 6 basierte Ger te Windows Mobile 6 ist die n chste Hauptversion f r Windows Mobile basierte Ger te nach Windows Mobile 5 0 Folgende Funktionen sind neu in der Windows Mobile 6 Software Erweiterte ger teeigene Verwaltungs und Sicherheitsfeatures Verbesserte Zertifikatregistrierung und Verwaltung Exchange Suche f r E Mail Dokumentzugriff auf Microsoft SharePoint und Windows Dateifreigaben HTML Unterst tzung in E Mail Erweiterte ger teeigene Verwaltung und Sicherheit Windows Mobile 6 basierte Ger te verf gen ber eine h here Interoperabilit t mit Exchange Server 2007 Die Windows Mobile 6 Softwarearchitektur bietet bessere Ger teverwaltungs und Sicherheitsfunktionen eine engere Integration in Exchange Server 2007 und weitere Produktivit tstools Unternehmen k nnen dadurch Windows Mobile L sungen noch effizienter bereitstellen verwalten und siche
18. Start auf Ausf hren Geben Sie mmc in das Feld ffnen ein und klicken Sie dann auf OK Klicken Sie im Men Datei auf Snap In hinzuf gen entfernen Klicken Sie im Dialogfeld Snap In hinzuf gen entfernen auf Hinzuf gen Die folgende Abbildung zeigt die Dialogfelder Snap In hinzuf gen entfernen und Eigenst ndiges Snap In hinzuf gen Klicken Sie in der Liste Verf gbare eigenst ndige Snap Ins auf Zertifikate und klicken Sie dann auf Hinzuf gen 44 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Add Remove Snap in 2x Standalone Extensions Use this page to add or remove a standalone Snap in from the console Snap ns added to E Console Root Sl Add Standalone Snap in 2 NET Framework 1 1 Configuration Microsoft Corporation OE Active Directory Domains and Trusts Microsoft Corporation E Active Directory Sites and Services Microsoft Corporation G Active Directory Users and Comput Microsoft Corporation 30 ActiveX Control Microsoft Corporation 73 Authorization Manager Microsoft Corporation GA Certificate Templates Microsoft Corporation ertificate Microsoft Corporation Certification Authority Microsoft Corporation 2 Component Services Microsoft Corporation Description The Certificates snap in allows you to browse the contents of the certificate stores for yourself a service or a computer 6 Klicken Sie auf Computerkonto und klicken Sie dann auf Weiter 7 Klicken
19. dass das Ger t ber den privaten Schl ssel verf gt der dem Zertifikat entspricht funktioniert keine Synchronisierung ber das Funknetzwerk Damit die Authentifizierung funktioniert m ssen Sie die Zertifizierungsstelle der Liste vertrauensw rdiger Stammzertifizierungsstellen hinzuf gen 41 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 So f gen Sie die Zertifizierungsstelle der Liste der vertrauensw rdigen Stammzertifizierungsstellen hinzu 1 Starten Sie Internet Explorer und geben Sie dann die URL f r Ihre Zertifizierungsstelle ein Wenn Sie z B das Serverzertifikat von der zuvor konfigurierten Zertifizierungsstelle erhalten haben geben Sie http lt server_name gt certsrv ein 2 Klicken Sie auf Download eines Zertifizierungsstellenzertifikats einer Zertifikatkette oder einer Zertifikatsperrliste und klicken Sie dann auf der n chsten Seite auf Download des Zertifizierungsstellenzertifikats Klicken Sie im Dialogfeld Dateidownload auf Datei auf Datentr ger speichern und klicken Sie dann auf OK 3 Geben Sie ein Serverzertifikat in das Feld Name ein z B lt certnewca cer gt und speichern Sie die Datei dann auf dem Desktop 4 Wechseln Sie zum Desktop Klicken Sie mit der rechten Maustaste auf die Datei die Sie in Schritt 3 erstellt haben und klicken Sie dann auf Zertifikat installieren Klicken Sie im Dialogfeld IIS Zertifikat Assistent auf Weiter 5 Klicken Sie a
20. dem Hinweis dass die Anmeldeinformationen mit SSL gesch tzt werden sollten auf Ja Geben Sie in das Textfeld Standarddom ne den Namen Ihrer Dom ne ein 6 Klicken Sie auf OK 7 Klicken Sie im Dialogfeld Exchange Eigenschaften auf bernehmen und klicken Sie dann auf OK 8 Schlie en Sie die Konsole Internetinformationsdienste Manager nachdem Sie die Standardauthentifizierung f r die von Ihnen ausgew hlten Verzeichnisse festgelegt haben Konfigurieren oder Aktualisieren von Update RSA SecurlD Agent Optional Richten Sie Exchange Server m glichst als Agent Host in der RSA ACE Server Datenbank ein wenn Sie RSA SecurlD als zus tzliche Sicherheitsschicht verwenden Hinweis Es gibt zeitliche Abweichungen zwischen IIS 6 0 und dem RSA ACE Agent Aktualisieren Sie den RSA ACE Agent um die Kompatibilit t mit IIS 6 0 zu erh hen Weitere Informationen finden Sie auf der Website von RSA Security 49 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Sch tzen von IIS durch eine Verringerung potenzieller Angriffsfl chen Sch tzen Sie IIS indem Sie alle Features und Dienste deaktivieren die nicht direkt ben tigt werden Lassen Sie erst dann den Zugriff auf Ihre Server ber das Internet zu e In Windows Server 2003 werden IIS Features standardm ig deaktiviert um die Sicherheit zu erh hen e In Microsoft Windows Server 2000 k nnen Sie IIS besser sch tzen indem Sie d
21. der Exchange Verwaltungskonsole 1 Erweitern Sie in der Konsolenstruktur den Knoten Organisationskonfiguration und klicken Sie dann auf Clientzugriff Exchange Management Console Ele Aktion wew Help om em FF Microsoft cana E Client Access 0 objects Ehi Organization Configuration z a Exchange ActiveSync Mailbox Policy Bier access Hub Transport sin Unified Messaging There are no tems to show in this view 8 Recipient Configuration Maibox SR Distribution Group Mail Contact A Disconnected Mailbox S Toolbox 2 Klicken Sie im Aktionsbereich auf Neue Exchange ActiveSync Postfachrichtlinie 3 Geben Sie auf der Seite Neue Exchange ActiveSync Postfachrichtlinie des Assistenten in das Feld Name der Postfachrichtlinie einen Namen ein 4 Aktivieren Sie das Kontrollk stchen Kennwort anfordern und aktivieren Sie eines oder mehrere der optionalen Kontrollk stchen 69 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 5 Klicken Sie auf Neu 6 Klicken Sie auf Fertig stellen um den Assistenten Neue Exchange ActiveSync Postfachrichtlinie zu schlie en Konfigurieren der Sicherheitseinstellungen f r mobile Ger te mit Postfachrichtlinien Sie k nnen Sicherheitsoptionen f r Benutzer mobiler Ger te angeben die eine Verbindung mit dem Exchange Server herstellen In der Exchange Verwaltungskonsole k nnen Sie Folgendes festlegen die L nge und S
22. glicherweise eine f r das Array konfigurierte virtuelle IP Adresse Weitere Informationen zum Netzwerklastenausgleich finden Sie in der Hilfe zu ISA Server Erstellen der Exchange ActiveSync Webver ffentlichungsregel Nachdem der Exchange Clientzugriffsserver und der Computer mit ISA Server ordnungsgem konfiguriert und die richtigen Serverzertifikate installiert worden sind k nnen Sie mit den Verfahren zum Bereitstellen des Exchange Clientzugriffsservers beginnen Mit dem Assistent f r neue Exchange Ver ffentlichungsregeln k nnen Sie einen sicheren Zugriff auf Ihren Exchange Front End Server erm glichen Hinweis Sie k nnen das Verfahren zum Erstellen einer ActiveSync Webver ffentlichungsregel und eines Weblisteners vereinfachen indem Sie das neue Update f r ISA Server verwenden Der Exchange Clientzugriffsserver wird mit den folgenden Verfahren bereitgestellt e Erstellen eines Weblisteners e Erstellen einer Ver ffentlichungsregel f r den Exchange Webclientzugriff Erstellen eines Weblisteners Wenn Sie eine Webver ffentlichungsregel erstellen m ssen Sie einen Weblistener angeben Die Eigenschaften des Weblisteners bestimmen Folgendes e IP Adressen und Ports in den angegebenen Netzwerken die der Computer mit ISA Server auf Webanforderungen abh rt HTTP oder HTTPS e Welche Serverzertifikate mit den IP Adressen verwendet werden e _Authentifizierungsmethode e Anzahl der gleichzeitig m glichen Verbindungen e Ein
23. r eine Mobile Messaging Umgebung besteht in der Kombination aus ISA Server 2006 und Exchange Server 2007 Lesen Sie vor der Installation von ISA Server 2006 die folgenden Artikel Dokumentation zu ISA Server 2006 Ver ffentlichen von Exchange Server 2007 mit ISA Server 2006 ISA Sm 2006 Enterprise Edition Installationshandbuch http go microsoft com fwlink LinkID 87158 amp clcid 0x409 m glicherweise in englischer Sprache ISA Server 2006 Standard Edition Installationshandbuch http go microsoft com fwlink LinkID 87159 amp clcid 0x409 m glicherweise in englischer Sprache Authentifizierung in ISA Server 2006 http go microsoft com fwlink LinkID 87068 amp clcid 0x409 m glicherweise in englischer Sprache Bew hrte Methoden f r Firewallrichtlinien in ISA Server 2006 http go microsoft com fwlink LinkID 87160 amp clcid 0x409 m glicherweise in englischer Sprache Hinweis Wenn eine Firewall eines Drittanbieters verwendet wird muss als weiterer Schritt lediglich das Zeitlimit f r Leerlaufsitzungen f r alle Firewalls und Netzwerkger te auf 1800 Sekunden 30 Minuten festgelegt werden Informationen zur entsprechenden Vorgehensweise finden Sie in der Dokumentation des Herstellers Weitere Informationen zu den bew hrten Direct Push Methoden f r die Firewall finden Sie unter Grundlegendes zu Direct Push Verfahren e Dieser Teil des Prozesses umfasst Folgendes e Installieren von ISA Server 2006 e Installieren ein
24. von Microsoft erl utert sodass die Sicherheitsanforderungen Ihrer Organisation erf llt werden k nnen Netzwerkkonfiguration Es gibt einige bew hrte Methoden f r die Netzwerkkonfiguration mit denen Sie unabh ngig von der von Ihnen implementierten Konfiguration eine leistungsf higere Mobile Messaging L sung erhalten Verteilte Serverfunktionen in Exchange 2007 Zu den nderungen in Exchange Server 2007 geh rt das Erstellen von Exchange Serverfunktionen mit denen Sie ausw hlen k nnen welche Exchange Komponenten auf den einzelnen Servern installiert werden Exchange ActiveSync ist die Exchange Komponente f r die Kommunikation mit dem mobilen Ger t F r ActiveSync wird die Exchange Serverfunktion Client Access verwendet Eine bew hrte Methode ist hierbei dass die Client Access Serverfunktion einer Dom ne angeh rt und sich am selben Active Directory Standort befindet wie die Exchange Mailbox Serverfunktion Eine weitere bew hrte Methode besteht darin den gesamten Internetverkehr ber einen Reverseproxy oder eine Firewall wie z B ISA 2006 zu leiten ISA 2006 besitzt eine integrierte Sicherheitsfunktionalit t z B SSL Bridging Benutzerauthentifizierung und Paketpr fung Corporate Network Perimeter Network Active Directory LDAP ISA Server 2006 Exchange 2007 Server Exchange 2007 Server Client Access Server Mailbox Server Role Role In diesem Netzwerkdiagramm fungiert der Clientzugr
25. Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Einf hrung In diesem Leitfaden finden Sie bew hrte Methoden und Verfahren zum Implementieren eines Mobile Messaging Systems mit Microsoft Windows Mobile 6 basierten Ger ten und Microsoft Exchange Server 2007 Aufbau des Dokuments Der Leitfaden ist in zwei Hauptabschnitte unterteilt e Der erste Abschnitt Bereitstellen von Mobile Messaging enth lt eine bersicht ber die neuen Features und die bew hrten Methoden zur Bereitstellung Alternativen und Empfehlungen zur Mobile Messaging Architektur sowie eine Einf hrung in die Direct Push Technologie e Der zweite Abschnitt Bereitstellungsverfahren f r Windows Mobile 6 und Exchange Server 2007 beschreibt die Schritte und Verfahren zum Installieren eines Mobile Messaging Systems Dazu geh rt das Einrichten von Exchange Server 2007 Erstellen einer gesch tzten Kommunikationsumgebung Konfigurieren von Microsoft Internet Security and Acceleration ISA Server 2006 oder der Firewall eines Drittanbieters sowie die Verwaltung und Konfiguration von mobilen Ger ten Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Ver ffentlichung dar Da Microsoft auf sich ndernde Marktanforderungen reagieren muss stellt dies k
26. Exchange Server 2007 CA user HKCU Enth lt Zertifikate einschlie lich derer von Zwischenzertifizierungsstellen die vom Ger tenutzer mit der Rolle Authentifizierter Benutzer installiert werden k nnen Mit diesen Stellen werden Zertifikatketten gebildet MY HKCU Enth lt Endbenutzern geh rende pers nliche Zertifikate die f r die Zertifikatauthentifizierung oder S MIME verwendet werden Zertifikatketten Eine Zertifikatkette besteht aus allen Zertifikaten die f r die Zertifizierung des Objekts ben tigt werden das mit dem Endzertifikat identifiziert wird In der Praxis geh ren dazu das Endzertifikat die Zertifikate der Zwischenzertifizierungsstellen und das Zertifikat einer Stammzertifizierungsstelle die f r alle Beteiligten der Kette als vertrauensw rdig gilt Jede Zwischenzertifizierungsstelle in der Kette besitzt ein Zertifikat das von der bergeordneten Stelle in der Vertrauenshierarchie ausgestellt wurde Die Stammzertifizierungsstelle stellt sich ein eigenes Zertifikat aus Beim Importieren des Zertifikats f r einen Client kann die Zertifikatkette in die Datei eingeschlossen werden Dadurch k nnen die mit dem Endzertifikat verbundenen Zwischenzertifikate und das Stammzertifikat vom Ger t authentifiziert werden Alle Zertifikate in der Kette werden den entsprechenden Zertifikatspeichern des Ger ts hinzugef gt um eine berpr fung der Vertrauensstellung zu erm glichen Standardauthentifizierung Exchange ActiveSyn
27. Ger tebenutzer zur Zertifikatregistrierung angeleitet haben f hren die Benutzer das folgende Verfahren aus So f hren Sie eine Zertifikatregistrierung bei einem Windows Mobile 6 basierten Ger t aus 1 Synchronisieren Sie das Windows Mobile basierte Ger t mithilfe von ActiveSync mit einem Desktopcomputer und melden Sie sich am Unternehmensnetzwerk in derselben Dom ne an in der sich der Zertifikatregistrierungsserver befindet Microsoft ActiveSync Fie view MEGS Configure Server Source Connecter Add Remove Programs Explore Smartphone Edt Fle Conversion Settings Information Type Status Get Device Certificates SP Microsoft Exchange Synchronized 23 Contacts 7 Calendar E mail A Tasks 9 windows PC Synchronized Favorites Files W hlen Sie unter Advanced Tools Erweiterte Tools die Option Get Device Certificates Ger tezertifikat abrufen W hlen Sie im Dialogfeld Get Device Certificates Ger tezertifikat abrufen in der Dropdownliste View Ansicht den Eintrag Certificate types from Active Directory Zertifikattypen aus Active Directory aus w hlen Sie das gew nschte Zertifikat in der Liste aus und klicken Sie auf Enroll Registrieren 83 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Get Device Certificates A certificate type is the information that this tool uses to get a certificate for the currently connected device
28. Namen in das Textfeld Organisation z B lt Firmenname gt und in das Textfeld Organisationseinheit ein z B lt IT Abteilung gt und klicken Sie dann auf Weiter Geben Sie im Dialogfeld Gemeinsamer Name CN der Site den vollqualifizierten Dom nennamen des Servers oder Clusters in das Feld Gemeinsamer Name ein z B webmail meinunternehmen com gt und klicken Sie dann auf Weiter Auf diesen Dom nennamen greifen die mobilen Clientger te anschlie end zu Klicken Sie im Dialogfeld Geographische Informationen auf Land Region z B US Bundesland Kanton z B lt Bundesland gt und Ort z B lt Stadt gt und klicken Sie dann auf Weiter bernehmen Sie im Dialogfeld Zertifikatanforderung Dateiname den Standardeintrag C NewKeyRaq txt wobei C das Verzeichnis ist in dem das Betriebssystem installiert ist und klicken Sie dann auf Weiter berpr fen Sie die Informationen im Dialogfeld Zusammenfassung der Anforderungsdatei und klicken Sie dann auf Weiter Die folgende Abbildung zeigt ein Beispiel f r das Dialogfeld Zusammenfassung der Anforderungsdatei 36 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 IIS Certificate Wizard E Request File Summary You have chosen to generate a request file Q II To generate the following request click Next File name di certreg tzt Your request contains the following information Issued To MyCompany Friendly Name MyCompanyServ
29. Sie auf Lokaler Computer der Computer auf dem die Konsole ausgef hrt wird und klicken Sie dann auf Fertig stellen 8 Klicken Sie auf Schlie en und klicken Sie dann auf OK 45 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Wenn die Zertifikatverwaltung installiert ist k nnen Sie das Serverzertifikat sichern So sichern Sie das Serverzertifikat 1 Suchen Sie den richtigen Zertifikatspeicher Der Speicher befindet sich in der Regel im Speicher Lokaler Computer der Zertifikatverwaltung Hinweis Wenn die Zertifikatverwaltung installiert ist wird auf den richtigen Zertifikatspeicher Lokaler Computer verwiesen Klicken Sie im Ordner Eigene Zertifikate auf das Serverzertifikat das Sie sichern m chten Zeigen Sie im Men Aktion auf Alle Aufgaben und klicken Sie dann auf Exportieren Klicken Sie im Dialogfeld Zertifikatexport Assistent auf Ja privaten Schl ssel exportieren a ED bernehmen Sie die Standardeinstellungen des Assistenten und geben Sie ein Kennwort f r die Sicherungsdatei des Serverzertifikats ein wenn Sie dazu aufgefordert werden Hinweis Aktivieren Sie nicht Privaten Schl ssel nach erfolgreichem Export l schen da diese Option das aktuelle Serverzertifikat deaktiviert 6 F hren Sie den Assistenten vollst ndig aus um eine Sicherungskopie des Serverzertifikats zu exportieren Nachdem Sie das Netzwerk zum Erstellen von Zertifikaten konfiguriert haben m
30. Tipps zum Einrichten einer Verbindung zwischen mobilen Ger ten und Exchange Server 2007 unter Verwendung von Exchange ActiveSync Einrichten einer Verbindung zwischen mobilen Ger ten und dem Exchange Server Wenn die Benutzer der mobilen Ger te einen Datennutzungsplan mit einem Mobilfunkbetreiber vereinbart haben k nnen E Mail Kontakte Kalender und Aufgaben mithilfe von Exchange ActiveSync auf ihrem Ger t ber ein Funknetzwerk synchronisiert werden Alternativ k nnen die Benutzer auch Desktop ActiveSync verwenden um ihr Windows Mobile 6 basiertes Ger t mit einem Exchange Server zu kombinieren Dazu schlie en sie das Ger t mit einem USB Kabel an einem Desktopcomputer an der mit dem Netzwerk verbunden ist Unabh ngig von der Verbindungsmethode ben tigen die Benutzer die folgenden Informationen von Ihnen bevor sie ihre Ger te mit dem Exchange Server synchronisieren k nnen e Die Adresse des externen Mailservers e _Exchange Benutzernamen Kennwort und die Dom ne die sie f r den Zugriff auf den Exchange Server ben tigen Die Benutzer k nnen mithilfe von ActiveSync auf ihren mobilen Ger ten oder Computern ausw hlen welche Art von Daten sie mit Exchange Server synchronisieren m chten z B Kontakte Kalender Aufgaben der E Mail Raten Sie den Benutzern die Datentypen zu deaktivieren die nicht auf ihren mobilen Ger ten gespeichert werden sollen Hinweis Weitere Informationen zu ActiveSync einschlie lich Schritt f
31. alle Benutzer erstellen und konfigurieren Folgen Sie dazu den Anweisungen unter Konfigurieren der Sicherheitseinstellungen f r mobile Ger te in diesem Kapitel e Auf dem Exchange Server k nnen Sie folgende Verwaltungsfunktionen ausf hren e Erstellen von Exchange ActiveSync Postfachrichtlinien e _ Konfigurieren der Sicherheitseinstellungen f r mobile Ger te mit Postfachrichtlinien e Anwenden einer Postfachrichtlinie auf einen Benutzer e Ausf hren einer Remoteger tzur cksetzung e Deaktivieren von Exchange ActiveSync Bei einer Standardinstallation von Exchange 2007 werden alle Features von Exchange ActiveSync aktiviert Sie k nnen die Einstellungen der Features ber Exchange Server mit der Exchange Verwaltungskonsole ndern und Sie k nnen Exchange ActiveSync Features f r einzelne Benutzer oder Gruppen mit Active Directory aktivieren oder deaktivieren Erstellen von Exchange ActiveSync Postfachrichtlinien Vereinfachen Sie die Verwaltung der Exchange ActiveSync Ger te indem Sie Exchange ActiveSync Postfachrichtlinien erstellen Sie k nnen diese Richtlinien f r jeden Exchange ActiveSync Benutzer anwenden und bestimmte Einstellungen f r das Ger t eines Benutzers auf einfache Weise bernehmen Eine Postfachrichtlinie enth lt eine Reihe von Einstellungen f r Microsoft Exchange ActiveSync Diese Einstellungen betreffen das Kennwort die Verschl sselung und Anlagen Wenn Sie die Client Access Serverfunktion auf einen Com
32. ames MobileAdmin OMA Pubic SHJ aspnet_chent HJ Web Service Extensior 5 Klicken Sie im Dialogfeld Willkommen auf Weiter klicken Sie auf Neues Zertifikat erstellen und klicken Sie dann auf Weiter Klicken Sie auf Anforderung jetzt vorbereiten aber sp ter senden und klicken Sie dann auf Weiter Geben Sie im Dialogfeld Name und Sicherheitseinstellungen einen Namen f r das Serverzertifikat ein z B lt Exchange_Server_Name gt bernehmen Sie Bitl nge 1024 und klicken Sie dann auf Weiter Die folgende Abbildung zeigt das Dialogfeld Name und Sicherheitseinstellungen 35 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 IIS Certificate Wizard Name and Security Settings Your new certificate must have a name and a specific bit length Type a name for the new certificate The name should be easy for you to refer to and remember Name MyCompanyServerCertl The bit length of the encryption key determines the certificate s encryption strength The greater the bit length the stronger the security However a greater bit length may decrease performance Bit length 1024 J Select cryptographic service provider CSP for this certificate lt Back Carcel Hinweis 10 11 12 Stellen Sie sicher dass Kryptografiedienstanbieter CSP f r dieses Zertifikat ausw hlen deaktiviert ist Geben Sie im Dialogfeld Information ber Ihre Organisation einen
33. ann den Namen des soeben bereitgestellten Exchange ActiveSync Servers ein Beispiel lmail contoso com owa Hinweis Sie k nnen Exchange ActiveSync auch mit dem Internet Explorer testen ffnen Sie Internet Explorer und geben Sie als Adresse folgende URL ein https published_server_name Microsoft Server Activesync wobei published_server_name der ver ffentlichte Name des Outlook Web Access Servers ist der Name mit dem ein Benutzer auf Outlook Web Access zugreift Wenn die Fehlermeldung Fehler 501 505 Nicht implementiert oder nicht unterst tzt angezeigt wird nachdem Sie sich authentifiziert haben arbeiten ISA Server und Exchange ActiveSync ordnungsgem zusammen 67 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 5 Konfigurieren und Verwalten des Zugriffs ber mobile Ger te auf den Exchange Server Mit der Installation von Microsoft Exchange Server 2007 werden Exchange ActiveSync Features f r alle mobilen Clientger te auf Organisationsebene aktiviert Wenn Ihre Sicherheitskonfiguration die vertrauensw rdigen Zertifikate akzeptiert die mit den mobilen Ger ten geliefert werden gibt es nicht mehr viel zu tun Sie m ssen die Benutzer die mit Windows Mobile 6 basierten Ger ten arbeiten dann nur noch anweisen sich mit der ActiveSync Anwendung des Ger ts anzumelden Hinweis In der Exchange Verwaltungskonsole k nnen Sie bei Bedarf eine zentrale Sicherheitsrichtlinie f r
34. at akzeptieren m chten 9 Am Ende der Registrierung wird ein Dialogfeld zum erfolgreichen Abschluss des Vorgangs angezeigt Klicken Sie in Get Device Certificate Ger tezertifikat abrufen auf OK und dann auf Schlie en Sobald sich das Zertifikat im Benutzerspeicher f r Stammzertifikate oder Zertifizierungsstellen befindet kann das Ger t mit dem gew nschten Protokoll authentifiziert werden 84 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Windows Mobile Sicherheitsrichtlinien und Ger teprovisioning In Ihrem Unternehmen sind Sie m glicherweise mit direkt erworbenen und mit indirekt erworbenen Ger ten konfrontiert Direkt erworbene Ger te sind diejenigen die in gro en Mengen direkt von einem OEM oder Mobilfunkbetreiber abgenommen wurden In diesem Fall sind Sie vermutlich in der Lage bestimmte Features anzufordern und mit dem Anbieter eine individuelle Ger tekonfiguration auszuarbeiten die den Anforderungen Ihres Unternehmens entspricht Indirekt erworbene Ger te sind diejenigen die im Unternehmen durch einzelne Mitarbeiter oder Gruppen ber einen H ndler eingekauft wurden oder die speziellen Anforderungen unterliegen die einem direkten Erwerb entgegenstehen Die Herausforderung besteht in der gezielten Verwaltung der direkt und indirekt erworbenen Ger te Diese Verwaltung erreichen Sie am besten durch eine fortlaufende Ger tekonfiguration dem so genannten Provisioning mit dem Si
35. bile Ger t aus das Sie zur cksetzen m chten 6 Klicken Sie im Abschnitt Aktion auf die Schaltfl che L schen 73 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 7 a Manage Mobile Device o Manage Moble Device for John Woods I Completion Hep Manage Mobile Device for John Woods This wizard vall guide you through removing or cleaning partnership of a mobile device Select a device to remove or clear MSFT PPC 5 2 0 Fnday Mach 09 2007 7 3335 PM Additional device infomation First synchronization time 3 9 2007 7 3258 PM Device wipe senk time Device wipe acknowledge time Last policy update time Last ping heart beat second 480 Recovery password Action C Remove Clear lt Back Klicken Sie auf L schen unten im Fenster um den Vorgang abzuschlie en So f hren Sie mit Outlook Web Access eine Remoteger tzur cksetzung aus oo Zu OT Se u S P Klicken Sie auf Optionen ffnen Sie Outlook Web Access Melden Sie sich beim Postfach des Ger tebesitzers an W hlen Sie im Navigationsbereich Mobile Ger te aus W hlen Sie die ID des Ger ts aus das Sie zur cksetzen und aus der Liste entfernen m chten Klicken Sie auf Alle Daten auf dem Ger t l schen Klicken Sie auf OK Klicken Sie auf Ger t aus Liste entfernen 74 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Deaktivi
36. bis der Server antwortet Der Server antwortet mit einer Statusmeldung die angibt ob neue Elemente empfangen oder nicht empfangen wurden Anschlie end sendet das Ger t eine Synchronisierungsanforderung oder eine weitere Direct Push Anforderung Das Intervall nach dem dieser Vorgang stattfindet wird dynamisch angepasst Diese Anpassung basiert auf Parametern die vom OEM oder Mobilfunkbetreiber festgelegt wurden und darauf wie lange eine HTTP oder HTTPS Verbindung im Leerlauf im Netzwerk des Betreibers und dem Unternehmensnetzwerk des Kunden bestehen bleiben kann e Exchange Server 2007 Client Access Serverfunktion ist installiert Diese Version von Exchange Server enth lt eine Direct Push Komponente die die Exchange ActiveSync Infrastruktur durch die M glichkeit manueller und geplanter Synchronisierungen erg nzt Exchange Server sendet E Mail Nachrichten Kalenderdaten und Aufgabenaktualisierungen anhand von IP Benachrichtigungen an ein Ger t sobald diese Informationen auf dem Server eintreffen Daten nderungen auf dem Server werden ber eine dauerhafte HTTP oder HTTPS Verbindung die f r Direct Push verwendet wird sofort an das Ger t bertragen Der Timeoutwert im Netzwerk des Mobilfunkbetreibers gibt an wie lange die dauerhafte Verbindung bei ausbleibender Aktivit t bestehen bleibt Um den Timeout zwischen den Aktualisierungen zu verhindern sendet das Ger t eine neue Anforderung sobald der Server reagiert Diese regelm i
37. bsite herzustellen Sie k nnen festlegen dass alle Windows Mobile 6 basierten Ger te zuerst eine SSL Verbindung herstellen bevor sie mit den Verzeichnissen der Exchange ActiveSync Website verbunden werden Es wird empfohlen dass Sie die Standardauthentifizierung f r alle HTTP Verzeichnisse erzwingen die ISA Server f r externe Benutzer zug nglich macht Auf diese Weise k nnen Sie das Feature von ISA Server nutzen mit dem die Anmeldeinformationen der Standardauthentifizierung von der Firewall an die Exchange ActiveSync Website weitergeleitet werden k nnen 47 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Festlegen einer SSL Verbindung mit den Verzeichnissen der Exchange ActiveSync Website Dieses Verfahren tr gt dazu bei nicht authentifizierte Verbindungen mit der Exchange ActiveSync Website zu verhindern Sie k nnen diese Schritte mit den Verzeichnissen Exchange Exchweb und Public wiederholen die sich im linken Bereich des MMC Konsolenfensters von IIS befinden Damit legen Sie fest dass SSL f r die vier Websiteverzeichnisse verwendet werden muss die Sie f r Remotebenutzer zug nglich machen k nnen e Exchange e ExchWeb e Microsoft Server ActiveSync e Public So legen Sie die Verwendung einer SSL Verbindung mit den Verzeichnissen der Exchange ActiveSync Website fest 1 Klicken Sie auf Start klicken Sie auf Verwaltung und klicken Sie dann auf Internetinformationsd
38. c verwendet SSL um die Verbindung zwischen dem Windows Mobile basierten Ger t und dem Exchange Front End oder Clientzugriffsserver zu sichern Das Clientger t bermittelt die Anmeldeinformationen des Dom nenbenutzers anhand der SSL Standardauthentifizierung Dabei wird der Client beim Server authentifiziert Das Ger t muss ber das Stammzertifikat des Exchange Front End Servers oder Clientzugriffsservers verf gen damit eine sichere Verbindung hergestellt werden kann Windows Mobile basierte Ger te sind mit einer Reihe von vertrauensw rdigen Stamm und Zwischenzertifikaten ausgestattet Wenn Sie eines dieser vertrauensw rdigen Zertifikate zum Schutz Ihres Exchange Servers verwenden k nnen Benutzer dieser Ger te auf Ihr Unternehmensnetzwerk zugreifen indem sie ihre Dom ne ihren Namen und ihr Kennwort eingeben Hinweis Platzhalterzertifikate d h Zertifikate die nicht von einem Microsoft Zertifizierungsstellenserver stammen k nnen mit Windows Mobile 6 basierten Ger ten verwendet werden Zertifikatbasierte Authentifizierung Windows Mobile 5 0 basierte Ger te mit dem Messaging and Security Feature Pack oder neuere Ger te k nnen die TLS Clientauthentifizierung Transport Layer Security anstelle der SSL Standardauthentifizierung verwenden Die zertifikatbasierte Authentifizierung bietet gewisse Sicherheitsvorteile gegen ber der einstufigen kennwortbasierten Authentifizierung Dieser Vorteil basiert auf zwei Faktoren Erstens wi
39. chert sind HTML Unterst tzung in E Mail HTML E Mail ist eine Erweiterung von Microsoft Outlook Mobile die Benutzern das Empfangen Anzeigen Verfassen und Senden von E Mail Nachrichten im HTML Format erm glicht Die folgenden bertragungsarten werden unterst tzt ActiveSync POP IMAP und Exchange Server 2007 Zur HTML Funktionalit t geh ren Listen Tabellen Hyperlinks formatierter Text und Inlinebilder Die Windows Mobile 6 Software enth lt die folgenden neuen HTML Funktionen e Mit Exchange Server 2007 synchronisierte E Mail Nachrichten zeigen das HTML Originalformat an e Intelligente HTML Antworten eine intelligente Inlineweiterleitung sowie das Verfassen und Abrufen von E Mail werden unterst tzt Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 e Weitergeleitete E Mail Nachrichten werden nun wie bei der Desktopversion von Outlook inline dargestellt e Inden E Mail Nachrichten werden Inlinehyperlinks zu Webinhalten beibehalten e Richtlinien und Benutzeroptionen Das HTML Aufkommen pro Konto wird ber Konfigurationsanbieter und Benutzeroptionen gesteuert Hinweis Abgesehen von den hier aufgef hrten Funktionen verf gt Windows Mobile 6 noch ber weitere neue Features einschlie lich Ger tesperrung erweiterter PIN Sicherheit und Speicherkartenverschl sselung Weitere Informationen zu neuen Features und Funktionen von Windows Mobile finden Sie im Handbuch zu Windows Mobile 6 u
40. dann auf Postfach 2 Klicken Sie im Arbeitsbereich mit der rechten Maustaste auf den Benutzer den Sie einer Richtlinie zuweisen m chten und klicken Sie dann auf Eigenschaften Klicken Sie im Dialogfeld Eigenschaften auf Postfachfeatures 4 Klicken Sie auf ExchangeActiveSync und klicken Sie dann auf Eigenschaften Aktivieren Sie das Kontrollk stchen Eine Exchange ActiveSync Postfachrichtlinie anwenden 71 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Outlock Web Access Enabled E Exchange ActiveSync Enabled WI Undied Messaging Disabled v MAPI Enabled Exchange ActiveSync Properties V Apply an Exchange ActiveSync mailbox pobey OK Cancel une 6 Klicken Sie auf Durchsuchen um das Dialogfeld zum Ausw hlen der Postfachrichtlinie f r das mobile Ger t anzuzeigen 7 W hlen Sie eine verf gbare Richtlinie aus und klicken Sie dann dreimal auf OK um die Richtlinie anzuwenden Ausf hren einer Remoteger tzur cksetzung In diesem Abschnitt werden die Verfahren zum Ausf hren einer Remoteger tzur cksetzung erl utert Remoteger tzur cksetzung im Vergleich zur lokalen Ger tzur cksetzung Bei der lokalen Ger tzur cksetzung erfolgt die Zur cksetzung ohne Anforderung vom Server durch das Ger t selbst Angenommen die Organisation hat Exchange ActiveSync Richtlinien implementiert die z B eine maximale Anzahl von Kennwortversuchen zulassen Wi
41. de f r IT Profis entwickelt die f r die Planung und Bereitstellung eines Mobile Messaging Systems mit Microsoft Exchange Server 2007 und Windows Mobile 6 basierten Ger ten verantwortlich sind Voraussetzungen Der Leitfaden setzt allgemeine Kenntnisse in Folgendem voraus Bereitstellung und Verwaltung von Microsoft Exchange Server 2007 Microsoft Office Outlook Web Access Exchange ActiveSync HTTP Hypertext Transfer Protocol und in Konzepten von Microsoft Internetinformationsdienste Internet Information Services IIS Hinweis Exchange Server 2007 erm glicht erstmalig die Bereitstellung verteilter Serverfunktionen und bietet eine zus tzliche Funktionalit t die in fr heren Versionen von Microsoft Exchange nicht verf gbar war Lesen Sie vor der Installation Ihrer Mobile Messaging L sung mit Windows Mobile 6 und Exchange Server 2007 auf jeden Fall zuerst die technische Dokumentation zu Microsoft Exchange Server 2007 in der Microsoft TechNet Bibliothek Weitere Informationen zur Funktionalit t von Exchange Server 2007 Serverfunktion Architektur und Planung sowie zu Exchange ActiveSync finden Sie im Abschnitt zu den ersten Schritten zu Microsoft Exchange Server 2007 unter http go microsoft com fwlink LinkID 87058 amp clcid 0x409 m glicherweise in englischer Sprache Softwareanforderungen Die folgende Tabelle zeigt welche Betriebssysteme und Anwendungen f r eine einzelne Bereitstellung von Exchange Server 2007 erford
42. der Client erneut die Verbindung herstellt Die Daten des Benutzers werden dann vielleicht l ngere Zeit nicht synchronisiert Firewalltimeouts Das Zeitlimit f r den Leerlauf einer Netzwerkverbindung gibt an wie lange eine Verbindung nach dem vollst ndigen Herstellen einer TCP Verbindung ohne Datenverkehr bestehen bleiben kann Das Sitzungsintervall der Firewall muss so festgelegt werden dass das Taktintervall und das Sitzungsintervall des Unternehmens eine effektive Kommunikation zulassen Falls die Firewall die Sitzung beendet w rden E Mail Nachrichten erst bermittelt werden wenn der Client erneut die Verbindung herstellt Die Daten des Benutzers werden dann vielleicht l ngere Zeit nicht synchronisiert Wenn die Einstellung f r das Sitzungszeitlimit der Firewall gleich oder gr er gleich dem Leerlaufzeitlimit des Mobilfunknetzwerks ist beendet die Firewall die Sitzung nicht Legen Sie f r die Leerlaufverbindung der Firewall folgende Timeoutwerte fest e _Mobilfunkbetreiber sollten die Werte f r das Zeitlimit f r Leerlaufverbindungen bei Firewalls f r ausgehende Verbindungen auf 30 Minuten festlegen e Bei Firewalls f r eingehende Verbindungen ben tigen Unternehmen einen Timeoutwert von 30 Minuten Webserver Netzwerksicherheitsger te und Netzwerkstapel besitzen verschiedene zeitliche Schwellenwerte als Schutz vor unzureichend getesteten oder b swilligen Clients Sie k nnen die Einstellung f r das Zeitlimit der Leerlaufve
43. der bessere Sicherheitsfunktionalit t bieten als die meisten Features von UrlScan 2 5 UrlScan besitzt jedoch einige zus tzliche Funktionen z B Verbkontrolle die in IIS 6 0 nicht enthalten sind Wenn Sie das UrlScan Sicherheitstool in Ihre Serververwaltungsmethoden integriert haben sind f r Sie die zus tzlichen Funktionen und Features von UrIScan 2 5 sicher n tzlich Wenn Sie das UrlScan Tool herunterladen m chten besuchen Sie die Website zum Sicherheitstool UrIScan unter http go microsoft com fwlink LinkID 89648 amp clcid 0x409 m glicherweise in englischer Sprache Weitere Informationen zu UrIScan und ber IIS 6 0 hinausgehende Funktionen finden Sie im Abschnitt zu dem Thema ob UrlScan 2 5 mit IIS 6 0 eingesetzt werden soll auf der Website zum Sicherheitstool UrlScan 50 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 4 Installieren und Konfigurieren von ISA Server 2006 oder einer anderen Firewall Microsoft Internet Security and Acceleration ISA Server 2006 und Microsoft Exchange Server 2007 arbeiten in Ihrem Netzwerk eng zusammen und sorgen f r eine sichere Mobile Messaging Umgebung ISA Server 2006 ist das Sicherheitsgateway das Ihre Anwendungen vor Gefahren aus dem Internet sch tzt ISA Server erweitert die M glichkeiten Ihres Unternehmens indem es einen sicheren Zugriff auf Microsoft Anwendungen und daten bietet Die von Microsoft empfohlene Topologie f
44. det werden k nnen e Mobile2Market und andere vertrauensw rdige Zertifikate mit denen Anwendungen ausgewiesen werden die f r die Verwendung auf Windows Mobile basierten Ger ten signiert sind e Weitere Zertifikate die vom OEM oder Mobilfunkbetreiber hinzugef gt werden Die folgende Tabelle enth lt die mit Windows Mobile 6 basierten Ger ten gelieferten Zertifikate zum Zeitpunkt der Drucklegung Anbieter Zertifikatname Comodo AAA Certificate Services Comodo AddTrust External CA Root Cybertrust Baltimore CyberTrust Root 77 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Cybertrust Cybertrust Verisign Verisign Verisign Verisign Verisign Entrust Entrust Geotrust Geotrust Godaddy Godaddy Godaddy Zertifikatspeicher GlobalSign Root CA GTE CyberTrust Global Root Class 2 Public Primary Certification Authority Thawte Premium Server CA Thawte Server CA Secure Server Certification Authority Class 3 Public Primary Certification Authority Entrust net Certification Authority 2048 Entrust net Secure Server Certification Authority Equifax Secure Certification Authority GeoTrust Global CA Go Daddy Class 2 Certification Authority http www valicert com Starfield Class 2 Certification Authority Die Zertifikate eines Windows Mobile basierten Ger ts befinden sich im Zertifikatspeicher in der Registrierung In der Windows Mobile 6 Software enth lt der Zertifikatspeicher
45. dung mit dem Exchange Server 2007 Clientzugriffsserver herstellt wird vom System gepr ft wo sich die Benutzerdaten befinden Wenn sie auf einem 2003 Postfachserver gespeichert sind wird die Version Exchange Server 2003 des ActiveSync Protokolls verwendet Befindet sich das Postfach des Benutzers auf einem Exchange Server 2007 Postfachserver wird die Verbindung an den Postfachserver weitergeleitet auf dem die neue Version von ActiveSync mit dem Ger t verwendet wird Ein Benutzer dessen Postfach in einer fr heren Serverversion gespeichert ist kann deshalb die neuen Features nicht verwenden wie z B Zugriff auf SharePoint UNC Dokumente und Exchange Suche Denn das ActiveSync Protokoll unterst tzt diese Anforderungen nicht Hinweis Damit die Exchange Suche sowie andere Features und Richtlinien funktionieren m ssen sie vom Ger t unterst tzt werden Derzeit werden Richtlinien und Features die in Exchange 2003 SP2 nicht vorhanden waren von Windows Mobile 5 nicht unterst tzt Die Verwendung des Exchange Clientzugriffsservers im Perimeternetzwerk bietet folgende zus tzliche Vorteile e Neue Exchange Verwaltungsfunktionen e Neue Exchange Verwaltungsfunktionen f r mobile Ger te e Erweiterte Exchange Protokollierung Export nach SQL Server und Excel e M glichkeit nur die Verbindung von Ger ten zuzulassen die mit Provisioning konfiguriert sind Wichtig Die folgenden Features k nnen in der Paralleltopologie nicht verwendet werden s
46. e 6 basierten Ger ten mit Microsoft Exchange Server 2007 Authentifizierung in ISA Server 2006 Benutzer k nnen mit der integrierten Windows LDAP RADIUS oder RSA SecurID Authentifizierung authentifiziert werden Front End und Back End Konfigurationen sind getrennt worden was eine gr ere Flexibilit t und detailliertere Steuerung erm glicht F r die Authentifizierung auf Websites wird das einmalige Anmelden unterst tzt In jedem Namespace k nnen f r Benutzer oder Benutzergruppen Regeln angewendet werden F r die meisten Unternehmensinstallationen wird ISA Server 2006 mit LDAP Authentifizierung empfohlen Au erdem erm glicht ISA Server 2006 eine auf Zertifikaten basierende Authentifizierung bei der Webver ffentlichung Weitere Informationen finden Sie unter Authentifizierung in ISA Server 2006 auf der Microsoft TechNet Website m glicherweise in englischer Sprache Die folgende Tabelle enth lt eine bersicht einiger Features von ISA Server 2006 Feature Beschreibung Unterst tzung der LDAP Authentifizierung Mithilfe der LDAP Authentifizierung kann der Computer mit ISA Server die Authentifizierung f r Active Directory ausf hren ohne ein Mitglied der Dom ne zu sein Weitere Informationen finden Sie unter http go microsoft com fwlink LinkID 87069 amp clcid 0x409 m glicherweise in englischer Sprache Authentifizierungsdelegierung Ver ffentlichte Websites sind vor nicht authentifiziertem Zugriff gesch t
47. e Schl ssel tats chlich zu der angegebenen Anwendung dem Ger t der Organisation oder der Person geh ren und vertrauensw rdig sind Digitale Zertifikate werden auf Windows Mobile basierten Ger ten in zwei entscheidenden Vorg ngen verwendet e Bei der Authentifizierung Dabei dienen sie dazu vertrauensw rdige Anmeldeinformationen zum Herstellen einer Verbindung mit dem E Mail Server oder Netzwerk eines Unternehmens bereitzustellen oder die Identit t eines Remoteservers zu berpr fen e Beim Signieren von Code Dabei kann ermittelt werden ob eine Anwendung auf dem Ger t ausgef hrt werden darf und wenn ja mit welchen Berechtigungen h her oder normal sie ausgef hrt wird F r eine Authentifizierung in einem Netzwerk beispielsweise muss das mobile Ger t ein Zertifikat aus seinem Stammspeicher vorlegen das vom Server erkannt und akzeptiert werden muss bevor eine SSL Verbindung mit dem Netzwerkserver hergestellt werden kann Au erdem muss eine Anwendung damit sie auf einem Ger t installiert und ausgef hrt werden kann ein digitales Zertifikat aufweisen Das Zertifikat muss belegen dass die Anwendung von einer vertrauensw rdigen Quelle akzeptiert und signiert wurde Zertifikate auf Windows Mobile basierten Ger ten Windows Mobile basierte Ger te sind standardm ig bereits mit verschiedenen Zertifikaten ausgestattet e _Vertrauensw rdige Stammzertifikate von f hrenden Zertifikatherstellen die zur Authentifizierung verwen
48. e beispielsweise bei einer Installation im Arbeitsgruppenmodus LDAP Authentifizierung aus W hlen Sie Windows Active Directory aus wenn der Computer mit ISA Server Mitglied einer Dom ne ist Behalten Sie zum Aktivieren von SSO die Standardeinstellungen bei Wenn Sie SSO zwischen ver ffentlichten Websites aktivieren m chten wie z B portal contoso com und mail contoso com geben Sie contoso com ein berpr fen Sie die ausgew hlten Einstellungen und klicken Sie auf Zur ck um die Einstellungen zu ndern und auf Fertig stellen um den Assistenten abzuschlie en 59 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Erstellen einer Ver ffentlichungsregel f r den Exchange Webclientzugriff Wenn Sie einen internen Exchange 2007 Clientzugriffsserver mit ISA Server 2006 bereitstellen sch tzen Sie den Webserver vor direktem externen Zugriff da der Benutzer nicht auf den Namen und die IP Adresse des Servers zugreifen kann Der Benutzer greift auf den Computer mit ISA Server zu der dann die Anforderung an den internen Webserver weiterleitet Dabei werden die Bedingungen der Webserver Ver ffentlichungsregel angewendet Bei einer Ver ffentlichungsregel f r den Exchange Webclientzugriff handelt es sich um eine Webver ffentlichungsregel die geeignete Standardeinstellungen f r den Exchange Webclientzugriff enth lt Sammeln Sie die folgenden Informationen die Sie beim Ausf hren des As
49. e die Sicherheitseinstellungen und sonstigen Features eines funktionsbereiten Ger ts dynamisch ndern k nnen Weitere Informationen zu den Sicherheitsfeatures von Windows Mobile basierten Ger ten und deren Interaktion mit Exchange ActiveSync finden Sie in den folgenden Whitepapers Security Considerations for Windows Mobile Messaging in the Enterprise unter http go microsoft com fwlink LinkID 89638 amp clcid 0x409 EHEN Model for Windows Mobile 5 0 and Windows Mobile 6 unter Sicherheitsrichtlinien und rollen Die Einstellungen der integrierten Sicherheitsrichtlinien von Windows Mobile basierten Ger ten definieren den Sicherheitsumfang Beispielsweise bestimmen Sicherheitsrichtlinien ob ein Ger t ber ein Funknetzwerk over the air OTA konfiguriert werden kann und ob es nicht signierte Nachrichten Anwendungen oder Dateien akzeptiert Die Einstellungen von Sicherheitsrichtlinien erm glichen eine flexible Steuerung der Authentifizierung der Datenverschl sselung von VPN Virtual Private Networks der Wi Fi Verschl sselung und von SSL Diensten Diese Richtlinien werden global definiert und in ihren jeweiligen Komponenten in entscheidenden Bereichen der Ger tearchitektur lokal angewendet Sicherheitsrollen wie z B Manager oder Enterprise erm glichen eine bessere Steuerung der Ger teressourcen und definieren wer jeweils eine Richtlinie ndern kann Die Rolle Manager ist in der Regel f r den Ger tehersteller
50. eine Verpflichtung seitens Microsoft dar und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Ver ffentlichung nicht garantieren Dieses Whitepaper dient nur zu Informationszwecken MICROSOFT SCHLIESST F R DIESES DOKUMENT JEDE GEW HRLEISTUNG AUS SEI SIE AUSDR CKLICH ODER KONKLUDENT Die Benutzer innen sind verpflichtet sich an alle anwendbaren Urheberrechtsgesetze zu halten Unabh ngig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdr ckliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments f r irgendwelche Zwecke vervielf ltigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen bzw bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln elektronisch mechanisch durch Fotokopieren Aufzeichnen usw dies geschieht Es ist m glich dass Microsoft Rechte an Patenten bzw angemeldeten Patenten an Marken Urheberrechten oder sonstigem geistigen Eigentum besitzt die sich auf den fachlichen Inhalt dieses Dokuments beziehen Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente Marken Urheberrechte oder auf sonstiges geistiges Eigentum es sei denn dies wird ausdr cklich in den schriftlichen Lizenzvertr gen von Microsoft einger umt 2007 Microsoft Corporation Alle Rechte vorbehalten Microsoft Active Directory ActiveSync Internet Explorer MSDN Outlook
51. ellen ber das bliche Desktopanmeldeverfahren des Unternehmens eine Verbindung mit dem Netzerwerk her d h ber Kennwort Smartcard oder eine sonstige Art der Benutzeridentifikation Die beiden Ebenen der Authentifizierung steuern die Zertifikatregistrierung und vereinfachen das Verteilen von Zertifikaten Mithilfe der Desktop Zertifikatregistrierung k nnen Zertifikate auf mobilen Ger ten angefordert oder erneuert werden Sie k nnen auch den Certificate Enroller Configuration Service Provider Konfigurationsdienstanbieter der Zertifikatregistrierung verwenden um Zertifikatdateien zu definieren und die XML Provisioningdatei zu erstellen die per Push auf mobile Ger te verteilt werden kann Der Systemadministrator sollte die Desktop Zertifikatregistrierung folgenderma en vorbereiten e Einrichten eines Windows 2000 Windows 2003 Zertifikatservers oder h her oder den Zugriff darauf sicherstellen e Erstellen des Zertifikattyps oder Verwenden eines vorhandenen Zertifikats das in Active Directory ver ffentlicht ist e Informieren der Benutzer ber den Speicherort des Zertifikats im Unternehmensnetzwerk e Bereitstellen von Anweisungen f r die Benutzer zur Verwendung des ActiveSync Features Get Device Certificate Ger tezertifikat abrufen auf dem Desktop PC 82 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Nachdem Sie das Zertifikat in Active Directory ver ffentlicht haben und die
52. ellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Benutzers tze Diese Regel betrifft W hlen Sie den f r den Zugriff auf diese Regel Anforderungen von genehmigten Benutzersatz aus folgenden Benutzers tzen Fertigstellen des Fertigstellen des berpr fen Sie die ausgew hlten Einstellungen Assistenten f r Assistenten f r die und klicken Sie auf Zur ck um die Einstellungen neue Exchange neue Exchange zu ndern oder auf Fertig stellen um den Ver ffentlichungsre Ver ffentlichung Assistenten abzuschlie en geln Konfigurieren von ISA Server 2006 f r die LDAP Authentifizierung Hinweis Dieser Schritt ist nur dann erforderlich wenn der ISA Server 2006 kein Dom nenmiitglied ist Die LDAP Authentifizierung Lightweight Directory Access Protocol ist mit der Active Directory Authentifizierung vergleichbar mit dem Unterschied dass der Computer mit ISA Server kein Dom nenmitglied sein muss Zum Authentifizieren des Benutzers wird in ISA Server 2006 ber das LDAP Protokoll eine Verbindung mit einem konfigurierten LDAP Server hergestellt Auch Windows Dom nencontroller sind standardm ig LDAP Server Weitere Konfigurations nderungen sind nicht erforderlich Die LDAP Authentifizierung bietet folgende Vorteile e ISA Server 2006 Standard Edition oder ISA Server 2006 Enterprise Edition Arraymitglieder im Arbeitsgruppenmodus e _Authentifizierung von Benutzern in einer Dom ne mit der keine vertrau
53. en IIS Sicherheits Assistenten und das UrIlScan Tool herunterladen und ausf hren wie im Folgenden beschrieben Windows Server 2003 SP2 und IIS 6 0 IIS 6 0 wird durch viele integrierte Features von Microsoft Windows Server 2003 gesch tzt Zum Schutz vor b swilligen Benutzern und Angreifern schlie t die Standardkonfiguration f r Produkte der Windows Server 2003 Produktfamilie IIS nicht ein IIS wird bei der Installation in einem u erst sicheren Sperrmodus konfiguriert der nur statischen Inhalt zul sst Sie k nnen die ISS Funktionen mithilfe der Webdiensterweiterungen den speziellen Anforderungen Ihrer Organisation entsprechend aktivieren oder deaktivieren Weitere Informationen finden Sie im Abschnitt zum Verringern der Angriffsfl chen auf den Webserver IIS 6 0 im Bereitstellungshandbuch zu IIS unter http go microsoft com fwlink LinkId 67608 m glicherweise in englischer Sprache Verwendung von UrlScan UrlScan Version 2 5 ist ein Sicherheitstool mit dem die von Internetinformationsdienste IIS verarbeiteten HTTP Anforderungstypen eingeschr nkt werden k nnen Indem bestimmte HTTP Anforderungen blockiert werden verhindert das UrlScan Sicherheitstool dass sch dliche Anforderungen den Server erreichen UrlScan 2 5 wird nun als eigenst ndige Installation auf Servern mit Microsoft IIS 4 0 oder h her implementiert UrlScan 2 5 ist kein Bestandteil von IIS 6 0 da integrierte Features von IIS 6 0 eine hnliche o
54. en entgegenzunehmen Verringerung des Angriffsrisikos Eine Erh hung des Zeitlimits f r Leerlaufverbindungen hat keinen Einfluss auf diesen Angriffstyp Die Zeitspanne in der ein TCP Handshake abgeschlossen sein muss ist ein gesonderter Schwellenwert der vom TCP IP Stapel von Windows bestimmt wird Eine Erh hung des Zeitlimits f r Leerlaufverbindungen hat keinen Einfluss auf diesen Angriffstyp IIS verringert diese Gefahr dadurch dass ein Client innerhalb einer bestimmten Zeit eine g ltige HTTP Anforderung senden muss sonst wird die Verbindung getrennt Die Einstellungsbezeichnung des Verbindungstimeouts in der IIS Verwaltungskonsole ist irref hrend TCP Verbindungen werden beendet wenn der Wert des Verbindungstimeouts berschritten wird standardm ig 120 Sekunden Eine Erh hung des Zeitlimits f r Leerlaufverbindungen hat keinen Einfluss auf diesen Angriffstyp Die Gefahr wird mit demselben Timeoutwert verringert wie im vorherigen Szenario Die Einstellung f r den Verbindungstimeout in IIS definiert innerhalb welcher Zeit ein Client die erste Anforderung nach dem Herstellen der TCP Verbindung oder eine Folgeanforderung in einem HTTP Keep Alive Szenario senden muss Hinweis Betrifft nur Exchange ActiveSync Listener 28 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Bereitstellungsverfahren zu Windows Mobile 6 und Exchange Server 2007 In dieser Dokumen
55. ennen ernennen ee Sicherheitsfeatures Authentifizierung und Zertifizierung 22240404422220220002nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnn SZENARIEN DER NETZWERKARCHITEKTUR znnneennnnseennnnnnnnnnnssnnnnnnnnnnnnnsunnnnnnnsnnnnsnnnnnnnnnnsnnssnunnnnnnnnsnnssnnnennnsssnsssnnnnnnnsssnnnennnn Bereitstellungsoptianen onssesssscheieitassensnnsenklessasnenahneekhenhedrendenekserede haare E EE a aa E A NEERA Authentifizierung in ISA Server 2006 GR NDBIEGENDES ZUIDIRECT PUSH need ein AIEEE A EEEE EEr aa Ea an Direct Push Technologie srs esnie ea E E Ee A e aE E E EERS BEREITSTELLUNGSVERFAHREN ZU WINDOWS MOBILE 6 UND EXCHANGE SERVER 2007 zuasssssnonnnnsnnnnnnnnonnnne 29 SCHRITT 1 INSTALLIEREN VON EXCHANGE SERVER 2007 MIT DER CLIENT ACCESS SERVERFUNKTION znenenenenenenenenennnnnnnnnnnnnenen 30 SCHRITT 2 AKTUALISIEREN DER SERVER MIT SICHERHEITSPATCHES ueeeenanenansnnnnnnnnnnnnnnnnnnnennnnnnnennnennnennnnnnnennnennnennnennnennnennnn 33 SCHRITT 3 SCH TZEN DER KOMMUNIKATION ZWISCHEN EXCHANGE SERVER 2007 UND WINDOWS MOBILE 6 BASIERTEN eT N NEEE EETA E E E E E A E TEA Bereitstellen von SSL zum Verschl sseln des Messagingverkehrs unnnessnessssnnnnnenennnnnnnnnnenunnnnnnnnnennnnnnnnnnnnn Aktivieren von SSL f r die Standardwebsite uuuuuuuussssnsnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennn Konfigurieren der Standardauthentifizierung 222222000002200000nnnnnnnnnnnnnnnnnenunnnnnnnnnnnnnun
56. ensw rdige Beziehung besteht e In diesem Abschnitt wird Folgendes beschrieben e Erstellen eines LDAP Serversatzes e Erstellen eines LDAP Benutzersatzes Erstellen eines LDAP Serversatzes F hren Sie die folgenden Schritte aus um einen LDAP Serversatz zu erstellen e Wenn Sie ISA Server 2006 Standard Edition verwenden f hren Sie das folgende Verfahren auf dem Computer isa01 aus e Wenn Sie ISA Server 2006 Enterprise Edition verwenden f hren Sie das folgende Verfahren auf dem Computer storage0l aus So erstellen Sie einen LDAP Serversatz 1 Klicken Sie in der Konsolenstruktur der ISA Server Verwaltung auf Allgemein e Erweitern Sie in ISA Server 2006 Standard Edition Microsoft Internet Security and Acceleration Server 2006 erweitern Sie isa01 erweitern Sie Konfiguration und klicken Sie dann auf Allgemein e Erweitern Sie in ISA Server 2006 Enterprise Edition Microsoft Internet Security and Acceleration Server 2006 erweitern Sie Arrays erweitern Sie den Knoten f r die Hauptarrays erweitern Sie Konfiguration und klicken Sie dann auf Allgemein 2 Klicken Sie im Bereich Details auf RADIUS und LDAP Server festlegen 64 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 3 Klicken Sie auf der Registerkarte LDAP Servers tze auf Hinzuf gen um das Dialogfeld LDAP Serversatz hinzuf gen zu ffnen Geben Sie CorpLDAP in das Feld LDAP Serversatzname ein Klicken Sie auf Hinzuf ge
57. eporting gr E Installation Type d Readiness Checks Ld Progress I Completion A Typical Exchange Server Installation De G The folowing server roles will be installed on this computer 7 Hub Transport Role Cent Access Role Mailbox Role Exchange Management Tools E 3 Custom Exchange Server Installation p This option allows you to select which of the following server roles you E want to install on this computer 7 Hub Transport Role Cbent Access Role Mailbox Role wiih or without clustering Unified Messaging Role Edge Transport Role Exchange Management Tools Specify the path for the Exchange Server installation C Program F es Microsolt Exchange Server Browse au cm In der folgenden technischen Dokumentation finden Sie Informationen zur Bereitstellung von Microsoft Exchange 2007 Dokumentation zu Exchange Server 2007 Erste Schritte http go microsoft com fwlink LinkID 91597 amp clcid 0x409 m glicherweise in englischer Sprache Planung und Architektur http go microsoft com fwlink LinkID 91598 amp clcid 0x409 m glicherweise in englischer Sprache Microsoft Exchange Server 2007 http go microsoft com fwlink LinkID 91599 amp clcid 0x409 m glicherweise in englischer Sprache Bereitstellung http go microsoft com fwlink LinkID 91601 amp clcid 0x409 m glicherweise in englischer Sprache Exchange Server 2007 Systemanforderungen http go microsoft com
58. er Datei C NewKeyRaq txt die Sie zuvor gespeichert haben 4 Doppelklicken Sie auf die Datei C NewKeyRq txt um sie im Editor zu ffnen W hlen Sie den gesamten Inhalt der Datei aus und kopieren Sie ihn 37 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 5 Wechseln Sie auf der Website der Zertifizierungsstelle auf die Seite Zertifikat oder Erneuerungsanforderung einreichen Wenn Sie zur Auswahl des Zertifikattyps aufgefordert werden klicken Sie auf Webserver Die folgende Abbildung zeigt ein Beispiel f r die Seite Zertifikat oder Erneuerungsanforderung einreichen T Microsoft Certificate Services Microsoft Internet Explorer Fie Edit View Favorites Tools Help 9 0 AAO Pe ke O 25 aE address http jatnalcertsrv certraxt asp Bo 5 e x Search Web FY Favorites X Mens X y in Blocked 9 2 z Home Submit a Certificate Request or Renewal Request To submit a saved request to the CA paste a base 64 encoded CMC or PKCS 10 certificate request or PKCS 7 renewal request generated by an external source such as a Web server in the Saved Request box Saved Request BEGIN NEW CERTIFICATE REQUEST al Base 64 encoded MIIDKZCCApQCAQAwUDELMAkGA1UEBhMCVVMXCjAI 3 certificate request AWExCJAIBGNVBAOTAWExXCJAIBGNVBASTAWEXETAP E CMC or MAOGCSqGSIb3DQEBAQUAA4GNADCB QKBgQDKVhtg PKCS 10 or 9xmeZRAOTZKCKOAfFQN2kE0kOd3X8JZEMNAh21c PKCS 7 NoNJvgKI
59. er Name Weblistener Legen Sie die Methode fest mit der ISA Server sich beim ver ffentlichten Webserver authentifizieren soll W hlen Sie SSL verwenden um eine Verbindung zum ver ffentlichten Webserver oder zur Serverfarm herzustellen aus Hinweis Auf dem ver ffentlichten Front End Server mit Exchange muss ein Serverzertifikat installiert sein Au erdem muss das Zertifikat der Stammzertifizierungsstelle f r die Zertifizierungsstelle die das Serverzertifikat auf dem Front End Server mit Exchange ausgestellt hat auf dem Computer mit ISA Server installiert sein Geben Sie den internen FODN des Exchange Front End Servers ein Beispiel exchfe corp contoso com Wichtig Der interne Sitename muss mit dem Namen des Serverzertifikats bereinstimmen das auf dem internen Exchange Front End Server installiert ist Hinweis Wenn der interne Sitename nicht richtig aufgel st werden kann k nnen Sie Name oder IP Adresse eines Computers verwenden um eine Verbindung zum ver ffentlichten Server herzustellen w hlen Geben Sie dann die erforderliche IP Adresse oder den Namen ein der vom Computer mit ISA Server aufgel st werden kann Diesen Dom nennamen unten eingeben Geben Sie den Dom nennamen ein f r den ISA Server die Verbindung akzeptieren soll Beispiel mail contoso com W hlen Sie den zuvor erstellten Weblistener aus Beispiel Exchange FBA W hlen Sie die Standardauthentifizierung 63 Bereitst
60. eren von Exchange ActiveSync In diesem Abschnitt wird beschrieben wie Microsoft Exchange ActiveSync deaktiviert wird Wenn Sie Exchange ActiveSync auf einem Computer deaktivieren auf dem Microsoft Exchange Server 2007 mit der installierten Client Access Serverfunktion ausgef hrt wird deaktivieren Sie den von Exchange ActiveSync verwendeten Anwendungspool Ein Anwendungspool ist eine Gruppe von Prozessen die von Internetinformationsdienste IIS verwendet werden um eine Aufgabe auszuf hren Hinweis Dieser Leitfaden behandelt in erster Linie das Implementieren eines Mobile Messaging Systems in dem Exchange ActiveSync aktiviert ist Bei der Wartung der Netzwerkinfrastruktur oder des Mobile Messaging Systems und zu Testzwecken kann das Deaktivieren dieser Funktionalit t jedoch gelegentlich erforderlich sein Melden Sie sich an einem Computer auf dem die Client Access Serverfunktion installiert ist mit einem Dom nenkonto an das ber die Berechtigungen der Gruppe Exchange Organisationsadministratoren verf gt Anschlie end k nnen Sie die folgenden Verfahren ausf hren Das Konto muss auch zur lokalen Gruppe Administratoren dieses Computers geh ren berpr fen Sie au erdem Folgendes bevor Sie diese Verfahren ausf hren e Die Komponente Microsoft ASP NET von Microsoft Internetinformationsdienste IIS ist installiert e Der Status der ASP NET Webdiensterweiterung ist auf Zugelassen festgelegt Sie k nnen den Status der ASP NET Webd
61. erlert Country Region US State Province Washington City Seattle Organization My Company Name Organizational Unit My Department Name 13 Nach Abschluss der Zertifikatanforderung wird eine entsprechende Meldung angezeigt Klicken Sie auf Fertig stellen Als N chstes m ssen Sie ein Serverzertifikat von einer g ltigen Zertifizierungsstelle anfordern Dazu m ssen Sie je nach der ausgew hlten Zertifizierungsstelle auf das Internet oder ein Intranet zugreifen Verwenden Sie dazu einen ordnungsgem konfigurierten Webbrowser Die hier aufgef hrten Schritte betreffen den Zugriff auf die Website f r Ihre Zertifizierungsstelle In einer Produktionsumgebung fordern Sie vermutlich ein Serverzertifikat von einer vertrauensw rdigen Zertifizierungsstelle ber das Internet an So senden Sie die Zertifikatanforderung 1 Starten Sie Microsoft Internet Explorer Geben Sie die URL Uniform Resource Locator f r die Website der Microsoft Zertifizierungsstelle http lt server_name gt certsrv ein Klicken Sie auf der Seite Microsoft Zertifikatdienste auf Zertifikat anfordern und klicken Sie dann auf Erweiterte Zertifikatanforderung 2 Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Reichen Sie eine Zertifikatanforderung ein die eine Base64 codierte CMD oder PKCS10 Datei verwendet oder eine Erneuerungsanforderung die eine Base64 codierte PKCS7 Datei verwendet 3 Wechseln Sie auf dem lokalen Server in das Verzeichnis d
62. erlich sind Bereich Softwareanforderungen Active Directory Server e _ Microsoft Windows Server 2003 oder Microsoft an Directory Access Protocol Windows Server 2000 Windows Server 2003 mit Service Pack 1 SP1 wird empfohlen Exchange Server e Microsoft Exchange Server 2007 e _64 Bit Version von Windows Server 2003 oder Windows Server 2003 R2 e Client Access Serverfunktion installiert e Microsoft Windows Server 2003 mit Service Pack 1 SP1 e _Internetinformationsdienste IIS 6 0 Mobile Ger te e Windows Mobile 6 basierte Ger te Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Hinweis e F r die Installation von Microsoft Exchange Server 2007 sind eine 64 Bit Hardware und ein 64 Bit Betriebssystem Voraussetzung Auf diese Weise k nnen die h heren Arbeitsspeicher Speicher und erweiterten Sicherheitsanforderungen kosteng nstig unterst tzt werden Bei umfangreichen Exchange Bereitstellungen bei denen sich der Clientzugriffsserver auf einem anderen Computer befindet als die Exchange Mailbox Serverfunktion wird dringend empfohlen Exchange Server 2007 nicht auf einem Dom nencontroller sondern auf einem Mitgliedsserver bereitzustellen e Weitere Informationen zu den Hardware und Softwarevoraussetzungen f r Exchange Server 2007 finden Sie im Thema zur Vorbereitung auf die Bereitstellung von Exchange 2007 im Abschnitt zur Bereitstellung unter http go microsoft com fwlink Li
63. ert sind mit einer normalen Vertrauensstufe ausgef hrt normal SPC HKLM Enth lt Softwareherausgeberzertifikate Software Publishing Certificates SPC zum Signieren von CAB oder CPF Dateien und zum Zuweisen der richtigen Rollenberechtigungen f r die Dateiinstallation Root system HKLM Enth lt die Stammzertifikate d h Zertifikate die von Microsoft dem OEM oder dem Mobilfunkbetreiber signiert sind Diese Zertifikate werden zur SSL Serverauthentifizierung verwendet Diese Zertifikate k nnen nur mit Berechtigungen der Rolle Manager ge ndert werden Benutzer mit der Rolle Manager k nnen diesem Speicher Zertifikate hinzuf gen Der OMA DM Transportclient berpr ft diesen Speicher beim Herstellen einer SSL Verbindung auf Stammzertifikate Root user HKCU Enth lt Stamm oder selbstsignierte Zertifikate die von Benutzern mit der Rolle Authentifizierter Benutzer installiert werden k nnen CA system HKLM Enth lt Zertifikate und Informationen von Zwischenzertifizierungsstellen Mit diesen Stellen werden Zertifikatketten gebildet In Windows Mobile 5 0 k nnen Benutzer mit der Rolle Manager diesem Speicher Zertifikate hinzuf gen Der OMA DM Transportclient berpr ft diesen Speicher beim Herstellen einer SSL Verbindung auf Zwischenzertifikate Diesem Speicher werden von Microsoft dem OEM oder dem Mobilfunkbetreiber Zertifikate hinzugef gt 79 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft
64. es Serverzertifikats auf dem Computer mit ISA Server e Aktualisieren ffentlicher DNS Server e Erstellen der Exchange ActiveSync Webver ffentlichungsregel mithilfe der Webver ffentlichung Hinweis Das Erstellen einer Exchange ActiveSync Ver ffentlichungsregel und eines Weblisteners wird durch ein Update f r ISA Server 2006 vereinfacht Dieses Update erhalten Sie unter http go microsoft com fwlink LinkID 87161 amp clcid 0x409 51 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 e _ Konfigurieren von ISA Server mit dem LDAP Active Directory oder RADIUS Serversatz Hinweis Dieser Schritt ist nur erforderlich wenn ISA Server kein Dom nenmitglied ist RADIUS unterst tzt au erdem keine Zuordnung von Benutzern zu Gruppen e Festlegen des Zeitlimits f r Leerlaufsitzungen aller Firewalls und Proxyserver auf 1800 Sekunden 30 Minuten Hinweis Eine Erh hung der Zeitlimits maximiert die Leistung der Direct Push Technologie und optimiert die Batterielebensdauer von Ger ten Der Standardwert f r alle ISA Server 2006 Weblistener betr gt 1800 Sekunden 30 Minuten e Testen von Outlook Web Access OWA und Exchange ActiveSync Installieren von ISA Server 2006 Wichtig Lesen Sie vor der Installation von ISA Server 2006 unbedingt das Installationshandbuch zu ISA Server 2006 Enterprise Edition oder ISA Server 2006 Standard Edition je nachdem welche Version Sie installieren So in
65. fwlink LinkID 91602 amp clcid 0x409 m glicherweise in englischer Sprache Die Themen in diesen Artikeln behandeln die Planung und Architektur f r einfache standardm ige gro e und komplexe Bereitstellungen von Exchange Die beschriebenen alternativen Netzwerktopologien unterst tzen sowohl eine Standardinstallation einzelner Server und eine benutzerdefinierte Installation mehrere Server 31 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Hinweis In diesem Dokument werden die Verfahren und Richtlinien zur Bereitstellung von Windows Mobile 6 mit Exchange Server 2007 beschrieben Da nur die Client Access Serverfunktion und die Mailbox Serverfunktion bei einem Mobile Messaging System eine Rolle spielen werden andere Exchange Server 2007 Serverfunktionen hier nicht erl utert 32 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 2 Aktualisieren der Server mit Sicherheitspatches Bevor Sie beginnen aktualisieren Sie zuerst die Serverumgebung alle Exchange Server globale Katalogserver und Dom nencontroller mit den neuesten Sicherheitspatches von Microsoft Dadurch sorgen Sie f r ein sicheres Mobile Messaging End to End Netzwerk Besuchen Sie die Microsoft Update Website um Ihre Server mit den Sicherheitspatches zu aktualisieren http go microsoft com fwlink LinkID 87151 amp clcid 0x409 Weitere Informationen zum
66. ge bertragung wird Takt genannt Der Takt h lt die Verbindung mit dem Server f r Direct Push aufrecht Dabei signalisiert jeder Takt dem Server dass das Ger t empfangsbereit ist Der Direct Push Vorgang Der Direct Push Verkehr hnelt kleinen HTTP Anfragen an eine Internetwebsite die viel Zeit f r eine Antwort beansprucht Verschl sseln Sie m glichst den Inhalt der Pakete mit Secure Sockets Layer SSL um den Direct Push Verkehr vor Sniffing zu sch tzen Die folgenden Schritte erl utern den Direct Push Vorgang 1 Der Client sendet eine HTTP Nachricht eine so genannte Ping Anforderung an einen Exchange Server Damit wird der Server zur bermittlung eventueller nderungen aufgefordert die im Postfach des Benutzers innerhalb einer angegebenen Zeitspanne aufgetreten sind In der Ping Anforderung gibt der Client die Ordner an deren nderung von Exchange berwacht werden soll In der Regel handelt es sich hierbei um Posteingang Kalender Kontakte und Aufgaben 23 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 2 Wenn Exchange diese Anforderung empf ngt werden die angegebenen Ordner berwacht bis Folgendes eintritt e Das Zeitlimit l uft ab Das Zeitlimit wird durch den k rzesten Timeout im Netzwerkpfad bestimmt In diesem Fall sendet Exchange eine HTTP 200 OK Antwort an den Client e Der Ordnerinhalt ndert sich z B durch den Eingang einer E Mail Nachricht In diese
67. getrennte Benutzerspeicher f r Stammzertifikate und Zertifizierungsstellen Benutzer mit weniger umfassenden Berechtigungen erhalten dadurch die M glichkeit vertrauensw rdige digitale Zertifikate hinzuzuf gen oder zu registrieren Der Stammzertifikat und der Zertifizierungsstellenspeicher des Systems k nnen nur mit den Berechtigungen der Rollen Manager oder Enterprise ge ndert werden Hinweis Auf Windows Mobile 5 0 basierten Ger ten sind die Stammzertifikat und Zertifizierungsstellenspeicher der digitalen Zertifikate generell gesperrt au er f r Berechtigungen der Rolle Manager 78 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Die folgende Tabelle zeigt die Verwendung und Berechtigungen der Zertifikatspeicher eines Windows Mobile 6 basierten Ger ts Zertifikatspeicher Physikalischer Beschreibung Speicher Privileged HKLM Enth lt vertrauensw rdige Zertifikate Anwendungen die Execution Trust mit einem Zertifikat aus diesem Speicher signiert sind Authorities werden mit einer h heren Vertrauensstufe ausgef hrt vertrauensw rdig Unprivileged HKLM Enth lt normale Zertifikate Auf einem einstufigen Ger t Execution Trust wird eine Anwendung die mit einem Zertifikat aus Authorities diesem Speicher signiert ist mit einer h heren Vertrauensstufe ausgef hrt privilegiert Auf einem zweistufigen Ger t werden Anwendungen die mit einem Zertifikat aus diesem Speicher signi
68. glichkeit abgelaufene Zertifikate zu erneuern Hierzu geh ren folgende Features e Eine zertifikatbasierte Authentifizierung kann die herk mmliche Benutzername Kennwort Authentifizierung ersetzen e Eine flexible Plattformzertifikatregistrierung kann im Ger t konfiguriert werden e Anwendungen k nnen programmgesteuert in den Zertifikatregistrierungsprozess eingreifen um die Registrierung einzuleiten 4 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 e Die Zertifikaterneuerung wird unterst tzt e Zus tzliche Zertifikate k nnen im Ger t installiert werden ohne dass eine CAB Datei erstellt werden muss Exchange Suche f r E Mail Bei der Exchange Suche f r E Mail k nnen Benutzer von Windows Mobile 6 basierten Ger ten ihre Microsoft Exchange Postf cher nach Elementen durchsuchen die bestimmten Kriterien entsprechen Die Suchergebnisse werden heruntergeladen und in einem Ordner angezeigt Die M glichkeit E Mail im Exchange Speicher des Benutzers zu durchsuchen ist ein leistungsstarkes Feature Damit k nnen Benutzer auf wichtige Informationen in ihrem Exchange Postfach zugreifen wenn sie sich nicht an einem Schreibtisch aufhalten Benutzer erhalten auch unterwegs stets die Informationen die sie brauchen Die folgenden neuen Features werden unterst tzt e Informationen in E Mail Nachrichten die sich nicht auf dem mobilen Ger t befinden k nnen gesucht werden e Suchergeb
69. go microsoft com fwlink LinkID 87062 amp clcid 0x409 m glicherweise in englischer Sprache Verteilte Serverfunktionen Die Bereitstellung von Exchange Server 2007 kann als Standardinstallation oder benutzerdefiniert erfolgen Bei einer Standardinstallation werden einer einzelnen Plattform mehrere Serverkomponenten Serverfunktionen hinzugef gt Eine Serverfunktion ist eine Einheit mit der Features und Komponenten die zum Ausf hren bestimmter Funktionen in der Messagingumgebung erforderlich sind logisch zusammengefasst werden Die Serverfunktion dient als Server der zur automatischen Bereitstellung bestimmter Features ausgef hrt werden kann Serverfunktionen sind die vorrangigen Bereitstellungseinheiten und erm glichen dem Administrator eine einfache Auswahl der Features die auf einem Exchange Server installiert werden sollen Logisch in Serverfunktionen gruppierte Features bieten folgende Vorteile e Die Angriffsfl che eines Exchange Servers wird verringert Der Administrator kann weitere Back End Server hinzuf gen ohne den Betrieb der Clientzugriffsserver zu unterbrechen und ohne dass von au erhalb des Unternehmens LANs auf diese Server zugegriffen werden kann e Die Installation ist einfach und die Server k nnen voll und ganz den Gesch ftszielen und anforderungen entsprechend angepasst werden e Die Serverleistung kann sich erh hen da die Gesamtauslastung CPU und Speichernutzung auf zus tzliche Serverplattformen ve
70. h aktiviert ist eine dauerhafte HTTPS Verbindung mit Exchange ActiveSync herstellt gibt es nur zwei M glichkeiten mit denen die Verbindung ber eine Antwort an den Client zur ckgegeben wird Die erste M glichkeit besteht wenn das Postfach des Benutzers ge ndert wird Exchange ActiveSync gibt dann eine Antwort an das mobile Ger t zur ck um es zur Synchronisierung mit dem Exchange Server zu veranlassen Die zweite M glichkeit ist gegeben wenn das Taktintervall der Direct Push Verbindung abl uft In diesem Fall weist Exchange ActiveSync das mobile Ger t an eine neue Direct Push Anforderung zu senden Wenn der HTTP Timeout der Firewall k rzer als das Direct Push Taktintervall ist muss das Ger t eine neue Anforderung senden Im Lauf der Zeit kann das die Bandbreitenauslastung erh hen Es wird deshalb empfohlen den Timeout der Firewall auf 30 Minuten festzulegen Bei einer l ngeren Timeoutdauer treten weniger Timeouts auf was die Bandbreitennutzung verbessert Die folgende Abbildung zeigt die empfohlenen Firewalleinstellungen Set Idle Session Time out Port 443 Inbound to 30 minutes Open Perimeter Internal Windows Mobile 6 Powered Device Exchange 2007 Client Access Server Port 443 Inbound Open Set Set Idle Session Time out Idle Session Time out to 30 minutes to 30 minutes 12 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Technische Erl uterungen zur Direc
71. he Beziehung zwischen dem Zertifikat und der Zertifizierungsstelle und den Hinweis Dieses Zertifikat ist g ltig Aktualisieren von ffentlichen DNS Erstellen Sie in den ffentlichen DNS Servern einen neuen DNS Hosteintrag Benutzer stellen mit dem Namen der Website eine Verbindung her Dieser Name muss dem gemeinsamen Namen bzw dem FQDN Fully Qualified Domain Name vollqualifizierter Dom nenname des auf dem Computer mit ISA Server installierten Zertifikats entsprechen Angenommen ein Benutzer m chte https mail contoso com exchange aufrufen In diesem Fall m ssen die folgenden Bedingungen gegeben sein damit er erfolgreich eine Verbindung herstellen kann e Der FQDN des auf dem Computer mit ISA Server installierten Serverzertifikats muss mail contoso com lauten Wichtig Contoso com ist ein fiktiver Dom nenname Er wird hier lediglich zur Veranschaulichung verwendet und spielt in Ihrem speziellen Netzwerk keine Rolle Der gemeinsame Name des Zertifikats muss mit dem FODN bereinstimmen e Der Benutzer muss mail contoso com in eine IP Adresse aufl sen 55 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 e Die IP Adresse in die mail contoso com aufgel st wird muss im externen Netzwerk des Computers mit ISA Server konfiguriert sein Hinweis Wenn Sie in ISA Server Enterprise Edition mit einem f r den Netzwerklastenausgleich aktivierten Array arbeiten ist die IP Adresse m
72. he IP Adresse nicht die prim re IP Adresse des Netzwerkadapters ist muss zuerst eine sekund re IP Adresse auf dem Computer mit ISA Server konfiguriert werden Anschlie end kann der Weblistener erstellt werden __Ein einziges Zertifikat f r diesen Weblistener verwenden Zertifikat ist ausgestellt f r __ Jeder IP Adresse ein Zertifikat zuweisen Diese Option ist nur verf gbar wenn dem Weblistener eine spezifische IP Adresse zugewiesen wurde Das ist nur erforderlich wenn der Listener mehrere IP Adressen verwendet Zertifikat ist ausgestellt f r Weitere Informationen zur Authentifizierung finden Sie im Abschnitt zur Authentifizierung in ISA Server 2006 unter http go microsoft com fwlink LinkID 87068 amp clcid 0x409 m glicherweise in englischer Sprache ___Einmaliges Anmelden SSO aktivieren SSO Dom ne Erstellen Sie anhand der Informationen in dem Arbeitsblatt einen Weblistener und f hren Sie dann das folgende Verfahren aus So erstellen Sie einen Weblistener 1 Klicken Sie in der Konsolenstruktur der ISA Server Verwaltung auf Firewallrichtlinie e Erweitern Sie in ISA Server 2006 Standard Edition Microsoft Internet Security and Acceleration Server 2006 erweitern Sie Server_Name und klicken Sie dann auf Firewallrichtlinie e Erweitern Sie in ISA Server 2006 Enterprise Edition Microsoft Internet Security and Acceleration Server 2006 erweitern Sie Arrays erweitern Sie Array_Name und klicke
73. hnNcgPr2Ly8U8DCOTKTy MTxiSJMG8AM s gt rowse for a file to insert Certificate Template Web Server v Additional Attributes Attributes 38 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 9 Klicken Sie in das Feld Gespeicherte Anforderung f gen Sie den Inhalt der Datei in das Feld ein und klicken Sie dann auf Einsenden Der Inhalt des Dialogfelds Gespeicherte Anforderung hnelt dem folgenden Beispiel MIIDXzCCAsgCAQAwgYMxLDAgBgNVBAMTI2tOYWxpZHMOLNJIZG1VbmQuY29ycC5 taWNyb3NvZnQuY29tMREwDWwYDVOQALEwhNb2JpbGIOeTEMMAOGA1UEChHMDTVRQ MRAwDgYDVQQHEwdSZWRtb25KMRMWEOYDVOQQIEwpXYXNoaW5ndG9uUMQswCQ YDVQQGEwJVUzCBnzANBgkqhkiG9wOBAQEFAAOBjQAwgYkCgYEAsOSV2UZIWAX2 ou F5S34 6M3A32tJ5gqp c7zliu4SMkcgebhnt2IMMerF5ZMD2lgfhWu49nu1vLtGH K5wWgHYTC3rTFabLZJ1bNtXKB BWWOsmSDYg A7 0CZBArHJmpcOYh40jbAkKkr6 4KM67r8jGEPYGMAZf2DnUg3xUt9pbBECAWEAAaCCAZkKwGgYKKwWYBBAGCNWOCAZ EMFgo1LjAuUMjESNSAyMHsGCisGAQNOBgjcCAQAxbTBrMAAGALUdDWEB wQEAwIEB DBEBgkqhkiG9WOBCOBENZA1MA4GCCIGSIb3DAMCAgIAgDAOBggqhkiG9WODBAI CAlAwBwYFKw4DAgcwCgYIKoZihvcNAwcwEwYDVROIBAwwCgYIKwYBBQUHAwEw gf0GCIisGAQOBgjcNAglIxge4wgesCcAQEeWgBNAGKAYwByAG8AcwBVAGYAdAABAFI AUwWBBACAAUwBDAGgAYOBUAGAAZOBSACAAQwByAHkKACABOAGSAZWBYAGEACA BOAGkAYwAgAFAAcgBVAHYAaQBkAGUAcgOBIQCO5g Nk IsuAJZideg15faBLge4jiiy tYeVBApxLrtUlyWEQuWdPeEFVOGWvsjaGwn WC5M9KVNmcLVsx410tGDXtUETFO D6dSi M9wmEy8bsbeNHXs sntX56AcCxBXh1ALaE4YaE6e zwmE 0O Cmyje3a2olE
74. icherheit des Kennworts die Dauer der Inaktivit t und die Anzahl der fehlgeschlagenen Zugriffsversuche vor dem Zur cksetzen des mobilen Ger ts Weitere Informationen zur Funktionsweise und zum Festlegen von Postfachrichtlinien finden Sie im Abschnitt zum Verwalten von Exchange ActiveSync mit Richtlinien unter http go microsoft com fwlink LinkID 87196 amp clcid 0x409 m glicherweise in englischer Sprache Hinweis Kennwort bezieht sich in diesem Kapitel auf das Kennwort das ein Benutzer zum Entsperren seines mobilen Ger ts eingibt Dieses Kennwort hat nichts mit dem Benutzerkennwort f r das Netzwerk zu tun Die folgende Tabelle zeigt welche Art von Sicherheitsrichtlinien Sie festlegen k nnen Exchange Sicherheitsrichtlinien oder Exchange Exchange Postfachrichtlinien Server 2003 SP2 Server 2007 Kennwort f r das Verwenden oder Konfigurieren des X X Ger ts anfordern Minimale Kennwortl nge festlegen X X Alphanumerisches Kennwort anfordern X X Angeben nach wie vielen Minuten ohne X X Benutzereingabe das Ger t gesperrt wird Ger te remote zur cksetzen X X Speicherkarte remote l schen X Nicht bereitstellbare Ger te vor Messaging and X X Security Feature Pack vertrieben zulassen Intervall f r Ger teaktualisierung festlegen X X Herunterladen von Anlagen zulassen oder verhindern X Maximale Anlagengr e festlegen X Verschl sselung auf der austauschbaren X Speicherkarte aktivieren Datum f r den Kennwor
75. icrosoft Outlook Web Access e Exchange ActiveSync e Post Office Protocol Version 3 POP3 e Internet Messaging Application Protocol Version 4 IMAP4 Hinweis Exchange ActiveSync wird bei Installation der Client Access Serverfunktion aktiviert Die Client Access Serverfunktion wird standardm ig bei einer Exchange Standardinstallation hinzugef gt Bei einer benutzerdefinierten Exchange Installation kann sie auch auf einem gesonderten Server installiert werden Die Entscheidung ob Exchange Server 2007 auf einem einzelnen Server oder in einer Architektur mit verteilten Funktionen bereitgestellt wird h ngt von den Messagingerfordernissen und Anforderungen der Organisation ab Hinweis Installieren Sie die Client Access Serverfunktion nur dann in einem Perimeternetzwerk wenn Sie Exchange im Rahmen einer Microsoft Small Business Server Bereitstellung einsetzen In dieser Konfiguration wird die Verwendung einer Firewall empfohlen um den an Ihren Clientzugriffsserver geleiteten Internetverkehr zu steuern Auch das Ausf hren eines Exchange Best Practice Analyzer im Vorfeld der Bereitstellung geh rt zu den bew hrten Methoden Sie k nnen den Microsoft Exchange Best Practices Analyzer herunterladen 30 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 N Exchange Server 2007 Setup EI Introduction Installation Type EI License Agreement Select the Exchange Server installation type EI Eno R
76. ie die Regel mithilfe des Assistenten wie in der folgenden Tabelle dargestellt Verwenden Sie f r einen einzelnen Webserver die folgende Tabelle Assistent f r neue Exchange Ver ffentlichungsregeln f r eine einzelne Website Assistent f r neue Exchange Ver ffentlichungsregeln f r eine einzelne Website Seite Feld oder Eigenschaft Einstellung Willkommen Name der Exchange Geben Sie einen Namen f r die Regel ein Ver ffentlichungs Beispiel Exchange Webclientver ffentlichung regel Dienste ausw hlen Exchange Version W hlen Sie die richtige Version von Exchange Webclient E Mail aus Beispiel Exchange Server 2007 Dienste W hlen Sie die gew nschte Zugriffsmethode aus Ver ffentlichungs W hlen Sie diese W hlen Sie Einzelne Website oder typ Option aus wenn Lastenausgleich ver ffentlichen aus ber die Regel eine einzelne Website oder ein externer Lastenausgleich eine Webserverfarm oder mehrere Websites ver ffentlicht werden sollen 62 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Sicherheit der Serververbindung Interne Ver ffentlichungs details Details des ffentlichen Namens Weblistener ausw hlen Authentifizierungsd elegierung W hlen Sie die Verbindungstypen aus ber die ISA Server eine Verbindung mit den ver ffentlichten Webservern auf der Serverfarm aufnehmen soll Interner Sitename Anforderungen annehmen f r ffentlich
77. ie Abwesenheitskonfiguration Exchange ActiveSync Postfachrichtlinien Mithilfe von Exchange ActiveSync Postfachrichtlinien kann der Administrator einer Benutzergruppe eine Reihe allgemeiner Richtlinien und Sicherheitseinstellungen zuweisen Mit Exchange Server 2007 sind verschiedene zus tzliche Richtlinien eingef hrt worden die eine umfassendere Verwaltung der Mobile Messaging Umgebung erm glichen Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 a r New Exchange ActiveSync Mai a Ibox Policy New Exchange New Exchange ActiveSync Mailbox Policy o ActiveSync Mailbox This wizard vall help you create a new Exchange ActiveSync malbox pobcy J Completion Mailbox policy name Test Pobcy I Allow non proyisionable devices F Aloy attachments to be downloaded to device Password F Require password 7 Require alphanumenig password I Enable password recovery I Rege enc yplion on I Algm simple password IV Minimum password length IV Time without user input before password must be re entered in 5 minutes I Password expiration days Erkace password histon Hep device a ber die Exchange Verwaltungskonsole k nnen die folgenden Richtlinienoptionen f r Mobile Messaging festgelegt werden Sicherheitsoption Alphanumerisches Kennwort anfordern Kennwortwiederherstellung aktivieren Verschl sselung auf dem Ger t anfordern Einfaches Kennwort zulassen
78. ie richtige IP Adresse aus und klicken Sie auf Hinzuf gen Hinweis W hlen Sie bei ISA Server Enterprise Edition mit einem f r den Netzwerklastenausgleich aktivierten Array eine virtuelle IP Adresse aus W hlen Sie Jeder IP Adresse ein Zertifikat zuweisen aus W hlen Sie die gerade ausgew hlte IP Adresse aus und klicken Sie auf Zertifikat ausw hlen W hlen Sie das Zertifikat aus das Sie gerade auf dem Computer mit ISA Server installiert haben W hlen Sie beispielsweise mail contoso com aus und klicken Sie auf Ausw hlen Das Zertifikat muss vor Ausf hren des Assistenten installiert werden 58 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Willkommen Authentifizierungs einstellungen Einstellungen f r einmaliges Anmelden Fertigstellen des Assistenten Weblistenername W hlen Sie aus wie Clients Anmeldeinformationen an ISA Server bereitstellen Legen Sie fest wie ISA Server die Client Anmeldeinformationen berpr fen soll SSO f r Websites aktivieren die mit diesem Weblistener ver ffentlicht werden SSO Dom nenname Fertigstellen des Assistenten Geben Sie einen Namen f r den Weblistener ein Beispiel Exchange FBA W hlen Sie HTML Formularauthentifizierung f r formularbasierte Authentifizierung aus und w hlen Sie die entsprechende Methode aus mit der ISA Server die Client Anmeldeinformationen berpr fen soll W hlen Si
79. ie sicher dass der private Schl ssel f r das Zertifikat das Sie installieren m chten exportiert werden kann Exportieren des Serverzertifikats in eine Datei Nachdem Sie das Zertifikat auf der von Ihnen erstellten Website installiert haben exportieren Sie es in eine Datei Anschlie end kopieren Sie diese Datei und importieren sie auf den Computer mit ISA Server F hren Sie die folgenden Schritte aus um das soeben installierte Serverzertifikat zu exportieren So exportieren Sie das Serverzertifikat in eine PFX Datei 1 Erweitern Sie im IIS Manager den lokalen Computer und erweitern Sie dann den Ordner Websites 2 Klicken Sie mit der rechten Maustaste auf Website f r Exchange Front End Dienste klicken Sie auf Standardwebsite und klicken Sie dann auf Eigenschaften 3 Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Serverzertifikat um den Assistenten f r Webserverzertifikate zu starten 4 Klicken Sie auf der Willkommenseite auf Weiter Aktivieren Sie Aktuelles Zertifikat in eine PFX Datei exportieren auf der Seite Aktuelle Zertifikatszuweisung ndern 6 Geben Sie auf der Seite Zertifikat exportieren den Pfad und den Dateinamen ein Geben Sie z B C Zertifikate mail_isa pfx ein und klicken Sie dann auf Weiter 7 Geben Sie ein Kennwort f r die PFX Datei ein Das Kennwort wird angefordert wenn ein Benutzer eine PFX Datei importiert Die Verwendung eines sicheren Kennworts wird empfoh
80. ienste Manager Erweitern Sie in Internetinformationsdienste Manager den Servernamen und erweitern Sie dann im linken Bereich der Konsole den Knoten Standardwebsite 2 Klicken Sie mit der rechten Maustaste auf das Verzeichnis Microsoft Server ActiveSync um es hervorzuheben und klicken Sie dann auf Eigenschaften 3 Klicken Sie auf Verzeichnissicherheit Klicken Sie im Abschnitt Authentifizierung und Zugriffssteuerung auf Bearbeiten 4 Die folgende Abbildung zeigt das Dialogfeld Authentifizierungsmethoden Deaktivieren Sie alle Kontrollk stchen au er Standardauthentifizierung das Kennwort wird als Klartext gesendet Aktivieren Sie das Kontrollk stchen Standardauthentifizierung 48 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Authentication Methods FR WW Enable anonymous access Use the following Windows user account for anonymous access User name IUSR_ALNA Browse Password r Authenticated access For the following authentication methods user name and password are required when anonymous access is disabled or access is restricted using NTFS access control lists Integrated windows authentication Digest authentication for Windows domain servers IV Basic authentication password is sent in clear text NET Passport authentication Defaut doman nn setn Realm OoOO O O Select x cma o 5 Klicken Sie in dem Dialogfeld mit
81. iensterweiterung in der IIS Verwaltung berpr fen Erweitern Sie dazu den Servernamen und klicken Sie auf Webdiensterweiterungen Falls die ASP NET Webdiensterweiterung nicht auf Zugelassen festgelegt ist klicken Sie mit der rechten Maustaste auf die Webdiensterweiterung und ndern Sie den Status So deaktivieren Sie Exchange 2007 ActiveSync mithilfe der IIS Verwaltung 1 Klicken Sie auf Start klicken Sie auf Verwaltung und klicken Sie dann auf Internetinformationsdienste Manager 2 Doppelklicken Sie auf den Servernamen um die Struktur zu erweitern Doppelklicken Sie dann auf Anwendungspools um den Ordner zu erweitern Internet Information Services IIS Manager A loj xj Y9 Fie Action view Window Help le xi e omn Tso B em S m 4 Internet Information Services criptio Exchange local computer DefaultAppPool Running 8 ools o ExchangeApplicationPool Running 0 DefaultAppPool o ExchangeMobileBrowseApplic Running iy 6 ExchangeApplicationPool l MSExchangeAutodiscoverApp Running g ExchangeMobileBrowseApplicationpool glt MSExchangeowAAppPool Running ii 2 en a MSExchangeServicesAppPool Running E re ppro o MSExchangeSyncAppPool Running 3 0 MSExchangeServicesAppPool X amp MSExchangeSyncAppPool O MSExchangeumAppPool Running 6f MSExchangeUmAppPool a Web Sites W Web Service Extensions 75 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 3 Klicken Sie m
82. iffsserver Client Access Serverfunktion der die Kommunikation mit Exchange Server 2007 ActiveSync bernimmt als Front End f r das Back End Postfachserver Mailbox Serverfunktion ISA Server 2006 befindet sich im Perimeternetzwerk und filtert eingehende Anforderungen an den Clientzugriffsserver Ein Vorteil einer verteilten Architektur besteht darin dass die CPU und Speichernutzung eines einzelnen Servers entlastet wird 11 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Je nach Gr e der Organisation kann diese Topologie dabei helfen die Gesamtleistung des Mobile Messaging Systems zu verbessern Bei weniger umfangreichen Implementierungen k nnen die Client Access und die Mailbox Funktion auf demselben Computer bereitgestellt werden Weitere Informationen zu Serverfunktionen und zur Planung einer verteilten Bereitstellung von Exchange Server 2007 finden Sie im Abschnitt zur Planung und Architektur in Microsoft Exchange Server 2007 unter http go microsoft com fwlink LinkID 87058 amp clcid 0x409 m glicherweise in englischer Sprache Bew hrte Methode Konfigurieren der Firewall f r eine optimale Direct Push Leistung Um die Bandbreite des mobilen Clients optimieren zu k nnen m ssen Sie die Folgen der HTTP Timeouteinstellungen auf die Firewall und andere Ger te kennen die mit dem Microsoft Exchange Clientzugriffsserver in Verbindung stehen Wenn ein Ger t f r das Direct Pus
83. ines OMA Client Provisioning Servers ehemals WAP Client Provisioning e In eine CPF Datei gepackt und mit Internet Explorer Mobile ActiveSync SI SL oder eine Speicherkarte bertragen Hinweis F hren Sie das Provisioning nach M glichkeit mit OTA Methoden aus Wenn Sie die XML Konfiguration in einer anderen Datei bertragen m ssen sollten Sie die Provisioningdokumente in ein CPF Format CAB Provisioning Format packen und signieren Ein XML Provisioningdokument kann m glicherweise nicht auf einem Windows Mobile basierten Ger t installiert werden wenn die Datei mit den Dokumenten nicht signiert ist Hinweis CAB Dateien und alle darin enthaltenen DLL und EXE Dateien m ssen signiert sein einschlie lich reiner Ressourcen DLLs Weitere Informationen zum Provisioning von Windows Mobile 6 basierten Ger ten finden Sie auf der Homepage Windows Mobile auf der MSDN Website unter http www microsoft com germany msdn mobile default mspx 86 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 7 Verwalten und Konfigurieren von Windows Mobile 6 basierten Ger ten Als Administrator stehen Ihnen mit Microsoft Exchange Server 2007 Tools zur Verf gung mit denen Sie Sicherheitsrichtlinien f r mobile Ger te festlegen und durchsetzen k nnen Au erdem k nnen Sie einige der Features auf den mobilen Ger ten mit den Provisioningtools steuern In diesem Thema finden Sie Anweisungen und
84. irect Push Einstellungen F r die verschiedenen Direct Push Einstellungen werden bestimmte Werte empfohlen damit eine angemessene Leistung w hrend des Direct Push Vorgangs sichergestellt ist Taktintervall Der Mobilfunkbetreiber legt das Taktintervall im Ger t fest Ein Taktintervall von 30 Minuten schont die Lebensdauer der Batterie Wenn die Direct Push Sitzungen l nger dauern z B 30 Minuten gibt es weniger HTTP Roundtrips weniger gesendete und empfangene Daten und einen geringeren Energieverbrauch des Ger ts Bei einem zu kurzen Taktintervall ist der Benutzer zwar stets auf dem Laufenden die Batterie wird jedoch wegen der st ndigen Ping Anforderungen an den Server st rker beansprucht Mindesttaktintervall Wenn ein Ger t mit einem niedrigeren Taktintervall als dem Mindesttaktintervall eine Verbindung mit dem Exchange Server anfordert warnt der Server den Administrator durch einen Eintrag im Ereignisprotokoll dass das Direct Push nicht funktioniert Exchange Sitzung Damit die Ger teinformationen aktuell sind und die Batterie geschont wird sollte die Dauer der Exchange Serversitzung etwas h her sein als das Maximaltaktintervall Wenn die Sitzung k rzer ist wird m glicherweise 26 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 das Zeitlimit f r den Leerlauf berschritten und die Sitzung wird beendet Die Folge w re dass E Mail Nachrichten erst bermittelt werden wenn
85. it der rechten Maustaste auf MSExchangeSyncAppPool und klicken Sie dann auf Beenden um Exchange ActiveSync zu deaktivieren Hinweis Ist der Befehl Beenden nicht verf gbar dann ist Exchange ActiveSync auf diesem Server bereits deaktiviert Weitere Informationen zum Aktivieren von Exchange ActiveSync finden Sie unter Verwalten von Exchange ActiveSync m glicherweise in englischer Sprache 76 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 6 Zertifikatregistrierung und Ger teprovisioning In diesem Abschnitt werden digitale Zertifikate erl utert Sie erfahren wie Sie Ihre mobilen Ger te mit digitalen Zertifikaten identifizieren und einen sicheren Authentifizierungspfad f r den Zugriff auf das Unternehmensnetzwerk bereitstellen Au erdem wird das Ger teprovisioning beschrieben das bei der Verwaltung von Ger ten in Unternehmen hilfreich sein kann Zertifikate auf Windows Mobile basierten Ger ten Digitale Zertifikate spielen eine wichtige Rolle bei der Authentifizierung im Netzwerk und beim Sichern von Ger ten Zertifikate sind elektronische Anmeldeinformationen die die Identit t des Zertifikatbesitzers oder des Ger ts an ein aus einem ffentlichen und einem privaten Schl ssel bestehendes Paar elektronischer Schl ssel binden das zum Verschl sseln und digitalen Signieren von Informationen dient Mithilfe signierter digitaler Zertifikate kann sichergestellt werden dass di
86. izierung installieren m chten k nnen Sie das Tool f r die Bereitstellung einer zertifikatbasierten Exchange ActiveSync Authentifizierung verwenden Das Tool kann auf der Microsoft Download Center Website heruntergeladen werden http go microsoft com fwlink Linkld 54738 Weitere Informationen finden Sie im Knowledge Base Artikel zum Installieren von Stammzertifikaten auf einem Windows Mobile Ger t auf der folgenden Website von Microsoft http go microsoft com fwlink LinkID 89647 amp clcid 0x409 m glicherweise in englischer Sprache Hinzuf gen von Zertifikaten zu Windows Mobile 6 basierten Ger ten Sie k nnen f r Windows Mobile 6 basierte Ger te eine CAB Datei mit einem f r Ihre Organisation geeignetem Zertifikat erstellen Die Rolle Benutzer erm glicht den Benutzern diese CAB Datei zu installieren um das Zertifikat dem Stamm und dem Zertifizierungsstellenspeicher im HKCU Speicher des Ger ts hinzuzuf gen 81 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Sie k nnen auch die Registrierfunktion der Exchange ActiveSync Desktopsoftware verwenden um das verschl sselte Zertifikat und Schl sselpaar f r die zertifikatbasierte Authentifizierung oder f r die 802 1x Funkverbindung zu verteilen Das Zertifikatinstallationsprogramm auf Windows Mobile 6 basierten Ger ten installiert in den folgenden Formaten erhaltene Zertifikate e _PFX P12 Public Key Cryptography Standards
87. ld Snap In hinzuf gen entfernen auf OK Erweitern Sie den Knoten Zertifikate and klicken Sie mit der rechten Maustaste auf den Ordner Eigene Zertifikate W hlen Sie Alle Aufgaben und klicken Sie dann auf Importieren Der Zertifikatimport Assistent wird ge ffnet Klicken Sie auf der Willkommenseite auf Weiter Suchen Sie auf der Seite Importdateiname die Datei die Sie zuvor erstellt und auf den Computer mit ISA Server kopiert haben und klicken Sie dann auf Weiter Geben Sie auf der Seite Kennwort das Kennwort f r diese Datei ein und klicken Sie dann auf Weiter Hinweis Die Seite Kennwort enth lt die Option Schl ssel als exportierbar markieren W hlen Sie diese Option nicht aus wenn Sie das Exportieren des Schl ssels vom Computer mit ISA Server nicht zulassen m chten Stellen Sie auf der Seite Zertifikatspeicher sicher dass Alle Zertifikate in folgendem Speicher speichern aktiviert und Zertifikatspeicher auf Zertifikate automatisch registrieren festgelegt ist und klicken Sie dann auf Weiter Klicken Sie auf der letzen Seite des Assistenten auf Fertig stellen berpr fen Sie ob das Serverzertifikat ordnungsgem installiert wurde Klicken Sie auf Zertifikate und doppelklicken Sie dann auf das neue Serverzertifikat Die Registerkarte Allgemein sollte einen Hinweis enthalten dass Sie einen privaten Schl ssel besitzen der diesem Zertifikat entspricht Auf der Registerkarte Zertifizierungspfad sehen Sie die hierarchisc
88. le 15 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Hinweis Der Computer mit ISA Server fungiert als erweiterte Firewall im Perimeternetzwerk das den Internetdatenverkehr aufnimmt Er kommuniziert direkt mit den LDAP Servern und den internen Exchange Servern Der Computer mit ISA Server erh ht die Sicherheit da er alle SSL Clientanforderungen abf ngt und an die Exchange Back End Server weiterleitet In dieser Konfiguration liegen die Exchange Server innerhalb des Unternehmensnetzwerks und der Computer mit ISA Server fungiert als erweiterte Firewall im Perimeternetzwerk Das ergibt eine zus tzliche Sicherheitsschicht f r das Netzwerk Der gesamte ber Port 443 eingehende Datenverkehr aus dem Internet wird von ISA Server 2006 abgefangen ISA Server beendet die SSL Verbindung authentifiziert den Benutzer und berpr ft die Anforderung G ltige Anforderungen werden dann zur Verarbeitung an den Exchange Clientzugriffsserver weitergeleitet Weitere Informationen zum Exchange Clientzugriff finden Sie unter Konfigurieren von ISA Server 2006 f r Exchange Clientzugriff m glicherweise in englischer Sprache Die folgende Tabelle enth lt berlegungen zur Bereitstellung von ISA Server 2006 als erweiterte Firewall in einem Perimeternetzwerk als Dom nenmitglied und weitere m gliche ISA Topologien Einrichtungs Beschreibung Weitere berlegungen typ Firewall n Alle Excha
89. le an 1 Melden Sie sich mit einem Administratorkonto am Exchange Server an 2 Klicken Sie auf Start klicken Sie auf Programme klicken Sie auf Verwaltung und klicken Sie dann auf Internetinformationsdienste Manager 3 Doppelklicken Sie auf den Servernamen um die Websites anzuzeigen Klicken Sie mit der rechten Maustaste auf Standardwebsite und klicken Sie dann auf Eigenschaften 34 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 4 Klicken Sie auf die Registerkarte Verzeichnissicherheit Die folgende Abbildung zeigt das IIS Manager Fenster und die Registerkarte Verzeichnissicherheit Klicken Sie unter Sichere Kommunikation auf Serverzertifikat Internet Information Services IIS Manager Cg Ele aton yew window He leixl gt BIBl2 8 i Internet Information Services C mu Default Web Site Properties E ALNA local computer 4 WebSte Performance ISAPIFiters HomeDirectory re Documents Directory Securty HTTP Headers Custom Errors 8 Web Stes IM Defauk Web Ste M Authentication and access control E CertControl Enable anonymous access and edt the CertEnroll RL authentication methods for this resource a is Pi a i u 8 1 Exadmin i J I Exchange MIP address and domain name restrictions 7 89 Exchweb Grant or deny access to this resource using Microsoft Serv IP addresses or Internet domain n
90. len da die PFX Datei auch den privaten Schl ssel enth lt Wichtig bertragen Sie die PFX Datei mit einer sicheren Methode auf den Computer mit ISA Server Die Datei enth lt den privaten Schl ssel f r das Zertifikat das auf dem Computer mit ISA Server installiert werden soll Importieren des Serverzertifikats auf dem Computer mit ISA Server F hren Sie auf dem Computer mit ISA Server die folgenden Schritte aus um das Serverzertifikat in den Speicher des lokalen Computers zu importieren So importieren Sie ein Serverzertifikat auf dem Computer mit ISA Server 1 Kopieren Sie die im vorherigen Abschnitt erstellte PFX Datei mit einer sicheren Methode auf den Computer mit ISA Server 2 Klicken Sie auf Start und dann auf Ausf hren Geben Sie mmc in das Feld ffnen ein und klicken Sie dann auf OK 3 Klicken Sie im Men Datei auf Snap In hinzuf gen entfernen Klicken Sie dann im Dialogfeld Snap In hinzuf gen entfernen auf Hinzuf gen um das Dialogfeld Eigenst ndiges Snap In hinzuf gen zu ffnen 54 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 4 10 11 12 13 W hlen Sie Zertifikate aus und klicken Sie auf Hinzuf gen Klicken Sie auf Computerkonto und klicken Sie dann auf Weiter Klicken Sie auf Lokaler Computer und klicken Sie dann auf Fertig stellen Klicken Sie im Dialogfeld Eigenst ndiges Snap In hinzuf gen auf Schlie en und klicken Sie dann im Dialogfe
91. len Ger ten in einer Exchange Server 2003 Umgebung durchzuf hren Diese Funktionalit t ist der Exchange Verwaltungskonsole hinzugef gt worden Somit sind nun alle Verwaltungsfunktionen in einer einzigen Benutzeroberfl che zusammengefasst 9 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Microsoft Exchange Server 2007 Management Pack f r Microsoft Operations Manager MOM 2005 Das Exchange Server 2007 Management Pack enth lt Regeln und Skripts zur berwachung und Berichterstellung hinsichtlich der Leistung Verf gbarkeit und Zuverl ssigkeit aller Exchange 2007 Serverfunktionen Mailbox Client Access Hub Transport Edge Transport und Unified Messaging Die Themen zum Exchange Server 2007 Management Pack f r MOM 2005 erl utern wie die Messagingressourcen berwacht und verwaltet werden Sie finden die speziellen Themen online im Abschnitt zum berwachen von Exchange 2007 mit Microsoft Operations Manager 2005 SP1 unter http go microsoft com fwlink LinkID 87063 amp clcid 0x409 m glicherweise in englischer Sprache MOM 2005 und Microsoft Exchange Server 2007 sind f r das Microsoft Exchange Server 2007 Management Pack erforderlich 10 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Bew hrte Methoden f r die Bereitstellung von Mobile Messaging In diesem Abschnitt werden die bew hrten Methoden f r die Bereitstellung des Mobile Messaging
92. len Sie deshalb sicher dass die Einstellungen f r Outlook Web Access und benutzerdefinierten Konfigurationen auf dem Exchange Server 2003 Back End Server mit den Konfigurationen auf dem Exchange Server 2003 Front End Server bereinstimmen Anschlie end k nnen Sie die Front End Server au er Betrieb nehmen und den Clientzugriffsserver installieren Wenn Sie die Serverfunktionen auf verschiedener Hardware installieren sollten Sie die Serverfunktionen in der folgenden Reihenfolge bereitstellen 1 Installieren Sie zuerst die Client Access Serverfunktion um alle Front End Server zu ersetzen 2 Stellen Sie die Hub Transport Serverfunktion bereit und konfigurieren Sie die Routinggruppenconnectors Sendeconnectors und Empfangsconnectors 3 Stellen Sie die Mailbox Serverfunktion bereit und verschieben Sie die Postf cher auf den neuen Server Hinweis Weitere Informationen zur Installation von Exchange Server 2007 in der Organisation finden Sie unter Schritt 1 Installieren von Exchange Server 2007 mit der Client Access Serverfunktion Einrichtungstyp Beschreibung Weitere berlegungen Exchange Server 2007 Exchange 2007 2003 werden im Alle Server an einem Standort Clientzugriffsserver und Exchange Front End und Back End Stil sollten dieselbe Exchange Version Server 2003 Netzwerk im verwendet M glichkeit zur verwenden Unternehmensnetzwerk Verwendung der Exchange Server 2007 Verwaltungsfunktionen 20 Bereitstellen von Windows Mobil
93. m Fall sendet Exchange eine Antwort auf die Anforderung und identifiziert den Ordner in dem die nderung stattfand 3 Der Client reagiert folgenderma en auf die Antwort des Exchange Servers e Wenn er eine HTTP 200 OK Antwort empf ngt d h keine nderung erfolgt ist sendet er eine erneute Ping Anforderung e Wenn er eine andere Antwort als HTTP 200 OK empf ngt sendet er eine Synchronisierungsanforderung an jeden ge nderten Ordner Nach Abschluss der Synchronisierung sendet der Client erneut die Ping Anforderung e _Empf ngt der Client innerhalb der angegebenen Zeitspanne keine Antwort vom Exchange Server verk rzt er das Zeitintervall in der Ping Anforderung und sendet die Anforderung erneut Direct Push Anpassung W hrend des Direct Push Vorgangs wartet das Ger t aufeinanderfolgende Roundtrips ab Erst dann passt es die Zeitspanne an in der eine Verbindung mit dem Server aufrechterhalten bleiben muss Die Zeitspanne die der Server auf PIM nderungen oder auf den Eingang neuer E Mail Nachrichten wartet bevor die OK Antwort an den Client gesendet wird ist das Taktintervall Das Taktintervall wird vom Client angegeben und im Rahmen der Ping Anforderung bermittelt Der Takt beginnt mit der Standarddauer Der Direct Push Algorithmus auf dem Client passt dann das Taktintervall dynamisch an um die maximale Zeitspanne zwischen den Takten ohne berschreitung des Timeoutwerts zu erhalten Die Anpassung h ngt von den
94. mobile Ger te auf den Exchange Server Schritt 6 Zertifikatregistrierung und Ger teprovisioning Schritt 7 Verwalten und Konfigurieren von Windows Mobile 6 basierten Ger ten Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Planungsressourcen Die folgenden Websites und technischen Artikel von Microsoft enthalten Hintergrundinformationen die bei der Planung und Bereitstellung Ihrer Mobile Messaging L sung hilfreich sein k nnen Exchange Server 2007 Windows Server 2003 ISA Server 2006 lIS 6 0 Bereitstellungshandbuch f r Exchange Server 2007 http go microsoft com fwlink LinkID 87058 amp clcid 0x409 m glicherweise in englischer Sprache Bereitstellungshandbuch f r Windows Server 2003 http go microsoft com fwlink Linkld 62630 m glicherweise in englischer Sprache Bereitstellen von Exchange Server 2007 mit ISA Server 2006 http go microsoft com fwlink LinkID 87060 amp clcid 0x409 m glicherweise in englischer Sprache Windows Server 2003 Technische Referenz http go microsoft com fwlink Linkld 62631 m glicherweise in englischer Sprache IIS 6 0 Bereitstellungshandbuch IIS 6 0 http go microsoft com fwlink Linkld 62632 m glicherweise in englischer Sprache Microsoft Exchange Server TechCenter http go microsoft com fwlink Linkld 62633 m glicherweise in englischer Sprache Supporting Windows Mobile Powered Devices Within the Enterprise Corporate Guidelines for Each
95. n Wenn ein wiederholter Roundtrip ohne Antwort vom Server folgt sendet der Client eine k rzere Anforderung 8 Minuten In diesem Beispiel wird der Takt auf einen Mindesttaktwert 8 Minuten ge ndert da der Takt w hrend des letzten Pings nicht erh ht worden ist 4 Da w hrend des Taktintervalls keine E Mail Nachricht eingegangen ist gibt der Server eine HTTP 200 OK Antwort zur ck 5 Durch die Serverantwort wird der Client aktiv Nachdem w hrend des Intervalls kein Timeout erfolgt ist erkennt der Client dass das Netzwerk Leerlaufverbindungen von mindestens dieser Dauer unterst tzt Wenn es sich um einen wiederholten Roundtrip handelt kann der Client das Intervall f r die n chste Anforderung erh hen Auswirkungen von Direct Push auf Netzwerke und Exchange Server Der Algorithmus der den Takt festlegt minimiert au erdem die ber ein Funknetzwerk bertragenen Bytes und schont die Lebensdauer der Batterie Die Implementierung einer Datenkomprimierung verringert die Gr e der zwischen dem Exchange Server Client Access Serverfunktion und dem Client bermittelten Pakete Die beanspruchte Bandbreite und die entsprechenden Auswirkungen auf den Datenplan des Benutzers h ngt gr tenteils von den folgenden Faktoren ab e Welche Daten der Benutzer synchronisiert z B mehr als nur die Standardordner e Wie viele Daten im Postfach und auf den mobilen Ger ten ge ndert werden Auswirkungen von nderungen der D
96. n um jeweils den LDAP Servernamen oder die IP Adresse hinzuzuf gen Geben Sie dc01 in das Feld Servername ein und klicken Sie auf OK Klicken Sie auf OK um das Dialogfeld LDAP Serversatz hinzuf gen zu schlie en Klicken Sie auf Neu um das Dialogfeld Neue LDAP Serverzuordnung zu schlie en 2 0 N Geben Sie corp in das Feld Anmeldeausdruck ein W hlen Sie in LDAP Serversatz den Eintrag CorpLDAP aus und klicken Sie auf OK 10 Klicken Sie auf Schlie en um das Fenster Authentifizierungsserver zu schlie en Erstellen eines LDAP Benutzersatzes Um Benutzer durch LDAP zu authentifizieren m ssen Sie festlegen welche Benutzer zu authentifizieren sind und wer die Benutzerauthentifizierung durchf hrt Hierzu m ssen Sie zun chst einen LDAP Benutzersatz erstellen F hren Sie die folgenden Schritte aus um einen LDAP Benutzersatz zu erstellen e Wenn Sie ISA Server 2006 Standard Edition verwenden f hren Sie das folgende Verfahren auf dem Computer isa01 aus e Wenn Sie ISA Server 2006 Enterprise Edition verwenden f hren Sie das folgende Verfahren auf dem Computer storage0l aus So erstellen Sie einen LDAP Benutzersatz Klicken Sie in der Konsolenstruktur der ISA Server Verwaltung auf Firewallrichtlinie Seite Feld oder Eigenschaft Einstellung Willkommen Benutzersatzname Geben Sie LDAPBenutzer ein Benutzer W hlen Sie Benutzer aus die in Klicken Sie auf Hinzuf gen und w hlen Sie LDAP diesem Benutzersatz enthalten sein
97. n Sie dann auf Firewallrichtlinie 57 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 2 Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte klicken Sie auf Neu und w hlen Sie dann Weblistener Erstellen Sie den Weblistener mithilfe des Assistenten wie in der folgenden Tabelle dargestellt Weblistenername Geben Sie einen Namen f r den Weblistener ein Beispiel Exchange FBA Willkommen Sicherheit der Clientverbindung Weblistener IP Adressen Auswahl der externen Netzwerklistener IP Listener SSL Zertifikate Zertifikat ausw hlen W hlen Sie die Art der Verbindungen aus die dieser Weblistener mit Clients herstellen soll In diesen Netzwerken auf eingehende Webanforderungen achten ISA Server komprimiert die Inhalte die ber diesen Weblistener an die Clients geschickt werden Anforderungen abh ren auf Verf gbare IP Adressen W hlen Sie ein Zertifikat f r jede IP Adresse aus oder legen Sie ein einziges Zertifikat f r diesen Weblistener fest W hlen Sie aus der Liste verf gbarer Zertifikate ein Zertifikat aus W hlen Sie Sichere SSL Verbindungen mit Clients erforderlich aus W hlen Sie das externe Netzwerk aus Das Kontrollk stchen sollte aktiviert sein Standard Klicken Sie auf IP Adressen ausw hlen W hlen Sie Angegebenen IP Adressen auf dem ISA Server Computer im ausgew hlten Netzwerk aus W hlen Sie d
98. nge Server befinden Der gesamte Exchange Datenverkehr wird im Ba sich im Unternehmensnetzwerk Voraus authentifiziert was Angriffsfl che und in Perimeter FBA oder Risiko reduziert netzwerk Standardauthentifizierung SSL ist f r Exchange ActiveSync zur Verschl sselung des gesamten Messagingverkehrs konfiguriert ISA Server fungiert als erweiterte Firewall im Perimeternetzwerk das den Internetdatenverkehr aufnimmt ISA Server 2006 kommuniziert direkt mit LDAP und RADIUS Servern LDAP Authentifizierung LDAP LDAPS LDAP GC und LDAPS GC werden unterst tzt Da jeder Dom nencontroller nur die Benutzer seiner Dom ne authentifizieren kann fragt ISA Server standardm ig den globalen Katalog f r eine Die Clientauthentifizierung f r Exchange ist mit Windows Kerberos LDAP LDAPS RADIUS oder RSA SecurlD m glich Die Clientauthentifizierung f r ISA Server ist auf FBA Standard LDAP und RADIUS beschr nkt Port 443 muss in der Firewall f r eingehenden und ausgehenden Internet Datenverkehr ge ffnet sein Ein digitales Zertifikat zum Herstellen einer Verbindung mit dem Konfigurationsspeicherserver ist erforderlich Auf Konfigurationsspeicherserver beschr nkt ADAM Einschr nkung Dom nenadministratoren haben keinen Zugriff auf das Firewallarray Arbeitsgruppenkclients k nnen die Windows Authentifizierung nicht verwenden Gespiegelte Konten zum berwachen von Arrays m ssen verwaltet werden Gesam
99. nisse werden in einem Standardnachrichtenordner angezeigt e Der Benutzer kann Felder Ordner und Datumsbereiche angeben die durchsucht werden sollen e Der Benutzer kann Nachrichtentext und Anlagen aus den Suchergebnissen abrufen e Die Ergebnisse bleiben bis zur n chsten Suche oder bis sie vom Benutzer gel scht werden im Suchordner e Der Benutzer sieht die maximale Anzahl der verf gbaren Suchergebnisse Dokumentzugriff auf SharePoint und Windows Dateifreigaben Der SharePoint Dokumentzugriff erm glicht es authentifizierten mobilen Benutzern die in HTML Nachrichten eingebetteten Links auszuw hlen und Dokumente zu ffnen die auf SharePoint Servern gespeichert sind Dasselbe gilt auch f r freigegebene UNC Dokumente Universal Naming Convention Dadurch m ssen die Dateien der E Mail Nachricht nicht als Anlage hinzugef gt werden was Bandbreiten und Speicherkapazit ten spart Au erdem stellt diese Vorgehensweise sicher dass der Empf nger die neueste Version eines Dokuments erh lt Mobile Benutzer k nnen au erhalb der Unternehmensfirewall in der Regel nicht auf Dokumente zugreifen Die Verwendung von Microsoft Exchange Server 2007 als Proxy oder Redirector f r das Dokument l st dieses Problem Dabei k nnen HTML Nachrichten wie bei herk mmlichen Anlagen Links zu SharePoint Dokumenten enthalten Hinweis Windows Mobile 6 erm glicht einen schreibgesch tzten Zugriff auf Elemente die in SharePoint und in UNC Freigaben gespei
100. nkID 87058 amp clcid 0x409 m glicherweise in englischer Sprache Optionale Komponenten e Sie k nnen die folgenden optionalen Komponenten f r Sicherheitsfeatures und zur Ger teverwaltung implementieren e Microsoft Internet Security and Acceleration Server 2006 e Windows Zertifizierungsstelle e RSA Authentication Manager 6 0 von RSA Security e RSA Authentication Agent f r Microsoft Windows von RSA Security e RSA SecurlD Authenticator von RSA Security Weitere Informationen zu Gruppenrichtlinien finden Sie weiter unten in diesem Dokument unter Szenarien der Netzwerkarchitektur bersicht ber die Bereitstellungssoftware Da sich die Netzwerkinfrastrukturen und Sicherheitsrichtlinien der Unternehmen unterscheiden gibt es keinen einheitlichen Bereitstellungsprozess f r die Mobile Messaging Installation Es gibt sowohl erforderliche als auch empfohlene Schritte zur Bereitstellung einer Messagingl sung mit Microsoft Exchange Server 2007 und Windows Mobile 6 basierten Ger ten Die Bereitstellung kann in sieben Schritten erfolgen Schritt 1 Installieren von Exchange Server 2007 mit der Client Access Serverfunktion Schritt 2 Aktualisieren der Server mit Sicherheitspatches Schritt 3 Sch tzen der Kommunikation zwischen Exchange Server 2007 und Windows Mobile 6 basierten Ger ten Schritt 4 Installieren und Konfigurieren von ISA Server 2006 oder einer anderen Firewall Schritt 5 Konfigurieren und Verwalten des Zugriffs ber
101. nnnnnnnnnnennnnnnnennn Sch tzen von IIS durch eine Verringerung potenzieller Angriffsfl chen 22200002222220200nnnnenneeneennn SCHRITT 4 INSTALLIEREN UND KONFIGURIEREN VON ISA SERVER 2006 ODER EINER ANDEREN FIREWALL Verra Nre aaan a e PEECH ER PETE EUEERTEIPNEEHEE N RE EEE PEUFSERRENNORTELLEEFGEUHE N Installieren von ISA Server 2006 uuuusssssnsssnsnenssnnnnennnnnnnnnnnenunnnnnnnnnnnnnnnnnennnnnnnensnnnsennnnnnssnnnnnnensnnnsnssnnnnnsnnnnnnnn Installieren eines Serverzertifikats auf dem Computer mit ISA Server zecceeeseennnnnennnnnnnnnnnnnenunnnnnnnnnenennnnnnnnnnn Aktualisieren von ffentlichen DNS u002222222sssenennssnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennn Erstellen der Exchange ActiveSync Webver ffentlichungsregel 00002222222000000 nnnnnnnnnnnnnnnnnnnnnennnnnnnnneenn Konfigurieren von ISA Server 2006 f r die LDAP Authentifizierung 2222222220002222202nnnnnnnnnnnnnnnnnnnnnnnnennn Festlegen des Zeitlimits f r Leerlaufsitzungen f r Firewalls und Netzwerkger te auf 1800 Sekunden 66 Testen der Exchange Ver ffentlichungsregel 220000sueenennnsnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnneenn SCHRITT 5 KONFIGURIEREN UND VERWALTEN DES ZUGRIFFS BER MOBILE GER TE AUF DEN EXCHANGE SERVER Erstellen von Exchange ActiveSync Postfachrichtlinien 222222200000022000nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnennnnnnnnnnn
102. nt Access Server role Einrichtungstyp Beschreibung Weitere berlegungen Firewall eines Drittanbieters ffnen Sie in der Firewall des Zur Bereitstellung von Mobile Drittanbieters den eingehenden Messaging ist keine zus tzliche Port 443 Konfigurieren Sie den Hardware oder Software Direct Push Zugriff f r mobile erforderlich Ger te Option 3 Parallele Bereitstellung von Exchange Server 2007 und Exchange Server 2003 Wenn eine Organisation ihre Unternehmensarchitektur nicht auf Exchange Server 2007 umstellen m chte gibt es noch eine dritte Alternative Bei einer Front End Serverinstallation k nnen einige neue Features des Exchange Server 2007 Clientzugriffsservers f r mobile Clients verwendet werden Hinweis Die folgende Abbildung zeigt zwar eine m gliche IT Infrastruktur es wird jedoch dringend empfohlen f r alle Server eines Standorts die gleiche Version von Microsoft Exchange zu verwenden 18 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Corporate Network Perimeter Network Active Directory LDAP Cellular Network Intemet Windows Mobile 6 Powered ActiveSync HTTPS ISA Server 2006 Bi Exchange Server 2007 Exchange Server 2003 Client Access Server role Welche Version von Exchange ActiveSync von Clients verwendet wird h ngt auch von der Version des Servers ab auf dem sich das Postfach des Benutzers befindet Wenn ein Client eine Verbin
103. nter http go microsoft com fwlink LinkID 884108 amp clcid 0x409 m glicherweise in englischer Sprache Neue Features Exchange Server 2007 Microsoft Exchange Server 2007 bietet verschiedene neue Features die die Leistung Ihrer Windows Mobile 6 Messagingl sung erh hen und die Verwaltung vereinfachen Nahezu alle Verwaltungsaufgaben erfolgen ber die Exchange Verwaltungskonsole Zus tzliche Tools zur Ger teverwaltung sind somit berfl ssig Die folgenden Features sind neu in Exchange Server e Neue Exchange Server 2007 ActiveSync Funktionalit t e Exchange ActiveSync Postfachrichtlinien e Verteilte Serverfunktionen e _Exchange Verwaltungskonsole e Microsoft Exchange Server 2007 Management Pack f r Microsoft Operations Manager MOM 2005 Neue Exchange Server 2007 ActiveSync Funktionalit t Exchange ActiveSync wird bei installierter Client Access Serverfunktion standardm ig f r Exchange Server 2007 aktiviert Exchange ActiveSync ist in Exchange Server 2007 verbessert worden Folgende neue ActiveSync Features sind verf gbar e Unterst tzung f r HTML Nachrichten e Unterst tzung f r Nachverfolgungskennzeichnungen e Unterst tzung f r den schnellen Nachrichtenabruf e Informationen zu Besprechungsteilnehmern e Verbesserte Exchange Suche e Zugriff auf Windows SharePoint Services und UNC Dokumente e Zur cksetzen der PIN e Erweiterte Features zur Ger tesicherheit durch Kennwortrichtlinien e Unterst tzung f r d
104. ondern erfordern einen Exchange Server 2007 Clientzugriffsserver und einen Exchange Server 2007 Postfachserver e _Remoteeinstellung von Abwesenheitsantworten e Zugriff auf SharePoint und UNC Dokumente e Kennzeichnung von E Mail e Durchsuchen des Postfachs nach E Mail e Erweitertes Anzeigen von Teilnehmern e Neue Features zu Sicherheitsrichtlinien f r die Smartcardverschl sselung 19 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 e _Gruppenbasierte Richtlinien e Alle sonstigen Features die sich auf die neue Version von ActiveSync oder des Benutzerpostfachs beziehen Bei der Umstellung von Exchange Server 2003 auf Exchange Server 2007 migrieren Sie in der Regel alle Exchange Server in einer bestimmten Routinggruppe oder einem Active Directory Standort gleichzeitig konfigurieren die Parallelinstallation und migrieren dann den n chsten Standort Wichtig Stellen Sie fest ob Sie Einstellungen f r Outlook Web Access oder benutzerdefinierte Konfigurationen Sicherheitsupdates Designs und Anpassungskonfigurationen der Exchange Server 2003 Front End Server beibehalten m chten bevor Sie die Clientzugriffsserver konfigurieren und die Exchange 2003 Front End Server au er Betrieb nehmen F r die Installation von Exchange Server 2007 ist eine 64 Bit Hardware erforderlich Bei der Installation werden keine Einstellungen oder benutzerdefinierten Konfigurationen aus Exchange Server 2003 bernommen Stel
105. onfigurieren um die Integrit t von Inhalten und die Identit t von Benutzern zu berpr fen und um die Daten bertragungen im Netzwerk zu verschl sseln Die folgenden Schritte veranschaulichen wie SSL f r Exchange ActiveSync konfiguriert wird 1 Anfordern und Installieren eines Serverzertifikats 2 berpr fen der Installation 3 Sichern des Serverzertifikats 4 Aktivieren von SSL f r das virtuelle Verzeichnis von Exchange ActiveSync Hinweis Sie m ssen Mitglied der Gruppe Administratoren auf dem lokalen Computer sein oder ber entsprechende Rechte verf gen um die folgenden Verfahren ausf hren zu k nnen Es ist eine bew hrte Sicherheitsmethode wenn Sie sich am Computer mit einem Konto anmelden das nicht zur Gruppe Administratoren geh rt F hren Sie dann den Befehl Ausf hren aus um den IIS Manager als Administrator auszuf hren Geben Sie an der Eingabeaufforderung folgenden Befehl ein runas user administrative_accountname mmc systemroot system32 inetsrv iis msc Anfordern und Installieren eines Serverzertifikats Folgen Sie diesen Anweisungen um ein Serverzertifikat anzufordern zu installieren die Installation zu berpr fen und das Zertifikat zu sichern Wenn Sie zum Anfordern und Installieren eines Serverzertifikats den Assistenten f r Webserverzertifikate verwenden wird das Verfahren als Erstellen und Zuweisen eines Serverzertifikats bezeichnet So fordern Sie ein Serverzertifikat von einer Zertifizierungsstel
106. puter mit Microsoft Exchange Server 2007 installieren sind noch keine Postfachrichtlinien vorhanden Sie k nnen verschiedene Postfachrichtlinien erstellen und diesen Richtlinien Benutzer zuweisen 68 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 New Exchange ActiveSync Mailbox Policy New Exchange New Exchange ActiveSync Mailbox Policy E ActiveSync Mabor This wizard wi heip you create a new Exchange ActiveSync malbon pokey T Completion Malbon poly name ren Poy I Alw nonpioyisionabie devices IT Aloy attachments to be domnioaded 10 device Password F Henie pasmod I Require siphanumesig password I Enable pasword recovery I Requie enciyption on device I Alw single password IF Mirim pagsword lengh F e e Apply policy D Windows Mobile 6 Powered Device Exchange Server 2007 I Password ersten days Client Access Server role Enlorce passwong history 5 o ie zu on New Exchange ActiveSync Mailbox Policy configured through Exchange Management Console Melden Sie sich an einem Computer auf dem die Client Access Serverfunktion installiert ist mit einem Dom nenkonto an das ber die Berechtigungen der Gruppe Exchange Empf ngeradministrator verf gt Anschlie end k nnen Sie die folgenden Verfahren ausf hren Das Konto muss auch zur lokalen Gruppe Administratoren dieses Computers geh ren Erstellen einer Exchange ActiveSync Postfachrichtlinie mithilfe
107. r 2007 ISA Server 2006 Drittanbieterfirewalls und Windows Mobile 6 basierten Ger ten Die Szenarien werden in neutraler Reihenfolge vorgestellt Wichtig Diese Optionen veranschaulichen m gliche Bereitstellungsstrategien f r das Netzwerk Bei der letztendlich gew hlten Topologie m ssen die speziellen Gegebenheiten des Netzwerks ber cksichtigt werden Dazu geh ren die verf gbare Hardware und Software Sicherheitsaspekte der voraussichtliche Verwendungszweck und die F higkeit f r eine optimale Leistung zu sorgen Gehen Sie vor der Implementierung alle Sicherheitsaspekte des Netzwerks gr ndlich durch Hinweise zu Referenzmaterial f r ISA Server finden Sie unter Schritt 4 Installieren und Konfigurieren von ISA Server 2006 oder einer anderen Firewall Informieren Sie sich bei Firewalls von Drittanbietern in der Dokumentation des Herstellers ber die entsprechenden Sicherheitsthemen Option 1 ISA Server 2006 als erweiterte Firewall in einem Perimeternetzwerk Als erste Option wird die Implementierung von ISA Server 2006 als Sicherheitsgateway vorgestellt ISA Server 2006 und Exchange Server 2007 erweitern die Sicherheitsfeatures indem zus tzlich zu SSL Bridging und Benutzerauthentifizierung eine Protokoll berpr fung bereitgestellt wird Corporate Network Perimeter Network Active Directory LDAP Windows Mobile 6 Powered Device ActiveSync HTTPS ISA Server 2006 P Exchange Server 2007 Client Access Server ro
108. rbindung problemlos erh hen ohne die Sicherheit des Netzwerks zu gef hrden In einem Direct Push Szenario ist eine Verbindung zwischen dem Zeitpunkt zu dem die HTTP Anforderung gesendet wurde und folgenden Zeitpunkten im Leerlauf 1 dem Zeitpunkt zu dem das Taktintervall abl uft 2 dem Zeitpunkt zu dem der Server auf die Anforderung eine nderung zur ckgibt z B beim Empfang von E Mail Direct Push setzt keine bestimmte Sitzungsdauer voraus E Mail Nachrichten werden schnell bertragen unabh ngig davon ob das Taktintervall bei einer Minute oder 30 Minuten liegt 27 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Eine Erh hung des Zeitlimits f r Leerlaufverbindungen hat keinen Einfluss auf das Angriffsrisiko Die folgende Tabelle zeigt Beispiele von Angriffen und beschreibt weitere Einstellungen durch die das Risiko verringert werden kann Denial of Service Angriffe DoS Ein DoS Angriff erfolgt dadurch dass die Handshake Sequenz zum Herstellen einer TCP Verbindung nicht vollst ndig abgeschlossen wird Der Angreifer versucht eine Vielzahl teilweise ge ffneter TCP Verbindungen zu erstellen Ein DoS Angriff wird gegen IIS unternommen indem eine gro e Anzahl TCP Verbindungen ge ffnet wird ohne dass eine einzige HTTP Anforderung erfolgt Ein Angreifer stellt eine gro e Anzahl TCP Verbindungen her und leitet ber alle Verbindungen HTTP Anforderungen ohne die Antwort
109. rd die Sicherheit des Schl ssels vom Administrator bestimmt und kann sehr hoch sein Windows Mobile und Windows Server unterst tzen zusammen bis zu 2 048 Bit Schl ssel Zweitens verringert das Voraussetzen einer zertifikatbasierten Authentifizierung das Risiko erheblich dass die Anmeldeinformationen des Benutzers in falsche H nde gelangen 80 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Wenn ein Benutzer sein Kennwort weitergibt verhindert der Authentifizierungsprozess dass ein Angreifer verwendbare Anmeldeinformationen an sich bringen kann Die Anmeldeinformationen werden hashcodiert und durch eine SSL Verschl sselung bei der bermittlung gesch tzt Damit eine zertifikatbasierte Authentifizierung mit Windows Mobile f r das mobile Ger t verwendet werden kann ben tigt das Ger t das Stammzertifikat f r den Exchange Server Front End oder den Clientzugriffsserver mit dem es die Verbindung herstellt Das mobile Ger t muss au erdem ber ein eigenes Clientbenutzerzertifikat mit dem zugeh rigen privaten Schl ssel verf gen Die Registrierung des Benutzerzertifikats kann nur dann erfolgen wenn das Ger t mit einem Desktop verbunden ist der zur selben Dom ne geh rt wie die Registrierungswebsite Verwalten von Ger tezertifikaten Digitale Zertifikate sind ein leistungsstarkes Tool um Ger te und Benutzer f r die Authentifizierung mit einer Identit t zu versehen Allerdings kann das Ve
110. rd dieses Maximum berschritten f hrt das Ger t eine lokale Zur cksetzung aus Das Ergebnis einer lokalen Ger tzur cksetzung ist dasselbe wie bei einer Remoteger tzur cksetzung Das Ger t wird auf die Werkseinstellungen zur ckgesetzt Wenn ein Ger t eine Zur cksetzung ausf hrt wird keine Best tigung an den Exchange Server gesendet Hinweis Bei einer Remoteger tzur cksetzung wird das Ger t nicht nur auf die Werkseinstellungen zur ckgesetzt es werden auch alle Daten auf der Speicherkarte des Ger ts gel scht Entfernen Sie zuerst die Speicherkarte wenn Sie ein Ger t in Ihrem Besitz remote zur cksetzen und die Daten behalten m chten 72 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 So f hren Sie mit der Exchange Verwaltungskonsole oder mit Outlook Web Access eine Remoteger tzur cksetzung aus 1 ffnen Sie die Exchange Verwaltungskonsole 2 W hlen Sie unter Empf ngerkonfiguration den Knoten Postfach aus Exchange Management Console Ele Artion yew Help Dalelm F Mailbox nwtraders com 11 objects Actions Mailbox Modify the Maximum Number of Recipients to Displ A New Mailbox W hlen Sie im Fenster Postfach den Benutzer aus 4 Klicken Sie im Aktionsbereich auf Mobiles Ger t verwalten Oder klicken Sie mit der rechten Maustaste auf das Postfach des Benutzers und klicken Sie dann auf Mobiles Ger t verwalten W hlen Sie das mo
111. reserviert und erm glicht eine vollst ndige Steuerung des Ger ts Diese Rolle dient dazu die Ger te mit Einstellungen auszustatten und vorzukonfigurieren bevor sie gekauft werden Mit einigen Berechtigungen der Rolle Manager auf dem Ger t k nnen standardm ig die meisten Sicherheitsrichtlinien ge ndert werden Netzwerkadministratoren k nnen mit der Rolle Enterprise Postfachrichtlinien in Exchange ActiveSync verwenden um die Richtlinien zu ndern siehe Neue Enterprise Features in Windows Mobile 6 und Exchange Server 2007 in diesem Dokument Wenn Sie vom OEM die Berechtigungen der Rolle Manager erhalten haben k nnen Sie au erdem alle Sicherheitseinstellungen des Ger ts ber das Provisioning ndern 85 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Provisioning von Mobile 6 basierten Ger ten Provisioning bezieht sich auf das Aktualisieren des Ger ts nach der Herstellung und umfasst das Erstellen einer XML Provisioningdatei Diese Datei enth lt Konfigurationsinformationen die die Attribute von Features und Sicherheitsrichtlinien angeben Die XML Datei wird mit einem Zertifikat signiert und dann auf das Ger t bertragen Hier konfiguriert der Konfigurationsdienstanbieter das Ger t anhand des Dateiinhalts Eine vollst ndige Provisioningdatei kann auf folgende Weise auf ein Windows Mobile basiertes Ger t bertragen werden e OTA mithilfe eines OMA DM Servers e OTA mithilfe e
112. rn als zuvor Eine erweiterte Flexibilit t der Richtlinienverwaltung sowie verbesserte Ger testeuerungs und Sicherheitsfeatures steigern die Leistung der integrierten mobilen Unternehmensl sungen Diese neuen Features und Ger tefunktionen vereinfachen das Erstellen von Branchenanwendungen Line of Business LOB Windows Mobile 6 kann den h chsten Standard f r die Entwicklung und Bereitstellung von LOB Anwendungen bieten Verbesserte Zertifikatregistrierung und Verwaltung Windows Mobile 6 enth lt eine ger teseitige Registrierfunktion die sich im ROM aller Windows Mobile basierten Ger te befindet Dar ber hinaus erm glicht eine Desktopregistrierfunktion von ActiveSync 4 5 dem Benutzer die Registrierung mithilfe einer Desktopbenutzeroberfl che zu konfigurieren und auszuf hren Die Funktionalit t beinhaltet das Erstellen der Einstellungen f r die Zertifikatregistrierung und die M glichkeit die Desktopdom nenanmeldung zur Ger tezertifikatregistrierung zu verwenden Die Desktopzertifikatregistrierung erm glicht dem Benutzer mithilfe der Desktopauthentifizierung per Smartcard bei der Dom ne ein Zertifikat in seinem Ger t zu registrieren Ein Smartcardleser oder Smartcardsoftware ist dabei im Ger t nicht erforderlich Erweiterte Sicherheitsfeatures in Windows Mobile 6 unterst tzen eine anwendungsgesteuerte Registrierung unterst tzen Bereitstellungen die eine kennwortlose Authentifizierung Smartcard erfordern und bieten die M
113. rteilen und Erneuern von digitalen Zertifikaten auf Hunderten oder Tausenden mobiler Ger te in einem Unternehmen eine m hsame Aufgabe werden Mit der Windows Mobile 6 Software und Desktop ActiveSync ist die Verwaltung von Ger tezertifikaten nun viel einfacher geworden Die Zertifikatregistrierungstools erm glichen es dem Administrator durch das Verwalten von Ger tezertifikaten eine sicherere Umgebung zu schaffen Sie k nnen die Windows Mobile 6 Software und ActiveSync Zertifikatregistrierungstools f r die folgenden unternehmensweiten Aktivit ten verwenden e Bereitstellen einer Exchange ActiveSync oder zertifikatbasierten SSL TLS Authentifizierung im gesamten Unternehmen e _Erneuern vorhandener Zertifikate e Verteilen von 082 1x Zertifikaten f r drahtlose Netzwerke e Bereitstellen von Zertifikaten f r digitale S MIME Signaturen Das Verfahren zum Hinzuf gen von Zertifikaten unterscheidet sich bei Windows Mobile 5 0 und Windows Mobile 6 basierten Ger ten Hinzuf gen von Zertifikaten zu Windows Mobile 5 0 basierten Ger ten Um einem Windows Mobile 5 0 basierten Ger t ein Zertifikat hinzuzuf gen ben tigen Sie die Berechtigungen der Rolle Manager f r das Ger t oder Sie m ssen den vertrauensw rdigen Code auf dem Ger t ausf hren k nnen Sie k nnen beim OEM oder Mobilfunkbetreiber auch ein signiertes Zertifikatinstallationstool anfordern z B SPADDCERT exe Wenn Sie Stammzertifikate f r die zertifikatbasierte Authentif
114. rteilt werden kann In einer Mobile Messaging Bereitstellung sind die folgenden Exchange Server 2007 Serverfunktionen entscheidend e Client Access Serverfunktion Clientzugriffsserver Diese Funktion unterst tzt Microsoft Exchange ActiveSync Clientanwendungen sowie die Protokolle POP3 Post Office Protocol Version 3 und IMAP4 Internet Message Access Protocol Version 4rev1 Dabei handelt es sich um die vorrangige Serverkomponente des Mobile Messaging Systems Der Clientzugriffsserver dient in einer Topologie mit verteilten Funktionen als Front End Server f r den Postfachserver Back End e _Mailbox Serverfunktion Postfachserver Dieser Back End Server stellt Postf cher und ffentliche Ordner bereit Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Hinweis Zu den weiteren hier nicht oder nur kurz erw hnten Serverfunktionen geh ren Edge Transport Hub Transport und Unified Messaging Die Client Access Serverfunktion beinhaltet die ActiveSync Kommunikation mit einem Windows Mobile basierten Ger t Sie ist die entscheidende Komponente einer Mobile Messaging Bereitstellung Siehe Szenarien der Netzwerkarchitektur Weitere Informationen zu Microsoft Exchange 2007 Serverfunktionen finden Sie im Leitfaden zu den Serverfunktionen in Microsoft Exchange Server 2007 unter http go microsoft com fwlink LinkID 87058 amp clcid 0x409 m glicherweise in englischer Sprache Exchange Verwalt
115. sierten Ger ten mit Microsoft Exchange Server 2007 3 Die folgende Abbildung zeigt das Dialogfeld Sichere Kommunikation Aktivieren Sie das Kontrollk stchen Sicheren Kanal voraussetzen SSL Klicken Sie auf OK Secure Communications X IV Require secure channel SSL V Require 128 bit encryption Client certificates C Ignore client certificates Accept client certificates C Require client certificates 7 Enable client certificate mapping Client certificates can be mapped to Windows user accounts This allows access control to resources using client certificates Z Enable certificate trust list Gurrent GIL 4 Abh ngig von Ihrer Installation wird m glicherweise das Dialogfeld Vererbungs berschreibungen angezeigt W hlen Sie die virtuellen Verzeichnisse aus die die neue Einstellung erben sollen z B Microsoft Server ActiveSync und klicken Sie dann auf OK 5 Klicken Sie auf der Registerkarte Verzeichnissicherheit auf OK Nachdem Sie dieses Verfahren ausgef hrt haben sind die virtuellen Verzeichnisse auf dem Exchange Clientzugriffsserver der sich auf der Standardwebsite befindet f r die Verwendung von SSL konfiguriert Konfigurieren der Standardauthentifizierung Die Exchange ActiveSync Website unterst tzt SSL Verbindungen sobald das Serverzertifikat an die Website gebunden ist Die Benutzer haben jedoch noch immer die Option eine nicht sichere Verbindung mit der Exchange ActiveSync We
116. sistenten f r neue Exchange Ver ffentlichungsregeln ben tigen Eigenschaft Name der Exchange Ver ffentlichungsregel Dienste Hinweis Sie k nnen mehrere Dienste mit einer einzigen Regel bereitstellen Verwenden Sie dazu den gleichen Weblistener der mit der formularbasierten Authentifizierung konfiguriert ist In ISA Server 2006 wird die Standardauthentifizierung f r Dienste verwendet die keine formularbasierte Authentifizierung unterst tzen Ver ffentlichungstyp Sicherheit der Serververbindung Wert Name Exchange Version Outlook Web Access Outlook RPC over HTTP Outlook Mobile Access _X_Exchange ActiveSync __Eine einzelne Website ver ffentlichen oder __Serverfarm mit Webserver Lastenausgleich ver ffentlichen und Serverfarmname HTTPS oder HTTP Zutreffendes markieren Beachten Sie Folgendes 60 Bei der Auswahl von HTTP werden die Informationen zwischen dem Computer mit ISA Server und dem Webserver als Klartext bertragen Bei der Auswahl von HTTPS muss auf dem Exchange Front End Server ein Serverzertifikat installiert sein Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Interne Ver ffentlichungsdetails Details des ffentlichen Namens Weblistener ausw hlen Benutzersatz Interner Sitename FQDN Geben Sie einen Computernamen oder eine IP Adresse an wenn der FQDN vom Computer mit ISA Server nicht aufgel st
117. sollen LDAP Benutzer LDAP Serversatz W hlen Sie in der Dropdownliste den LDAP hinzuf gen Benutzername Serversatz CorpLDAP aus W hlen Sie Alle Benutzer in diesem Namespace Hinweis Sie k nnen auch Benutzergruppen und bestimmte Benutzerkonten angeben wenn nicht alle Benutzer zum LDAP Benutzersatz geh ren sollen Fertigstellen des berpr fen Sie die Einstellungen Klicken Sie auf Zur ck um die Einstellungen zu Assistenten f r neue ndern oder auf Fertig stellen um den Benutzers tze Assistenten abzuschlie en Klicken Sie anschlie end im Detailbereich auf bernehmen um die nderungen zu speichern und die Konfiguration zu aktualisieren 65 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Festlegen des Zeitlimits f r Leerlaufsitzungen f r Firewalls und Netzwerkger te auf 1800 Sekunden In diesem Schritt ndern Sie das Zeitlimit f r Leerlaufsitzungen f r alle Firewalls Proxyserver und Netzwerkger te um die erforderliche Zeit f r ein erfolgreiches Funktionieren der Direct Push Technologie sicherzustellen Hinweis Das Standardzeitlimit f r Leerlaufsitzungen ist in ISA Server 2006 auf die empfohlenen 1800 Sekunden 30 Minuten festgelegt Eine nderung ist deshalb nicht notwendig Weitere Informationen zum ndern des Zeitlimits f r Leerlaufsitzungen finden Sie unter Bew hrte Methode Konfigurieren der Firewall f r eine optimale Direct Push Leistung unter Bew
118. ssen Sie den Exchange Clientzugriffsserver und seine Dienste aktualisieren Legen Sie dazu fest dass die Kommunikation mit dem Clientzugriffsserver ber SSL erfolgen muss Im folgenden Abschnitt wird beschrieben wie SSL f r die Standardwebsite aktiviert wird Aktivieren von SSL f r die Standardwebsite Sie haben ein SSL Zertifikat angefordert das vom Exchange Clientzugriffsserver entweder auf der Standardwebsite oder auf der Website verwendet wird auf der Sie die virtuellen Verzeichnisse Exchange Exchweb Microsoft Server ActiveSync und Public bereitstellen Anschlie end k nnen Sie f r die Standardwebsite festlegen dass die Verwendung von SSL erforderlich ist Hinweis Die virtuellen Verzeichnisse Exchange Exchweb Microsoft Server ActiveSync und Public werden bei jeder Installation von Exchange Server 2007 standardm ig installiert Das virtuelle Verzeichnis RPC f r die RPC ber HTTP Kommunikation wird manuell installiert wenn Sie Exchange Server 2007 f r die Unterst tzung von RPC ber HTTP konfigurieren So legen Sie die Verwendung von SSL f r die Standardwebsite fest 1 Aktivieren Sie in Internetinformationsdienste Manager die Standardwebsite oder die Website auf der Sie die Exchange Server 2007 Dienste bereitstellen und klicken Sie dann auf Eigenschaften 2 Klicken Sie im Dialogfeld Sichere Kommunikation auf der Registerkarte Verzeichnissicherheit auf Bearbeiten 46 Bereitstellen von Windows Mobile 6 ba
119. stallieren Sie ISA Server 2006 1 Installieren und konfigurieren Sie Microsoft Windows Server 2003 auf dem Firewallcomputer 2 Wechseln Sie zu Microsoft Update und installieren Sie alle wichtigen Sicherheitshotfixes und Service Packs f r Windows Server 2003 3 Installieren Sie ISA Server 2006 Wichtig berlegungen zur Installation von ISA Server 2006 in einer Arbeitsgruppe oder zu einer Dom ne geh rend finden Sie unter Szenarien der Netzwerkarchitektur Lesen Sie diese Szenarien bevor Sie ISA Server 2006 in einer Arbeitsgruppe oder Dom ne installieren Ihre letztendliche Implementierungsstrategie sollte den Sicherheits und Leistungsanforderungen Ihres Netzwerks entsprechen 4 Wechseln Sie zu Microsoft Update und installieren Sie alle wichtigen Sicherheitshotfixes und Service Packs f r Windows Server 2006 5 Exportieren Sie das OWA SSL Zertifikat vom Exchange Clientzugriffsserver in eine Datei Installieren eines Serverzertifikats auf dem Computer mit ISA Server Installieren Sie ein Serverzertifikat auf dem Computer mit ISA Server um eine sichere Kommunikation zwischen mobilen Ger ten und dem Computer mit ISA Server zu erm glichen Dieses Zertifikat sollte von einer ffentlichen Zertifizierungsstelle ausgestellt werden da Benutzer aus dem Internet darauf zugreifen Wenn Sie eine private Zertifizierungsstelle verwenden muss das Stammzertifikat der Zertifizierungsstelle auf allen Computern die eine sichere Verbindung HTTPS
120. stellungen f r das einmalige Anmelden Single Sign On SSO Sammeln Sie die folgenden Informationen die beim Ausf hren des Assistenten f r neue Weblistener ben tigt werden Eigenschaft Wert Weblistenername Name Sicherheit der Clientverbindung HTTPS oder HTTP Zutreffendes markieren Beachten Sie Folgendes Wichtig e Bei der Auswahl von HTTP werden die Informationen Klartext kann zwar mit HTTP bertragen zwischen dem Computer mit ISA Server und dem Client werden es wird jedoch dringend empfohlen die HTTPS Option zum Konfigurieren des Weblisteners zu verwenden als Klartext bertragen e Bei der Auswahl von HTTPS muss auf dem Computer mit ISA Server ein Serverzertifikat installiert sein 56 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Weblistener IP Adressen Authentifizierungseinstellungen f r das SSL Zertifikat des Weblisteners Hinweis Das ist nur erforderlich wenn HTTPS f r die Verbindungssicherheit des Clients ausgew hlt wurde Authentifizierung Bei der formularbasierten Authentifizierung sind Optionen verf gbar um die Benutzer bei ISA Server zu authentifizieren W hlen Sie die Authentifizierungsmethode die Ihren Anforderungen am besten entspricht Einstellungen f r einmaliges Anmelden SSO Betrifft nur die formularbasierte Authentifizierung FBA Netzwerk Optional Spezifische IP Adresse _ _ _ _ Hinweis Wenn diese spezifisc
121. t Push Technologie finden Sie unter Grundlegendes zu Direct Push in diesem Dokument Sicherheitsfeatures Authentifizierung und Zertifizierung Die Verwendung von SSL zum Verschl sseln des Kanals zwischen dem mobilen Ger t und Exchange ActiveSync wird dringend empfohlen Dieser Bereitstellungsschritt ist unabh ngig von der Gr e der Organisation relevant Einige SSL Anbieter die preiswerte SSL Zertifikate anbieten haben ihr vertrauensw rdiges Stammzertifikat bereits auf den Windows Mobile basierten Ger ten installiert Deshalb m ssen Sie sich nicht mit jedem einzelnen Ger t besch ftigen Eine weitere bew hrte Methode besteht darin den gesamten Internetverkehr ber einen Reverseproxy oder eine Firewall wie z B ISA 2006 zu leiten Bew hrte Methode Verwenden von SSL zur Verschl sselung und Serverauthentifizierung Verschl sseln Sie zum Schutz der ein und ausgehenden Daten den gesamten Datenverkehr mit SSL Sie k nnen SSL Sicherheitsfeatures auf einem Exchange Server konfigurieren um Internetangriffe wie z B Man in the Middle Angriffe und bestimmte Spoofingangriffe auf Server besser zu verhindern Der Exchange Server erfordert wie jeder Webserver ein g ltiges Zertifikat um SSL Verbindungen herstellen zu k nnen Windows Mobile 6 basierte Ger te sind mit vertrauensw rdigen Stammzertifikaten ausgestattet Wenden Sie sich an den Ger tehersteller um eine Liste der Zertifizierungsstellen zu erhalten die in den Ger ten en
122. tablauf festlegen X Kennwortwiederherstellung aktivieren X Muster in PIN 1111 oder 1234 des Ger ts nicht X zulassen 70 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Anzahl der fehlgeschlagenen Kennworteingaben vor X X der Zur cksetzung des Ger ts angeben Anzahl der fehlgeschlagenen Kennworteingaben vor X dem L schen der Speicherkarte angeben Zugriff auf Dateien in UNC Freigaben Universal X Naming Convention verhindern Zugriff auf Dateien auf SharePoint Services Websites X zulassen oder verhindern Anwenden einer Postfachrichtlinie auf einen Benutzer Nachdem Sie eine Exchange ActiveSync Postfachrichtlinie erstellt haben k nnen Sie Benutzer hinzuf gen Benutzer werden nicht standardm ig einer Postfachrichtlinie zugewiesen Ein Benutzer kann jeweils nur einer Postfachrichtlinie zugewiesen werden Wenn Sie einer Exchange ActiveSync Postfachrichtlinie einen Benutzer hinzuf gen der bereits einer anderen Exchange ActiveSync Postfachrichtlinie zugewiesen ist wird der Benutzer aus der urspr nglichen Exchange ActiveSync Postfachrichtlinie entfernt und der neuen Exchange ActiveSync Postfachrichtlinie hinzugef gt Sie k nnen einer Exchange ActiveSync Postfachrichtlinie Benutzer einzeln oder in gefilterten Benutzergruppen hinzuf gen So wenden Sie eine Postfachrichtlinie auf einen Benutzer an 1 Erweitern Sie in der Konsolenstruktur den Knoten Empf ngerkonfiguration und klicken Sie
123. tation werden die Verfahren zur Bereitstellung der Windows Mobile 6 Software und einer Exchange Server 2007 Implementierung beschrieben Microsoft Internet Security and Acceleration Server 2006 ist f r eine Mobile Messaging Infrastruktur zwar keine Voraussetzung die Installation wird jedoch empfohlen Im folgenden Schritt 4 werden die Installationsverfahren f r diese Plattform beschrieben Schritt 1 Installieren von Exchange Server 2007 mit der Client Access Serverfunktion Schritt 2 Aktualisieren der Server mit Sicherheitspatches Schritt 3 Sch tzen der Kommunikation zwischen Exchange Server 2007 und Windows Mobile 6 basierten Ger ten Schritt 4 Installieren und Konfigurieren von ISA Server 2006 oder einer anderen Firewall Schritt 5 Konfigurieren und Verwalten des Zugriffs ber mobile Ger te auf den Exchange Server Schritt 6 Zertifikatregistrierung und Ger teprovisioning Schritt 7 Verwalten und Konfigurieren von Windows Mobile 6 basierten Ger ten 29 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Schritt 1 Installieren von Exchange Server 2007 mit der Client Access Serverfunktion Microsoft Exchange Server 2007 enth lt f nf Serverfunktionen die Sie auf einem Server unter Microsoft Windows Server 2003 installieren k nnen Die Client Access Serverfunktion wird f r Mobile Messaging Bereitstellungen ben tigt und erm glicht den Zugriff auf die folgenden Anwendungen und Dienste e M
124. ten Wenn Sie die verf gbaren Synchronisierungseinstellungen ndern m chten w hlen Sie die zu synchronisierenden Informationselemente aus und w hlen Sie dann Settings Einstellungen 5 W hlen Sie Finish Fertig 90
125. thalten sind Wenn Sie ein Stammzertifikat von einem vertrauensw rdigen Anbieter erhalten haben k nnen die Ger te in der Regel ohne weitere Konfiguration SSL Verbindungen herstellen Falls Sie eigene Zertifikate erstellen m ssen Sie diese Zertifikate dem Stammspeicher jedes mobilen Ger ts hinzuf gen Hinweis Einige Serverzertifikate werden mit Zwischenstellen in der Zertifizierungskette ausgestellt Wenn IIS nicht so konfiguriert ist dass alle Zertifikate der Kette w hrend des SSL Handshakes an das mobile Ger t gesendet werden wird das Zertifikat nicht als vertrauensw rdig behandelt Das liegt daran dass das Ger t kein dynamisches Abrufen der anderen Zertifikate unterst tzt Weitere Informationen zu Windows Mobile 6 und Zertifikaten finden Sie unter Schritt 6 Zertifikatregistrierung und Ger teprovisioning Bew hrte Methode Festlegen und Bereitstellen einer Kennwortrichtlinie f r Ger te Exchange Server 2007 bietet neue Sicherheitseinstellungen z B Kennwortablauf und Kennwortverlauf die auf Windows Mobile 6 basierte Ger te angewendet werden k nnen Ein IT Experte kann diese Einstellungen mit der Exchange Verwaltungskonsole verwalten Weitere Informationen zum Festlegen von Sicherheitsrichtlinien finden Sie in Schritt 5 Konfigurieren und Verwalten des Zugriffs ber mobile Ger te auf den Exchange Server 13 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Bew hrte Me
126. thode Verwenden der Webver ffentlichung mit der Standardauthentifizierung Viele Unternehmen ben tigen eine Standardauthentifizierung ber einen verschl sselten Kanal SSL Diese Unternehmen k nnen ihre mobile Bereitstellung noch sicherer gestalten indem sie ISA 2006 zur Webver ffentlichung auf dem Server mit Exchange Server 2007 nutzen Der Vorteil der Webver ffentlichungsfunktionen von ISA Server liegt in der integrierten Logik von ISA Server Diese Logik kann g ltige Anforderungen erkennen z B Exchange ActiveSync Anforderungen und zum Schutz des Exchange Clientzugriffsservers vor Angriffen beitragen Als bew hrte Methode gilt Die Webver ffentlichung l sst sich leichter implementieren und bietet eine h here Sicherheit als die Serverver ffentlichung 14 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Szenarien der Netzwerkarchitektur Dieser Abschnitt enth lt Informationen zur Netzwerktopologie f r die Bereitstellung von Exchange Server 2007 und Windows Mobile 6 Die folgenden Szenarien werden vorgestellt e ISA Server 2006 als erweiterte Firewall hinter der Firewall eines Drittanbieters e Die Verwendung einer Firewall eines Drittanbieters e Parallele Bereitstellung von Exchange Server 2003 und Exchange Server 2007 Bereitstellungsoptionen Die folgenden Szenarien sind nur einige der vielen M glichkeiten zur Implementierung einer Mobile Messaging L sung mit Exchange Serve
127. tstruktur ab um die Anmeldeinformationen des Benutzers zu berpr fen e _RADIUS Authentifizierung Weitere Informationen zur ISA Authentifizierung finden Sie unter http go microsoft com fwlink LinkID 87060 amp clcid 0x409 m glicherweise in englischer Sprache 16 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 RADIUS stellt die berpr fung der Anmeldeinformationen bereit ISA Server ist je nach RADIUS Authentifizierungsantwort der RADIUS Client Kennwort nderungen sind nicht m glich ISA Server 2006 in einer Dom ne im Perimeter netzwerk ISA Server 2006 in einer Dom ne in der Unternehmens gesamtstruktur Exchange Clientzugriffsserver CAS in der Unternehmens gesamtstruktur Als Dom nenmitglied kommuniziert ISA Server 2006 mit Active Directory Exchange Front End in der Unternehmensgesamtstruktur Als Unternehmens dom nenmitglied fungiert ISA als vertrauensw rdiges Dom nenmitglied das auch den Dom nenrichtlinien folgt Erm glicht au erdem eine sicherere CSS Bereitstellung Option 2 Firewall eines Drittanbieters Um die Kommunikation der Dom nenmitglieder mit Active Directory zu vereinfachen werden zus tzliche Ports in der internen Firewall ge ffnet IPSec kann zwischen dem Computer mit ISA Server und dem Exchange Server konfiguriert werden sodass keine weiteren offenen Ports mehr erforderlich sind Einige Organisationen m
128. u starten 3 Klicken Sie auf der Willkommenseite auf Weiter 4 Geben Sie in das Feld Beschreibung einen Namen f r die Website ein Geben Sie z B ISA Zert Site ein und klicken Sie dann auf Weiter 5 Akzeptieren Sie die Standardeinstellungen auf der Seite IP Adresse und Porteinstellungen 6 Geben Sie auf der Seite Basisverzeichnis der Website einen Pfad f r die Website ein Beispiel c temp 7 Akzeptieren Sie die Standardeinstellungen auf der Seite Zugriffsberechtigungen f r die Website und klicken Sie auf Weiter 8 Klicken Sie auf Fertig stellen um den Assistenten zum Erstellen einer Website abzuschlie en Wichtig Die neue Website wird standardm ig beendet Lassen Sie die Website beendet Es gibt keinen Grund die Website zu starten Hinweis Weitere Informationen zum Erstellen einer neuen Website finden Sie in der Dokumentation zu IIS 9 Folgen Sie den Anweisungen der ffentlichen Zertifikatstelle um mithilfe der in Schritt 1 erstellten Website ein Serverzertifikat zu erstellen und zu installieren Wichtig Die entscheidende Information im Zertifikat ist der gemeinsame Name bzw der FODN Fully Qualified Domain Name vollqualifizierte Dom nenname Geben Sie den FODN ein der von den Internetbenutzern verwendet wird um die Verbindung mit der Exchange Outlook Web Access Website herzustellen 53 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Hinweis Stellen S
129. uf Alle Zertifikate in folgendem Speicher speichern und klicken Sie dann auf Durchsuchen W hlen Sie den Ordner Vertrauensw rdige Stammzertifizierungsstellen aus und klicken Sie dann auf OK Die folgende Abbildung zeigt das Dialogfeld Zertifikatspeicher ausw hlen Hinweis Sie k nnen anstelle von Vertrauensw rdige Stammzertifizierungsstellen auch Zwischenzertifizierungsstellen verwenden 42 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 6 Klicken Sie auf Weiter Ein Dialogfeld wird mit dem Hinweis angezeigt dass das Zertifikat einem vertrauensw rdigen Zertifikatspeicher hinzugef gt wird Klicken Sie auf Ja um das Dialogfeld zu schlie en Klicken Sie auf Fertig stellen Anschlie end wird eine Meldung angezeigt dass der Import erfolgreich war 43 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Sichern des Serverzertifikats Sie k nnen die Serverzertifikate mithilfe des Assistenten f r Webserverzertifikate sichern Aufgrund der engen Integration von IIS in Windows k nnen Sie die Zertifikatverwaltung die in Microsoft Management Console MMC Zertifikate genannt wird zum Exportieren und Sichern von Serverzertifikaten verwenden Wenn Sie die Zertifikatverwaltung in MMC nicht installiert haben m ssen Sie die Zertifikatverwaltung MMC hinzuf gen So f gen Sie die Zertifikatverwaltung MMC hinzu 1 2 3 4 5 Klicken Sie im Men
130. ungskonsole bersicht In Exchange Server 2007 ersetzt die Exchange Verwaltungskonsole den Exchange System Manager von Exchange Server 2003 Mit der Exchange Verwaltungskonsole k nnen Sie alle Server Empf nger und Organisationskomponenten Ihrer IT Infrastruktur verwalten Console tree Result pane Action pane E Client Access P Create Fiter D Hub Transport Server01 m Unified Messaging Il 25 Manage Hub Transport Role Recipient Configuration _ A Mailbox Manage Mailbox Role ER Distribution Group xchange Default Web Site efault Web Site Manage Unified Messaging Sg Mall Contact Bi Exchweb Defaut Web Site Default Web Site x Enable Outlook Anywhere pa Disconnected Mailbox HHI GE oa Defaut Web Site Defauk Web Site 8 e Eu Public Defaut Web Site Default Web Site Properties Exchange Default Web Site Properties Q Hep Work pane Ein Aktionsbereich zeigt dem Administrator nun die Aktionen an die f r die in der Konsolenstruktur oder dem Ergebnisbereich ausgew hlten Elemente verf gbar sind In Bezug auf Mobile Messaging hei t das z B dass im Aktionsbereich neue Postfachrichtlinien erstellt oder Daten eines mobilen Ger ts gel scht werden k nnen Hinweis Das Exchange ActiveSync Mobile Administration Web Tool ist in Exchange Server 2007 nicht mehr verf gbar Das Webtool erm glicht Administratoren die remote Bereinigung von verlorenen gestohlenen oder auf andere Weise gef hrdeten mobi
131. werden kann Computername oder IP Adresse Hinweis Muss mit dem gemeinsamen Namen des Upstreamzertifikats bereinstimmen Anforderungen annehmen f r _ Diesen Dom nennamen oder __ Jeden Dom nennamen Weblistener F hren Sie die Benutzers tze auf die auf diese Regel zugreifen k nnen Wichtig Wenn ISA Server nicht als Dom nenmitglied konfiguriert ist und RADIUS verwendet wird muss es sich dabei um nicht Windows Benutzers tze handeln Im n chsten Verfahren erstellen Sie anhand der Informationen in diesem Arbeitsblatt eine Ver ffentlichungsregel f r den Exchange Webclientzugriff 61 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Erstellen einer Ver ffentlichungsregel f r den Exchange Webclientzugriff So erstellen Sie eine Ver ffentlichungsregel f r den Exchange Webclientzugriff 1 Klicken Sie in der Konsolenstruktur der ISA Server Verwaltung auf Firewallrichtlinie Erweitern Sie in ISA Server 2006 Standard Edition Microsoft Internet Security and Acceleration Server 2006 erweitern Sie Server_Name und klicken Sie dann auf Firewallrichtlinie Erweitern Sie in ISA Server 2006 Enterprise Edition Microsoft Internet Security and Acceleration Server 2006 erweitern Sie Arrays erweitern Sie Array_Name und klicken Sie dann auf Firewallrichtlinie Klicken Sie auf der Registerkarte Aufgaben auf Exchange Webkrclientzugriff ver ffentlichen Erstellen S
132. zt da die ISA Server 2006 Firewall den Benutzer authentifiziert bevor die Verbindung an die ver ffentlichte Website weitergeleitet wird So k nnen Angriffe nicht authentifizierter Benutzer den ver ffentlichten Webserver nicht erreichen Diese Funktionalit t wird unter Authentifizierung in ISA Server 2006 m glicherweise in englischer Sprache n her erl utert SecurlD Authentifizierung f r Webproxyclients ISA Server 2006 kann Remoteverbindungen ber die zweistufige SecurlD Authentifizierung authentifizieren So wird bei der Authentifizierung ein hohes Ma an Sicherheit erzielt da ein Benutzer ber verschiedene Informationen verf gen muss um Zugriff auf den ver ffentlichten Webserver zu erhalten RADIUS Unterst tzung f r Webproxyclient Mit ISA Server 2006 k nnen Sie Benutzer in Active Authentifizierung Directory und anderen Authentifizierungs datenbanken authentifizieren indem Sie f r die Active Directory Abfragen RADIUS verwenden Webver ffentlichungsregeln k nnen f r die Authentifizierung von Remotezugriffsverbindungen ebenfalls RADIUS verwenden 21 Bereitstellen von Windows Mobile 6 basierten Ger ten mit Microsoft Exchange Server 2007 Formularbasierte Authentifizierung mit Kennwort und Passphrase Sitzungsverwaltung Zertifikatverwaltung ISA Server 2006 erm glicht eine zweistufige Authentifizierung Dabei verwenden Sie Benutzernamen Kennwort in Verbindung mit einer Passphrase SecurelD RADIUS OTP
Download Pdf Manuals
Related Search