Exchange Server 2013 über TMG veröffentlichen

Hier erfahren Sie wie man Forefront Threat Management Gateway (TMG) konfiguriert, um Exchange Server 2013 effektiv im Internet zu veröffentlichen und damit Zugang zu drei seiner beliebtesten Dienste zu ermöglichen: Exchange ActiveSync, Outlook Anywhere und Outlook Web Apps.

Da Exchange Server 2013 schon eine Zeit lang auf dem Markt ist, hat Microsoft Forefront Threat Management Gateway (TMG) im Dezember 2012 eingestellt. Tausende Microsoft-Kunden sichern ihre Unternehmensnetzwerke jedoch weiterhin mit Forefront TMG. Ein beträchtlicher Anteil von ihnen kann weder die Netzwerkinfrastruktur aktualisieren oder zu einem anderen Produkt wechseln, benötigen aber eine Softwarelösung mit der sie Exchange Server 2013 bei der Veröffentlichung im Internet sichern können. Möglicherweise aktualisieren sie Exchange Server 2007 oder 2010 auf die aktuellste Version oder fügen ihrem Netzwerk lediglich eine Komponente von Exchange Server hinzu. In jedem Fall können sie diese Produktlösung zur Sicherung von Exchange Server 2013 nutzen, wenn eine bestehende Software bereits ihre Netzwerke schützt.

Allgemeines 

Sie sind sicherlich bereits ein langjähriger Nutzer von TMG, wenn man die Einstellung von Forefront TMG berücksichtigt. Die grundlegenden Konfigurierungsschritte wie Authentifizierung, Zertifikate, Veröffentlichungsregeln, usw. haben Sie wahrscheinlich schon durchgeführt. Diese Einstellungen gelten für alle durch TMG geschützte Elemente. Sie sind keine Besonderheit von Microsoft Exchange Server und erst recht nicht von Exchange Server 2013. Sollten Sie die grundlegenden Einstellungen noch nicht vollzogen haben, lesen Sie bitte unbedingt die entsprechende Anleitung.

Sind Sie damit fertig, können wir uns dem Veröffentlichen von Exchange Server 2013 widmen.

Erste Schritte 

Um Kunden Zugang zu Ihrem Exchange Server 2013 zu ermöglichen, erstellen Sie entsprechende Regeln in Forefront TMG zum sicheren Datenfluss via HTTPS, POP3, IMAP und SMTP zwischen Ihrem Server und Ihren Kunden.

Beachten Sie dabei bitte, dass Exchange Server 2013 im Veröffentlichungsassistenten von TMG nicht eingebunden ist. Den Assistenten in 2010 können Sie jedoch mit einigen Tricks nutzen.

Schritt 1: Neue Webfarm erstellen

Der erste Schritt der Einrichtung ist die Erstellung einer neuen Webfarm. Die sofortige Nutzung einer Webfarm anstelle von VIPs mit Publishing-Auslastungsausgleicher oder einzelnen Servern ermöglicht zukünftig eine einfachere Skalierbarkeit.

Die Erstellung einer Webfarm und die Integration in Ihre Kundenzugangsservern von 2013 ist nichts anderes als die Erstellung einer Webfarm für 2007 oder 2010. Beispiel:


Schritt 2: Übertragungseinstellungen festlegen 

Der nächste Schritt im Einrichtungsvorgang ist die Erstellung korrekter Übertragungseinstellungen. Unter Übertragung versteht man das Entsenden von Berechtigungen über TMG an die authentifizierten Benutzer der zu veröffentlichenden Exchange Server.

Übertragungseinstellungen für Exchange ActiveSync festlegen

Starten Sie zur Veröffentlichung von Exchange ActiveSync den TMG-Assistenten, wählen Sie Exchange 2013 CAS-Farm als Ziel und legen Sie entsprechende Übertragungseinstellungen fest.

Um Exchange Server 2013 zu veröffentlichen, können Sie zwischen den Übertragungsmethoden Einfache Übertragung oder NTLM-Übertragung wählen. Andere Übertragungsmethoden werden derzeit zur Veröffentlichung von Exchange Server 2013 nicht unterstützt. Die Mehrheit der Benutzer wählt Einfache Übertragung, wenn NTLM-Übertragung nicht gesondert gewünscht wird und der entsprechende Authentifizierungstyp ist in Exchange aktiv.

Übertragungseinstellungen für Outlook Anywhere festlegen

Starten Sie den Assistenten in Exchange Server 2010 Outlook Anywhere. Wählen Sie die Exchange 2013 Serverfarm und überprüfen Sie, ob das Kästchen Publish additional folders on the Exchange Server for Outlook 2007 clients’ box is checked. 

Schritt 3: Regeln erstellen

Der Assistent erstellt eine neue Regel. Überprüfen Sie die neu erstellte Regel, damit alles fehlerlos angezeigt wird. Öffnen Sie die Registerkarte Öffentlicher Name und fügen Sie den Namen autodiscover.company.com hinzu. Bei der Verwendung der Einfachen Übertragung, fügen Sie die Option „Einfach“ den aktiven Authentifizierungsmethoden im Client Access Server für Outlook Address Book und Exchange Web Services hinzu. Und fertig! Die Regel kann in Exchange Server 2013 angewandt werden.

Schritt 4: Outlook Web Access einstellen

Sie haben bereits erfolgreich die Übertragung und die Authentifizierungseinstellungen zur Aktivierung des Kundenzugangs zu Outlook Address Book und Exchange Web Services festgelegt. Outlook Web Access muss jedoch in einem gesonderten Schritt eingestellt werden.

Starten Sie den OWA Veröffentlichungsassistenten für Exchange 2010. Schließen Sie den Veröffentlichungsassistenten mit der Erstellung einer einfach Regel ab. Danach sollten Sie in der Lage sein, Outlook Web Access auf dem niedrigsten Level auszuprobieren.

Damit eine neue OWA-Regel mit Exchange Server 2013 funktioniert, müssen Sie die Regel ein wenig bearbeiten.

Logoff-Parameter bearbeiten

Zunächst müssen Sie die Logoff-Parameter ändern. Die alten Parameter funktionieren aufgrund der Änderungen in Exchange 2013 nicht mehr. Um die Logoff-Parameter zu bearbeiten, öffnen Sie die Eigenschaften der neu erstellten OWA-Veröffentlichungsregel und wählen Sie die Registerkarte Application Settings. Ersetzen Sie die Zeile unter „Published server logoff URL“ mit dem folgenden Wert:
/owa/logoff.owa


Schritt 5: Zugang zu Cloud-Anwendungen gewähren

Outlook 2013 bietet brandneue Cloud-Anwendungen und erweitert damit die Funktionen sowie steigert Anwendererlebnisse. Dazu gehören Bing Maps, Terminvorschläge, Bing Translate und viel mehr. Sie können Ihre eigenen Apps erstellen und somit Ihren Netzwerknutzern allgemeine Zeitpläne zur Verfügung stellen oder bestimmte Teilbereiche der Netzwerkinfrastruktur zugänglich machen. Diese Anwendungen sind auch über Outlook Web Access verfügbar. Aber stimmt das wirklich?

Die einfache Antwort lautet: nicht auf dem „normalen“ Weg. In den Standardeinstellungen, die Sie gerade anhand der beschriebenen Schritte festgelegt haben, führt TMG die OWA-Formulare der Authentifizierung vor Exchange durch. Letztendlich werden die Austauschberechtigungen des Benutzers nicht während der Anwendungsausführung bereitgestellt und dem Benutzer wird eine Authentifizierungsfenster beim Login angezeigt. Diese störende Meldung erscheint genau dort, wo sie nicht erscheinen soll: direkt in der E-Mail-Nachricht.

Um dieses Formular zu umgehen, erstellen wir eine Regel, die bestimmte Anfragen vor der Authentifizierung ausschließt. Also erstellen wir eine partiellen Ausschluss der Regel /owa/*, die wir eben erstellt haben.

Die zu erstellende Regel bearbeitet Anfragen im folgenden Dateipfad:

/owa/guid@domain.com/version/owa2/ext/def/

Der einfache Weg wäre ein Austausch der Zeile beispielsweise mit:

/owa/*/*/owa2/ext/def/

Klingt logisch, oder? Aber TMG macht es uns nicht so einfach: Es dürfen keine Wildcards in der Mitte eines Pfads platziert werden. Sie können Wildcards lediglich am Ende eine Dateipfads verwenden.

Um dieses Problem zu beheben, müssen Sie daher einen statischen Pfad mit den gültigen Teilen /guid@domain.com/ und /version/ erstellen.

Die gute Nachricht ist, dass Sie den Teil /guid@domain.com/ bilden können. Der guid ist somit der ExchangeGUID des Postfachs mit Funktionen von OrganizationCapabilityClientExtensions, hingegen der Teil domain.com die primäre SMTP-Domäne des Postfachs.

Führen Sie den folgenden Befehl aus, um das Postfach auf Ihrem Exchange Server zu finden:

Get-Mailbox -Arbitration | where {$_.PersistedCapabilities -like “OrganizationCapabilityClientExtensions”} | fl exchangeGUID, PrimarySmtpAddress 

Das Ergebnis sieht ungefähr folgendermaßen aus:
[PS] C:\WINDOWS\system32>Get-Mailbox -Arbitration | where {$_.PersistedCapabilities -like "OrganizationCapabilityClientExtensions"} | fl exchangeGUID, primarysmtpaddress

ExchangeGuid : 3adbaa78-a453-8354-a7fe-3456536767ff PrimarySmtpAddress : SystemMailbox{33553aaf-467e-8934-ab43-356abc358dde}@advsoft.ru

Sie verfügen nun über alle erforderlichen Informationen, um den Teil /guid@domain.com/ zu bilden.

guid: Verwenden Sie den Wert des “ExchangeGuid”
domain.com: Verwenden Sie die Domäne des Postfachs SystemMailbox

Für das obige Beispiel sieht der Teil /guid@domain.com/ ungefähr so aus:

3adbaa78-a453-8354-a7fe-3456536767ff@advsoft.ru 

Wie sieht es mit dem Teil /version/ aus? Dieser ändert sich mit jedem Update von Exchange Server, also sollten Sie die Updates immer genau verfolgen und den Parameter entsprechend anpassen. Aber wissen Sie noch was wir über Wildcards gelernt haben? Sie wissen, dass Sie Wildcards lediglich am Ende eine Dateipfads verwenden können. Also los. Wir tauschen den Teil /version/ und alle nachstehenden Teil mit einer einfach Wildcard /* aus.

Nun haben Sie alle erforderlichen Informationen und können eine echte TMG-Regel erstellen.

Verwenden Sie für die Erstellung einer neuen Regel doch den Veröffentlichungsassistenten von TMG Outlook Web Access. Vergewissern Sie sich, dass die neu erstellte Regel eine höhere Priorität hat als die bereits bestehende Regel innehaben muss. Nutzen Sie folgende Einstellungen:

Pfad: /owa/3adbaa78-a453-8354-a7fe-3456536767ff@advsoft.ru/* 
Benutzer: All Users (pre-authentication is disabled) 
Authentication Delegation: No delegation, but client may authenticate directly. 


Nach der Regelanwendung überprüfen Sie bitte die Funktionstüchtigkeit der OWA-Apps. Mit der neuen Regel können Sie Anwendungen von Outlook 2013 ohne ungewollte Login-Fenster nutzen.

Bitte beachten Sie, dass die neue Regel in der Liste der TMG Firewall Policy höher eingestuft ist als die allgemeine, zuvor erstellte Regel. Da diese Regel konkreter ist, wird sie nur auf den Anwendungsverkehr von Outlook angewandt.

Funktionen der OrganizationCapabilityClientExtensions an ein anderes Postfach verschieben

Wie verschieben Sie Funktionen der OrganizationCapabilityClientExtensions an ein anderes Postfach? In diesem Fall ändert sich die ExchangeGUID und Sie müssen die Regel, die den neuen Pfad anzeigt, verändern (genauer gesagt den Teil /guid@domain.com/).

Sicherheitshinweise

Ganz allgemein scheint es so, als öffne die neu erstellte Datei Zugangsmöglichkeiten zu unautorisierten Ressourcen Ihres Exchange Servers. Ist er damit angreifbar?

Theoretisch, ja. In der Praxis ist die Gefahr dieser Sicherheitslücken extrem gering, wenn Sie alle Hinweise befolgen. Schauen wir uns einmal an, was bei einem Regelmissbrauch passieren könnte.

Zunächst ist die Regel direkt auf den Pfad Ihres Exchange Servers mit der einmaligen Exchange GUID eingerichtet. Die GUID ist so lang, dass sie theoretisch nicht geknackt werden kann. Um diese Regel also zu nutzen, bräuchte der Hacker zunächst die GUID. Wenn er nicht bereits ein Zugangsberechtigter zu Ihrem Exchange Server ist (was diesen Artikel null und nichtig machen würde), müsste der Hacker Ihren Datenverkehr beobachten. Genau aus diesem Grund sollten Sie das System so einstellen, dass die SSL-Verschlüsselung für den gesamten Datenverkehr angewendet wird. SSL-verschlüsselte Daten könnten auch wenn sie abgefangen werden nicht innerhalb eines vertretbaren Zeitrahmens entschlüsselt werden.

Es gibt aber noch einen anderen Aspekt. E-Mail-Anwendungen können nur mit dem Kontext einer bestimmten Nachricht aktiviert werden und werden nur ausgeführt, wenn der Benutzer auf die Apps klickt. Nach Programmstart werden die Anwendungen nur im Kontext des Hosts Outlook/OWA ausgeführt. Auf anderem Wege (z.B. in einem geöffneten Webbrowser) können sie keine Nachrichtendaten empfangen.

Die von der App zugänglichen Informationen hängen vom in der Vorschrift festgelegtem Zugangsniveau ab. Die festgelegten Zugangsniveaus können auf der EAC-Seite der Anwendungsverwaltung eingesehen werden. Als Systemadministrator können Sie nur vertrauenswürdige Anwendungen bestätigen.

Weitere Informationen finden Sie auf den Seiten für Outlook-Anwendungen unter:

Datenschutz und Sicherheitsbestimmungen von Outlook-Mailanwendungen
Zugangsmodell für Outlook-Mailanwendungen

Exchange Server 2013 absichern: Alternativen

Da Microsoft Forefront TMG schon lange eingestellt wurde, nutzen Sie doch einfach Microsoft Unified Access Gateway (UAG), um Ihren Exchange Server zu veröffentlichen! Vor ein paar Monaten war dies noch undenkbar, da Sie möglicherweise zu große Sicherheitsrisiken in UAG eingegangen wären. Heute können Sie jedoch einfach Forefront UAG Service Pack 3 installieren und die Tipps befolgen im Dokument "Publishing Outlook Anywhere Using NTLM Authentication With Forefront TMG or Forefront UAG". Mit der Einstellung von TMG entwickelt Microsoft die Lösung Unified Access Gateway weiter und Sie sind so in der bequemen Lage, das aktuellste Produkt zu werden.

Tags: TMG, Exchange Server 2013, UAG