Outlook Webzugriff mit "Formularbasierter Anmeldung"

Achtung:
Wenn Sie Mobile SYNC oder OMA einsetzen, lesen Sie vor der Aktivierung bitte Exchange ActiveSync Server

SSL ist erforderlich
Beachten Sie, dass per Default die Anmeldung per Formular nur per SSL möglich ist. Dies ist erforderlich, da die Anmeldedaten (Benutzername und Kennwort) als Formularfelder (POST) gesendet werden und im Gegensatz zu integrierten Anmeldungen per Kerberos oder NTLM ansonsten nicht verschlüsselt wären.
Wer daher per HTTP auf einen Exchange Server zugreift, kann nicht das Formular nutzen, sondern nur die HTTP-Anmeldung. Dies ist aber sogar von Vorteil, weil damit ein "Offloading" über TMG und uAG und andere Plattformen direkt möglich ist. Siehe auch OWA Absichern

Exchange 2003 bietet mit der formularbasierten Anmeldung eine schöne und besonders auch wichtige Funktion mit, um den Zugang per Browser besser abzusichern. Mit dem Wechsel vom ASP-basieren Outlook Webaccess Exchange 5.5 zum Outlook Webzugriff 2000 hat sich auch die Anmeldung geändert. Folgende Probleme gibt es daher mit OWA von Exchange 2000

  • Sicherheitsproblem
    Das Problem dabei, war, dass eine Abmeldung nicht möglich war, sondern dazu der Browser auf dem Client geschlossen werden musste. Genau dies ist natürlich an vielen Internet Cafes nicht möglich, da hier der Browser als Shell gestartet wurde. Ein eklatantes Sicherheitsloch wurde offensichtlich.
  • keine Auswahl der Typs
    Exchange erkennt anhand der Browserkennung die Fähigkeiten. So bekommt ein Opera, Mozilla oder Safari nur das "Basic Interface", während ein Internet Explorer  das "Rich Interface" bekommt. Nur was mache ich, wenn ich nur wenig Bandbreite habe und gar nicht das Rich Interface haben will ? Muss ich dann auf meinem PC den Internet Explorer meiden ?.
  • Sprache
    Leider erkennt OWA 2003 auch anhand des Browsers die Sprache, d.h. wenn Sie in Spanien im Internet Cafe auf ihren heimischen Exchange Server zugreifen, dann lesen Sie alles in Spanisch. Wenn Sie die Browsereinstellungen ändern können, ist das in Ordnung. Aber wenn nicht, dann viel Spaß in Spanien. Sind Sie froh, dass es nicht Korea, China oder ein anderes Land ist, dessen Schrift sie schwer lernen können.

Während die beiden ersten Probleme mit Exchange 2003 lösbar sind, wird die Auswahl der Sprache noch bis Exchange 2007 warten müssen. Die formularbasierte Anmeldung hat aber noch einen weiteren Vorteil: Sie kommen ohne Anmeldung schon einmal auf einen  Willkommensschirm, den die Firma auch etwas anpassen kann:

Zur Anmeldung müssen Sie ihren Benutzernamen verwenden. Sie können dabei zwischen drei Schreibweisen wählen.

  • Domäne\Benutzername
    Diese Anmeldung können Anwender auf alten NT4 Zeiten schon lange, wenn es mehrere Domänen gibt oder die Anmeldung auf einem Memberserver erfolgt und die Nutzung des Domänen Accounts sichergestellt werden muss.
  • Benutzername
    Wenn Sie im IIS die "Default Domain" auf "\" gesetzt haben, dann reicht auch der Benutzername. OWA sucht dann im GC nach dem Benutzer. Allerdings muss natürlich sichergestellt sein, dass der Benutzername auch über alle Domänen hinweg "eindeutig" ist.
    Dieser Weg geht auch für alle Anwender genau einer Domäne, wenn Sie im IIS deren Domäne als "Defaultdomain" gepflegt haben.
  • Benutzername@domaindns.tld
    Diese Anmeldung wird immer häufiger genutzt und basiert auf dem eindeutigen UPN eines Benutzers. Dies ist nicht zwingend die Mailadresse, aber es ist gutes Konzept dies eben so einzurichten.

Es ist also nicht ausreichend, eine ihrer Mailadressen hier einzugeben. Nur wenn ihre Mailadresse zufällig auch dem UPN entspricht, funktioniert dies

Sie haben auf dem Anmeldefenster zum einen die Wahl zwischen der "Premium" und der "Basic"-Oberfläche. Durch die Einstellung, ob es ein öffentlicher oder ein privater Computer ist, steuern Sie den Timeout des Cookies.

  • öffentlicher Computer
    Die Verbindung wird nach 15 Minuten als beendet angesehen
  • Privater Computer
    Der Cookie hat eine Laufzeit von 24 Stunden

Die Zeit zählt jeweils seit der letzten Aktivität. OWA sendet mit jeder Antwort einen aktuellen Cookie mit. Erst wen Sie die Zeitspane lang keine Daten abrufen (z.B.: wenn Sie auf einem öffentlichen Computer in der Betriebart Basic 20 Minuten eine Mail "schreiben", muss die Anmeldung wiederholt werden. Beim Premium Client werden auch Eingaben als "Aktivität" erkannt.

Diese Parameter können über die Registrierung eingestellt werden. Details finden Sie im Artikel

  • 830827 How to manage Outlook Web Access features in Exchange Server 2003

Aber bis es soweit  ist, müssen Sie natürlich erst mal aktiv werden.

Formbased auf Exchange 2003 aktivieren

Gegen wir erst mal von einem einfachen Server aus, der per Browser erreichbar ist. Dann müssen Sie seit Exchange 2003 einfach nur eine kleine Checkbox aktivieren, um die neue Oberfläche zu erhalten.

Dazu starten Sie einfach den Exchange System Manager, gehen auf den gewünschten Server und unter Protokolle HTTP auf den virtuellen HTTP-Server. In den Eigenschaften finden Sie die entsprechende Option. Sie können zusätzlich die Kompression der der Daten auf den gewünschten Level einstellen, Höhere Kompression bedeutet weniger Bandbreite aber auch mehr CPU-Belastung. Stellen Sie sicher, dass Sie alle Windows Hotfixes installiert haben, da es in Verbindung mit der Kompression früher ein Problem gab.

Nach der Aktivierung müssen Sie den IIS durchstarten. Dies geht z.B. auch der Kommandozeile durch den Aufruf von

C:>IISReset

Microsoft empfiehlt den Einsatz der Kompression nicht bei einzelnen Servern, weil die CPU-Last hier problematisch werden könnte. Allerdings kann ich das so nicht bestätigen. Am besten Sie machen ihre eigene Beobachtung, wie stark ihr Server belastet ist.

Sie sollten auf jeden Fall SSL einsetzen und erzwingen. Ein erforderliches Zertifikat können Sie von einer Zertifizierungsstelle kaufen. für den Anfang kann auch ein selbst erstelltes Zertifikat reichen.
Siehe dazu auch IIS SSL einrichten

Formbased aus Exchange 2007/2010

In Exchange 2007/2010 ist die formularbasierte Anmeldung per Default aktiv und kann auf den Eigenschaften der Outlook WebApp-Seite über die MMC problemlos angepasst werden:

Seit Exchange 2010 SP1 gibt es zudem einen neuen Dienst, der unbedingt laufen muss, damit die formularbasierte Anmeldung weiter möglich ist.

Etwas perfide ist, dass der Dienst auf einem deutschen Server nicht mit "Microsoft Exchange" im Displaynamen beginnt, sondern "Formularbasierter Microsoft-Exchange-Authentifizierungsdienst" heißt.

Sie müssen also etwas außerhalb der Reihe suchen.

Ich hatte ein paar Umgebungen, in denen der Dienst aus nicht weiter bekannten Gründen NICHT automatisch gestartet ist. Er konnte aber manuell nachgestartet werden. Ich tippe auf Probleme bei der Verbindung zum DNS (Netzwerkkarte, VLAN, 802.1x). Kontrollieren Sie also diesen Dienst oder setzen Sie ihn auf "Automatisch (Verzögert)".

FBA und ISA

Viele Administratoren können sich aber nur schwer damit anfreunden, dass der Webserver auf dem Exchange Server für jeden aus dem Internet erst einmal erreichbar ist. Faktisch kann ja wirklich jede Person, die die Adresse kennt, auf den Anmeldeschirm kommen und z.B.: ein Kennwort erraten wollen. Wie schützen wir  daher den Exchange Server zusätzlich zu IISLockDown und URLScan ?

Wir nutzen einfach einen ISA 2004-Server. Dieser kann als "Reverse Proxy" für Exchange geschaltet werden und übernimmt die ganze Arbeit der Authentifizierung. Erst wenn sich der Anwender am ISA-Server angemeldet hat, wird er transparent zum Exchange Server durchgereicht.  Ganz einfach oder ?

FBA und Frontend Server und Cluster

Nun stellt sich natürlich die Frage, was in einer Frontend/Backend Konstellation zu beachten ist. Hierbei greift der Anwender eigentlich auf den Frontend Server zu, welcher die Anfragen dann an den jeweiligen Backend Server durchreicht. Wo muss ich hier die formularbasierte Anmeldung aktiviere ? und wo muss ich die Einstellungen auf einem Cluster vornehmen ?

Auch hier hilft uns der ein oder andere TechNet und Knowledgebase Artikel weiter:

  • Auf einem Cluster können Sie die formularbasierte Anmeldung nicht aktivieren. Sie benötigen dann zwingend einen Frontend Server.
  • Sie müssen die formularbasierte Anmeldung auf den Frontend Server aktivieren. Zusätzlich müssen Sie aber auf dem Backend Server die "Basic Authentication" mit der Default Domäne "\" eintragen, wenn Sie dies noch nicht getan haben. Damit werden natürlich Kennworte "unverschlüsselt" zwischen dem Frontend und Backend Server übertragen. Diese können sie NICHT per SSL verschlüsseln da SSL zwischen Frontend und Backend Server nicht möglich ist. Sie können aber mit IPSec die Daten sichern lassen.

FBA und ActiveSync

Wenn Sie "Formbased Authentication" ohne den Einsatz von Frontend Servern aktivieren, dann werden Sie feststellen, dass danach ActiveSync und OMA nicht mehr funktioniert. Dies liegt daran, dass die MOBSYNC.DLL nicht mit der formularbasierten Anmeldung umgehen kann. Entschuldigen wir das mal damit, dass ActiveSync eigentlich die Weiterentwicklung des Exchange 2000 - Mobile Information Server ist und damals gab es noch keine formularbasierte Anmeldung.

Aber auch hierzu gibt es eine Lösung auf Exchange ActiveSync Server

Links