Exchange 2003 ActiveSync mit Zertifikaten
Windows Mobile können mit zertifikatbasierter Anmeldung per OWA nicht auf Dateifreigaben von Exchange 2007 zugreifen. Dies funktioniert aber auch nicht in Verbindung mit einem CAS-Proxy oder einen ISA mit NTLM-Authentifizierung.
Wird der Zugang per ISA 206 veröffentlicht, sollte der ISA das Zertifikat prüfen. Siehe auch EASCert mit ISA2006
Für das initiale Rollout muss das Mobilgerät mit dem PC per ActiveSync gekoppelt werden, um die URLs zum erreichen der Zertifizierungsstelle zu erhalten.
Diese Anleitung gilt nur, wenn der Exchange Server von den Client direkt, per ReverseNAT oder einen Reverse Proxy im Tunnelmode angesprohen wird.
Exchange ActiveSync Zugriffspunkt
Die Aktivieren von Exchange 2003 für eine Anmeldung von Client Zertifikaten ist eigentlich mit zwei Mausklicks erfolgt: Dies gilt nur für Exchange Frontend Server und einen einzelnen Server (z.B.: Small Business oder kleine Firma)
NICHT BEIM BACKEND
Wenn Sie eine verteilte Struktur haben und daher Frontend Server für den
Zugriff auf Backend-Server einsetzen, dann sollten Sie aber Exchange
2003 auf den Eigenschaften des Server angeben, ob es sich um einen
Frontend oder Backend Server handelt und auf dem Backend NIEMALS die
Einstellung für Clientzertifikate durchführen.
Der PDA muss über eine HTTP-Fehlermeldung gezwungen werden, eine Anmeldung mit Zertifikaten durchzuführen. Erst dann fordert er überhaupt erst ein entsprechendes Zertifikat von der CA an.
Zudem müssen Sie auf den Eigenschaften von "Webseiten" den "Directory Service Mapper" aktivieren
Damit ist die Konfiguration des IIS auf dem Frontend oder einzelnen Server abgeschlossen. Ab sofort kann aber auch kein ActiveSync Client mehr über die Angabe von Benutzername und Kennwort sich anmelden. Sie müssen sich für einen Weg entscheiden, wenn Sie keine zwei virtuelle Webserver mit parallelen Zugängen veröffentlichen wollen. Aber dann ist vielleicht ein ISA2006-Server davor die besser Option. Siehe EASCert mit ISA2006.
Frontend und Backen
Weiter oben habe ich hoffentlich deutlich genug davor gewarnt, auf dem Backend Server die Clientzertifikate zu erfordern, da dies die Funktion unbrauchbar macht. Beim Einsatz von Frontend Servern muss die Funktion Kerberos Constraint Delegation genutzt werden, damit sich der ActiveSync Client beim Frontend anmeldet und dann der Frontend-Server sich im Auftrag des Benutzers ein Ticket für den Zugriff auf den Backend Server holt.
Hierzu müssen Sie über die MMC für Benutzer und Computer das Computerkonto des Frontend-Servers suchen und die Exchange Backend Server addieren. Erlauben sie "JEDES" Authentifizierungsprotokoll für die Dienste HTTP und W3SVC.
Nach Abwarten der AD-Replikation stellen die Kerberos Distribution Server auf den Domain Controllern dem Frontend Server gerne ein Ticket für den Anwender aus, damit ein Zugriff auf den Backend Server erfolgen kann. Der Exchange Frontend geht natürlich per HTTP auf das virtuelle Verzeichnis "/Exchange" des jeweiligen Backend-Servers. Auf den Backend Servern ist niemals die formularbasiert Anmeldung aktiv, so dass die integrierte Anmeldung zum Zuge kommt
- Kerberos Constraint Delegation
- Kerberos authentication, including constrained delegation and protocol
transitioning.
http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx
http://go.microsoft.com/fwlink/?linkid=51993