Outlook Web Acccess in Exchange 2007
Zugriff auf Dateien mit OWA
Viele Unternehmen nutzen Outlook Web Access (OWA) lediglich für den reinen E-Mail-Zugriff von unterwegs. Dabei bietet OWA insbesondere in Verbindung mit dem Service-Pack 1 für Exchange Server 2007 weitergehende Anwendungsmöglichkeiten. Der Beitrag geht auf die Neuerungen von OWA ein - speziell auch den Datenzugriff über das Internet - und erläutert die entsprechenden Konfigurationseinstellungen auf administrativer Seite.
Exchange Server 2007 enthält zahlreiche Verbesserungen im Vergleich zu Exchange Server 2003. Auch im Bereich von Outlook Web Access (OWA) hat Microsoft einiges getan. Die Verwaltung von OWA ist in Exchange Server 2007 deutlich verbessert. Die Konfiguration hat Microsoft vollständig in die Exchange-Verwaltungskonsole und die Exchange-Verwaltungs-Shell integriert. Es sind keine zusätzlichen Tools oder die Verwaltungsprogramme der IIS (Internet Information Services) mehr notwendig, um OWA einzurichten. Die Oberfläche lässt sich von den Anwendern selbst an die eigenen Bedürfnisse anpassen. Das Look and Feel von Outlook Web Access entspricht immer mehr dem von Outlook, dies gilt auch für den Funktionsumfang. OWA unterstützt jetzt auch die rechte Maustaste, sodass die Bedienung für Anwender deutlich einfacher und vor allem ähnlich zur herkömmlichen Computerarbeit ist. Benutzer können in Exchange Server 2007 die Spracheinstellungen zudem unabhängig vom Browser einstellen. Unter Exchange 2003 verwendet OWA die Sprache des installierten Browsers, was zum Beispiel bei Auslandsreisen die Arbeit erschwert.
Beim Herunterladen von Anhängen haben Anwender mit der verbesserten Gzip-Komprimierung den Vorteil, dass die zu übertragende Datenmenge deutlich verringert ist. Damit trägt Microsoft Anforderungen Rechnung, dass externe Mitarbeiter neben E-Mails auch effizient auf andere Daten zugreifen wollen. Über OWA in Exchange Server 2007 besteht jetzt erstmals die Möglichkeit, auf Dateien von Dateiservern oder Sharepoint-Servern zuzugreifen oder Dokumente zu lesen, obwohl das entsprechende Programm auf dem Arbeitsplatzrechner nicht installiert ist: OWA gibt die Authentifizierung des aktuellen Anwenders SSL-gesichert an die Dateiserver weiter und fungiert dabei als Reverse-Proxy. Anwender können dadurch lesend auf beliebige Netzwerkpfade zugreifen. Aus Sicherheitsgründen lässt sich diese Funktion auch deaktivieren oder nur für einzelne Anwender freischalten.
Technische Neuerungen von Outlook Web Access
Im Gegensatz zu Exchange 2000/2003 rendert OWA in Exchange Server 2007 die angezeigten Daten über ASP.Net (Active Server Pages) auf Client-Zugriffsservern (Client Access Server, CAS). Dies entlastet die ohnehin oft schon stark frequentierten Mailboxserver, was zu einer Verbesserung der Leistung führt. Exchange Server 2007 verringert den mit OWA verbundenen Datenverkehr, indem der Frontendserver die Daten per RPC (Remote Procedure Call) vom jeweiligen Mailboxserver abruft - ähnlich wie Outlook.
Benutzern stehen zwei verschiedene Versionen von OWA zur Verfügung, die Standard-/Basisversion und die Premium- beziehungsweise Rich-Experience-Version. Um diese erweiterte Version von OWA 2007 zu verwenden, müssen Anwender mit dem Internet Explorer ab Version 5, besser 6 oder 7, auf den Server zugreifen. Andere Browser wie Netscape, Firefox oder Opera können lediglich mit der OWA-Standardversion arbeiten. Da diese deutlich weniger Features unterstützt, sind die Ladezeiten etwas kürzer als bei der Premiumversion. Allerdings unterstützt nur Letztere wirklich alle Funktionen: So löscht der Internet Explorer nach dem Ausloggen automatisch alle Cookies mit Benutzerdaten. Die Ansicht von E-Mails ist sehr ähnlich zu Outlook. Anwender können zudem E-Mails als "gelesen" und "ungelesen" markieren, was vor allem für Power User relevant ist. Nachrichten lassen sich in der erweiterten Version zur Nachverfolgung kennzeichnen - ebenfalls ein wichtiger Punkt für geübte Anwender.
Die E-Mail-Verschlüsselung mit S/MIME unterstützt OWA ebenfalls nur in der erweiterten Version: Um auf die OWA-Webseite zuzugreifen, geben Anwender im Browser die Adresse "https://
Exchange-Server-2007-CAS lassen sich übrigens auch zusammen mit Exchange-Server-2000-/2003-Backendservern betreiben: Der Client Access Server funktioniert in diesem Fall wie ein Exchange-Server-2000-/2003-Frontendserver. Microsoft empfiehlt allerdings den Einsatz von Exchange-Server-2007-Mailboxservern, da die Server hier besser miteinander kommunizieren. Standardmäßig ist der OWA-Zugriff für alle Anwender aktiviert. Systemverwalter aktivieren oder deaktivieren die Berechtigung für den OWA-Zugriff in der Exchange-Verwaltungskonsole in den Eigenschaften der Benutzerkonten auf der Registerkarte "Postfach-Features" Die Verwaltung der Benutzerkonten erfolgt über "Empfängerkonfiguration/Postfach".
Das Service-Pack 1 für Exchange Server 2007
Für Anwender bringt das Service-Pack 1 in OWA die Unterstützung von persönlichen Verteilerlisten sowie den Zugriff auf öffentliche Ordner, ohne die Ansicht des Postfachs verlassen zu müssen. Regeln und Editoren für Assistenten unterstützt OWA 2007 mit dem Service-Pack 1 wesentlich besser. Bereits existierende Posteingangsregeln lassen sich bearbeiten oder neue Regeln definieren. Die in OWA erstellten Regeln sind serverbasierend, sodass sie auch bei der Verbindung via Outlook zur Verfügung stehen. Anwender können eigene Formulare und Einträge für benutzerdefinierte Adressbücher anlegen. Außerdem haben sie direkt über OWA Zugriff auf den Papierkorb des Servers, um gelöschte E-Mails wiederherzustellen. Die Hilfe des Administrators ist daher nicht mehr nötig, was die IT-Abteilung deutlich entlastet. Kalenderansichten lassen sich anpassen, um zum Beispiel eine monatliche Ansicht zu aktivieren. Bisher konnte die Kalenderansicht nur wöchentliche und tägliche Ansichten zur Verfügung stellen.
Zugriff auf Dateianhänge
Exchange Server 2007 unterscheidet beim Zugriff per Outlook Web Access zwischen öffentlich zugänglichen und privaten Computern. Anwender können bei der OWA-Anmeldung auswählen, von welcher Art Computer aus sie sich mit ihrem Postfach verbinden. Der Systemverwalter legt im Vorfeld fest, auf welche Dateianhänge Anwender entsprechend zugreifen dürfen. So lässt es sich verhindern, dass Anwender zum Beispiel in Internetcafés auf vertrauliche Excel-Tabellen des Unternehmens zugreifen.
Standardmäßig gestattet Exchange Server 2007 von allen Computern aus den Zugriff auf alle Dateianhänge. Daher ist es ratsam, entsprechende Einstellungen so schnell wie möglich nach der Einführung von Exchange Server 2007 vorzunehmen. Dazu stehen in der Exchange-Verwaltungskonsole verschiedene Bereiche zur Verfügung: Die jeweiligen Einstellungen befinden sich in den Eigenschaften des virtuellen Verzeichnisses "OWA" unter "Serverkonfiguration/Client-Zugriff". Dort finden sich verschiedene Optionen für die unterschiedlichen Computerarten. Die Registerkarte "Dateizugriff für private Computer festlegen" dient der Einstellung für "private Computer", die Anwender bei der Anmeldung an OWA auswählen. Die Einstellmöglichkeiten auf dieser Registerkarte sind identisch mit der Registerkarte "Dateizugriff für öffentliche Computer", die wiederum für den Zugriff von nicht gesicherten Computern zuständig ist.
Neben den bekannten Dateitypen können Systemverwalter auch den Zugriff auf unbekannte Dateitypen konfigurieren. Standardmäßig ist die Einstellung für unbekannte Dateien auf "Speichern erzwingen" gesetzt. Durch Deaktivierung der Option "direkten Dateizugriff aktivieren" blockiert Exchange Server 2007 alle Zugriffe vom jeweiligen Computertyp auf Dateianhänge. Nach dem Klicken auf die Schaltfläche "Anpassen" lässt sich festlegen, welche Anhänge OWA blockieren soll und auf welche Anhänge Anwender zugreifen dürfen:
Zulassen: Anwender dürfen auf den Dateityp ohne Einschränkung zugreifen.
Blockieren: Exchange blockiert den Anhang, Anwender dürfen aber den E-Mail-Text lesen.
Speichern erzwingen: Die Datei muss auf dem Client-Computer gespeichert werden und lässt sich erst dann öffnen.
Auch Webready Document Viewing lässt sich übrigens für private und für öffentliche Computer über die Registerkarten "Dateizugriff für private Computer" und "Dateizugriff für öffentliche Computer" an dieser Stelle aktivieren oder deaktivieren. Über die Schaltfläche "Unterstützt" legen Systemverwalter fest, welche Dateitypen Webready Document Viewing im Unternehmen unterstützen soll. Standardmäßig ist diese Funktion für alle angebotenen Dateierweiterungen aktiviert.
Zugriff auf Freigaben und Sharepoint-Server
Eine neue Funktion in OWA ist die Möglichkeit, lesend auf Dateifreigaben und Sharepoint-Server zuzugreifen. Dazu existiert in Outlook Web Access die neue Schaltfläche "Dokumente". Klicken Anwender auf diese Schaltfläche, zeigt OWA alle verbundenen Freigaben an - entsprechende Berechtigungen vorausgesetzt. Über den Link "Pfad öffnen" lässt sich der UNC-Pfad (Uniform Naming Convention) der Freigabe eingeben.
Als Favoriten abgelegt, klappt der zukünftige Zugriff auf den Pfad noch schneller. Der Zugriff auf Freigaben von Dateiservern und auf Sharepoint-Server, lässt sich parallel zur Funktion "Webready Document Viewing" konfigurieren. Während Webready dem Lesen von Dateianhängen aus E-Mails dient, ist es die Aufgabe des Remote-Dateizugriffs, direkt auf bestimmte Dateien zuzugreifen. Auch diese Funktionen sind standardmäßig aktiviert. Aus diesem Grund sollten Systemverwalter nach der Einführung von Exchange Server 2007 diese Funktion ebenfalls anpassen, um Datendiebstahl oder -missbrauch zu verhindern. Allerdings besteht zunächst keine große Gefahr, da nach der Installation von Exchange der Zugriff zwar generell gestattet, aber kein Server für den Zugriff berechtigt ist.
Die Konfiguration dieser Funktion findet ebenfalls über die Eigenschaften des virtuellen OWA-Verzeichnisses in der Exchange-Verwaltungskonsole statt. Auch hier lässt sich der Zugriff zwischen öffentlichen und privaten Computern unterscheiden und entsprechend konfigurieren. Auf denselben Registerkarten wie bei der Konfiguration von Webready befinden sich auch die Optionen zur generellen Aktivierung oder Deaktivierung des Dateizugriffs. Der Zugriff auf Dateiserver und auf Sharepoint-Server lässt sich an dieser Stelle ebenfalls getrennt einstellen. Auf der Registerkarte "Remote-Dateiserver" stellen Systemverwalter ein, auf welche Server genau Anwender zugreifen dürfen.
Es besteht die Möglichkeit, eine Zulassungsliste und eine Sperrliste zu hinterlegen - allerdings nur für komplette Server, nicht für einzelne Freigaben. Außerdem lässt sich hier vorgeben, wie Exchange mit dem Zugriff auf Server umgeht, die in keiner der Listen hinterlegt sind. Alle Server, die sich auf der Sperrliste befinden, sind über OWA nicht zugänglich. Server auf der Zulassungsliste stellen per OWA Daten zur Verfügung. Alle Server die sich auf keiner der Listen befinden blockiert Exchange standardmäßig. Mit diesen Optionen besteht die Möglichkeit, dass Unternehmen sehr spezifisch festlegen können, auf welche Server mit welchen Dateitypen und von wo aus Anwender zugreifen dürfen. Über die Schaltfläche "Konfigurieren" öffnet sich ein neues Fenster, das die Domänennamen der Sharepoint-Server enthält, auf die Anwender zugreifen dürfen. Vor allem beim Einsatz verschachtelter Domänen im Unternehmen ist dieser Bereich sinnvoll, da sich festlegen lässt, welche Sharepoint-Server überhaupt zur Verfügung stehen.
OWA mit ISA 2006 zur Verfügung stellen
Outlook Web Access lässt sich mit einem ISA-Server (Internet Security and Acceleration) hervorragend und sicher im Internet veröffentlichen. Ideal ist die Veröffentlichung per SSL, Client-Access-Server und eigener Zertifizierungsstelle. ISA Server 2006 enthält eine Reihe von Verbesserungen im Bereich der Server- und Webserververöffentlichungen sowie einige neue und erweiterte Authentifizierungsverfahren. Die Funktionen für den Weblastenausgleich implementiert ISA 2006 bei der Veröffentlichung von OWA automatisch.
Für authentifizierten und verschlüsselten Client-Zugriff bietet ISA Server 2006 End-to-End-Sicherheit und Filterung auf der Anwendungsebene unter Verwendung von SSL-to-SSL-Bridging. Der Server untersucht dazu verschlüsselte Daten, bevor sie den Exchange-Server erreichen. ISA Server 2006 entschlüsselt den SSL-Strom, führt eine Überprüfung des Zustands durch, verschlüsselt die Daten anschließend erneut und leitet sie an den Exchange-Server weiter. Bei der Veröffentlichung über einen ISA bauen der Client im Internet und der ISA-Server einen SSL-Tunnel auf. Ein weiterer SSL-Tunnel zwischen ISA-Server und dem Exchange-Server sichert die Verbindung weiter ab. Diese Technik, bei der zwei verschiedene SSL-Tunnel zum Einsatz kommen, wird als SSL-Bridging bezeichnet. Über sie stehen dann sowohl die E-Mails, als auch der Dateiserver- und Sharepoint-Zugriff stabil und sicher zur Verfügung.
Lesen Sie mehr zum Thema
