Durch die Direkt-Push-Funktionalität haben Benutzer von Windows-Mobile-Smartphones oder Geräten ,die Exchange ActiveSync lizenziert haben, wie zum Beispiel das iPhone, ähnliche Möglichkeiten wie BlackBerry-Nutzer, ohne zusätzliche Produkte lizenzieren zu müssen.
Der Zugriff ist standardmäßig auf Client-Access-Servern nach der Installation aktiviert. Damit der Zugriff funktioniert, müssen Anwender ihre Smartphones nur entsprechend konfigurieren. Soll die Funktion auch unterwegs zur Verfügung stehen, können Administratoren diese, wie Outlook Web App und Outlook Anywhere, über einen ISA/TMG-Server im Internet veröffentlichen.
Bei der beschriebenen Synchronisation zwischen mobilen Geräten und Exchange Server 2010 mittels Exchange ActiveSync (nicht zu verwechseln mit ActiveSync über eine Dockingstation) wird der Verbindungsaufbau mithilfe von http/https durchgeführt. Die Tätigkeiten, für die Exchange Server 2010 auf http zurückgreifen muss, laufen über den IIS des Servers.
Um den Verbindungsaufbau zu steuern, legt Exchange Server 2010 ein neues virtuelles Verzeichnis unterhalb der Standard-Website des Exchange-Servers an. Alle Verbindungen, die mobile Endgeräte mit Exchange ActiveSync aufbauen, laufen über diese Seite. Sie können sich die Einstellungen im Snap-In für die Verwaltung des IIS ansehen. Ohne dieses virtuelle Verzeichnis und eine Verbindung der Smartphones zu diesem ist keine Synchronisierung per ActiveSync möglich.
Wenn Sie auf eine E-Mail antworten, die zu Ihrem Endgerät gesendet wurde, überträgt das Endgerät zum Exchange-Server nur den Text, den Sie zum Antworten eingetippt haben. Der restliche Text der E-Mail - also den, den Antwort- oder Weiterleitungs-E-Mails enthalten - wird vom Server eigenständig lokal zusammengebaut und muss nicht erneut zurückübertragen werden. Diese Funktion spart natürlich umso mehr Bandbreite, je länger eine E-Mail durch Antworten und Rückantworten wird. Sie können diese Website mit dem Befehl New-ActiveSyncVirtualDirectory -WebSiteName <Domäne> wiederherstellen, wenn diese korrupt ist und Sie das virtuelle Verzeichnis fehlerhaft konfiguriert oder gelöscht haben.
Die neuen Funktionen und Verbesserungen des Microsoft Exchange Server 2010 zeigt Ihnen der Beitrag Microsoft Exchange Server 2010 - Outlook Web Access, Unified Messaging und Archivierung auf. Was bei der Umstellung auf die neue Version zu beachten ist, verrät Ihnen der Artikel Microsoft Exchange Server 2010 - Installation und Migration.
Verwalten von Exchange Active Sync
Die Verwaltung von Exchange ActiveSync können Sie über die Exchange-Verwaltungskonsole durchführen. Wir zeigen Ihnen in den folgenden Abschnitten die Aktivierung und Konfiguration dieser Option. Klicken Sie auf Serverkonfiguration/ClientAccess. Wählen Sie im Ergebnisbereich den Client-Access-Server, den Sie verwalten wollen. Als Nächstes öffnen Sie im unteren Ergebnisbereich die Registerkarte Exchange ActiveSync. Rufen Sie die Eigenschaften für Microsoft-Server-ActiveSync auf.
Ihnen stehen zur Verwaltung von EAS an dieser Stelle drei Registerkarten zur Verfügung. Ausführliche Informationen über das virtuelle Verzeichnis erhalten Sie auch in der Exchange-Verwaltungs-Shell über den Befehl get-activesyncvirtualdirectory |fl.
Auf der Registerkarte Authentifizierung in den Eigenschaften von Exchange ActiveSync sollten Sie sicherstellen, dass die Standardauthentifizierung aktiviert ist und Client-Zertifikate ignoriert werden. Auch wenn bei der Option Standardauthentifizierung die Information steht, dass das Kennwort in Klartext übermittelt wird, müssen Sie sich keine Sorgen machen. Da die gesamte Exchange-ActiveSync-Verbindung zwischen Endgerät und Client-Access-Server SSL-verschlüsselt ist, wird auch das Kennwort SSL-verschlüsselt übertragen und nicht in Klartext gesendet.
Über die Registerkarte Remotedateiserver konfigurieren Sie den Zugriff auf SharePoint Services oder Dateifreigaben. Die Einstellungen entsprechen denen zur Konfiguration der jeweiligen Funktionen für Outlook Web App. Sie können den Zugriff mit Exchange ActiveSync auf einzelnen Client-Access-Servern deaktivieren.
In diesem Fall können Sie als Anwender zwar weiterhin mit anderen Möglichkeiten auf den Exchange Server zugreifen, aber sich nicht mehr mit mobilen Endgeräten synchronisieren. Die Deaktivierung von Exchange ActiveSync findet über das Snap-In Internetinformationsdienste-Manager statt. Für einzelne Anwender deaktivieren Sie ActiveSync in den Eigenschaften des Postfachs über die Registerkarte Postfach-Features.
Konfiguration eines Smartphones für Exchange ActiveSync
Damit Benutzer sich mit ihrem Postfach synchronisieren können, müssen sie noch ein paar Einstellungen auf ihren Endgeräten vornehmen: Öffnen Sie mit Start/ActiveSync das Konfigurationsprogramm für ActiveSync auf dem Endgerät. Sie finden ActiveSync auch im Menü Programme. Hat sich ActiveSync geöffnet klicken Sie auf den Link das Gerät für die Synchronisierung mit diesem Server einrichten.
Tragen Sie als Server die externe IP-Adresse oder den externen Namen des Servers ein. In letzterem Fall sollten Sie zunächst die Namensauflösung auf dem Gerät überprüfen. Tragen Sie auch hier als Namen die Bezeichnung des Servers ein, wie Sie ihn im Internet über den ISA/TMG veröffentlichen wollen, in diesem Beispiel also mail.contoso.com. Sie verwenden hier den gleichen FQDN (Fully Qualified Domain Name) wie bei der Anbindung von Outlook Web App oder über Outlook Anywhere.
Da dieser FQDN zu der externen IP-Adresse des Client-Access-Servers zeigt, können Sie diese auch für die anderen Veröffentlichungen verwenden. Sie müssen kein http oder https dazuschreiben. Es ist nur wichtig, dass der vollständige DNS-Name eingetragen ist, der auch im Internet verfügbar ist. Stellen Sie auf dieser Seite zudem sicher, dass auch die SSL-Verschlüsselung aktiviert ist, da diese für die Synchronisierung benötigt wird. Den Namen, den Sie für den Server im Internet verwenden, beziehungsweise dessen IP-Adresse sollten Sie zuvor festlegen.
Benutzer einrichten
In Windows Mobile 6.5 tragen Sie die E-Mail-Adresse des Anwenders ein und belassen die Option Exchange-Server-Einstellungen automatisch ermitteln, wenn Sie Autodiscover nutzen wollen. Autodiscover funktioniert allerdings nicht in allen Fällen, wenn Sie das Gerät über das Internet anbinden. In diesem Fall können Sie den Haken auch entfernen und die Einstellung manuell vornehmen, wie in Windows Mobile 6. Entfernen Sie den Haken bei Exchange-Server-Einstellungen automatisch ermitteln, erscheint in Windows Mobile 6.5 das gleiche Fenster wie in Windows Mobile 6, und Sie können den Server manuell eintragen.
Konfigurieren Sie als Nächstes den Benutzernamen, das Kennwort und Ihre Domäne, damit diese Daten bei der Synchronisation gleich mit übertragen werden. Tragen Sie die Anmeldedaten zu Ihrer Windows-Domäne ein. Achten Sie darauf, dass das Kennwort gespeichert wird, da ansonsten Direct Push nicht funktioniert, weil Sie für jede Verbindung erneut die Anmeldung eingeben müssen. Auch für die manuelle Synchronisation ist die Verwendung eines gespeicherten Kennwortes um einiges bequemer.
Unter Erweitert können Sie festlegen, dass bei Inhaltskonflikten immer das Postfach auf dem Server Vorrang hat und Objekte auf dem Client-Gerät ersetzt werden. Auch die Ereignisprotokollierung bei Fehlern und die Verbindung des Smartphones steuern Sie an dieser Stelle. Auf der nächsten Seite konfigurieren Sie, welche Informationen synchronisiert werden sollen. Sie können für jeden einzelnen Punkt spezielle Aufgaben festlegen und zum Beispiel nur aktuelle E-Mails synchronisieren lassen oder Dateianhänge ab einer bestimmten Größe ganz weglassen.
Klicken Sie dazu auf den entsprechenden Bereich und wählen Sie dann Einstellungen. Ihnen stehen verschiedene Möglichkeiten zur Verfügung, die Sie auch jederzeit anpassen können.
Synchronisierung konfigurieren
Wenn Sie E-Mails bei der Synchronisierung nach Größe filtern, synchronisiert das Endgerät dennoch alle E-Mails. Ist eine E-Mail größer als in den Einstellungen vorgegeben, überträgt Exchange ActiveSync nur den Text, bis die maximale Größe erreicht ist. Sie können in der E-Mail die Option aktivieren, dass im Bedarfsfall bei der nächsten Synchronisation der Server den ganzen Text überträgt; das gilt auch für die Einschränkung bei den Dateianhängen.
Haben Sie alle Einstellungen vorgenommen, können Sie mit Fertig die Einstellungen abschließen. Das Smartphone beginnt mit der ersten Synchronisierung. Nach der erfolgreichen Synchronisierung erhalten Anwender auch entsprechende Informationen über die Anzahl der synchronisierten Objekte. Über die Schaltfläche Menü in ActiveSync können Sie jederzeit die Einstellungen zur Synchronisierung, den Zeitplan und die Verbindungen anpassen. Konnte der Client eine Synchronisierung durchführen, zeigt ActiveSync die erfolgreiche Verbindung an.
Über Menü/Status sehen Sie darüber hinaus die erfolgreiche Verbindung. Achten Sie darauf, dass das Serverzertifikat des IIS auf dem Endgerät installiert ist. Windows Mobile verwendet standardmäßig SSL zum Verbindungsaufbau, ohne SSL funktioniert die Synchronisierung nicht. Fehlt ein gültiges Zertifikat auf dem Endgerät, wird die Synchronisierung über das Internet nicht stattfinden. Es ist wichtig, dass auf dem Endgerät, neben dem Zertifikat des Webservers auch die Stammzertifizierungsstelle Ihres Unternehmens als vertrauenswürdig eingestuft ist; erst dann ist die Synchronisierung mit Exchange ActiveSync möglich. Sie finden die Zertifikate auf dem Pocket-PC über Start/Einstellungen/System/Zertifikate/Stamm, in Windows Mobile 6.5 über Start/Einstellungen/System/Sicherheitszertifikate. Damit Sie die Zertifizierungsstelle als vertrauenswürdig hinterlegen können, benötigen Sie eine SD-Karte, auf der Sie eine Zertifikatdatei abspeichern können, oder eine Dockingstation.
Wenn Sie die exportierte Zertifikatdatei per File Explorer (Datei Explorer) auf dem Endgerät anzeigen, reicht es aus, diese Datei anzuklicken, damit sie installiert werden kann. Haben Sie die Zertifikatdatei angeklickt, erkennt das Endgerät automatisch, dass es sich um ein Zertifikat handelt, und schlägt die Installation vor. Achten Sie bei der Einstellung des Zeitplans auf dem mobilen Endgerät darauf, dass Sie die Einstellung so wählen, dass E-Mails immer dann synchronisiert werden, sobald diese auf dem Server eintreffen.
Diese Einstellung ist von Gerät zu Gerät unterschiedlich. Wichtig ist an dieser Stelle, dass die Direkt-Push-Funktionalität nur dann zur Verfügung steht, wenn es der Zeitplan auf dem Endgerät erlaubt. Sie können in Windows Mobile 5,6 und 7 sehr detaillierte Einstellungen vornehmen, wann diese Funktionalität zur Verfügung steht. Diese Einstellungen werden in ActiveSync auf dem Endgerät eingestellt.
In Windows Mobile 6.5 finden Sie die Nachrichten über Start/E-Mail oder im Bereich Heute unter E-Mail. Hier sehen Sie auch die Anzahl der neuen Nachrichten.
Verwalten der mobilen Endgeräte
Synchronisiert sich ein Anwender mit seinem Postfach, kann er über Outlook Web App Informationen über seine Endgeräte und den letzten Zeitpunkt der Synchronisierung anzeigen lassen.
Melden Sie sich dazu in Outlook Web App an, und klicken Sie oben im Fenster auf Optionen. Über den Menüpunkt Telefon\Mobiltelefone kann sich der Anwender seine Geräte anzeigen und ein Gerät auch löschen lassen, wenn er es verloren hat. Gleichfalls kann man ablesen, wann sich das Endgerät das letzte Mal synchronisiert hat.
Administratoren können die Liste der mobilen Geräte von Anwendern anzeigen lassen, indem Sie in der Exchange-Verwaltungskonsole auf Empfängerkonfiguration/Postfach klicken. Im Kontextmenü des Anwenders steht der Menüpunkt Mobiltelefon verwalten zur Verfügung.
Dies ist erst dann der Fall, wenn sich ein Benutzer bereits einmal synchronisiert hat und daher ein Gerät in der Liste auftaucht. In der Exchange-Verwaltungs-Shell können Sie den Befehl Get-ActiveSyncDeviceStatistics -Mailbox:<Alias> verwenden, um sich die Geräte anzeigen zu lassen.
Exchange-ActiveSync-Postfachrichtlinien
Sie können für Anwender Exchange-ActiveSync-Postfachrichtlinien hinterlegen. Diese steuern die Sicherheitseinstellungen auf den Endgeräten. Die Richtlinien werden in der Exchange-Verwaltungskonsole über Organisationskonfiguration/ClientAccess konfiguriert. Wechseln Sie auf die Registerkarte Exchange-ActiveSync-Postfachrichtlinien. Wenn Sie mit der rechten Maustaste in den Ergebnisbereich klicken, lassen sich mit dem Menüpunkt Neue Exchange ActiveSync-Postfachrichtlinie Einstellungen vorgeben. Diese Vorgaben können Sie dann bei den Anwendern als Richtlinie hinterlegen.
Nach der Installation von Exchange Server 2010 finden Sie in diesem Bereich eine Richtlinie mit der Bezeichnung Default. Über deren Eigenschaften können Sie die Einstellungen anpassen. Sobald sich ein Anwender das erste Mal mit Exchange verbindet, informiert Windows Mobile den Anwender, dass eine Verbindung nur möglich ist, wenn er bestätigt, dass Richtlinien eingesetzt werden.
Bestätigt der Anwender die Richtlinien, werden diese von Windows Mobile angewendet. Erst dann synchronisiert sich ActiveSync mit dem Server. Auf der Registerkarte Allgemein in den Einstellungen einer Richtlinie sehen Sie, ob die Richtlinie aktuell als Standard hinterlegt ist, und können festlegen, welche Geräte sich mit Exchange synchronisieren dürfen. Aktivieren Sie die Option Nicht bereitstellbare Geräte zulassen, dürfen sich auch Smartphones mit dem Server synchronisieren, die technisch nicht in der Lage sind, die hinterlegten Richtlinien zu verwenden.
Synchronisierungseinstellungen per Richtlinie steuern
Auf der Registerkarte Synchronisierungseinstellungen legen Sie Optionen fest, die das Übertragen von E-Mails und anderen Objekten auf das Smartphone durch Exchange ActiveSync betreffen.
Befinden Sie sich im Ausland oder anderweitig außerhalb des Bereiches des normalen Netzbetreibers, können Sie durch Deaktivieren der Option Beim Roaming Direct Push zulassen festlegen, dass sich Anwender zwar manuell mit dem Postfach synchronisieren können, aber keine ständige Direct-Push-Verbindung in Echtzeit mit dem Exchange Server über das Internet stattfindet. Standardmäßig ist diese Option aktiv, das heißt, die Smartphones, die mit dieser Richtlinie verbunden sind, verwenden Direct Push unabhängig vom Betreiber.
Auf der Registerkarte Geräte steuern Sie Funktionen und installierte Zusatzgeräte der Endgeräte, wie Infrarot oder Digitalkameras. Einstellungen, die Sie hier vornehmen, sind Premium-Features. Zum Verwenden dieser Funktionen benötigen Sie für das Postfach eine Exchange-Enterprise-Client-Zugriffslizenz. Sie können über Richtlinien nicht nur die Hardware des Gerätes steuern, sondern auch, welche Anwendungen auf dem Gerät verfügbar sein sollen. Dazu verwenden Sie die beiden Registerkarten Gerätanwendungen und Andere. Auch für diese Einstellungen benötigen Sie eine Enterprise-CAL.
Kennwörter für Endgeräte festlegen
Sie können über Richtlinien auch festlegen, dass Anwender vor der Verwendung des Endgerätes ein Kennwort eingeben müssen. Standardmäßig ist diese Möglichkeit nicht aktiviert, und Anwender können Smartphones ohne Kennwörter starten. Wollen Sie festlegen, dass Anwender Kennwörter eingeben sollen, haben Sie verschiedene Möglichkeiten:
• Kennwort anfordern - Wenn Sie diese Option aktivieren, müssen Anwender ein Kennwort für das Smartphone festlegen. Mit den anderen Optionen, die jetzt aktiv sind, können Sie den Aufbau der Kennwörter steuern.
• Alphanumerisches Kennwort anfordern - Wenn Sie diese Option aktivieren, darf das Kennwort nicht nur Ziffern enthalten, sondern auch andere Zeichen. Diese Option ist standardmäßig nicht aktiv.
• Kennwortwiederherstellung aktivieren - Benutzer können über Outlook Web App ein Wiederherstellungskennwort erhalten und die Sperre für ihr Mobiltelefon aufheben. Diese Option ist standardmäßig nicht aktiviert. Anwender finden diese Option, wenn sie in Outlook Web App auf Optionen klicken und dann auf Telefon\Mobiltelefone\Wiederherstellungskennwort.
• Verschlüsselung auf der Speicherkarte vorschreiben - Ist diese Option aktiv, müssen die Speicherkarten im Gerät verschlüsselt sein. Diese Option ist standardmäßig nicht aktiviert. Dazu finden Sie in Windows Mobile im Bereich Einstellungen\System die Option Verschlüsselung.
• Einfaches Kennwort zulassen - Hier können Sie festlegen, dass Anwender keine komplexen Kennwörter mit einer bestimmten Syntax verwenden müssen, sondern auch einfachere Kennwörter einsetzen dürfen. Diese Option ist standardmäßig aktiviert.
• Zulässige Anzahl fehlerhafter Versuche - Hier legen Sie fest, nach wie vielen fehlerhaften Kennworteingaben das Endgerät seine Daten löscht und die Einstellungen auf Werkseinstellungen zurücksetzt. Standardmäßig sind acht Versuche hinterlegt. Anwender erhalten eine Information, wie viele Versuche noch frei sind.
• Minimale Kennwortlänge - Diese Option gibt die Mindestlänge des Kennworts an. Standardmäßig müssen Anwender mindestens vier Zeichen verwenden.
• Zeitraum ohne Benutzereingabe, bis das Kennwort erneut eingegeben werden muss (in Minuten) - Hier legen Sie fest, nach welcher Zeit Windows Mobile das Endgerät sperren soll und der Anwender zur erneuten Verwendung wieder ein Kennwort eingeben muss. Standardmäßig sind an dieser Stelle 15 Minuten festgelegt.
• Kennwortablauf (Tage) - Hier legen Sie fest, wie lange ein Kennwort verwendet werden kann, bis Anwender es auf dem Gerät wieder ändern müssen. Diese Option ist standardmäßig nicht aktiv.
• Kennwortverlauf erzwingen - Hier können Sie festlegen, dass Anwender bereits gesetzte Kennwörter für eine bestimmte Anzahl an Änderungen nicht noch einmal verwenden dürfen. Wenn Sie hier 0 eintragen, darf der Anwender verwendete Kennwörter später wieder verwenden.
Zuweisen von Sicherheitsrichtlinien zu Benutzern
Standardmäßig ist nach der Installation die Richtlinie Default allen Anwendern zugewiesen, für die Sie Exchange ActiveSync aktivieren. Legen Sie neue Richtlinien fest, werden die Sicherheitsrichtlinien nicht automatisch den Benutzern zugewiesen. Sie müssen diese einzelnen Benutzern manuell zuweisen:
3. Rufen Sie dazu die Eigenschaften des Benutzerkontos in der Exchange-Verwaltungskonsole unter Empfängerkonfiguration/Postfach auf.
4. Wechseln Sie auf die Registerkarte Postfachfeatures.
5. Markieren Sie den Eintrag Exchange ActiveSync, und klicken Sie auf Eigenschaften.
6. Klicken Sie auf Durchsuchen.
7. Wählen Sie die entsprechende Richtlinie aus.
8. Bestätigen Sie alle Fenster mit OK.
Richtig sinnvoll ist eine Richtlinie natürlich erst dann, wenn Sie diese mehreren, am besten allen Anwendern zuweisen. Diese Möglichkeit haben Sie am besten in der Exchange-Verwaltungs-Shell. Um eine Richtlinie allen Anwendern zuzuweisen, verwenden Sie am besten den Befehl
Get-Mailbox | Set-CASMailbox -ActiveSyncMailboxPolicy(Get-ActiveSyncMailboxPolicy <Name der Richtlinie>).Identity. (mje)