Product Documentation

Integration von Exchange Server oder IBM Notes Traveler-Server

Mar 06, 2018

Damit Secure Mail mit Microsoft Exchange oder IBM Notes synchronisiert bleibt, können Sie Secure Mail in einen Exchange- oder IBM Notes Traveler-Server im internen Netzwerk oder hinter NetScaler Gateway integrieren.

Die Synchronisierung ist auch für Secure Notes und Secure Tasks verfügbar (siehe unten).

  • Sie können Secure Notes für iOS in einen Exchange-Server integrieren.
  • Bei Secure Notes und Secure Tasks für Android wird das Secure Mail-Konto zum Synchronisieren von Notizen und Aufgaben verwendet.

Informationen zu bekannten Einschränkungen bei IBM/Lotus Notes finden Sie in diesem Citrix Blogbeitrag.

Wenn Sie XenMobile Secure Mail, Secure Tasks und Secure Notes hinzufügen, konfigurieren Sie die folgenden MDX-Richtlinien zur Integration in Exchange oder IBM Notes:

  • Secure Mail: Legen Sie die Richtlinie "Secure Mail Exchange Server" auf den vollqualifizierten Domänennamen (FQDN) für den Exchange oder IBM Notes Traveler-Server fest.

    Die Secure Mail-Anforderungen zum Definieren einer Verbindung mit einem Notes Traveler-Server unterscheiden sich nach Plattform:

    Secure Mail für Android
    und Secure Mail für iOS unterstützen den vollständigen, für einen Notes Traveler-Server angegebenen Pfad. Beispiel: https://mail.example.com/traveler/Microsoft-Server-ActiveSync. (Es ist nicht mehr erforderlich, das Domino-Verzeichnis mit Website-Ersetzungsregeln für den Traveler-Server zu konfigurieren.)
  • Secure Notes und Secure Tasks: Geben Sie Werte für die Richtlinien für Secure Notes-Exchange-Server, Secure Notes-Benutzerdomäne, Secure Tasks-Exchange-Server und Secure Tasks-Benutzerdomäne an.

Die folgenden MDX-Richtlinien wirken sich auf den Secure Mail-Kommunikationsfluss aus:

Netzwerkzugriff: Mit der Richtlinie "Netzwerkzugriff" kann der Netzwerkzugriff eingeschränkt werden. Standardmäßig erfolgt der Zugriff auf Secure Mail durch einen Tunnel im internen Netzwerk, d. h. es gelten keine Einschränkungen für den Netzwerkzugriff. Apps haben unbeschränkten Zugriff auf Netzwerke, mit denen das Gerät verbunden ist. Die Richtlinie "Netzwerkzugriff" interagiert mit der Richtlinie "Hintergrundnetzwerkdienste", die als Nächste beschrieben wird.

Hintergrundnetzwerkdienste: Mit der Richtlinie "Hintergrundnetzwerkdienste" können Sie die für den Netzwerkzugriff im Hintergrund zulässigen Dienstadressen festlegen. Die Dienstadressen können für Exchange Server oder ActiveSync-Server im internen Netzwerk oder in einem anderen Netzwerk sein, mit dem Secure Mail eine Verbindung herstellt, wie z. B. mail.mycompany.com:443.

Wenn Sie die Richtlinie "Hintergrundnetzwerkdienste" konfigurieren, stellen Sie auch die Netzwerkzugriffsrichtlinie auf Tunnel zum internen Netzwerk ein. DieRichtlinie "Hintergrundnetzwerkdienste" tritt in Kraft, wenn Sie die Netzwerkzugriffsrichtlinie konfigurieren.

Gateway für Hintergrundnetzwerkdienst: Mit der Richtlinie "Gateway für Hintergrundnetzwerkdienst" können Sie das NetScaler Gateway zur Verwendung durch Secure Mail für die Verbindung mit dem internen Exchange-Server angeben. Wenn Sie eine alternative Gatewayadresse angeben, stellen Sie die Netzwerkzugriffsrichtlinie auf Tunneled to the internal network ein. DieRichtlinie "Gateway für Hintergrundnetzwerkdienst" tritt in Kraft, wenn Sie die Netzwerkzugriffsrichtlinie konfigurieren.

Ticketablauf für Hintergrunddienste: Mit der Richtlinie "Ticketablauf für Hintergrunddienste" können Sie die Zeitspanne angeben, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail über NetScaler Gateway die Verbindung mit einem Exchange-Server herstellt, auf dem ActiveSync ausgeführt wird, gibt XenMobile ein Token aus, das Secure Mail für die Verbindung mit dem internen Exchange-Server verwendet. Diese Einstellung bestimmt, wie lange Secure Mail das Token verwenden kann, ohne ein neues Token für die Authentifizierung und die Verbindung mit dem Exchange-Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neues Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage).

Weitere Informationen über zugehörige XenMobile-Servereinstellungen finden Sie in den folgenden XenMobile-Themen: ActiveSync Gateway und Mobile Service Provider.

Die folgenden Abbildungen zeigen die Arten der Secure Mail-Verbindungen mit einem Mailserver. Nach jeder Abbildung finden Sie eine Liste mit zugehörigen Richtlinieneinstellungen.

localized image

Richtlinien für eine direkte Verbindung mit einem Mailserver:

  • Netzwerkzugriff: Uneingeschränkt
  • Hintergrundnetzwerkdienste: leer
  • Ticketablauf für Hintergrunddienste: 168
  • Gateway für Hintergrundnetzwerkdienst: leer

localized image

Richtlinien für eine direkte Verbindung mit einem Mailserver:

  • Netzwerkzugriff: Tunnel zum internen Netzwerk
  • Hintergrundnetzwerkdienste: leer
  • Ticketablauf für Hintergrunddienste: 168
  • Gateway für Hintergrundnetzwerkdienst: leer

localized image

Richtlinien für den STA-Zugriff auf einen Mailserver:

  • Netzwerkzugriff: Tunnel zum internen Netzwerk
  • Hintergrundnetzwerkdienste: mail.example.com: 443
  • Ticketablauf für Hintergrunddienste: 168
  • Gateway für Hintergrundnetzwerkdienst: gateway3.example.com:443

Die folgende Abbildung zeigt, wo die Richtlinien gelten:

localized image

Konfigurieren eines IBM Notes Traveler-Servers für Secure Mail

In IBM Notes-Umgebungen müssen Sie den IBM Notes Traveler-Server konfigurieren, bevor Sie Secure Mail bereitstellen. Dieser Abschnitt enthält ein Diagramm dieser Konfiguration in einer XenMobile-Bereitstellung und die Systemanforderungen.

Important

Notes Traveler-Server, die SSL 3.0 verwenden, können durch einen POODLE-Angriff (Padding Oracle On Downgraded Legacy Encryption) gefährdet sein. Dies ist ein Man-in-the-middle-Angriff, der sich auf alle Apps auswirkt, die eine Verbindung zum Server mit SSL 3.0 herstellen. Um einem POODLE-Angriff vorzubeugen, deaktiviert Secure Mail standardmäßig die SSL 3.0-Verbindungen und verwendet für Verbindungen mit dem Server TLS 1.0. Daher kann Secure Mail keine Verbindung mit einem Notes Traveler-Server herstellen, der SSL 3.0 verwendet. Informationen zum empfohlenen Workaround finden Sie im folgenden Abschnitt Konfigurieren der SSL/TLS- Sicherheitsebene.

In IBM Notes-Umgebungen müssen Sie den IBM Notes Traveler-Server konfigurieren, bevor Sie Secure Mail bereitstellen.

Im folgenden Diagramm ist die Netzwerkplatzierung von IBM Notes Traveler-Servern und einem IBM Domino-Mailserver in einer Beispielbereitstellung von XenMobile dargestellt.

localized image

Systemanforderungen

Anforderungen an den Infrastrukturserver
  • IBM Domino Mail Server 9.0.1
  • IBM Notes Traveler 9.0.1

Authentifizierungsprotokolle

  • Domino-Datenbank
  • Lotus Notes-Authentifizierungsprotokoll
  • Lightweight Directory Authentication Protocol

Portanforderungen

  • Exchange: Der SSL-Standardport ist 443.
  • IBM Notes: SSL wird auf Port 443 unterstützt. Andere Protokolle als SSL werden standardmäßig auf Port 80 unterstützt.

Konfigurieren der SSL/TLS- Sicherheitsebene

Citrix hat Änderungen an Secure Mail zur Beseitigung eines durch den POODLE-Angriff entstandenen Sicherheitsrisikos (siehe "Wichtiger Hinweis" oben) vorgenommen. Daher wird als Workaround für Notes Traveler-Server 9.0, die SSL 3.0 verwenden, zum Aktivieren von Verbindungen die Verwendung von TLS 1.2 auf dem Traveler-Server empfohlen.

IBM haben einen Patch, der die Verwendung von SSL 3.0 für die sichere Kommunikation zwischen Servern mit Notes Traveler verhindert. Dieser im November 2014 veröffentlichte Patch ist als vorläufiger Fix in Updates für die folgenden Versionen von Notes Traveler-Server enthalten: 9.0.1 IF7, 9.0.0.1 IF8 und 8.5.3 Upgrade Pack 2 IF8 (einschließlich allen zukünftigen Releases). Weitere Informationen zu diesem Patch finden unter LO82423: DISABLE SSLV3 FOR TRAVELER SERVER TO SERVER COMMUNICATION.

Sie können dieses Problem auch umgehen, indem Sie beim Hinzufügen von Secure Mail zu XenMobile die Einstellung der Richtlinie "Verbindungssicherheitsstufe" in SSLv3 und TLS ändern. Aktuelle Informationen zu diesem Problem finden Sie unter SSLv3 Connections Disabled by Default on Secure Mail 10.0.3.

Die folgenden Tabellen enthalten die von Secure Mail unterstützten Protokolle nach Betriebssystem, basierend auf dem Wert der Richtlinie "Verbindungssicherheitsstufe". Der E-Mail-Server muss das Protokoll ebenfalls verwenden können.

Die folgende Tabelle enthält die unterstützten Protokolle für Secure Mail bei der Verbindungssicherheitsstufe SSLv3 und TLS.

Operating system type SSLv3 TLS

Älter als iOS 9

Ja

Ja

iOS 9 und höher

Nein

Ja

Älter als Android M

Ja

Ja

Android M und Android N

Ja

Ja

Android O

Nein

Ja

Die folgende Tabelle enthält die unterstützten Protokolle für Secure Mail bei der Verbindungssicherheitsstufe SSLv3.

Operating system type SSLv3 TLS

Älter als iOS 9

Nein

Ja

iOS 9 und höher

Nein

Ja

Älter als Android M

Nein

Ja

Android M und Android N

Nein

Ja

Android O

Nein

Ja

Konfigurieren von Notes Traveler-Server

Die folgenden Informationen entsprechen den Konfigurationsseiten im IBM Domino Administrator Client.

  • Security: Die Internetauthentifizierung ist auf "Fewer name variations with higher security" festgelegt. Mit dieser Einstellung erfolgt die Zuordnung von UID zu AD User ID in LDAP-Authentifizierungsprotokollen.
  • NOTES.INI Settings: Fügen Sie NTS_AS_ENFORCE_POLICY=false hinzu. Dadurch können Secure Mail-Richtlinien über XenMobile statt Traveler verwaltet werden. Diese Einstellung kann einen Konflikt mit aktuellen Kundenbereitstellungen auslösen, doch sie vereinfacht die Geräteverwaltung in XenMobile-Bereitstellungen.
  • Synchronization protocols: SyncML unter IBM Notes und die Synchronisierung von Mobilgeräten werden derzeit von Secure Mail nicht unterstützt. Secure Mail synchronisiert E-Mail-, Kalender- und Kontaktobjekte über das in den Traveler-Server integrierte Microsoft ActiveSync-Protokoll. Wird SyncML als primäres Protokoll erzwungen, kann Secure Mail keine Rückverbindung über die Traveler-Infrastruktur herstellen.
  • Domino Directory Configuration - Web Internet Sites: Override Session Authentication für /traveler zur Deaktivierung der formularbasierten Authentifizierung