Windows Mobile und Exchange Server
In diesem ArtikelSynchronisation und Sicherheit unterwegs
Andreas Erle
Der moderne Mensch passt sich der heutigen Gesellschaft an: Schnell muss alles gehen, man ist dauernd unterwegs, will aber auf möglichst wenig an Komfort und Information verzichten. Die mobilen Geräte haben gar keine andere Wahl, als sich diesem Trend anzupassen.
Wer mit seinem Windows Mobile-Gerät unterwegs ist, der kennt das Problem: Kaum ist man unterwegs, da kommt eine Terminanfrage, schnell gibt man den Termin ein, kommt irgendwann wieder nach Hause ... und schon haben Sekretärin, beste Ehefrau von allen oder wer auch immer just zu diesem Zeitpunkt ebenfalls einen Termin angenommen und ins Outlook eingetragen. Das Problem: erst, wenn man den PC und das mobile Gerät zusammenbringt, werden durch die Synchronisation die aktuellen Stände ausgetauscht, unterwegs geht dies mit einem normalen Outlook eben nicht- Die Lösung: Die Verwendung eines Exchange-Servers zur Synchronisation.
Dieser Artikel beschreibt, wie ein Windows Mobile-Gerät mit einem Microsoft Exchange-Server verbunden und die sichere Synchronisation eingerichtet wird. Für den Fall des Verlusts oder des Diebstahls des Geräts zeigt er auf, wie das Gerät vom Server aus zurückgesetzt werden kann und so Daten nicht in falsche Hände gelangen.
Das Einrichten der Synchronisation mit einem Exchange-Server
Viele Anwender scheuen die Verwendung eines Exchange-Servers, weil sie die Lösung für überdimensioniert halten. Dies ist kurzsichtig: Für Firmen, die auf schnellen Informationsaustausch und Informationsverfügbarkeit für viele Anwender angewiesen sind, ist ein Exchange-Server quasi unverzichtbar. Der private Anwender scheut diese Anschaffung oft aus Kosten- und Komplexitätgründen. Ein Alternative bieten dazu die meisten Email-Anbieter (z.B. GMX, 1&1 etc.): für eine monatliche Gebühr stellen diese Exchange-Postfächer zur Verfügung, die auf deren Servern laufen, damit für den Anwender keinen administrativen Aufwand bedeuten, dafür aber die Vorteile nutzbar machen, sogenannte „Hosted Exchange Postfächer“. Für diesen Artikel ist es egal, welche Lösung sie nun verwenden!
Voraussetzungen für die Synchronisation
Für die optimale Nutzung mit einem Windows Mobile-Gerät benötigen Sie serverseitig mindestens einen Exchange 2003 mit Service Pack2, das mobile Gerät muss mindestens Windows Mobile 5.0 AKU2 an Bord haben. Für den entsprechenden Benutzer, dessen Postfach synchronisiert werden soll, muss OMA (Outlook Mobile Access) am Server freigegeben sein. Da dieser mobile Zugriff meist über eine Mobilfunk- oder WLAN-Verbindung geht, muss der Server von „aussen“ erreichbar sein, und das Zertifikat des Servers für eine SSL-verschlüsselte Synchronisation muss dem Benutzer vorliegen. All diese Voraussetzungen klären Sie am besten im Vorfeld mit Ihren Administratoren, für Fremddienstleister ist dies Standardgeschäft.
Installation eines SSL-Zertifikates
Alleine der Begriff „Outlook Mobile Access“ impliziert ja, dass der Serverzugriff von ausserhalb der sicheren Mauern des eigenen Netzwerks über eine mobile Internet-Verbindung stattfindet. Das kann eine Mobilfunkverbindung eines PDAs oder Smartphones mit integriertem Telefon sein, ebenso eine WLAN-Verbindung in einem öffentlichen Hotspot oder ähnliches. Eines haben die Verbindungen gemein: Sie sind potentiell unsicher. Es empfiehlt sich also, die Verbindung zum Server zu verschlüsseln und so sicherzustellen, dass die ausgetauschten Daten zwischen Server und mobilem Gerät für den nioht berechtigten nicht lesbar sind.
 |
| Zertifikate sind auf einem Windows Mobile-Gerät normale Dateien. |
Kopieren Sie das Serverzertifikat auf eine Speicherkarte, legen Sie diese in Ihr Windows Mobile-Gerät ein, und starten Sie den Datei-Explorer. Offnen Sie die Zertifikatsdatei und bestätigen Sie nötigenfalls die Abfragen, ob Sie wirklich sicher sind, dieses Zertifikat installieren zu wollen. Nachdem dies erfolgreich abgeschlossen wurde, erhalten Sie eine Erfolgsmeldung auf dem Bildschirm des mobilen Gerätes.
 |
| Das Zertifikat wurde erfolgreich installiert |
Zur Kontrolle können Sie unter Einstellungen, System, Sicherheit nach erfolgreicher Installation das Zertifikat unter den Stammzertifikaten finden.
 |
| Das Server-Zertifikat gehört zu den Stammzertifikaten |
Das Einrichten der Synchronisation
Um einen Exchange-Server (statt eines lokalen PCs) als Synchronisationspartner einzurichten, starten Sie auf dem mobilen Gerät Activesync und wählen Sie „Menü“, „Server konfigurieren“. Geben Sie dort die Serveradresse ein.
Wenn Sie bereits – wie im vorangegangenen Abschnitt beschrieben – das SSL-Zertifikat installiert haben, dann können Sie den Haken für die SSL-Verschlüsselung gesetzt lassen. Entfernen Sie ihn nur, wenn der Exchange-Server eine Synchronisation unverschlüsselt zulässt und Sie keine Möglichkeit haben, die Verschlüsselung einzuschalten!
 |
| Eingabe der Server-Adresse und Verschlüsselung |
Auf der nächsten Seite geben Sie die Zugangsdaten Ihres Benutzerkontos ein. Bei einem (Firmen-) Exchange-Server sind dies Ihre normalen Anmeldedaten, bestehend aus Benutzernamen, Kennwort und Domäne, wie Sie sie beispielsweise auch bei der normalen Netzwerkanmeldung verwenden. Nutzen Sie einen Hosted Exchange, dann erhalten Sie diese Daten vom Anbieter.
 |
| Eingabe der Zugangsdaten zum Server |
Auf der nächsten Seite können Sie auswählen, welche Elemente Sie mit dem Exchange-Server synchronisieren möchten: Kontakte, Kalender, E-Mail und Aufgaben können, müssen aber nicht auf diesem Wege synchronisiert werden. Sind bestimmte Elementtypen nur auf einem lokalen PC gespeichert, dann entfernen Sie den Haken neben dem jeweiligen Elementtyp.
 |
| Festlegen der zu synchronisierenden Elemente |
Wichtig zu wissen: mit einem Exchange-Server synchronisierte Elementtypen können nicht gleichzeitig lokal mit einem PC synchronisiert werden! Beim Einrichten einer Partnerschaft mit einem PC müssen Sie später die Entscheidung treffen, ob Elementtypen mit dem Exchange-Server oder mit dem PC synchronisiert werden sollen, beides geht nicht.
Nach diesen Grundeinstellungen sucht sich Ihr mobiles Gerät die nächste verfügbare online-Verbindung und synchronisiert sich mit dem Server. Wie bei der lokalen Synchronisation mit einem PC werden dabei die aktualisierten Elemente des einen Geräts auf das andere Gerät kopiert. Hat sich ein Element auf beiden Geräten geändert, dann gewinnt im Standard der Server, denn es wird vorausgesetzt dass dieser aktueller ist. Sollte das in Ihrem Sinne sein, dann ändern Sie das in den erweiterten Optionen auf der zweiten Seite der Einstellungen für den Server im ActiveSync Ihres mobilen Gerätes.
Microsoft Direct Push: Elemente beim Eintreffen direkt erhalten
Nun könnten Sie ja Ihr Windows Mobile-Gerät anweisen, alle 10 Minuten mit dem Server zu synchronsieren und hätten so immer schnell aktuelle Daten. Dies ist aber vielen Anwendern noch nicht genug: Sofort soll es sein: Trifft ein Element auf dem Server ein, dann kann dies durch Microsoft Direct Push direkt an das mobile Gerät ausgeliefert werden. Solange Server und mobiles Gerät die oben beschriebenen Eingangsvoraussetzungen erfüllen, wird dies bei der Konfiguration der Serververbindung automatisch enigeschaltet.
Wollen Sie dies nicht, dann schalten Sie Microsoft Direct Push aus, indem Sie im Activesync des mobilen Gerätes auf „Menü“, „Zeitplan“ klicken und dort auswählen, ob Sie bei Elementeingang, nach einer festgelegten Zeitdauer oder gar nur manuell synchronisieren wollen.
 |
| Auswahl der Synchronisierungs-Häufigkeit |
Das Löschen eines mobilen Geräts vom Server aus
Eine Horrorvision: Ein mobiles Gerät geht verloren oder wird gestohlen. Ob es nun der übelmeinende Langfinger in der Menschenmenge oder die eigene Vergesslichkeit im Taxi ist: Das Gefühl, die eigenen Daten in fremden Änden zu wissen, ist mehr als unangenehm. Sind dann noch unternehmenskritische Informationen auf dem mobilen Gerät, dann wird es ganz bitter...
Ein schöner Nebeneffekt der Synchronisation mit einem Exchange Server ist die Tatsache, dass dieser die Möglichkeit bietet, ein mobiles Gerät,.das mit ihm verbunden ist, aus der Ferne zu löschen.
Geben Sie im Internet Explorer als Adresse https://<meinserver>/mobileadmin ein (wobei <meinserver> durch den Namen Ihres Servers ersetzt werden muss, über den er erreichbar ist), geben Sie dann nach Aufforderung Ihre Zugangsdaten als Administrator ein. Sie gelangen in die mobile Administrationskonsole.
 |
| Die Oberfläche der mobilen Administrationskonsole |
Klicken Sie „Remote Wipe“ an. Nun müssen Sie den Namen der Mailbox, mit der das mobile Gerät synchronisiert, eingeben
 |
| Auswahl der Mailbox des zu löschenden Gerätes |
Sie erhalten nun eine Übersicht aller mobilen Geräte, die sich bisher mit dem Exchange Server über einen mobilen Zugang verbunden und synchronisiert haben, dazu den Zeitpunkt der letzten Synchronisation. Leider sind die des Gerät identifizierende „Device IDs“ nicht wirklich sprechend, im Zweifelsfall muss der Zeitstempel Aufschluss darüber geben, welches das betroffene Gerät ist. Auf der anderen Seite ist es aber auch eher selten, dass mehr als ein Gerät mit einer Mailbox synchronisiert wird.
 |
| Die Liste aller mit der Mailbox synchronisierenden mobilen Geräte |
Am Bildschirm können Sie nun den Ablauf des Löschens mitverfolgen. Der Server sendet die Anforderung, sobald das Gerät verbunden ist, überträgt diese ans mobile Gerät. Das Gerät führt dann automatisch, ohne Benutzereingriff einen Hardreset aus, danach ist es vollends gelöscht. Die Datenlöschung bezieht sich nicht auf die Daten einer Speicherkarte. Das aber können Sie leicht in den Griff bekommen: Verschlüsseln Sie Speicherkarten immer mit der Windows Mobile-eigenen Funktion. Nach einem Hardreset sind die darauf enthaltenen Daten dann auch nicht mehr lesbar!
 |
| Das mobile Gerät wird remote gelöscht |
Zusammenfassung
Der einfachste Weg, die Daten auf einem Windows Mobile-Gerät immer aktuell zu haben, ist die Synchronisation mit einem Exchange-Server. Ob nun ein eigener Server betrieben wird oder ein Postfach gemietet wird, die Einrichtung erfordert nichts weiter als die Serverdaten und die Zugangsdaten des zu synchronisierenden Postfaches. Alles andere kann Windows Mobile schon im Standard.
Wer Angst davor hat, damit unternehmenskritische Daten potentiell Unholden auszusetzen, der kann beruhigt sein: Bei Verlust kann das Gerät vom Server aus vollkommen gelöscht werden.
Über den Autor
Andreas Erle ist seit 2004 Microsoft Most Valuable Professional für Mobile Devices und betreibt mit der World of PPC (http://www.worldofppc.com) eine umfangreiche Webseite rund um Windows Mobile. Nebenher schreibt er Bücher und Artikel rund um das Thema der mobilen Geräte.
Möchten Sie einen Kommentar an den Verfasser abgeben? Benutzen Sie das Feedbacktool. (Sobald Sie unten auf eine der Schaltflächen klicken, erscheint ein Kommentarfeld.) Beachten Sie, dass obwohl der Verfasser Ihr Feedback liest, aufgrund der Menge an Feedback keine persönlichen Antworten möglich sind.
Hilfe und Anleitungen
