Exchange 2010: Outlook Anywhere konfigurieren (RPC over HTTPS)

Die Anbindung von Outlook über das interne Netzwerk an Exchange ist seit AutoDiscovery zu einem Kinderspiel geworden. Wer Outlook aber auch über das Internet mit Exchange verbinden will, hat dazu mehrere Möglichkeiten. Die sicherlich komfortabelste Art ist Outlook Anywhere (RPC over HTTPS), mit dieser Möglichkeit verbindet sich Outlook via Port 443 (HTTPS) zu dem Exchange Server und arbeitet genauso komfortabel als wenn es im internen Netzwerk ist. Benutzer mit Notebooks die häufig unterwegs sind und von überall aus Zugriff auf ihr Postfach und andere Informationen haben müssen, werden Outlook Anywhere schnell zu schätzen wissen. Die Einrichtung ist simpel.

Zuerst wird die Exchange Verwaltungs Konsole gestartet und in der Serverkonfiguration zur Client Access Rolle gewechselt

Im Feld Aktionen klickt man nun auf „Outlook Anywhere aktivieren“. Es öffnet sich ein neuer Konfigurationsdialog:

Im Feld „Externer Hostname“ gibt man den FQDN an, von dem Exchange vom Internet aus erreichbar sein soll (Beispielsweise „owa.frankysweb.de“). Die Clientsauthentifizierungsmethoden belassen wir auf „Standardauthentifizierung“. Dann klicken wir auf „Aktivieren“. Die nächste Meldung zeigt uns das Outlook Anywhere mit einem Zeitabstand von 15 Minuten aktiviert wird. Wir sollten also nach etwa 15 Minuten diesen Eintrag im Anwendungsprotokoll finden:

Je nach Konfiguration des Netzwerks müssen nun ein paar spezifische Änderungen vorgenommen werden. In meiner Testumgebung sieht die Netzwerkkonfiguration so aus:

Da mein Exchange Server hinter einem Router mit Firewall/NAT steht, aktiviere ich auf dem Router Portforwarding. Ich leite also von der externen IP-Adresse des Routers Port 443 (HTTPS) auf die interne IP-Adresse des Exchange Servers weiter. In den meisten Exchange Umgebungen ist dies schon geschehen, da oft Outlook Web App bereitgestellt wird.

Serverseitig war das schon alles. Im internen Netzwerk werden die Änderungen per AutoDiscovery verteilt sodass normalerweise keine weitere Konfiguration an den Clients nötig ist. Gibt es aber Mitarbeiter die nicht direkt mit dem Firmennetzwerk verbunden sind, muss man Outlook Anywhere separat einrichten. Bei einem neuen Outlook Profil geht das wie folgt:

Zuerst Outlook starten und auf „Weiter“ klicken.

Dann klicken wir die Checkbox „Ja“ an und klicken auf wieder auf „Weiter“

Jetzt wählen wir die Checkbox „Servereinstellungen oder zusätzliche Servertypen manuell konfigurieren“ aus und klicken auf „Weiter“

Im nächsten Fenster wählen wir „Microsoft Exchange oder kompatibler Dienst“ aus und klicken auf „Weiter“

Im Feld „Server“ geben wir nun den internen FQDN des Exchange Servers an, also noch nicht den eben konfigurierten externen Hostnamen. Dann geben wir noch den Benutzernamen an und klicken auf „Weitere Einstellungen“.

In dem sich öffnenden Fenster klicken wir auf den Reiter „Verbindungen“ und aktivieren die Checkbox „Verbidung mit Microsoft Exchange über HTTP herstellen“, dann klicken wir auf „Exchange Proxyeinstellungen…“

Im URL Feld geben wir nun den externen FQDN an, in unserem Beispiel „owa.frankysweb.de und ändern noch die Proxyauthentifizierungsmethode auf „Standardauthentifiezierung“

Jetzt können wir alle Fenster mit OK schließen, es folgt eine Warnung das die Einstellungen erst beim nächsten Outlook Start angewendet, außerdem sollte eine Abfrage für Benutzernamen und Passwort auftauchen. Hier geben wir den Benutzernamen im Format „Domäne\Benutzer“ und speichern das Passwort ab.

Jetzt sollte Outlook in der Lage sein sich auch per Outlook Anywhere bzw. RPC over HTTPS zu verbinden. In dem hier beschriebenen Fall ist es wichtig das die SSL Zertifikate korrekt konfiguriert sind. Dazu folgt aber noch ein Beitrag.

39 thoughts on “Exchange 2010: Outlook Anywhere konfigurieren (RPC over HTTPS)”

  1. Hi,

    in wie weit merken die User eigentlich das Outlook Anywhere aktiviert wurde?
    Erhalten Sie die Nachricht, dass Outlook neugestartet werden muss oder passt sich die Verbindung erst beim nächsten Outlookstart an?

    Reply
  2. Hallo Frank….

    ich habe einen Exchange Server 2013, und wollte fragen ob man unbedingt einen Zertifikat für den Outlook Anywhere braucht. (damit ist gemeint kein gekauftes Zertifikat sondern nur ein Selbstsingniertes.)

    mfg Aria

    Reply
  3. Hallo Frank,
    erstmal ein Lob für die echt verständliche Anleitung.
    Ich habe eine Frage zu Outlook Anywhere wenn man schon Outlook WebApp im Einsatz hat.
    in der Config von WebApp steht unter externe Url ja „https:://xxx.de/owa
    Dafür ist ja auch ne Portweiterleitung auf dem Router zu dem Exchange eingerichtet (gehe ich mal von aus).
    Was müsste ich jetzt beim aktivieren von Outlook Anywhere als externen Hostnamen eingeben? Das was bei Webapp zwischen https:// und /owa steht? Ich möchte natürlich nicht mit der Einrichtung von Anywhere mein WebApp bzw. den externen ActiveSync Zugriff zerschiessen..

    Vielen Dank
    Marcus

    Reply
  4. Hallo,

    wir haben einen SBS2011 mit Exchange 2010 im Einsatz, auf den externe Benutzer per Outlook Anywhere zugreifen. Die User sind mit ihren PC nicht Mitglied der Domäne!
    Das läuft auch bei den meisten Usern problemlos. Bei einigen wenigen Usern gibt es nach der Anmeldung in Outlook allerdings das Problem, dass der Account sofort gesperrt wird. Dabei sind sich die User sicher, dass sie das Kennwort richtig eingegeben haben!

    Ist ein solches Problem bekannt und gibt es dafür eine Lösung?
    Schöne Grüße
    Heinz Lübbering

    Reply
    • Hallo, meistens hilft es unter „Systemsteuerung“ -> „Anmeldeinformationsverwaltung“ einmal alle gespeicherten Anmeldungen zu löschen.

      Gruß, Frank

      Reply
  5. Hallo Frank,

    lese deinen Blog schon sehr lange (hast mir schon oft geholfen)
    Jetzt habe ich ein Problem was einfach nicht zu lösen ist.

    Habe eine neue Stelle angenommen, wollte Outlook Anywhere an Start bringen (habe ich mit EX2010 und EX2013 schon 1000mal gemacht).
    Leider haben die hier nen SBS2011, also frisch ans Werk, alles eingerichtet SAN Zertifikat usw. erstellt, zack alles geht (juhu).
    Da der SBS mit Hyper-V Virtualisiert ist, dachte ich oh der hat ja nur eine CPU, geben wir dem mal nen bissl mehr. Seit dem Neustart geht OA nicht mehr. OWA geht ohne Fehler. Ich kann das Konto über OA auch einrichten, aber beim ersten Start von Outlook kommt nur das das Outlookfenster nicht geöffnet werden kann blabla.
    Habe schon einen ganzen Tag investiert, Zertifikate neu gemacht, alle Tut´s die ich gefunden habe durch, aber es will einfach nicht.

    Bin echt mit meinem Latein am ende.

    Hast du noch ne Idee?

    Grüße
    Pierre

    Reply
  6. Hallo,

    wir haben bei uns ein interessantes Problem.
    Wir haben 2 Exchange 2010 Server (NA / EMEA)
    Die Infrastruktur in NA ist darauf ausgerichtet den Datenverkehr über die Internetleitung laufen zu lassen. Jeder Standort hat seinen eigenen Internetanschluss und der Exchange Server ist outgesourced. Daher ist in der Exchange Umgebung voreingestellt, dass bei der Verteilung der RPC Einstellungen der Haken für „Bei schnellen Netzwerken zuerst eine Verbindung über HTTP herstellen und dann über TCP/IP“ gesetzt sein soll.

    Die EMEA Infrastruktur ist anders aufgebaut, hier existiert ein stark ausgebautes MPLS Netzwerk, das die Standorte verbindet. Entsprechend gibt es auch nur einen Zentralen Internetzugang und einen lokal im Netzwerk befindlichen Exchange Server. Da die Verbindung über die Internetleitung weniger Bandbreite als das interne Netzwerk hat wäre es gut, wenn hier die Einstellung, die in NA gesetzt wurde nicht aktiv wäre.

    Gibt es eine Möglichkeit die Einstellungen, ob der Haken gesetzt sein soll oder nicht, per Server zu setzten? Oder eine andere Möglichkeit die Einstellungen zu verteilen?
    Nach meinem Informationsstand, kann man die Einstellung, ob der Haken gesetzt sein soll oder nicht nur global festlegen.
    Über eine Antwort würde ich mit Freunen
    Gruß
    Jan

    Reply
  7. Hallo Franky,

    ich hab meine Umgebung zum Großteil vorbereitet. Auf meine Projektzettel steht:

    – Sophos UTM Home Edition einrichten
    – Exchange 2010 Anywhere, Active Sync einrichten

    Mein Webhosting Paket ist ebenfalls von Strato. Die Mails werden per POP3Connector via. PopCon abgeholt und an das jeweilige Postfach verteilt. Mich nervt außerdem die Zertifikatsmeldung beim Start von Outlook.

    „der Name des Sicherheitszertifikats ist ungültig oder entspricht nicht den Namen der Website“

    Die Meldung muss doppelt bestätigt werden.
    Meine eigentliche Frage ist kann man den Active Snyc, Anywhere HTTPS Port auch auf einen anderen laufen lassen?
    In meinem Netzwerk ist bereits der Port 443 und 450 auf zwei WebServer geleitet. 443 für den Remotewebaccess auf den 2012R2 Essentials und 450 auf den MyFritz Dienst meiner FritzBox.

    Ich wäre dir über jegliche Unterstützung sehr dankbar! Die UTM Geschichte bereitet mir auch noch koppschmerzen :D

    Reply
  8. Hallo Frank,

    Danke für die Rückmeldung.

    So etwas habe ich befürchtet und werde das ganze jetzt wohl anders lösen.

    Gruß
    Rainer

    Reply
    • Hallo Rainer,

      Am besten du löst das über die Assistenten, oder spricht etwas dagegen?

      Ich meine das kannst du unter „Internetadresse einrichten“ konfigurieren.

      Gruß, Frank

      Reply
  9. Nachtrag:

    Die bindung des Zertifikates läuft beim SBS 2008 ja nicht über den Exchange direkt, sondern über den IIS und SBS Web App.

    Ist aber im Grunde nicht das Thema (denke ich).

    Ich kann Dir gerne das ganze Fehlerprotokoll zukommen lassen wenn der Ausschnitt zu kurz ist.

    Fallst Du einen kleinen Tipp hast wäre ich wirklich dankbar.

    Wenn ich das ganze hoffentlich mal zum laufen bringe, kann ich gerne eine Beschreibung für den SBS Server als Ergänzung schreiben bei Interesse….

    Reply
    • Hallo Rainer,

      ich bin jetzt nicht der SBS Spezialist, aber ich meine für genau diese Dinge gibt es dort Assistenten die Dir die Arbeit abnehmen. Die Anleitung die ich geschrieben habe, bezieht sich, wie im Artikel erwähnt, auf eine CA die auf einem Enterprise Server läuft. Das wird so auf einem SBS also nicht funktionieren.

      Grüße, Frank

      Reply
  10. Hallo Frank,

    erst mal ein großes Danke und dickes Lob für Deine tolle Arbeit!

    Wie könnte es auch anders sein, auch ich habe große Probleme Outlook Anywhere zur Zusammenarbeit zu bewegen.
    Bin schon seit über einer Woche daran.

    Da ich über einen SBS 2008 mit Exchange 2007 gehe muss ich bezüglich Zertifikat erstellen einen anderen Weg gehen.

    Zum einen kann ich kein Zertifikat duplizieren sondern kann die Vorlage nur mit mehr rechten versehen und dann daraus eines erstellen, aber das ist letztlich das selbe.

    Bei der Remoteverbindungsuntersuchung kommt aber leider ein Zertifikatfehler “
    Certificate trust is being validated.
    Certificate trust validation failed.

    Testschritte

    ExRCA is attempting to build certificate chains for certificate ************* (Daten hier mal ausgeblendet)
    A certificate chain couldn’t be constructed for the certificate.

    Weitere Details
    The certificate chain couldn’t be built. You may be missing required intermediate certificates.

    Smartphone verbindet, OWA auch kein Thema…..

    Irgend eine Idee was die Meldung mir nun genau sagen will ?

    Grüße
    Rainer

    Reply
  11. Hallo Frank,

    erstmal Danke für die tollen Hilfestellungen, sehr gut und sehr ausführlich beschriben, Topp!

    Nun mein Problem,
    wir haben folgenden Aufbau:
    Domäne_1 (2003) und Domäne_2 (2008R2) incl. Bidirektionaler Vertrauensstellung.
    Der Exchange Server (2010) steht in Domäne_2, die User sind 50% / 50% auf die Domänen verteilt (noch, wird sich ändern)
    Der „Frontend“ (2010) steht in einer DMZ und stellt nur OWA und Outlook Anywhere zur Verfühgung.
    User aus Domäne_2 können sich an OWA anmelden und auch Outlook Anywhere nutzen, User aus Domäne_1 nicht!
    Postfachberechtigungen sind vergeben!
    Intern kann Outlook mit Usern aus Domäne_1 genutzt werden, aber OWA funktioniert auch intern nur mit Benutzern der Domäne_2!

    Irgendeine Idee?

    Grüße
    Oliver

    Reply
  12. Hallo Frank,

    das war schon deutlicher,

    Als Fehler wurde nur noch das SSL Certificate gemeldet:

    Attempting to resolve the host name server.kummeth.de in DNS.
    The host name resolved successfully.

    Weitere Details
    IP addresses returned: 213.241.137.40
    Testing TCP port 443 on host server.kummeth.de to ensure it’s listening and open.
    The port was opened successfully.
    Testing the SSL certificate to make sure it’s valid.
    The SSL certificate failed one or more certificate validation checks.

    Testschritte

    ExRCA is attempting to obtain the SSL certificate from remote server server.kummeth.de on port 443.
    ExRCA successfully obtained the remote SSL certificate.

    Weitere Details
    Validating the certificate name.
    Certificate name validation failed.

    Jetzt muss ich nur noch ein Zertifikat besorgen. Es selbst auszustellen werde ich nicht schaffen, da ich keinen weiteren WIN-Server im Netz habe.
    Gäbe es noch andere Möglichkeiten?

    Grüße
    Richard

    Reply
  13. als MAC verwöhnter User bin ich nun in der Situation ein Outlook 2010 ohne VPN gegen unseren existierenden Exchange 2010 zu konfigurieren und finde Deine Seite gut verständlich.
    Ich habe allerdings das Problem, dass der Outlook Client immer meldet, dass er offensichtlich den finden, aber die Aktion nicht abgeschlossen werden kann weil keine Verbindung zum Exchange Server vorhanden sei. Web Access funktioniert und Mail/OSX ebenso. Wo muss ich den Fehler suchen.

    Reply
  14. Hi,

    danke für die Antwort.

    ja hab bei dem Zertifikat die internen + externen DNS Einträge hinzugefügt.

    Der Fehler bei dem Test ist normal?

    LG Joe

    Reply
  15. Hallo Frank,

    vielleicht kannst du mir weiterhelfen. ;)

    Ich habe einen Exchange Server 2010 auf einem Server 2008 R2 installiert und lt. deinen Anleitungen konfiguriert.

    SAN Zertifikat + Outlook Anywhere.

    Outlook Anywhere (wie in diesem Thread) funktioniert auch, aber nur solange ich intern im Netz bin.
    Ändere ich (auch intern) den Server vom Internen DNS Eintrag auf den externen DNS Eintrag funktioniert es nicht mehr.

    Zertifikat ist importiert. (Vertrauenswürdige Stammzertifizierungsstellen -> Registrierung)

    Hast du da eine Idee?

    Testexchangeconnectivity zeigt folgenden Fehler:

    Certificate trust is being validated.
    Certificate trust validation failed.

    Testschritte

    ExRCA is attempting to build certificate chains for certificate …..
    A certificate chain couldn’t be constructed for the certificate.

    Weitere Details
    The certificate chain couldn’t be built. You may be missing required intermediate certificates.

    Danke.

    Reply
    • Hallo,

      Hört sich an als würden die Namen auf dem Zertifikat nicht passen, hast du internen sowie externen Namen auf dem Zertifikat?

      Gruss Frank

      Reply
  16. Entschuldige bitte die Verspätung, ich war ein paar Tage dienstlich außer Haus.
    Die Fehlermeldung, die ich erhalte lautet

    „Es liegt ein Problem mit dem Sicherheitszertifikat des Proxyservers vor.
    Das Sicherheitszertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. (…)“

    Fehlercode 8

    Reply
  17. Hallo Franky,

    ich bekomme leider immer eine Fehlermeldung das Zertifikat betreffend wenn ich per Outlook 2010 über das Internet (Outlook Anywhere) verbinden will.
    Ein Zertifikat habe ich wie in deinem anderen Artikel beschrieben erstellt.
    Der Server läuft über einen DynDNS Account, der auch im Zertifikat eingetragen ist.

    Was kann ich tun?

    Reply
  18. Hej Franky,

    kommst du noch mal zu der Geschichte mit den SSL Zertifikaten? Oder ist es bei dir zeitlich gerade schlecht?

    Gruß Sebtrouble

    Reply
  19. Pingback: Anonymous

Leave a Comment