Im letzten Teil dieser Artikelserie geht es um die Anbindung der Exchange Organisation an das Internet. Dazu sind noch einmal ein paar Schritte notwendig. Die Konfiguration der Web Application Firewall der UTM habe ich bereits hier schon einmal ausführlich beschrieben und die Konfiguration ist eins zu eins aus dem Artikel übernommen.
Kleiner Hinweis: Diese komplette Umgebung lässt sich auch mit der Sophos UTM Home Edition betreiben. Alle hier eingesetzten und beschriebenen Features der UTM sind in der Home Edition vorhanden. Ich habe für diese Umgebung die Demo Version verwendet, setze aber privat ebenfalls die Home Edition in Verbindung mit dieser Konfiguration ein.
Konfiguration der Fritzbox
Damit die Web Protection der UTM und damit auch Exchange im Internet erreichbar ist, müssen an der Fritzbox zwei Portfreigaben erstellt werden.
Port 80 (HTTP) TCP und Port 443 (HTTPS) TCP müssen dazu an die WAN IP der Sophos UTM weitergeleitet werden:
Hier einmal die detaillierte Ansicht, gleiches gilt für Port 80:
Das war schon alles was an der Fritzbox eingestellt werden muss.
Konfiguration Sub Domains bei Strato
Damit auf Exchange zugegriffen werden kann, müssen die jeweiligen Sub Domains bei Strato bekannt gemacht werden. Wie schon in den vorigen Artikeln beschrieben, wird über den FQDN outlook.frankysweb.org auf die Exchange Dienste zugegriffen, Autodiscover läuft über den Namen autodiscover.frankysweb.org. Diese beiden Subdomains müssen aufgrund der dynamischen IP dynamisch aktualisiert werden. Im Strato Kundencenter werden dazu zwei Subdomains für frankysweb.org angelegt:
Nach dem Klick auf „Subdomain anlegen“ wird der Name vergeben. In diesem Fall „outlook“:
In der Domain Übersicht kann die Subdomain „outlook.frankysweb.org“ nun auf dynamische Aktualisierung umgestellt werden:
Nachdem bei der Subdomain auf „Verwalten“ geklickt wurde, muss die „DNS Verwaltung“ ausgeklappt werden. Dort lässt sich wiederrum bei dem Punkt „Dynamic DNS“ auf „Verwalten klicken:
Hinweis: Dynamic DNS darf nur für die Subdomains aktiviert werden.
Das Vorgehen wird für autodiscover.frankysweb.org wiederholt, sodass beide Subdomains dynamisch aktualisiert werden können:
Zum Schluss muss noch das Strato eigene Autodiscover abgeschaltet werden, wir wollen ja das Autodiscover unseres Exchange Servers mit unseren Einstellungen verwenden und nicht irgendwelche Strato Einstellungen erhalten. Abschalten lässt sich das Strato Autodiscover auf der Domain frankysweb.org:
Dynamische DNS Aktualisierung mit Sophos UTM
Damit die DNS Einträge für autodiscover.frankysweb.org und outlook.frankysweb.org trotz dynamischer IP aktuell bleiben, müssen sie entsprechend aktualisiert werden. Die UTM unterstützt Strato DynDNS direkt und kann daher die Aufgabe übernehmen.
Die Einstellungen müssen für beide Subdomains vorgenommen werden:
Als Benutzername und Passwort wird die Domain und das Strato Kundencenter Passwort angegeben. Nachdem die Einträge erstellt wurden, müssen beide Einträge aktiviert werden:
Nach kurzer Wartezeit werden die Einträge aktualisiert.
Exchange Zertifikat exportieren und auf UTM übertragen
Die Webserver Protection der UTM benötigt ebenfalls ein Zertifikat, da für den Exchange Server schon ein gültiges Zertifikat von StartSSL ausgestellt wurde, kann dieses auch für die Webserver Protection der UTM verwendet werden. Dazu muss zunächst das Zertifikat am Exchange Server exportiert werden. Der Export kann einfach über die MMC und das Zertifikate-SnapIn durchgeführt werden:
Wichtig: Das Zertifikat muss mit dem privaten Schlüssel exportiert werden:
Der Export kann inkl. der Zertifikatskette erfolgen:
Kennwort vergeben und danach das Zertifikat abspeichern
nach dem Export, kann das Zertifikat auf der UTM installiert werden:
Wenn der Vorgang erfolgreich war, sieht es so aus:
Sophos UTM Webserver Protection für Exchange 2016 einrichten
Die Einrichtung der Webserver Protection machen wir jetzt mal im Schnelldurchlauf, da ich dieses Thema hier schon ausführlich beschrieben habe.
Zuerst den Exchange Server als Real Server hinterlegen:
Firewall Profile für Autodiscover und Exchange Webservices anlegen:
Firewall Profil für Autodiscover
Entry URLs:
/autodiscover /Autodiscover
Skip Filter Rules:
- 960015
- 960911
Firewall Profil für Exchange Webservices
Entry URLs:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB /owa /OWA /rpc /RPC /mapi /Mapi /
Skip Filter Rules:
- 960015
- 981203
- 960010
- 960018
- 981204
- 960032
- 981176
Virtual Webserver
Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:
Wenn die Schritte bis hierher erfolgreich waren, sieht es so aus:
Ausnahmen
Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt
Autodiscover:
Paths:
/autodiscover/* /Autodiscover/*
OWA Antivirus:
Paths:
/owa/ev.owa* /OWA/ev.owa*
Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)
Paths:
/rpc/* /RPC/* /mapi/* /MAPI/*
Exchange Webservices
Paths:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/*
Zusammenfassung
Dies waren die letzten Schritte zur Konfiguration einer Testumgebung bzw. sehr kleinen Exchange Organisation. Ich denke das Anlegen von Postfächern muss hier nicht noch beschrieben werden. In der Zwischenzeit haben mich ein paar Fragen zur eingesetzten Hardware in meiner Umgebung erreicht, die ich hier kurz beantworten möchte.
Für meine private „produktive“ Exchange Umgebung setze ich folgendes ein:
Standard PC als ESXi Server: Core i7-6500, 32GB DDR4 RAM, 1 x 64 GB SSD für ESX und VM Swap, 1 x 250 GB SSD Datastore für VMs als Datastore für die Betriebssysteme, 1 x 2 TB HDD SATA als Datastore für Exchange DBs und andere Daten. 2 x Intel Pro 1000 PT Server Adapter als Netzwerkkarten. Das Backup der VMs erfolgt via Veeam auf eine Synology DS415+ mit 4 x 2 TB im RAID5.
Auf dem ESXi laufen derzeit 7 VMs: DC (2 CPUs, 4 GB RAM), Exchange (2 CPUs, 12 GB RAM), UTM (2 CPUs, 4 GB RAM), Veeam (2 CPUs, 4 GB RAM), der Rest sind Linux VMs für verschiedene Aufgaben.
Die Betriebssysteme liegen alle auf der 250er SSD, VM Auslagerungsdateien auf der 64er SSD. Die Daten der VMs werden auf der 2 TB HDD gespeichert.
Für meine private Umgebung bin ich mit dieser Konfiguration bisher sehr zufrieden, gemessen an der Leistungsfähigkeit verbraucht es angenehm wenig Strom, erfüllt aber all meine Wünsche.
Fragen bitte wie immer gerne in die Kommentare oder per Kontaktformular.