Exchange 2010: Dynamische IP und Exchange Webservices (OWA, Active Sync, Autodiscover, etc)

Mein Blog ist ja nun zu einem neuen Hoster umgezogen, Verfügbarkeit und Performance haben diesen Schritt nötig gemacht (in erster Linie Verfügbarkeit). Mein Blog wird nun bei Strato gehostet und Strato bietet ein nettes Feature, welches es mir deutlich einfacher macht, die Exchange Webservices zu nutzen. Zunächst erzähle ich mal ein bisschen zur Technik die hinter frankysweb.de steckt:

1

Strato hostet meine Domain frankysweb.de. Zuhause steht ein vmWare ESXi 5.1 Server mit aktuell 7 VMs (zur Übersicht habe ich nur die betreffenden VMs eingezeichnet). Mein Internet-Provider stellt mir nur eine dynamische IP zur Verfügung die sich alle 24 Stunden ändert. Allerdings bietet Strato die Möglichkeit Subdomains anzulegen, und diese ähnlich wie bei DynDNS (welches ich vorher genutzt habe) mit einer dynamischen IP-Adresse zu füllen und diese per Client aktuell zuhalten.

Dynamische IP und Strato:

http://www.strato-faq.de/artikel.html?articleid=2097

In diesem Artikel beschreibe ich wie ich meine private Exchange Umgebung an das Internet angebunden habe. Dieser Artikel dient also nur dem allgemeinem Verständnis, dennoch lassen sich insbesondere kleinere Exchange Organisationen so extern verfügbar machen. Als Firewall setze ich eine Sophos UTM 9 ein, diese Lösung bietet zwar eine Web Application Firewall, die sich für Active Sync und OWA nutzen lässt. Leider wird von der UTM 9 noch kein RPCoverHTPPS unterstützt. Outlook Anywhere lässt sich also nicht nutzen, zumindest nicht, wenn man zur Absicherung die Web Application Firewall der Sophos UTM nutzen möchte.

Daher habe ich auf dem ESX Server ein zusätzliches Netzwerk als DMZ eingerichtet und einen Server mit Microsoft Forefront TMG installiert. Zwar könnte man auch die Exchange Webservices per Portforwarding ohne Reverse Proxy wie Forefront TMG erreichbar machen. Jedoch ist das aus Gründen der Sicherheit nicht zu empfehlen.

An der Sophos UTM Firewall habe ich dann ein Portforward für Port 443 (HTTPS) auf den TMG Server eingerichtet, weitere Ports werden nicht benötigt:

image

So sieht dann die Konfiguration bei Strato für die Subdomains “OWA” und “Autodiscover” aus (das kleine Symbol in der Spalte DNS zeigt an, dass es sich um eine dynamische IP handelt)

image

Der ForeFront TMG Server hat nur eine virtuelle Netzwerkkarte. Ich habe daher Routing zwischen der DMZ und dem internen Netz konfiguriert. Die Einrichtung ist natürlich bei jedem Router und/oder Firewall unterschiedlich, daher verzichte ich hier auf eine Beschreibung und stelle nur kurz den Weg der Verbindung dar:

2

Mein Notebook stellt eine RPCoverHTTPS Verbindung zu owa.frankysweb.de her, die Firewall leitet die Anfrage per Portforward zu dem TMG Server weiter (Roter Pfeil). Der TMG Server authentifiziert den Client und leitet dann die Anfrage zum Exchange Server im internen Netzwerk weiter. Da ich nur eine virtuelle Netzwerkkarte im TMG Server habe, läuft die Anfrage nochmals über die Firewall (Grüner Pfeil).

Im Forefront TMG sind alle Exchange Web Services veröffentlicht. Die Einrichtung ist einfach, da sie mittels Assistenten erledigt werden kann, nur bei Autodiscover muss etwas Hand angelegt werden:

image

Autodiscover wird auf die Regel “Outlook Anywhere” konfiguriert, dazu wird in den Eigenschaften unter dem Reiter “Öffentlicher Name” ein Eintrag mit “Autodiscover.frankysweb.de” hinzugefügt

image

Und unter dem Reiter “Pfade” wird ebenfalls “Autodiscover” eingetragen.

image

Die Einrichtung von Forefront TMG ist detailliert von Microsoft beschrieben, ich denke daher kann ich mir auch hier die Anleitung sparen:

http://www.microsoft.com/en-us/download/details.aspx?id=8946

Fazit: Dynamische IP und Subdomain bei Strato funktioniert wunderbar. Gerade kleine Organisationen (wie meine) lassen sich so wunderbar anbinden. mit DynDNS.org war das doch deutlich aufwendiger. Fragt sich nur noch wo man ein kostenloses Zertifikat für eine Subdomain herbekommt, StartSSL ist ein super Service, stellt aber leider keine Zertifikate für Sub-Domains aus. Hat da jemand einen Tipp?

23 thoughts on “Exchange 2010: Dynamische IP und Exchange Webservices (OWA, Active Sync, Autodiscover, etc)”

  1. wow, danke für die schnelle Antwort!

    Ich hatte irgendwie die Hoffnung, dass es eine Möglichkeit gibt, Strato als eine Art Zwischenhändler einzusetzen, um das Blocken zu verhindern.

    Dann muss ich es wohl doch über Pop-Connectoren versuchen.

    Gruß und Danke, Daniel

    Reply
  2. Hallo Frank,
    ich versuche momentan mehr oder weniger genau dieses Szenario bei mir aufzubauen (Exchange Server 2013, Strato als Domainhost, Dyn. IP). Nur leider funktioniert es nicht ganz so, wie ich mir das vorstelle :(

    Das Senden der Mails per Smarthost funktioniert super. Große Probleme habe ich mit dem Empfangen von E-Mails. Vielleicht kannst du mir ja einen guten Tipp geben :)

    Das Empfangen möchte per MX-Record / SMTP ohne Pop-Connector realisieren. Leider funktioniert das nicht. Wenn ich nach diesem Versuchsaufbau google, bekomme ich auch keine weiteren Infos. Dein Beitrag war ein kleiner Lichtblick (Strato als Hoster UND DynDNS!).

    Hast du einen Tipp für mich, wie ich die Einstellungen bei Strato und beim Exchange Server setzen muss, damit ich erfolg habe?

    Gruß, Daniel

    Reply
    • Hallo Daniel,
      das wird so nicht zuverlässig funktionieren, die meisten Provider blocken Mails aus dynamischen IP-Bereichen. Der Weg via Smarthost und POP ist dort also die bessere Wahl. Die Exchange Webservices (OWA,EAS,OA etc) lassen sich aber wunderbar mittels dynamischer IP anbinden.

      Gruss, Frank

      Reply
  3. Also ich habe das ganze jetzt mit einem MX-Eintrag über einen Selfhost-Account gelöst. Sende tue ich über einen Smarthost. Funktioniert prima seit 2 Monaten. Vorteil: Ich kann mit der Astaro selber Herr meines Spam sein ;)

    Reply
    • Hi, das hatte ich via Strato auch getestet, funktionierte allerdings bei mir nicht zuverlässig.

      Man könnte auch via POP abholen und an die UTM anstatt Exchange forwarden, allerdings wäre das von hinten durch die Brust ins Auge und die Realtime Blacklisten funktionieren nicht mehr.

      Ich muss aber sagen das die Strato Spamfilter ziemlich gut sind, ich bekomme aktuell keinen Spam, das bisschen was ich bekomme filtert der UTM POP Proxy sehr zuverlässig.

      Gruss, Frank

      Reply
  4. Hi Frank,

    Wie löst du das mit dem MX bei einer dynamischen IP ?
    Holst du die per POP bei strato ab und nutzt im Exchange strato als smarthost ?

    Reply
    • Genau, ich hole die Mails von Strato per POP ab, zwar könnte ich den MX auch auf einen Eintrag mit dynamischer IP zeigen lassen, aber so habe ich noch das Postfach bei Strato in dem die Mails liegen bleiben, falls hier mal etwas schief geht :-) Strato nutze ich dann als Smarthost.

      Reply
  5. ok naja wenn ich mir so eine Kiste hinstellen will muss ich erst meine Finanzministerin fragen :)

    Man muss halt schauen was die Teile an Strom fressen mein N40L mit 5 älteren Platten kommt nicht über 40W und deswegen wollte ich ihn vielleicht als Shared Storage benutzen und die ESXI dann ohne Platte betreiben.

    Reply
  6. Ok, hab mein Problem dann selbst gelöst in dem ich SNMP v2c auf der UTM 9 aktiviert habe. )
    Und danach beim DynSite einen SNMP-Gateway eingestellt habe. )

    Danke trotzdem ;)

    Reply
  7. Hi Frank,

    sag mal ich habe mir für priv. zu Testzwecken eine solch ähnliche UTM 9 aufgebaut. Momentan steckt alles noch in den Kinderschuhen.
    Meine Frage ist, seit dem ich die UTM 9 vor mein Netz geschaltet habe kann DynSite die öffentliche IP nicht mehr auslösen. Heißt er aktuallisiert owa.ju…. etc. nicht mehr ordnungsgemäß. (Ich nutze als Webhoster auch Strato)
    Muss hierfür etwas besonderes konfiguriert werden?

    Grüße, Daniel

    Reply
  8. Ja ich habe mein komplette Testumgebung dann noch auf meinem Arbeits-PC der hat 16GB mit Virtualbox aber möchte mir einen größeren ESXi zulegen mit min 32GB oder auch mehr oder halt 2 kleine Kisten die (16-32) können und alles aufteilen.

    Reply
  9. Danke für die Info.

    Ich habe im Moment einen N40L mit 8GB und noch einen alten C2D E8500 mit 8GB als ESXi laufen.

    Wobei ich den N40L auch noch Testweise als mit Windows 2012 Hyper-V missbrauche :)

    Reply
    • Naja das hängt wohl davon ab, was man daran laufen lässt :-)
      Mein Xeon mit 16GB läuft am Limit. Zwar nicht was die CPU Leistung angeht, aber er hat einfach zu wenig RAM. Daher hatte ich schon den AMD Opteron 6168 ins Auge gefasst. Der hat immerhin 12 Kerne, da würde einer ausreichen und die Baords fassen einiges an RAM, ich hatte an 64 GB gedacht.

      Grüße, Frank

      Reply
  10. Hallo Frank,

    mal eine Frage welche Hardware hast du als ESXi laufen ?

    Ich möchte mir was vergleichbares zuhause aufbauen und bin gerade am planen was ich so alles dafür brauchen werde.

    Reply
    • Hi,

      aktuell habe ich 2 ESXi am laufen, die Hardware ist schon etwas in die Jahre gekommen, daher plane ich in nächster Zeit ein Upgrade, aber zur aktuellen Umgebung:

      ESXi1:

      Mainboard: Intel S500PSL Server Board
      CPU: 2 x Intel Xeon Quad
      RAM: 24GB FB-DIMM
      HDD: 4 x 2 TB SATA HDDs

      ESXi2:

      Mainboard: HP ?! (ist ein kleiner HP PC)
      CPU: 1 x Intel Qore2Quad Q600
      RAM: 8 GB DDR2
      HDD: 1 x 1TB, 2 x 2 TB SATA

      Auf dem ESX1 laufen aktuell 9 VMs (DC, Exchange, TMG, File, DMS, 2xLinux, vCenter, Backup Firewall), auf dem ESX2 2 VMs (Backup, TerminalServer… …wegen iPad ;-D…)

      Ich hatte mich aber schon ein bisschen umgeschaut, da ich in Zukunft nur noch einen Host betreiben möchte. Die AMD Opteron mit 12 Kernen hören sich ganz interessant an, Backups könnte ich auf eine noch vorhandene Synology NAS machen. Aber so richtig überlegt habe ich mir das noch nicht. Wenn du magst halte ich dich aber gerne auf dem Laufenden.

      Gruss, Frank

      Reply
  11. Nee Frage wie machst du das mit dem SSL-Bind auf die beiden Adressen (autodiscover und owa….), wegen der einen IP-Adresse???
    Wegen SSL-Zertifikat, heir kann ich DomainFactory empfehlen, kostet zwar 20,-€ geht aber auch auf allen Handys. Alternativ comodo die haben ein SSL-Zertifikat für 90 Tage kostenlos.

    Reply

Leave a Comment