Sophos UTM 9.4 WAF und Exchange 2016 (ohne RPCoverHTTP)

Ende letzten Jahres hatte ich bereits schon einen Artikel zu dem Thema RPCoverHTTP, besser bekannt als Outlook Anywhere geschrieben:

Exchange 2016: Wird RPCoverHTTP noch benötigt?

Ich habe daher Outlook Anywhere im Dezember 2016 in meiner Umgebung abgeschaltet. Auf Probleme bin ich bisher nicht gestoßen. Outlook 2016 funktioniert mit MAPIoverHTTP einwandfrei.

Nachdem nun also über zwei Monate ins Land gezogen sind, nehme ich dies zum Anlass meine aktuelle Konfiguration der Sophos UTM Webserver Protection in Verbindung mit Exchange 2016 zu veröffentlichen. Die Umgebung ist immer noch gleich. Es gibt einen Domain Controller und einen Exchange 2016 mit aktuellem CU 4:

RPCoverHTTP

Da ich das Rad nicht ständig neu erfinden möchte, baut dieser Artikel auf der ursprünglich Konfiguration auf, bzw. die UTM Konfiguration inkl. RPCoverHTTP wird angepasst, sodass für den Outlook Remote Zugriff nur noch MAPIoverHTTP unterstützt wird. ActiveSync und EWS bleiben unberührt und funktionieren weiterhin:

Sophos UTM 9.4 WAF und Exchange 2016

Die UTM Web Application Firewall ist wie folgt konfiguriert:

Echter Webserver

Zunächst einmal die Einstellungen für den “Echten Webserver” in diesem Fall also Exchange:

WAF

Hier habe ich nur das HTTP-Keep-Alive an die Standardeinstellung von Exchange 2016 angeglichen.

Autodiscover Firewall Profil

Das Autodiscover Firewall Profil habe ich unverändert gelassen:

Entry URLs:

/autodiscover
/Autodiscover

Skip Filter Rules:

  • 960015
  • 960911

image

image

Webservices Firewall Profil

Am Firewall Profil für die Webservices habe ich die Option “Outlook Anywhere passieren lassen” deaktiviert. die Einstieg URLs habe ich auch gleich angepasst um die zukünftige REST-Api zu unterstützen:

/ecp
/ECP
/ews
/EWS
/Microsoft-Server-ActiveSync
/oab
/OAB
owa
/OWA
/
/mapi
/MAPI
/api
/API

image

Auch die Filterregeln sind deutlich weniger geworden:

  • 960010
    960015
    981204
    981176

image

Webservices Ausnahmen

An den Ausnahmen hat sich einiges verändert. Hier gibt es nur noch eine Ausnahme für die Webservices und eine Ausnahme für Autodiscover und die Webservices:

image

/ecp/*
/ECP/*
/ews/*
/EWS/*
/Microsoft-Server-ActiveSync*
/oab/*
/OAB/*
/owa/*
/OWA/*
/api/*
/API/*
/MAPI/*
/mapi/*
/autodiscover/*
/Autodiscover/*

image

Outlook Web Access Ausnahmen

Eine weitere Ausnahme ist für OWA nötig:

SNAGHTML37740b

Die Ausnahme gilt für die folgenden URLs:

/owa/ev.owa*
/OWA/ev.owa*

image

Autodiscover Virtueller Webserver

Die virtuelle Webserver für Autodiscover bleibt unverändert und bekommt lediglich das neue Firewall Profil zugewiesen:

SNAGHTML3ad288

Webservices Virtueller Webserver

Auch der virtuelle Webserver für die Exchange Webservices bleibt unverändert und bekommt lediglich das neue Firewall Profil zugewiesen:

SNAGHTML3ba52a

MAPIoverHTTP Authentifizierungsprobleme vermeiden

Damit es nicht zu Authentifizierungsproblemen in Verbindung mit MAPIoverhTTP kommt, sollte sichergestellt sein, dass die Anmeldeinformationen entsprechend durchgereicht werden. Die Einstellungen können in der Internetoptionen am Client vorgenommen werden. Dazu wird für die Zone “lokales Intranet” die Option “Automatisches Anmelden nur in der Intranetzone” aktiviert (wenn noch nicht geschehen):

image

Gegebenenfalls ist es nötig die entsprechende URL auch zur Intranet Zone hinzuzufügen:

image

Hier einmal die Authentifizierungsmethoden für das Mapi Verzeichnis:

image

5 thoughts on “Sophos UTM 9.4 WAF und Exchange 2016 (ohne RPCoverHTTP)”

  1. Hallo Frank,
    soweit alles eingerichtet. Ich komme auch über https://outlook….. auf den owa-Anmeldebildschirm. Wenn ich die emailadresse und das Passwort eingebe, dann kommt die Meldung, daß der Benutzername oder das Passwort verkehrt sind.

    Wo könnte der Fehler liegen?

    Gruß
    Christoph

    Reply
  2. Hi,

    wie sieht es aus, wenn man ein DAG Cluster mit 2 Exchange Servern in der Umgebung hat?
    Kann man dann einfach beide im WAF auf der Sophos eintragen?

    Reply
  3. Hi Franky,

    Betrifft zwar einen Exchange 2013 aber eventuell hast du hier eine Idee.
    Ich habe EWS freigegeben und die UTM wie in deinem älteren Post konfiguriert.
    Leider ist die Anmeldung über Basic Authentication nicht möglich; ich erhalte immer einen HTTP 401.1.
    So ziemlich alles was ich gefunden habe, habe ich ausprobiert aber es ändert nichts. Laut Tracing sieht es so aus als würde ich in die Windows integrierte Anmeldung laufen was natürlich fehlschlägt. Intern funktioniert die Anmeldung ohne Probleme.

    Reply
  4. Hallo, eine Frage du hast beim Exchange 2016 Outlook Anywhere abgeschaltet, d.h man greift von extern über MAPI over HTTP zu?

    Ich hab aktuell Exchange 2016, MAPI ist enabled, Outlook Anywhere ist enabled, aber von aussen zeigt es immer noch RPC/HTTP an. intern zeigt es HTTP an.

    somit einfach Outlook Anywhere abschalten und gut ist?

    mfg

    Reply

Leave a Comment