Ende letzten Jahres hatte ich bereits schon einen Artikel zu dem Thema RPCoverHTTP, besser bekannt als Outlook Anywhere geschrieben:
Exchange 2016: Wird RPCoverHTTP noch benötigt?
Ich habe daher Outlook Anywhere im Dezember 2016 in meiner Umgebung abgeschaltet. Auf Probleme bin ich bisher nicht gestoßen. Outlook 2016 funktioniert mit MAPIoverHTTP einwandfrei.
Nachdem nun also über zwei Monate ins Land gezogen sind, nehme ich dies zum Anlass meine aktuelle Konfiguration der Sophos UTM Webserver Protection in Verbindung mit Exchange 2016 zu veröffentlichen. Die Umgebung ist immer noch gleich. Es gibt einen Domain Controller und einen Exchange 2016 mit aktuellem CU 4:
Da ich das Rad nicht ständig neu erfinden möchte, baut dieser Artikel auf der ursprünglich Konfiguration auf, bzw. die UTM Konfiguration inkl. RPCoverHTTP wird angepasst, sodass für den Outlook Remote Zugriff nur noch MAPIoverHTTP unterstützt wird. ActiveSync und EWS bleiben unberührt und funktionieren weiterhin:
Sophos UTM 9.4 WAF und Exchange 2016
Die UTM Web Application Firewall ist wie folgt konfiguriert:
Echter Webserver
Zunächst einmal die Einstellungen für den “Echten Webserver” in diesem Fall also Exchange:
Hier habe ich nur das HTTP-Keep-Alive an die Standardeinstellung von Exchange 2016 angeglichen.
Autodiscover Firewall Profil
Das Autodiscover Firewall Profil habe ich unverändert gelassen:
Entry URLs:
/autodiscover /Autodiscover
Skip Filter Rules:
- 960015
- 960911
Webservices Firewall Profil
Am Firewall Profil für die Webservices habe ich die Option “Outlook Anywhere passieren lassen” deaktiviert. die Einstieg URLs habe ich auch gleich angepasst um die zukünftige REST-Api zu unterstützen:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB owa /OWA / /mapi /MAPI /api /API
Auch die Filterregeln sind deutlich weniger geworden:
- 960010
960015
981204
981176
Webservices Ausnahmen
An den Ausnahmen hat sich einiges verändert. Hier gibt es nur noch eine Ausnahme für die Webservices und eine Ausnahme für Autodiscover und die Webservices:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/* /api/* /API/* /MAPI/* /mapi/* /autodiscover/* /Autodiscover/*
Outlook Web Access Ausnahmen
Eine weitere Ausnahme ist für OWA nötig:
Die Ausnahme gilt für die folgenden URLs:
/owa/ev.owa* /OWA/ev.owa*
Autodiscover Virtueller Webserver
Die virtuelle Webserver für Autodiscover bleibt unverändert und bekommt lediglich das neue Firewall Profil zugewiesen:
Webservices Virtueller Webserver
Auch der virtuelle Webserver für die Exchange Webservices bleibt unverändert und bekommt lediglich das neue Firewall Profil zugewiesen:
MAPIoverHTTP Authentifizierungsprobleme vermeiden
Damit es nicht zu Authentifizierungsproblemen in Verbindung mit MAPIoverhTTP kommt, sollte sichergestellt sein, dass die Anmeldeinformationen entsprechend durchgereicht werden. Die Einstellungen können in der Internetoptionen am Client vorgenommen werden. Dazu wird für die Zone “lokales Intranet” die Option “Automatisches Anmelden nur in der Intranetzone” aktiviert (wenn noch nicht geschehen):
Gegebenenfalls ist es nötig die entsprechende URL auch zur Intranet Zone hinzuzufügen:
Hier einmal die Authentifizierungsmethoden für das Mapi Verzeichnis:
Hallo Frank,
soweit alles eingerichtet. Ich komme auch über https://outlook….. auf den owa-Anmeldebildschirm. Wenn ich die emailadresse und das Passwort eingebe, dann kommt die Meldung, daß der Benutzername oder das Passwort verkehrt sind.
Wo könnte der Fehler liegen?
Gruß
Christoph
Hi,
wie sieht es aus, wenn man ein DAG Cluster mit 2 Exchange Servern in der Umgebung hat?
Kann man dann einfach beide im WAF auf der Sophos eintragen?
Hallo Max,
leider funktioniert dieses mit der WAF nicht. Du müsstest daher einen Loadbalancer zwischen WAF und Exchange schalten.
Gruß,
Frank
Hi Franky,
Betrifft zwar einen Exchange 2013 aber eventuell hast du hier eine Idee.
Ich habe EWS freigegeben und die UTM wie in deinem älteren Post konfiguriert.
Leider ist die Anmeldung über Basic Authentication nicht möglich; ich erhalte immer einen HTTP 401.1.
So ziemlich alles was ich gefunden habe, habe ich ausprobiert aber es ändert nichts. Laut Tracing sieht es so aus als würde ich in die Windows integrierte Anmeldung laufen was natürlich fehlschlägt. Intern funktioniert die Anmeldung ohne Probleme.
Hallo, eine Frage du hast beim Exchange 2016 Outlook Anywhere abgeschaltet, d.h man greift von extern über MAPI over HTTP zu?
Ich hab aktuell Exchange 2016, MAPI ist enabled, Outlook Anywhere ist enabled, aber von aussen zeigt es immer noch RPC/HTTP an. intern zeigt es HTTP an.
somit einfach Outlook Anywhere abschalten und gut ist?
mfg