My blog has now moved to a new hoster, availability and performance have made this step necessary (primarily availability). My blog is now hosted by Strato and Strato offers a nice feature that makes it much easier for me to use the Exchange web services. First, let me tell you a bit about the technology behind frankysweb.de:
Strato hosts my domain frankysweb.de. At home I have a vmWare ESXi 5.1 server with currently 7 VMs (for the sake of clarity I have only drawn in the VMs concerned). My internet provider only provides me with a dynamic IP that changes every 24 hours. However, Strato offers the possibility to create subdomains and to fill them with a dynamic IP address similar to DynDNS (which I used before) and to keep them up to date via client.
Dynamic IP and Strato:
http://www.strato-faq.de/artikel.html?articleid=2097
In this article I describe how I connected my private Exchange environment to the Internet. This article is therefore only for general understanding, but smaller Exchange organizations in particular can be made available externally in this way. I use a Sophos UTM 9 as a firewall. This solution offers a web application firewall that can be used for Active Sync and OWA. Unfortunately, the UTM 9 does not yet support RPCoverHTPPS. Outlook Anywhere can therefore not be used, at least not if you want to use the Sophos UTM web application firewall for security.
I have therefore set up an additional network as a DMZ on the ESX server and installed a server with Microsoft Forefront TMG. You could also make the Exchange web services accessible via port forwarding without a reverse proxy like Forefront TMG. However, this is not recommended for security reasons.
I then set up a port forward for port 443 (HTTPS) to the TMG server on the Sophos UTM firewall, no other ports are required:
The configuration at Strato for the subdomains "OWA" and "Autodiscover" looks like this (the small symbol in the DNS column indicates that it is a dynamic IP)
The ForeFront TMG server only has one virtual network card. I have therefore configured routing between the DMZ and the internal network. The setup is of course different for each router and/or firewall, so I will not describe it here and will only briefly describe the connection path:
My notebook establishes an RPCoverHTTPS connection to owa.frankysweb.de, the firewall forwards the request via port forward to the TMG server (red arrow). The TMG server authenticates the client and then forwards the request to the Exchange server in the internal network. Since I only have one virtual network card in the TMG server, the request runs through the firewall again (green arrow).
All Exchange Web Services are published in the Forefront TMG. The setup is simple as it can be done using wizards, only Autodiscover requires some manual work:
Autodiscover is configured to the "Outlook Anywhere" rule by adding an entry with "Autodiscover.frankysweb.de" under the "Public name" tab in the properties
And "Autodiscover" is also entered under the "Paths" tab.
The setup of Forefront TMG is described in detail by Microsoft, so I think I can save myself the instructions here as well:
http://www.microsoft.com/en-us/download/details.aspx?id=8946
Conclusion: Dynamic IP and subdomain at Strato works wonderfully. Especially small organizations (like mine) can be connected wonderfully. With DynDNS.org it was much more complicated. The only question is where to get a free certificate for a subdomain, StartSSL is a great service, but unfortunately does not issue certificates for subdomains. Does anyone have any tips?
wow, danke für die schnelle Antwort!
Ich hatte irgendwie die Hoffnung, dass es eine Möglichkeit gibt, Strato als eine Art Zwischenhändler einzusetzen, um das Blocken zu verhindern.
Dann muss ich es wohl doch über Pop-Connectoren versuchen.
Gruß und Danke, Daniel
Hallo Frank,
ich versuche momentan mehr oder weniger genau dieses Szenario bei mir aufzubauen (Exchange Server 2013, Strato als Domainhost, Dyn. IP). Nur leider funktioniert es nicht ganz so, wie ich mir das vorstelle :(
Das Senden der Mails per Smarthost funktioniert super. Große Probleme habe ich mit dem Empfangen von E-Mails. Vielleicht kannst du mir ja einen guten Tipp geben :)
Das Empfangen möchte per MX-Record / SMTP ohne Pop-Connector realisieren. Leider funktioniert das nicht. Wenn ich nach diesem Versuchsaufbau google, bekomme ich auch keine weiteren Infos. Dein Beitrag war ein kleiner Lichtblick (Strato als Hoster UND DynDNS!).
Hast du einen Tipp für mich, wie ich die Einstellungen bei Strato und beim Exchange Server setzen muss, damit ich erfolg habe?
Gruß, Daniel
Hallo Daniel,
das wird so nicht zuverlässig funktionieren, die meisten Provider blocken Mails aus dynamischen IP-Bereichen. Der Weg via Smarthost und POP ist dort also die bessere Wahl. Die Exchange Webservices (OWA,EAS,OA etc) lassen sich aber wunderbar mittels dynamischer IP anbinden.
Gruss, Frank
Also ich habe das ganze jetzt mit einem MX-Eintrag über einen Selfhost-Account gelöst. Sende tue ich über einen Smarthost. Funktioniert prima seit 2 Monaten. Vorteil: Ich kann mit der Astaro selber Herr meines Spam sein ;)
Hi, das hatte ich via Strato auch getestet, funktionierte allerdings bei mir nicht zuverlässig.
Man könnte auch via POP abholen und an die UTM anstatt Exchange forwarden, allerdings wäre das von hinten durch die Brust ins Auge und die Realtime Blacklisten funktionieren nicht mehr.
Ich muss aber sagen das die Strato Spamfilter ziemlich gut sind, ich bekomme aktuell keinen Spam, das bisschen was ich bekomme filtert der UTM POP Proxy sehr zuverlässig.
Gruss, Frank
Alternativ gibt es cygwin mit fetchmail, lassen sich auch einige interessante konstellationen bewerkstelligen.
Grüße Michael
Hmail könnte man auch dazu verwenden, nen dynamischen MX funktioniert allerdings nicht so gut :-)
Ich hatte das mal getestet… :-D
Hi, womit holst du deine mails aus dem Pop3 ab? hab da noch nix 100 prozentiges gefunden :)
Hi, ich nutze POPcon:
http://www.servolutions.de/popcon.htm
hier gibt’s auch noch was kostenloses:
Hab ich aber nicht getestet. Gruss, Frank
Hi Frank,
Wie löst du das mit dem MX bei einer dynamischen IP ?
Holst du die per POP bei strato ab und nutzt im Exchange strato als smarthost ?
Genau, ich hole die Mails von Strato per POP ab, zwar könnte ich den MX auch auf einen Eintrag mit dynamischer IP zeigen lassen, aber so habe ich noch das Postfach bei Strato in dem die Mails liegen bleiben, falls hier mal etwas schief geht :-) Strato nutze ich dann als Smarthost.
ok naja wenn ich mir so eine Kiste hinstellen will muss ich erst meine Finanzministerin fragen :)
Man muss halt schauen was die Teile an Strom fressen mein N40L mit 5 älteren Platten kommt nicht über 40W und deswegen wollte ich ihn vielleicht als Shared Storage benutzen und die ESXI dann ohne Platte betreiben.
Ok, hab mein Problem dann selbst gelöst in dem ich SNMP v2c auf der UTM 9 aktiviert habe. )
Und danach beim DynSite einen SNMP-Gateway eingestellt habe. )
Danke trotzdem ;)
Hi Frank,
sag mal ich habe mir für priv. zu Testzwecken eine solch ähnliche UTM 9 aufgebaut. Momentan steckt alles noch in den Kinderschuhen.
Meine Frage ist, seit dem ich die UTM 9 vor mein Netz geschaltet habe kann DynSite die öffentliche IP nicht mehr auslösen. Heißt er aktuallisiert owa.ju…. etc. nicht mehr ordnungsgemäß. (Ich nutze als Webhoster auch Strato)
Muss hierfür etwas besonderes konfiguriert werden?
Grüße, Daniel
Ja ich habe mein komplette Testumgebung dann noch auf meinem Arbeits-PC der hat 16GB mit Virtualbox aber möchte mir einen größeren ESXi zulegen mit min 32GB oder auch mehr oder halt 2 kleine Kisten die (16-32) können und alles aufteilen.
Ich denke es wird bei mir eher ein dickerer Hobel werden, zwei Maschinen sind mir doch auf Dauer zu teuer :-)
Danke für die Info.
Ich habe im Moment einen N40L mit 8GB und noch einen alten C2D E8500 mit 8GB als ESXi laufen.
Wobei ich den N40L auch noch Testweise als mit Windows 2012 Hyper-V missbrauche :)
Naja das hängt wohl davon ab, was man daran laufen lässt :-)
Mein Xeon mit 16GB läuft am Limit. Zwar nicht was die CPU Leistung angeht, aber er hat einfach zu wenig RAM. Daher hatte ich schon den AMD Opteron 6168 ins Auge gefasst. Der hat immerhin 12 Kerne, da würde einer ausreichen und die Baords fassen einiges an RAM, ich hatte an 64 GB gedacht.
Grüße, Frank
Hallo Frank,
mal eine Frage welche Hardware hast du als ESXi laufen ?
Ich möchte mir was vergleichbares zuhause aufbauen und bin gerade am planen was ich so alles dafür brauchen werde.
Hi,
aktuell habe ich 2 ESXi am laufen, die Hardware ist schon etwas in die Jahre gekommen, daher plane ich in nächster Zeit ein Upgrade, aber zur aktuellen Umgebung:
ESXi1:
Mainboard: Intel S500PSL Server Board
CPU: 2 x Intel Xeon Quad
RAM: 24GB FB-DIMM
HDD: 4 x 2 TB SATA HDDs
ESXi2:
Mainboard: HP ?! (ist ein kleiner HP PC)
CPU: 1 x Intel Qore2Quad Q600
RAM: 8 GB DDR2
HDD: 1 x 1TB, 2 x 2 TB SATA
Auf dem ESX1 laufen aktuell 9 VMs (DC, Exchange, TMG, File, DMS, 2xLinux, vCenter, Backup Firewall), auf dem ESX2 2 VMs (Backup, TerminalServer… …wegen iPad ;-D…)
Ich hatte mich aber schon ein bisschen umgeschaut, da ich in Zukunft nur noch einen Host betreiben möchte. Die AMD Opteron mit 12 Kernen hören sich ganz interessant an, Backups könnte ich auf eine noch vorhandene Synology NAS machen. Aber so richtig überlegt habe ich mir das noch nicht. Wenn du magst halte ich dich aber gerne auf dem Laufenden.
Gruss, Frank
Hallo,
autodiscover und owa verweisen beide auf die gleiche IP und werden vom DynSite Client upgedatet.
Gruss,
Frank
Nee Frage wie machst du das mit dem SSL-Bind auf die beiden Adressen (autodiscover und owa….), wegen der einen IP-Adresse???
Wegen SSL-Zertifikat, heir kann ich DomainFactory empfehlen, kostet zwar 20,-€ geht aber auch auf allen Handys. Alternativ comodo die haben ein SSL-Zertifikat für 90 Tage kostenlos.