Mein Blog ist ja nun zu einem neuen Hoster umgezogen, Verfügbarkeit und Performance haben diesen Schritt nötig gemacht (in erster Linie Verfügbarkeit). Mein Blog wird nun bei Strato gehostet und Strato bietet ein nettes Feature, welches es mir deutlich einfacher macht, die Exchange Webservices zu nutzen. Zunächst erzähle ich mal ein bisschen zur Technik die hinter frankysweb.de steckt:
Strato hostet meine Domain frankysweb.de. Zuhause steht ein vmWare ESXi 5.1 Server mit aktuell 7 VMs (zur Übersicht habe ich nur die betreffenden VMs eingezeichnet). Mein Internet-Provider stellt mir nur eine dynamische IP zur Verfügung die sich alle 24 Stunden ändert. Allerdings bietet Strato die Möglichkeit Subdomains anzulegen, und diese ähnlich wie bei DynDNS (welches ich vorher genutzt habe) mit einer dynamischen IP-Adresse zu füllen und diese per Client aktuell zuhalten.
Dynamische IP und Strato:
http://www.strato-faq.de/artikel.html?articleid=2097
In diesem Artikel beschreibe ich wie ich meine private Exchange Umgebung an das Internet angebunden habe. Dieser Artikel dient also nur dem allgemeinem Verständnis, dennoch lassen sich insbesondere kleinere Exchange Organisationen so extern verfügbar machen. Als Firewall setze ich eine Sophos UTM 9 ein, diese Lösung bietet zwar eine Web Application Firewall, die sich für Active Sync und OWA nutzen lässt. Leider wird von der UTM 9 noch kein RPCoverHTPPS unterstützt. Outlook Anywhere lässt sich also nicht nutzen, zumindest nicht, wenn man zur Absicherung die Web Application Firewall der Sophos UTM nutzen möchte.
Daher habe ich auf dem ESX Server ein zusätzliches Netzwerk als DMZ eingerichtet und einen Server mit Microsoft Forefront TMG installiert. Zwar könnte man auch die Exchange Webservices per Portforwarding ohne Reverse Proxy wie Forefront TMG erreichbar machen. Jedoch ist das aus Gründen der Sicherheit nicht zu empfehlen.
An der Sophos UTM Firewall habe ich dann ein Portforward für Port 443 (HTTPS) auf den TMG Server eingerichtet, weitere Ports werden nicht benötigt:
So sieht dann die Konfiguration bei Strato für die Subdomains “OWA” und “Autodiscover” aus (das kleine Symbol in der Spalte DNS zeigt an, dass es sich um eine dynamische IP handelt)
Der ForeFront TMG Server hat nur eine virtuelle Netzwerkkarte. Ich habe daher Routing zwischen der DMZ und dem internen Netz konfiguriert. Die Einrichtung ist natürlich bei jedem Router und/oder Firewall unterschiedlich, daher verzichte ich hier auf eine Beschreibung und stelle nur kurz den Weg der Verbindung dar:
Mein Notebook stellt eine RPCoverHTTPS Verbindung zu owa.frankysweb.de her, die Firewall leitet die Anfrage per Portforward zu dem TMG Server weiter (Roter Pfeil). Der TMG Server authentifiziert den Client und leitet dann die Anfrage zum Exchange Server im internen Netzwerk weiter. Da ich nur eine virtuelle Netzwerkkarte im TMG Server habe, läuft die Anfrage nochmals über die Firewall (Grüner Pfeil).
Im Forefront TMG sind alle Exchange Web Services veröffentlicht. Die Einrichtung ist einfach, da sie mittels Assistenten erledigt werden kann, nur bei Autodiscover muss etwas Hand angelegt werden:
Autodiscover wird auf die Regel “Outlook Anywhere” konfiguriert, dazu wird in den Eigenschaften unter dem Reiter “Öffentlicher Name” ein Eintrag mit “Autodiscover.frankysweb.de” hinzugefügt
Und unter dem Reiter “Pfade” wird ebenfalls “Autodiscover” eingetragen.
Die Einrichtung von Forefront TMG ist detailliert von Microsoft beschrieben, ich denke daher kann ich mir auch hier die Anleitung sparen:
http://www.microsoft.com/en-us/download/details.aspx?id=8946
Fazit: Dynamische IP und Subdomain bei Strato funktioniert wunderbar. Gerade kleine Organisationen (wie meine) lassen sich so wunderbar anbinden. mit DynDNS.org war das doch deutlich aufwendiger. Fragt sich nur noch wo man ein kostenloses Zertifikat für eine Subdomain herbekommt, StartSSL ist ein super Service, stellt aber leider keine Zertifikate für Sub-Domains aus. Hat da jemand einen Tipp?