Foreword
Without Office Online Server integration, the Word document can be downloaded, but it cannot be displayed directly:
Installation
Under Server 2012 R2, the necessary prerequisites must first be installed, the easiest way as always is with Powershell:
Install-WindowsFeature Web-Server,Web-Mgmt-Tools,Web-Mgmt-Console,Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Static-Content,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Includes,InkandHandwritingServices,Windows-Identity-Foundation
The following packages are also required:
.NET Framework 4.5.2 should already have been installed on a fully updated server via Windows Update. Alternatively, it can be downloaded and installed manually as described in the link above.
Now the Office Online Server installation can begin. The installation is self-explanatory:
The installation is now complete, continue with the configuration.
Configuration of Office Online Server
After the successful installation on Office Online Server, a certificate is first required for the new farm. In my case, I want to publish the farm under office.frankysweb.de, so only the corresponding DNS entry needs to be configured on the certificate. In this case, I get a certificate from my internal CA with the following settings:
The display name under the "General" tab is important here as it is required for configuring the farm:
Of course, a certificate from a public CA can also be used. If you also want to use an internal CA, you can follow this article as far as possible:
Instead of the Exchange Server, the Office Online Server is then authorized on the template. Once the certificate has been issued, the new farm can be created:
The farm is created with the following command:
New-OfficeWebAppsFarm -InternalURL "https://office.frankysweb.de" -ExternalURL "https://office.frankysweb.de" -CertificateName "Office Online Server"
Internal and external URLs are the same in my case. It is also advisable to use split DNS here so that internal and external names are the same.
Two new websites should now have been created in IIS, the website with the name HTTP80 is bound to the certificate just created:
You can test whether everything has worked up to this point by accessing the Discovery website:
If an XML file is displayed, it has worked and Exchange can be configured:
Exchange 2016 configuration
The configuration of Exchange 2016 is now done quickly. The following command marries Office Online Server with Exchange 2016:
Set-OrganizationConfig -WacDiscoveryEndpoint "https://office.frankysweb.de/hosting/discovery"
Now the pool only needs to be restarted for the configuration to take effect:
Restart-WebAppPool MsExchangeOwaAppPool
In OWA (or Outlook on the Web), "View" is now available next to the "Download" button for Office documents:
Click on "Show" to start Word Online directly in Outlook on the Web.
This works fine internally, but not yet from the outside. The Office Online server must be accessible externally via port 443 (HTTPS).
However, if, like me, you only have a public IP and have already assigned port 443 to Exchange, you will inevitably have a problem here, and I have not tried whether Office Online can also be accessed via a different port. But if you are the lucky owner of a Sophos UTM with a web server protection license, you can also offer other services under port 443 in addition to Exchange.
In this article, I have already described it for Exchange 2016 using Sophos UTM 9.4:
https://www.frankysweb.de/sophos-utm-9-4-waf-und-exchange-2016/
In addition to the Exchange entries, the certificate must also contain the Office Online Server name. In my case, this means the following names:
- mail.frankysweb.de
- autodiscover.frankysweb.de
- office.frankysweb.de
The corresponding configuration for Office Online Server can be found below:
Configuration Sophos UTM 9.4
To enable Office Online Server via Sophos UTM Webserver Protection (WAF), a firewall profile must first be created:
The following filter rules must be ignored:
950109 950120 981173 981176 981204 973302 973347 973335 973334
A real web server must now be created:
And now the virtual web server can be created:
A corresponding HOST-A entry must now be created in the public DNS (in my case office.frankysweb.de with the public IP of the UTM).
Hi Nice WebSite.
I have a question, actually we have a exchange organization and our Office Online server in a local domain such as domain.local meaning the FQDN of the servers included Office online server are dominio.local, how we can do for office online server work with a certificate with our external domain such as organization.com, we already create a split DNS
Hallo!
Konnte irgendjemand das Problem lösen? Habe in der UTm 9.503 das selbe Problem. Sobald es über die WAF geht, bekomme ich den Fehler im Log:
0x7220 Office Online WAC Hosting Interaction adhsf Unexpected WOPI Check, return size too large
0x7220 Office Online WAC Hosting Interaction adhsk Unexpected WOPI CheckFile: Catch-All Failure
mit dem oben genannten Fehler im OWA.
Hi Frank,
vielen Dank für die schnelle Antwort!
Ich hab das ganze nochmal durchgespielt. Das Zertifikat ist zwar ein internes aber das root CA/intermediate ist auf allen Servern drauf. Wenn ich es im Browser checke gibt es keine Zert Warnung und in der CA-mmc ist die Zertifikatsfolge auch okay.
Mir ist noch aufgefallen das mein OOS unhealthy ist:
PS C:\Windows\system32> (Get-OfficeWebAppsFarm).Machines
MachineName Roles HealthStatus
———– —– ————
WINVM {All} Unhealthy
Im Eventlog sieht es wie folgt aus:
WordDocumentSessionServiceWatchdog reported status for WordDocumentSessionService in category ‚Ping‘. Reported status: WordDocumentSessionService ping hit an exception.
UlsControllerWatchdog reported status for UlsController in category ‚Verify Trace Logging‘. Reported status: Likely caused by shipping osipartner outputs from somewhere other than a devmain checkpoint. Trace string is found but the format is not correct in C:\ProgramData\Microsoft\OfficeWebApps\Data\Logs\ULS. The following fields has the wrong format or content: [ Timestamp ].
UlsControllerWatchdog reported status for UlsController in category ‚Verify Trace Logging‘. Reported status: Likely caused by shipping osipartner outputs from somewhere other than a devmain checkpoint. Trace string is found but the format is not correct in C:\ProgramData\Microsoft\OfficeWebApps\Data\Logs\ULS. The following fields has the wrong format or content: [ Timestamp ].
So richtig helfen mir diese Meldungen allerdings nicht weiter. Wenn du eine Idee oder Tipp hast wäre ich sehr dankbar :)
Sehr schöner Artikel mal wieder!
Noch bekomme ich aber leider keine Dokumente im OWA geöffnet.
„Fehler beim Erstellen der Dokumentvorschau. Versuchen Sie es später erneut.“
Hi,
dieses Problem kann auftreten, wenn der Exchange Server dem Zertifikat des Office Online Servers nicht vertraut, oder der Office Online Server dem Zertifikat des Exchange Servers.
Gruß, Frank
Hi,
ich habe unseren Exchange 2016 Server über die „normale“ Load Balancing Funktion der UTM verbunden, da die WAF ja nich mit mehr als einem Exchange funktioniert. Das funktioniert auch ganz gut.
Dann habe ich den Office Online Server so wie oben beschrieben in der UTM konfiguriert, allerdings haben wir 2 oos mit SSL Offload in der UTM.
Auch das funktioniert problemlos mit unserem Sharepoint 2016, aber beim Exchange auf Organisationsebene macht das leider ein paar Probleme.
Aufrufen direkt über einen Server (https://ex01.domain.de/owa/…) -> Funktioniert
über den Loadbalancer (https://email2016.domain.de/owa/…) -> Funktioniert nicht:
Fehlermeldung: „Leider kann das Dokument wegen eines Problems nicht geöffnet werden. Sollte dies erneut auftreten, versuchen Sie, das Dokument in Microsoft Word zu öffnen. SitzungsID: …“
Bei Bedarf kann ich gerne das ULS Log posten.
Grüße
Tobias
Hallo Frank,
herzlichen Dank für den Artikel.
Ich habe heute versucht das so nachzubauen.
Ich habe bereits einen funktionierenden Office Online Server, welcher Intern auch gut funktioniert. Nur mit dem veröffentlichen via Sophos UTM (aktuelle Version) komme ich nicht klar, Ich habe alles so eingestellt wie bei dir (allerdings verwende ich ein Wildcard Zertifikat) – allerdings bekomme ich nun in Exchange beim Zugriff auf ein Dokument die Meldung „Es ist ein Problem aufgetreten…“ (ziemlich genau das was der Kollege hier auch beschreibt: https://community.spiceworks.com/topic/1631465-office-online-server-not-working).
Da der OOS und auch Exchange 2016 ansonsten gut funktioniert – nehme ich mal an das es ein Problem mit dem Sophos UTM als Reverse Proxy gibt.
Läuft die Konfiguration bei dir aktuell noch?
Viele Grüsse
Micha
Hallo Frank
Danke für die Info. Arbeite noch mit TMG, was nach meiner Meinung die beste
Firewall war/ist. Das MS nicht weiter entwickelt hat ist mir ein Rätzel.
Gruß Uwe
Noch was, Super Webseiten und erklärungen.
Hallo Herr Zöchling,
gibt es die Sophos UTM 9.4 auch jetzt in Deutsch oder ist es nur zur erklärung hier auf Ihrer Webseite.
Danke für info
Uwe G.
Hi Uwe,
das Webadmin Interface der UTM lässt sich auf Deutsch umstellen.
Gruß, Frank