Ende letzten Jahres hatte ich bereits schon einen Artikel zu dem Thema RPCoverHTTP, besser bekannt als Outlook Anywhere geschrieben:
Exchange 2016: Wird RPCoverHTTP noch benötigt?
Ich habe daher Outlook Anywhere im Dezember 2016 in meiner Umgebung abgeschaltet. Auf Probleme bin ich bisher nicht gestoßen. Outlook 2016 funktioniert mit MAPIoverHTTP einwandfrei.
Nachdem nun also über zwei Monate ins Land gezogen sind, nehme ich dies zum Anlass meine aktuelle Konfiguration der Sophos UTM Webserver Protection in Verbindung mit Exchange 2016 zu veröffentlichen. Die Umgebung ist immer noch gleich. Es gibt einen Domain Controller und einen Exchange 2016 mit aktuellem CU 4:
Da ich das Rad nicht ständig neu erfinden möchte, baut dieser Artikel auf der ursprünglich Konfiguration auf, bzw. die UTM Konfiguration inkl. RPCoverHTTP wird angepasst, sodass für den Outlook Remote Zugriff nur noch MAPIoverHTTP unterstützt wird. ActiveSync und EWS bleiben unberührt und funktionieren weiterhin:
Sophos UTM 9.4 WAF und Exchange 2016
Die UTM Web Application Firewall ist wie folgt konfiguriert:
Echter Webserver
Zunächst einmal die Einstellungen für den “Echten Webserver” in diesem Fall also Exchange:
Hier habe ich nur das HTTP-Keep-Alive an die Standardeinstellung von Exchange 2016 angeglichen.
Autodiscover Firewall Profil
Das Autodiscover Firewall Profil habe ich unverändert gelassen:
Entry URLs:
/autodiscover /Autodiscover
Skip Filter Rules:
- 960015
- 960911
Webservices Firewall Profil
Am Firewall Profil für die Webservices habe ich die Option “Outlook Anywhere passieren lassen” deaktiviert. die Einstieg URLs habe ich auch gleich angepasst um die zukünftige REST-Api zu unterstützen:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB owa /OWA / /mapi /MAPI /api /API
Auch die Filterregeln sind deutlich weniger geworden:
- 960010
960015
981204
981176
Webservices Ausnahmen
An den Ausnahmen hat sich einiges verändert. Hier gibt es nur noch eine Ausnahme für die Webservices und eine Ausnahme für Autodiscover und die Webservices:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/* /api/* /API/* /MAPI/* /mapi/* /autodiscover/* /Autodiscover/*
Outlook Web Access Ausnahmen
Eine weitere Ausnahme ist für OWA nötig:
Die Ausnahme gilt für die folgenden URLs:
/owa/ev.owa* /OWA/ev.owa*
Autodiscover Virtueller Webserver
Die virtuelle Webserver für Autodiscover bleibt unverändert und bekommt lediglich das neue Firewall Profil zugewiesen:
Webservices Virtueller Webserver
Auch der virtuelle Webserver für die Exchange Webservices bleibt unverändert und bekommt lediglich das neue Firewall Profil zugewiesen:
MAPIoverHTTP Authentifizierungsprobleme vermeiden
Damit es nicht zu Authentifizierungsproblemen in Verbindung mit MAPIoverhTTP kommt, sollte sichergestellt sein, dass die Anmeldeinformationen entsprechend durchgereicht werden. Die Einstellungen können in der Internetoptionen am Client vorgenommen werden. Dazu wird für die Zone “lokales Intranet” die Option “Automatisches Anmelden nur in der Intranetzone” aktiviert (wenn noch nicht geschehen):
Gegebenenfalls ist es nötig die entsprechende URL auch zur Intranet Zone hinzuzufügen:
Hier einmal die Authentifizierungsmethoden für das Mapi Verzeichnis:
