Securepoint Reverse Proxy mit Exchange

Problembeschreibung:

Securepoint Reverse Proxy mit Exchange soll für die Verwendung von Outlookanywhere, OWA, Exchange Active-Sync und Autodiscovery eingerichtet werden.

Voraussetzung:

Der Exchange Server ist bereits vollständig eingerichtet (inkl. Autodiscover) und bei Konfiguration einer Portweiterleitung ist der Zugriff möglich.

Vorbereitungen:

Das SSL Zertifikat des Exchange Server muss inkl. Intermediate und Rootzertifikaten auf der Firewall importiert werden. Die Verwendung einer internen CA ist möglich, das Zertifikat der CA muss dazu auf dem jeweiligen Client als vertrauenswürdige Stammzertifizierungsstelle installiert werden.

Achtung: Der Common Name des Zertifikates muss mit dem externen Domänennamen des Exchange Server identisch sein, beispielsweise

exchangeserver.ihre-domain.tld

Die Verwendung von Wildcardzertifikaten ist möglich.

Weitere Informationen zum Thema Zertifikate finden Sie im Securepoint Wiki unter https://wiki.securepoint.de/UTM/AUTH/Zertifikate

Konfiguration:

Sofern vorhanden deaktivieren Sie eine direkte Portweiterleitung von HTTPS auf den Exchange Server.

Richten Sie den Reverse Proxy wie unter https://wiki.securepoint.de/UTM/APP/Reverse_Proxy-Exchange beschrieben ein.

Im ACL Set fügen Sie folgende Einträge hinzu:

  • dstdomain <fqdn Ihres Exchange Servers>, beispielsweise exchangeserver.ihre-domain.tld
  • dstdomain autodiscover.<ihre-domain>.<tld>, beispielsweise autodiscover.ihre-domain.tld

Für die gewünschten Dienste fügen Sie folgende Reguläre Ausdrücke hinzu:

  • urlpath_regex ^/owa (Outlook Web Access)
  • urlpath_regex ^/mapi (Mapi over HTTP)
  • urlpath_regex ^/rpc (RPC over HTTPS)
  • urlpath_regex ^/Microsoft-Server-ActiveSync (Microsoft Exchange ActiveSync/MobileSync)
  • urlpath_regex ^/ews (Exchange Web Services. Wird z. B. für die Funktionalistät des Abwesenheitsassistenten unter Outlookanywhere benötigt)
  • urlpath_regex ^/OAB (Outlook Offline Adressbuch)
  • urlpath_regex ^/Autodiscover (AutoErmittlung)
  • urlpath_regex ^/autodiscover (AutoErmittlung)

Diese Einträge sind case sensitive (Groß- Kleinschreibung wird unterschieden)! Daher findet sich der Autodiscover Eintrag 2x wieder. Der Microsoft Remote Connectivity Analyzer (https://testconnectivity.microsoft.com) prüft auf ^/Autodiscover, Outlook selbst auf ^/autodiscover (getestet mit Outlook 2016).

Von der Veröffentlichung des ECP (Exchange Admin Center) und Powershell über externe Zugriffe raten wir ab. Somit ergibt sich für unser Beispiel folgendes ACL Set:

Securepoint Reverse Proxy mit Exchange ACL-Set Outlook Anywhere

Achtung: NTLM Authentifizierung wird derzeit mit der Konfiguration "Securepoint Reverse Proxy mit Exchange" über den verwendeten Squid Proxy nicht unterstütz! Daher ist in den Exchange Servereinstellungen die Authentifizierung für Outlookanywhere auf Einfach (Basic) zu stellen.

Securepoint Reverse Proxy mit Exchange Outlook Anywhere Basic-Authentication

Die Authorisierung erfolgt bereits über SSL, somit werden keine Anmeldedaten im Klartext übertragen.

Danach sollte der Zugriff von extern über Outlookanywhere, OWA und Active-Sync inkl. Autodiscovery möglich sein.

Für weitere Fragen und Anregungen steht ihnen der Author und das Team der HIT unter +49 (0) 41 06 - 12 48 62 oder info@hit-systemhaus.net gerne zur Verfügung!