Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Reverse-Proxy Exchange}}
{{Set_lang}}


== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>


==Einleitung==
{{#vardefine:headerIcon|spicon-utm}}
Mit dieser Dokumentation zeigen wir, wie der Reverse Proxy eingerichtet werden muss, um aus dem Internet Zugriff auf die „Outlook Web App“ kurz OWA eines Microsoft Exchange Server zu erlauben.
{{:UTM/APP/Reverse_Proxy-Exchange.lang}}


[[Datei:Reverse-Proxy OWA.png|500px|center]]
</div>{{DISPLAYTITLE:{{#var:display}}}}{{Select_lang}}{{TOC2|Bild=Reverse-Proxy OWA.png}}
'''{{#var:head}}'''




Voraussetzung dafür ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem auch schon mit einer [[Howtos-V11/Portweiterleitungen#Portweiterleitung | Portweiterleitung]] das OWA aufgerufen werden konnte.
{{#var:ver}} '''11.8.13''' <small>(03.2021)</small>
==Einrichtung des Reverse Proxy mit Exchange==
<br>
{{cl| 1={{#var:neu}} | 2=
* {{#var:neu--kein-ntlm}}
* {{#var:neu--Assistent-drei-Schritte}}
<li class="list--element__alert list--element__warning">{{#var:neu--Hinweis zur cert-auth}}</li>
}}
<br>
{{#var:prev}} [[UTM/APP/Reverse_Proxy-Exchange_v11.7 | 11.7]]
<br>




----


===Vorbereitungen===
====Zertifikat====
Da das OWA des Exchange nur über eine SSL-Verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dieses kann über eine öffentliche Zertifizierungsstelle erworben, kann aber auch über die UTM selbst erstellt werden.


Ein wichtiger Punkt bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist. Wird also vom Client wie in unserem Beispiel die Domain ‘‘‘owa.ttt-point.de‘‘‘ aufgerufen, muss der Name des Zertifikats ebenfalls ‘‘‘owa.ttt-point.de‘‘‘ lauten.
=== {{#var:Voraussetzung}} ===
Sind Subdomains vorhanden wie zum Beispiel zusätzlich ‘‘‘web.ttt-point.de‘‘‘, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also ‘‘‘*.ttt-point.de‘‘‘.
{{#var:Voraussetzung--desc}}


Die Zertifikatsverwaltung befindet sich im Menü ‘‘‘Authentifizierung‘‘‘, Untermenü ‘‘‘Zertifikate‘‘‘.
Es muss, wenn noch nicht vorhanden, ein ‘‘‘CA‘‘‘ (Certification Authority) erstellt werden und anschließend, basierend auf diesem CA, das Zertifikat für die Domain.
Weitere Informationen zum erstellen von Zertifikaten befinden sich im Wiki [[Zertifikate | Zertifikate]]


====Portfilterregel====
=== {{#var:Vorbereitungen}} ===
Ein weiterer wichtiger Punkt ist, dass der Zugriff über den Reverse-Proxy auf den Exchange über die Portfilter-Regeln zugelassen werden muss.
<div class="Einrücken">


Hierbei ist eine Portfilterregel notwendig, die den Zugriff aus dem Internet auf die UTM, also auf das externe Interface für den Dienst ‘‘‘HTTPS‘‘‘ steuert.
==== {{#var:Zertifikat}} ====
{{#var:Zertifikat--desc}}


[[Datei:UTM116_AI_PFrprulehttps.png|600px|center]]
<li class="list--element__alert list--element__hint">{{#var:Zertifikat--Hinweis-CName}}</li>


----


Zu beachten ist, dass wenn noch Portweiterleitungen zu diesem Exchange Server bestehen, diese deaktiviert bzw. gelöscht werden.
==== {{#var:Portfilterregel}} ====
<div class="float right">
{| class="sptable2 spezial pd5 tr--bc__white"
|- class="bold small no1cell"
| class="Leerzeile" |  ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
|-
| {{spc|drag|o|-}} ||  16|| {{spc|world|o|-}} internet  || {{spc|interface|o|-}} external-interface || {{spc|tcp|o|-}} https ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
</div>
{{#var:Portfilterregel--desc}}


====User Webinterface Port====
----
[[Datei: UTM116_AI_NSEusrwebport.png|200px|thumb|right|User Webinterface Port]]
In der Werkseinstellung ist der Port 443 schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü ‘‘‘Netzwerk‘‘‘, Untermenü ‘‘‘Servereinstellungen‘‘‘ im Abschnitt ‘‘‘Webserver‘‘‘.


==== {{#var:User Webinterface Port}} ====
{{pt3| {{#var:User Webinterface Port--Bild}} }}
{{#var:User Webinterface Port--desc}}<br><br>
{{b|{{#var:User Webinterface Port}}: }} {{ic|443|c}} &emsp;→&emsp; {{ic|4443|c}}<br><br>
{{Button|{{#var:Speichern}} }}<br><br><br>


----


<br><br>
==== {{#var:IIS Einstellungen}} ====
<li class="list--element__alert list--element__warning">{{#var:IIS Einstellungen--desc}}</li>
<br clear=all>
</div>
----


=== {{#var:Einrichtung}} ===
{{#var:Einrichtung--desc}}


==== {{#var:Assistent}} ====
{| class="sptable2 pd5 zh1"
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|- class="Leerzeile"
| colspan="3" |
===== {{#var:Schritt 1}} =====
|-
| {{b|{{#var:Zielserver}} }} || {{Button|Exchange Server|dr}} || {{#var:Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc}} || class="Bild" rowspan="4" | {{Bild|{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--Bild}} |{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--cap}} }}
|-
| {{b|{{#var:Port}} }} || {{ic|443|c}} || {{#var:Port--desc}}
|-
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}}
|- class="Leerzeile"
|
|-
| {{b|{{#var:Zielserver}} }} || {{Button|{{#var:Server anlegen}}|dr}} || {{#var:Zielserver--Server anlegen--desc}} || class="Bild" rowspan="7" | {{Bild|{{#var:Schritt 1 Netzwerkobjekt anlegen--Bild}} |{{#var:Schritt 1 Netzwerkobjekt anlegen--cap}} }}
|-
| {{b|{{#var:Servername}} }} || {{ic|Exchange Server}} || {{#var:Servername--desc}}
|-
| {{b|{{#var:IP-Adresse}} }} || {{ic| 192.168.145.2}} || {{#var:IP-Adresse--desc}}
|-
| {{b|{{#var:Zone}} }} || {{Button|dmz1|dr}} || {{#var:Zone--desc}}<br><li class="list--element__alert list--element__hint">{{#var:Zone--Hinweis}}</li>
|-
| {{b|{{#var:Port}} }} || {{ic|443|c}} || {{#var:Port--desc}}
|-
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}}
|- class="Leerzeile"
| || || class="right" | {{Button|{{#var:Weiter}} }}
|- class="Leerzeile"
| colspan="3" |
===== {{#var:Schritt 2}} =====
|-
| {{b|{{#var:Externer Domainname}} }} || {{ic|owa.ttt-point.de}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li> || class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 2--Bild}} |{{#var:Schritt 2--cap}} }}
|-
| {{b|{{#var:Modus}} }} || {{Button|HTTPS|dr}} || {{#var:Modus--desc}}
|-
| {{b|{{#var:SSL-Proxy Port}} }} || {{ic|443|c}} || {{#var:SSL-Proxy Port--desc}}
|-
| {{b|{{#var:SSL-Zertifikat}} }} || {{Button|owa.ttt-point.de|dr}} || {{#var:SSL-Zertifikat--desc}}
|- class="Leerzeile"
| || || class="right" | {{Button|{{#var:Weiter}} }}
|- class="Leerzeile"
| colspan="3" |
===== {{#var:Schritt 3}} =====
|-
| {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Authentifizierung weiterleiten--val}}|dr}} || {{#var:Authentifizierung weiterleiten--desc}} || class="Bild" rowspan="3" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Schritt 3--cap}} }}
|-
| {{b|{{#var:Authentifizierung}} }} || {{Button| {{#var:an}}|dr|w=5em}} || {{#var:Authentifizierung--desc}}<br>{{Einblenden|{{#var:IIS Einstellungen}}|{{#var:hide}}|true|dezent}}{{#var:IIS Einstellungen--desc}}</div></span>
|- class="Leerzeile"
| | || || class="right" | {{Button|{{#var:Fertig}} }}
|- class="blank"
| colspan="3" |
==== {{#var:ACL Set anpassen}} ====
{{#var:ACL Set anpassen--desc}}<br>
{{#var:Reiter}} {{Reiter|ACL Sets}} {{ic|acl-Exchange-Server}} {{Button||w}} {{Button|{{#var:ACL hinzufügen}}|+}}
| class="Bild" rowspan="4" | {{Bild|{{#var:ACL Set anpassen--Bild}} |{{#var:ACL Set anpassen--cap}} }}
|-
| {{b|{{#var:Typ}} }} || {{Button|urlpath_regex|dr}} || {{#var:Typ--desc}}
|-
| {{b|{{#var:Argument}} }} || {{ic|^/owa}} || {{#var:Argument--desc}}<br>
{{Einblenden|{{#var:Weitere Parameter}}|{{#var:hide}}|true|dezent}}
{{#var:Weitere Parameter--desc}}<br>
<li class="list--element__alert list--element__warning em2">{{#var:Weitere Parameter--Hinweis}}</li>
{{#var:Regex-Parameter}}


</div></span>
|- class="Leerzeile"
| | || || class="right" | {{Button|{{#var:Speichern}} }} & {{Button|{{#var:Schließen}} }}<br>
{{Hinweis|!}} {{#var:Abschluss mit Speichern}}
|- class="Leerzeile"
| colspan="3" |
=== {{#var:Zertifikatsbasierte Authentifizierung}} ===
|- class="Leerzeile"
| colspan="3" | {{#var:Zertifikatsbasierte Authentifizierung--desc}}<br>'''{{#var:Zertifikatsbasierte Authentifizierung aktivieren}}''' || class="Bild" rowspan="13 | {{Bild|{{#var:Zertifikatsbasierte Authentifizierung--Bild}} |{{#var:Zertifikatsbasierte Authentifizierung--cap}} }}
|-
| {{b|{{#var:SSL-CA}} }} || {{Button|CA-ttt-Point|dr}} || {{#var:SSL-CA--desc}}
|- class="Leerzeile"
| colspan="3" | <br><li class="list--element__alert list--element__warning">{{#var:Zertifikatsbasierte Authentifizierung--Hinweis-Outlook}}</li>
|}


----




=== {{#var:Übersicht}} ===
{{#var:Übersicht--desc}}


 
{{Gallery3| {{#var:Servergruppen--Bild}} | {{#var:Servergruppen--cap}}
===Einrichtung===
| {{#var:ACL-Sets--Bild}} | {{#var:ACL-Sets--cap}}
Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen unter dem Untermenü Reverse-Proxy.
| {{#var:Sites--Bild}} | {{#var:Sites--cap}}
 
| {{#var:Einstellungen--Bild}} | {{#var:Einstellungen--cap}}<br>{{#var:Einstellungen--Hinweis}}
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPrpassiB.png|120px]] öffnet sich der Assistent.
| i=2}}
 
====Assistent====
[[Datei: UTM116_AI_ARPassiS1.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Im Step 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll.
 
Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Auswahlfeld ‘‘‘Zielserver‘‘‘ ausgewählt werden.
 
 
 
 
 
 
[[Datei: UTM116_AI_ARPassiS1nno.png|200px|thumb|right|Reverse-Proxy Assistent Step 1]]
Sollte das nicht der Fall sein, kann über den Auswahlpunkt ‘‘‘Server anlegen‘‘‘ für den Zielserver ein Netzwerkobjekt über den Assistenten angelegt werden.
 
Da der OWA des Exchange nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt und der Punkt ‘‘‘SSL benutzen:‘‘‘ aktiviert.
 
 
 
 
 
 
 
 
 
[[Datei: UTM116_AI_ARPassiS2.png|200px|thumb|right|Reverse-Proxy Assistent Step 2]]
Im Step 2 geht es darum, wie die UTM aus dem Internet angesprochen wird, damit der Reverse-Proxy auf diese Anfrage reagiert.
 
Unter ‘‘‘Externer Domainname:‘‘‘ wird die Domain (ttt-point.de) mit einer zusätzlichen Subdomain (owa) eingetragen, über die der Client auf das OWA zugreifen darf.
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains einzelne Server zu unterscheiden.
 
Im Feld ‘‘‘Modus:‘‘‘ wird hier ‘‘‘HTTPS‘‘‘ und als ‘‘‘SSL-Proxy Port:‘‘‘ 443 ausgewählt.
Im Auswahlfeld ‘‘‘SSL-Zertifikat‘‘‘ wird nun das vorher angelegte Zertifikat ausgewählt.
 
Mit dem Klick auf die Schaltfläche [[Datei:UTM116_AI_FertigB.png|40px]] wird die Eirichtung mit dem Assistenten abgeschlossen. Der Reverse Proxy ist nun für den Zugriff auf den Exchange Server für OWA eingerichtet.
 
 
===ACL Set anpassen===
Um sicher zu gehen das nur auf den OWA zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange ECP muss allerdings noch das ACL Set angepasst werden.
 
Um dieses zu erreichen müssen wir ein weiteres ACL Set hinzufügen, dass dafür sorgt, dass nur /owa aufgerufen werden kann.
 
Dazu wird unter Reverse-Proxy der Reiter ‘‘‘ACLSETS‘‘‘ aufgerufen und das angelegte ACL Set ‘‘‘acl-Exchange‘‘‘ bearbeitet.
Es öffnet sich ein Fenster mit einem Eintrag ‘‘‘Typ dstdomain; Argument owa.ttt-point.de‘‘‘
 
[[Datei: UTM116_AI_ARPaclowaneu.png|200px|thumb|right|Neues ACL für den OWA Filter]]
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_ARPaclhinzB.png|70px]] wird ein neues ACL hinzugefügt.
 
Als ‘‘‘Typ‘‘‘ wird hier ‘‘‘urlpath_regex‘‘‘ ausgewählt.
Wie der ‘‘‘Typ‘‘‘ des ACL schon sagt, werden hier Reguläre Ausdrücke erwartet. Für den OWA Filter lautet das Argument daher:
^/owa
 
^(/owa|/autodiscover|/ecp|/ews|/oab|/Microsoft-Server-ActiveSync|/exchange)
 
Mit einem Klick auf die Schaltfläche [[Datei:UTM116_AI_HinzB_(2).png|70px]] wird dieses hinzugefügt.
 
Abschließend müssen die Einstellungen noch gesichert werden.
 
===Übersicht===
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:
 
[[Datei: UTM116_AI_ARPowa1.png|600px|thumb|center|Servergruppe]]
<br>
'''Achtung: Für Microsoft Activesync muss bei "Typ" der Wert "Zugangsdaten weiterleiten (client & proxy) ausgewählt werden. Außerdem muss in diesem Fall die Auth auf "on" stehen.'''
[[Datei: UTM116_AI_ARPowa2.png|600px|thumb|center|ACL Sets]]
[[Datei: UTM116_AI_ARPowa3.png|600px|thumb|center|Sites]]
[[Datei: UTM116_AI_ARPowa4.png|600px|thumb|center|Einstellungen]]

Version vom 25. März 2021, 19:18 Uhr





























De.png
En.png
Fr.png

Zugriff auf die OWA-Schnittstelle eines Microsoft Exchange Servers


Letzte Anpassung zur Version: 11.8.13 (03.2021)

Neu:

  • Hinweis auf Konfiguration zur Authentifizierung in den IIS Einstellungen
  • Der Assistent hat jetzt drei Schritte
  • Hinweis zur zertifikatsbasierten Authentifizierung

  • Vorherige Versionen: 11.7




    Voraussetzung

    Voraussetzung für diese Anleitung ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem mit einer Portweiterleitung die Outlook im Web. Früher: Outlook Web App aufgerufen werden kann.


    Vorbereitungen

    Zertifikat

    Da Outlook im Web. Früher: Outlook Web App nur über eine SSL-verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dafür gibt es verschiedene Möglichkeiten:

    • Ein Zertifikat einer öffentliche Zertifizierungsstelle, das käuflich erworben wird
    • Ein ACME-Zertifikat (z.B.: Let's encrypt) → Wiki zur Erstellung und Verwaltung
    • Ein Zertifikat, das die UTM selbst erstellt

    Die Zertifikatsverwaltung befindet sich im Menü Authentifizierung Zertifikate .
    Es muss, wenn noch nicht vorhanden, eine CA (Certification Authority) erstellt werden und anschließend, basierend auf dieser CA, das Zertifikat für die Domain.

    • Weitere Informationen zum Erstellen und Importieren von Zertifikaten befinden sich im Wiki Artikel Zertifikate
  • Wichtig bei diesem Zertifikat ist, dass der Common Name mit der externen Domain identisch ist.
    Wird also vom Client wie in unserem Beispiel die Domain owa.ttt-point.de aufgerufen, muss der Name des Zertifikats ebenfalls owa.ttt-point.de lauten.
    Sind Subdomains vorhanden wie zum Beispiel zusätzlich web.ttt-point.de, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also *.ttt-point.de.

  • # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 16 World.svg internet Interface.svg external-interface Tcp.svg https Accept Ein



    User Webinterface Port

    UTM v12.6 Reverse-Proxy Exchange Servereinstellungen.png
    In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
    Die Einstellungen dazu befinden sich im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen im Abschnitt
    Webserver


    User Webinterface Port: 443Link=  →  4443Link=

    Speichern





    IIS Einstellungen

  • Da der Reverse Proxy keine NTLM-Authentifiezierung weiterleitet, darf in den IIS Einstellungen des Exchange Servers nur Basic/Standardauth aktiv sein, damit die Clients die OWA-Schnittstelle des Exchange Servers erreichen können.


  • Einrichtung

    Die Einstellungen für den Reverse Proxy befinden sich im Menü Anwendungen Reverse-Proxy
    Mit einem Klick auf die Schaltfläche Reverse-Proxy Assistent öffnet sich der Assistent.

    Assistent

    Beschriftung Wert Beschreibung
    Schritt 1 - Intern
    Zielserver: Exchange Server Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. UTM v12.6 Reverse-Proxy Exchange Assistent Schritt 1.png
    Zielserver existiert bereits als Netzwerkobjekt
    Port 443Link= Da das OWA des Exchange Servers nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt
    SSL benutzen: Ein SSL muss aktiviert sein.
    Zielserver: Server anlegen Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt Server anlegen im Assistenten angelegt werden. UTM v12.6 Reverse-Proxy Exchange Assistent Schritt 1b.png
    Zielserver existiert noch nicht als Netzwerkobjekt
    Servername: Exchange Server Name des Netzwerkobjektes
    IP-Adresse: 192.168.145.2 IP-Adresse des Exchange Servers
    Zone: dmz1 Zone des Netzwerkobjektes
  • Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen.
  • Port 443Link= Da das OWA des Exchange Servers nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt
    SSL benutzen: Ein SSL muss aktiviert sein.
    Weiter
    Schritt 2 - Extern
    Externer Domainname: owa.ttt-point.de Die Mail-Domain (ttt-point.de) wird mit einer zusätzlichen Subdomain (owa) eingetragen, über die ein Client auf die OWA zugreifen darf.

  • Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.
  • UTM v12.6 Reverse-Proxy Exchange Assistent Schritt 2.png
    Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
    Modus HTTPS Der Zugriff soll ausschließlich verschlüsselt über https erfolgen.
    SSL-Proxy Port: 443Link= Das OWA soll ebenfalls direkt über den üblichen Port 443 für https angesprochen werden.
    SSL-Zertifikat: owa.ttt-point.de Hier wird das Zertifikat, das im Schritt Vorbereitungen angelegt wurde, ausgewählt.
    Weiter
    Schritt 3 - Authentifizierung
    Authentifizierung weiterleiten: Zugangsdaten weiterleiten (Client & Proxy) Der Proxy reicht die Authentifizierung an den Exchange Server bzw. das OWA durch UTM v12.6 Reverse-Proxy Exchange Assistent Schritt 3.png
    Authentifizierung für den Zugriff aus dem Internet
    Authentifizierung: an Authentifizierung ist erforderlich
    Da der Reverse Proxy keine NTLM-Authentifiezierung weiterleitet, darf in den IIS Einstellungen des Exchange Servers nur Basic/Standardauth aktiv sein, damit die Clients die OWA-Schnittstelle des Exchange Servers erreichen können.
    Fertig

    ACL Set anpassen

    Um sicher zu gehen das nur auf die OWA-Schnittstelle zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange Servers (Exchange Control Panel / ECP) muss das ACL Set erweitert werden:
    Ein weiteres ACL sorgt dafür, dass nur /owa aufgerufen werden kann.
    Reiter ACL Sets acl-Exchange-Server ACL hinzufügen

    UTM v12.6 Reverse-Proxy Exchange ACL Set anpassen.png
    Neues ACL für den OWA Zugriff
    Typ urlpath_regex Schränkt den URL Pfad ein
    Argument: ^/owa Es werden Reguläre Ausdrücke (Regex) erwartet.

    Weitere Paramater im Regex-Format sind möglich. Diese sind jedoch nicht für die Outlook Web App erforderlich.

  • Die Verwendung dieser Parameter geschieht auf eigene Gefahr und wird nicht durch Securepoint empfohlen. Es können bekannte Sicherheitsprobleme z.B. bei ecp und PowerShell auftreten.
    Sind solche Dienste erforderlich sollte eine SSL-VPN Verbindung genutzt werden.
    • ^/Autodiscover
    • ^/ecp
    • ^/EWS
    • ^/Exchange
    • ^/mapi
    • ^/Microsoft-Server-ActiveSync
    • ^/OAB
    • ^/PowerShell
    • ^/Rpc
    • ^/Exchweb
    • Weitere Parameter können durch Microsoft bereit gestellt werden
    Speichern & Schließen

    Abschluss mit Speichern

    Zertifikatsbasierte Authentifizierung

    Um Unberechtigte erst gar nicht bis zum Exchange Server (und dessen Authentifizierung) durch zu lassen, kann die Zertifikatsbasierte Authentifizierung aktiviert werden.
    Der Reverse Proxy leitet Anfragen an den Exchange Server nur weiter, wenn auf dem Gerät des Benutzers ein entsprechnedes Zertifikat installiert ist.
    Zertifikatsbasierte Authentifizierung aktivieren:
    UTM v12.6 Reverse-Proxy Exchange Einstellungen mit SSL-CA.png
    aktivierte zertifikatsbasierte Authentifizierung
    SSL-CA CA-ttt-Point Auf dem Gerät des Benutzers muss dafür ein Zertifikat installiert werden, das mit der hier auszuwählenden CA signiert wurde.

  • Die zertifikatsbasierte Authentifizierung kann nicht verwendet werden, wenn der Zugriff auch mit Outlook erfolgen soll.
    Hierfür empfehlen wir den Zugriff mit einem (SSL-)VPN.


  • Übersicht

    Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:

    UTM v12.6 Reverse-Proxy Exchange Servergruppen.png
    Servergruppe
    UTM v12.6 Reverse-Proxy Exchange ACL-Sets.png
    ACL-Set
    UTM v12.6 Reverse-Proxy Exchange Sites.png
    Sites
    UTM v12.6 Reverse-Proxy Exchange Einstellungen.png
    Einstellungen
  • Als Modus sollte ausschließlich https verwendet werden.