- Aktualisierung zum Redesign des Webinterfaces
- Diese Anleitung beschreibt, wie die Nutzung der Outlook Web App über einen Browser mit dem Reverse Proxy hergestellt werden kann.
- Dieses ist keine Anleitung, um den Zugriff mit Outlook auf den Exchange Server zu ermöglichen.
Voraussetzung
Voraussetzung für diese Anleitung ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem mit einer Portweiterleitung die Outlook im Web. Früher: Outlook Web App aufgerufen werden kann.
Vorbereitungen
Zertifikat
Da Outlook im Web. Früher: Outlook Web App nur über eine SSL-verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dafür gibt es verschiedene Möglichkeiten:
- Ein Zertifikat einer öffentliche Zertifizierungsstelle, das käuflich erworben wird
- Ein ACME-Zertifikat (z.B.: Let's encrypt) → Wiki zur Erstellung und Verwaltung
- Ein Zertifikat, das die UTM selbst erstellt
Die Zertifikatsverwaltung befindet sich im Menü
Es muss, wenn noch nicht vorhanden, eine CA (Certification Authority) erstellt werden und anschließend, basierend auf dieser CA, das Zertifikat für die Domain.
- Weitere Informationen zum Erstellen und Importieren von Zertifikaten befinden sich im Wiki Artikel Zertifikate
Wird also vom Client wie in unserem Beispiel die Domain owa.ttt-point.de aufgerufen, muss der Name des Zertifikats ebenfalls owa.ttt-point.de lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich web.ttt-point.de, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also *.ttt-point.de.
Paketfilterregel
- Auf das OWA des Exchange Servers soll ausschließlich über den Proxy der UTM zugegriffen werden.
- Es darf daher für https-Verbindungen aus dem Internet nur der Zugriff auf das Netzwerkobjekt external interface, das den Proxy zu Verfügung stellt, erlaubt werden
- Es darf keine Portweiterleitungen zu diesem Exchange Server bestehen
User Webinterface Port
IIS Einstellungen
Einrichtung
Die Einstellungen für den Reverse Proxy befinden sich im Menü
Mit einem Klick auf die Schaltfläche öffnet sich der Assistent.
Assistent
Beschriftung | Wert | Beschreibung | |
---|---|---|---|
Schritt 1 - Intern | |||
Zielserver: | Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy | |
Port | 443 | Da das OWA des Exchange Servers nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt | |
SSL benutzen: | Ein | SSL muss aktiviert sein. | |
Zielserver: | Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt | im Assistenten angelegt werden.UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy | |
Servername: | Exchange Server | Name des Netzwerkobjektes | |
IP-Adresse: | IP-Adresse des Exchange Servers | ||
Zone: | Zone des Netzwerkobjektes | ||
Port | 443 | Da das OWA des Exchange Servers nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt | |
SSL benutzen: | Ein | SSL muss aktiviert sein. | |
Schritt 2 - Extern | |||
Externer Domainname: | owa.ttt-point.de | Die Mail-Domain (ttt-point.de) wird mit einer zusätzlichen Subdomain (owa) eingetragen, über die ein Client auf die OWA zugreifen darf. |
|
Modus | Der Zugriff soll ausschließlich verschlüsselt über https erfolgen. | ||
SSL-Proxy Port: | 443 | Das OWA soll ebenfalls direkt über den üblichen Port 443 für https angesprochen werden. | |
SSL-Zertifikat: | Hier wird das Zertifikat, das im Schritt Vorbereitungen angelegt wurde, ausgewählt. | ||
Schritt 3 - Authentifizierung | |||
Authentifizierung weiterleiten: | Der Proxy reicht die Authentifizierung an den Exchange Server bzw. das OWA durch | ||
Authentifizierung: | Authentifizierung ist erforderlich Da der Reverse Proxy keine NTLM-Authentifiezierung weiterleitet, darf in den IIS Einstellungen des Exchange Servers nur Basic/Standardauth aktiv sein, damit die Clients die OWA-Schnittstelle des Exchange Servers erreichen können.
| ||
ACL Set anpassenUm sicher zu gehen das nur auf die OWA-Schnittstelle zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange Servers (Exchange Control Panel / ECP) muss das ACL Set erweitert werden: |
UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy | ||
Typ | Schränkt den URL Pfad ein | ||
Argument: | ^/owa | Es werden Reguläre Ausdrücke (Regex) erwartet. Weitere Paramater im Regex-Format sind möglich. Diese sind jedoch nicht für die Outlook Web App erforderlich. Sind solche Dienste erforderlich sollte eine SSL-VPN Verbindung genutzt werden.
| |
Speichern und schließen |
ACL hinzufügen | ||
Speichern und schließen |
ACL Set speichern | ||
Zertifikatsbasierte Authentifizierung | |||
Um Unberechtigte erst gar nicht bis zum Exchange Server (und dessen Authentifizierung) durch zu lassen, kann die Zertifikatsbasierte Authentifizierung aktiviert werden. Der Reverse Proxy leitet Anfragen an den Exchange Server nur weiter, wenn auf dem Gerät des Benutzers ein entsprechnedes Zertifikat installiert ist. Zertifikatsbasierte Authentifizierung aktivieren: |
UTMbenutzer@firewall.name.fqdnAnwendungen | ||
SSL-CA | Auf dem Gerät des Benutzers muss dafür ein Zertifikat installiert werden, das mit der hier auszuwählenden CA signiert wurde. | ||
Hierfür empfehlen wir den Zugriff mit einem (SSL-)VPN. |
Übersicht
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen: