Zugriff auf die OWA-Schnittstelle eines Microsoft Exchange Servers
Letzte Anpassung zur Version: 11.8.13 (03.2021)
- Neu:
- Hinweis auf Konfiguration zur Authentifizierung in den IIS Einstellungen
- Der Assistent hat jetzt drei Schritte
- Hinweis zur zertifikatsbasierten Authentifizierung
Vorherige Versionen: 11.7
Voraussetzung
Voraussetzung für diese Anleitung ist ein voll funktionsfähiger Exchange Server mit bereits importierten Zertifikaten, bei dem mit einer Portweiterleitung die Outlook im Web. Früher: Outlook Web App aufgerufen werden kann.
Vorbereitungen
Zertifikat
Da Outlook im Web. Früher: Outlook Web App nur über eine SSL-verschlüsselte Verbindung erreichbar ist, wird ein Zertifikat benötigt. Dafür gibt es verschiedene Möglichkeiten:
- Ein Zertifikat einer öffentliche Zertifizierungsstelle, das käuflich erworben wird
- Ein ACME-Zertifikat (z.B.: Let's encrypt) → Wiki zur Erstellung und Verwaltung
- Ein Zertifikat, das die UTM selbst erstellt
Die Zertifikatsverwaltung befindet sich im Menü .
Es muss, wenn noch nicht vorhanden, eine CA (Certification Authority) erstellt werden und anschließend, basierend auf dieser CA, das Zertifikat für die Domain.
- Weitere Informationen zum Erstellen und Importieren von Zertifikaten befinden sich im Wiki Artikel Zertifikate
Wird also vom Client wie in unserem Beispiel die Domain owa.ttt-point.de aufgerufen, muss der Name des Zertifikats ebenfalls owa.ttt-point.de lauten.
Sind Subdomains vorhanden wie zum Beispiel zusätzlich web.ttt-point.de, kann auch ein sogenanntes Wildcard Zertifikat erstellt werden. In unserem Beispiel also *.ttt-point.de.
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
16 |  internet |
 external-interface |
 https |
Accept | Ein |
User Webinterface Port
In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Bereich Servereinstellungen im Abschnitt
User Webinterface Port: 443
→ 4443
IIS Einstellungen
Einrichtung
Die Einstellungen für den Reverse Proxy befinden sich im Menü
Mit einem Klick auf die Schaltfläche öffnet sich der Assistent.
Assistent
| Beschriftung | Wert | Beschreibung | |
|---|---|---|---|
Schritt 1 - Intern | |||
| Zielserver: | Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. |  | |
| Port | 443 |
Da das OWA des Exchange Servers nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt | |
| SSL benutzen: | Ein | SSL muss aktiviert sein. | |
| Zielserver: | Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt im Assistenten angelegt werden. |  | |
| Servername: | Exchange Server | Name des Netzwerkobjektes | |
| IP-Adresse: | 192.168.145.2 | IP-Adresse des Exchange Servers | |
| Zone: | Zone des Netzwerkobjektes | ||
| Port | 443 |
Da das OWA des Exchange Servers nur über eine Verschlüsselte Verbindung angesprochen werden kann, wird der Port 443 gewählt | |
| SSL benutzen: | Ein | SSL muss aktiviert sein. | |
Schritt 2 - Extern | |||
| Externer Domainname: | owa.ttt-point.de | Die Mail-Domain (ttt-point.de) wird mit einer zusätzlichen Subdomain (owa) eingetragen, über die ein Client auf die OWA zugreifen darf. |
 |
| Modus | Der Zugriff soll ausschließlich verschlüsselt über https erfolgen. | ||
| SSL-Proxy Port: | 443 |
Das OWA soll ebenfalls direkt über den üblichen Port 443 für https angesprochen werden. | |
| SSL-Zertifikat: | Hier wird das Zertifikat, das im Schritt Vorbereitungen angelegt wurde, ausgewählt. | ||
Schritt 3 - Authentifizierung | |||
| Authentifizierung weiterleiten: | Der Proxy reicht die Authentifizierung an den Exchange Server bzw. das OWA durch |  | |
| Authentifizierung: | Authentifizierung ist erforderlich Da der Reverse Proxy keine NTLM-Authentifiezierung weiterleitet, darf in den IIS Einstellungen des Exchange Servers nur Basic/Standardauth aktiv sein, damit die Clients die OWA-Schnittstelle des Exchange Servers erreichen können.
| ||
ACL Set anpassenUm sicher zu gehen das nur auf die OWA-Schnittstelle zugriffen werden kann und nicht auf die Administrations-Weboberfläche des Exchange Servers (Exchange Control Panel / ECP) muss das ACL Set erweitert werden: |
 | ||
| Typ | Schränkt den URL Pfad ein | ||
| Argument: | ^/owa | Es werden Reguläre Ausdrücke (Regex) erwartet. Weitere Paramater im Regex-Format sind möglich. Diese sind jedoch nicht für die Outlook Web App erforderlich. Sind solche Dienste erforderlich sollte eine SSL-VPN Verbindung genutzt werden.
| |
| & Abschluss mit | |||
Zertifikatsbasierte Authentifizierung | |||
| Um Unberechtigte erst gar nicht bis zum Exchange Server (und dessen Authentifizierung) durch zu lassen, kann die Zertifikatsbasierte Authentifizierung aktiviert werden. Der Reverse Proxy leitet Anfragen an den Exchange Server nur weiter, wenn auf dem Gerät des Benutzers ein entsprechnedes Zertifikat installiert ist. Zertifikatsbasierte Authentifizierung aktivieren: |
 | ||
| SSL-CA | Auf dem Gerät des Benutzers muss dafür ein Zertifikat installiert werden, das mit der hier auszuwählenden CA signiert wurde. | ||
Hierfür empfehlen wir den Zugriff mit einem (SSL-)VPN. | |||
Übersicht
Die Einstellungen für dieses Szenario müssen dann folgendermaßen aussehen:
