schiesslt 10 Geschrieben 2. März 2011 Melden Teilen Geschrieben 2. März 2011 Hallo erstmal an alle, dies ist mein erster Beitrag hier im Forum :) Meine Frage ist ein wenig heikel (aus meiner Sicht). Ich möchte mich aber nicht über Sinn und Unsinn dieser Konfiguration streiten ;) ich habe zwei Netze - einmal Intern und einmal DMZ. Im Internen Netz: - Clients mit Outlook 2010 - Server 2008 R2 mit DC, DNS und DHCP in der DMZ: - Server 2008 R2 als TerminalServer - SBS 2011 mit DC, DNS und Exchange 2010 Dazwischen eine Firewall, die so restrikt wie nur möglich ist. Outlook verbindet sich mittels RPC over HTTPS (Outlook Anywhere) vom internen Netz in die DMZ. Mein Problem ist jetzt, dass ich an der Firwall zwingend den Port 80 freischlaten muss (einmal für die Einrichtung des Exchangekontos und einmal für den Abwesenheitsassistenten) Die Domains im LAN und in der DMZ sind autark und haben keinen Trust zueinander. Meine Frage ist nun, ob es eine Möglichkeit gibt, dass ich Outlook sage, es soll ausschliesslich über Port 443 kommunizieren bzw generell nur verschlüsselt. Wenn ich das Exchangekonto einmal eingerichtet habe und ich Port 80 deaktiviere an der Firewall, funktioniert ALLES, ausser dem Abwesenheitsassistenten. Für Ideen und Vorschläge bezüglich der Änderung des Ports bin ich sehr dankbar. Wie gesagt, bitte hier nicht über Sinn oder Unsinn dieser Konfiguration diskutieren, sowas kommt dabei raus, wenn der Vertrieb mit dem Kunden etwas beschliesst, ohne einen Techniker zu fragen (und als neuer Mitarbeiter wird man dann da reingeworfen ;) aba nur soviel am Rande) ************************************* Und hier noch für unsere englischen Leser, damit es in Google auch gut gefunden wird ;) : How To change the Out of Office / Autoreply Port My question is a bit tricky (in my opinion). I would not want to discuss about the meaning and nonsense of this configuration ;) I have two networks - one internal and one DMZ. In the internal network: - Clients with Outlook 2010 - Server 2008 R2 with DC, DNS and DHCP in the DMZ: - Server 2008 R2 as a Terminal Server - SBS 2011 DC, DNS and Exchange 2010 In between of the LAN and DMZ a firewall that is so restrikt as possible. Outlook connects using RPC over HTTPS (Outlook Anywhere) from the internal network to the DMZ. My problem now is that I must allow port 80 from LAN to DMZ (once for setting up the Exchange account and for the out of office assistant) The domains in the LAN and DMZ are self-sufficient and do not trust each other. My question now is whether there is a possibility that I say Outlook, it should only communicate over port 443 or only encrypted. If I set up the Exchange account and once I disable port 80 on the firewall, everything works except the office assistant. For ideas and suggestions for the modification of the port I am very grateful. As I said, please not discuss the meaning or nonsense of this configuration, something comes out when the sales with the customer something decides, without consulting an engineer ;) Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 2. März 2011 Melden Teilen Geschrieben 2. März 2011 Meine Frage ist ein wenig heikel (aus meiner Sicht).Ich möchte mich aber nicht über Sinn und Unsinn dieser Konfiguration streiten ;) Warum nicht? Das Hinterfragen von Konstrukten führt vielleicht zu Lösungen, die "nicht heikel" sind. ich habe zwei Netze - einmal Intern und einmal DMZ.Im Internen Netz: - Clients mit Outlook 2010 - Server 2008 R2 mit DC, DNS und DHCP in der DMZ: - Server 2008 R2 als TerminalServer - SBS 2011 mit DC, DNS und Exchange 2010 DMZ wie auf einer Seite ist internet und auf der anderen ist LAN? Falls ja, warum steht der DC und Exchange in einer DMZ? Dazwischen eine Firewall, die so restrikt wie nur möglich ist.Outlook verbindet sich mittels RPC over HTTPS (Outlook Anywhere) vom internen Netz in die DMZ. OK. Mein Problem ist jetzt, dass ich an der Firwall zwingend den Port 80 freischlaten muss (einmal für die Einrichtung des Exchangekontos und einmal für den Abwesenheitsassistenten) Hmm und? Warum stellst du nicht einfach auf Port 443 um? Die Domains im LAN und in der DMZ sind autark und haben keinen Trust zueinander. Hmm hat aber nichts mit dem Problem zu tun, aber ok. Meine Frage ist nun, ob es eine Möglichkeit gibt, dass ich Outlook sage, es soll ausschliesslich über Port 443 kommunizieren bzw generell nur verschlüsselt. Eigentlich ist das der Standard. Wie kommst du auf Port 80? Wenn ich das Exchangekonto einmal eingerichtet habe und ich Port 80 deaktiviere an der Firewall, funktioniert ALLES, ausser dem Abwesenheitsassistenten. Wo deaktiviert man in Outlook denn Port 80? Was bedeutet denn "funktioniert alles, ausser..."? Gibts vielleicht Fehlermeldungen wie bspw. "Der Server steht nicht zur Verfügung"? Für Ideen und Vorschläge bezüglich der Änderung des Ports bin ich sehr dankbar. Richte Autodiscover korrekt ein, dann funktioniert das auch. Über den Sinn und Unsinn deiner Lösung willst du ja nicht diskutieren. :p Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 2. März 2011 Autor Melden Teilen Geschrieben 2. März 2011 Warum nicht? Das Hinterfragen von Konstrukten führt vielleicht zu Lösungen, die "nicht heikel" sind. Änderung an der gesamten Konstruktion ist leider nicht so einfach möglich :( DMZ wie auf einer Seite ist internet und auf der anderen ist LAN? Falls ja, warum steht der DC und Exchange in einer DMZ? Ja eine Seite Internet, eine LAN. Da steht quasi der "DMZ-DC" ... im LAN gibt es nochmal einen. Warum das so verkauft wurde, versteh ich ja auch nicht. Hmm und? Warum stellst du nicht einfach auf Port 443 um? Wenn du mir sagst wo, dann mach ich das gerne ;) Hmm hat aber nichts mit dem Problem zu tun, aber ok. Ich weiss, aber lieber zu viel Info, als zu wenig, nicht wahr ;) Eigentlich ist das der Standard. Wie kommst du auf Port 80? Weil, sobald ich Port 80 auf der Firewall öffne, geht das Einrichten eines neuen Kontos im Outlook und der Abwesenheitsassistent => Port 80 deny => die zwei Dinge gehen nicht => Kommunikation über Port 80 (oder nicht ;) ) Wo deaktiviert man in Outlook denn Port 80? Was bedeutet denn "funktioniert alles, ausser..."? Gibts vielleicht Fehlermeldungen wie bspw. "Der Server steht nicht zur Verfügung"? Naja alles heisst Mail senden/empfangen, Kalender Free/Busy ... alles hold, ausser der Abwesenheitsassistent. Ja Fehlermeldung kommt... Weiss leider jetzt nicht den genauen Wortlaut, aber Inhalt ist, wie du richtig vermutest "Der Server steht nicht zur Verfügung" (sorry für das Fehlen dieser Info ;) ) Richte Autodiscover korrekt ein, dann funktioniert das auch. Über den Sinn und Unsinn deiner Lösung willst du ja nicht diskutieren. :p Bin mir ziemlich sicher, Autodiscover ist richtig eingerichtet, kann aber gern die Config posten. Ach ja noch eine Info: Das LAN darf nicht ins Internet. Wenn die User surfen wollen, dann über TerminalServer. Umgehung des Problems wäre, das Outlook auf dem TerminalServer zu installieren. Was aber eben nur das Problem umgeht und nicht behebt. Aber mich würde ja die Behebung des Problems interessieren. Aber danke schonmal für Lesen meines Threads :) Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 2. März 2011 Melden Teilen Geschrieben 2. März 2011 Änderung an der gesamten Konstruktion ist leider nicht so einfach möglich :( Wäre aber ganz klar die vernünftigere Lösung. Das was du da beschreibst ist meiner Meinung ziemlicher Murks. (Ja, ich kenne nur die Fakten, die du beschrieben hast, aber ich behaupte das trotzdem) Weil, sobald ich Port 80 auf der Firewall öffne, geht das Einrichten eines neuen Kontos im Outlook und der Abwesenheitsassistent => Port 80 deny => die zwei Dinge gehen nicht => Kommunikation über Port 80 (oder nicht ;) ) Also Autodiscover funktioniert definitiv auch nur über ssl /443. Warum das bei dir nicht so ist, kann ich nicht sagen, dazu müßte man die genauen Anfragen die über Port 80 geschickt werden anschauen. Was sagt denn das Outlook AUtodiscover Test XML? Da wird doch normalerweise auch zuerst Port 443 ausgegeben. Naja alles heisst Mail senden/empfangen, Kalender Free/Busy ... alles hold, ausser der Abwesenheitsassistent. Ja, weil dein Autodiscover und die Webservices falsch konfiguriert sind. Was genau da falsch liegt, kann man von hier nicht sagen. Bin mir ziemlich sicher, Autodiscover ist richtig eingerichtet, kann aber gern die Config posten. Mach mal. Ach ja noch eine Info:Das LAN darf nicht ins Internet. Wenn die User surfen wollen, dann über TerminalServer. Dazu muß man doch aber nicht nen DC und einen Exchange in die DMZ verfrachten. Da hat sowas einfach überhaupt nichts zu suchen. Umgehung des Problems wäre, das Outlook auf dem TerminalServer zu installieren. Was aber eben nur das Problem umgeht und nicht behebt.Aber mich würde ja die Behebung des Problems interessieren. Umgehung des Problems: Exchange und DC ins LAN, Terminalserver in die DMZ. Fertig. Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 2. März 2011 Autor Melden Teilen Geschrieben 2. März 2011 1. Ich poste morgen mal die Configs. 2. Ich weiß, dass es ziemlich Murks ist, hätte das eh nicht empfohlen ;) 3. Naja der angebliche Grund, dass ein DC in der DMZ steht, ist dass da ein Exchange steht (Exchange braucht ja einen DC). und der Grund dass der Exchange dort steht ist, dass im LAN so wenig Ports wie möglich offen sein sollen (also in dem Fall nur 443 und RDP) 4. Autodiscover Test XML sieht gut aus (jetzt aus dem Gedächnis, poste ich morgen)... glaub nur beim OAB steht http://... dort, obwohl ich es auf https gestellt hab, muss ich aber morgen nochmal prüfen. schönen Abend und Danke. Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 2. März 2011 Melden Teilen Geschrieben 2. März 2011 1. Ich poste morgen mal die Configs.2. Ich weiß, dass es ziemlich Murks ist, hätte das eh nicht empfohlen ;) Und dem Kunden kann man diesen Murks jetzt nicht "wegreden"? Stattdessen murkst man weiter? 3. Naja der angebliche Grund, dass ein DC in der DMZ steht, ist dass da ein Exchange steht (Exchange braucht ja einen DC). Deswegen stellt man auch keinen Exchange in eine DMZ (Edge Role mal ausgenommen). und der Grund dass der Exchange dort steht ist, dass im LAN so wenig Ports wie möglich offen sein sollen (also in dem Fall nur 443 und RDP) Wenn der Exchange im LAN stünde bräuchtest du gar keine Portts im LAN zur DMZ öffnen. Und nu? 4. Autodiscover Test XML sieht gut aus (jetzt aus dem Gedächnis, poste ich morgen)... glaub nur beim OAB steht http://... dort, obwohl ich es auf https gestellt hab, muss ich aber morgen nochmal prüfen. Tu das, denn mit den Infos kann man nicht helfen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 3. März 2011 Autor Melden Teilen Geschrieben 3. März 2011 okay, vllt noch ein wenig zur Klarstellung. Im Grunde ist die DMZ eher ein LAN2 bzw ein vLAN. DMZ wäre ja eher, dass von extern Zugriffe auf Webservices oder ähnliches erlaubt ist, was es in diesem Fall nicht ist, aber das tut ja nichts zur Sache. Hier mal die Configs: [PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory |fl RunspaceId : e866563d-9453-419e-82e6-7d93e582fac3 Name : Autodiscover (Default Web Site) InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity} ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity} LiveIdSpNegoAuthentication : False WSSecurityAuthentication : True LiveIdBasicAuthentication : False BasicAuthentication : True DigestAuthentication : False WindowsAuthentication : True MetabasePath : IIS://server1.domain.local/W3SVC/1/ROOT/Autodiscover Path : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\Autodiscover ExtendedProtectionTokenChecking : None ExtendedProtectionFlags : {} ExtendedProtectionSPNList : {} Server : SERVER1 InternalUrl : https://server1.domain.local/autodiscover/autodiscover.xml ExternalUrl : https://autodiscover.ext-domain.li/autodiscover/autodiscover.xml AdminDisplayName : ExchangeVersion : 0.10 (14.0.100.0) DistinguishedName : CN=Autodiscover (Default Web Site),CN=HTTP,CN=Protocols,CN=SERVER1,CN=Servers,CN=Ex change Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organ ization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=local Identity : SERVER1\Autodiscover (Default Web Site) Guid : bf1b53e8-2706-4520-aaf9-afe409cb87dd ObjectCategory : domain.local/Configuration/Schema/ms-Exch-Auto-Discover-Virtual-Directory ObjectClass : {top, msExchVirtualDirectory, msExchAutoDiscoverVirtualDirectory} WhenChanged : 02.03.2011 12:58:48 WhenCreated : 01.03.2011 15:31:18 WhenChangedUTC : 02.03.2011 11:58:48 WhenCreatedUTC : 01.03.2011 14:31:18 OrganizationId : OriginatingServer : server1.domain.local IsValid : True Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 3. März 2011 Autor Melden Teilen Geschrieben 3. März 2011 Config2: [PS] C:\Windows\system32>Get-WebServicesVirtualDirectory |fl Neue Sitzung für implizite Remotevorgänge des Befehls "Get-WebServicesVirtualDirectory" wird erstellt... RunspaceId : 33d1711d-0ee7-4724-a2ca-f186503c9250 CertificateAuthentication : InternalNLBBypassUrl : https://server1.domain.local/ews/exchange.asmx GzipLevel : High Name : EWS (Default Web Site) InternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity} ExternalAuthenticationMethods : {Basic, Ntlm, WindowsIntegrated, WSSecurity} LiveIdSpNegoAuthentication : False WSSecurityAuthentication : True LiveIdBasicAuthentication : False BasicAuthentication : True DigestAuthentication : False WindowsAuthentication : True MetabasePath : IIS://server1.domain.local/W3SVC/1/ROOT/EWS Path : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\exchweb\EWS ExtendedProtectionTokenChecking : None ExtendedProtectionFlags : {} ExtendedProtectionSPNList : {} Server : SERVER1 InternalUrl : https://server1.domain.local/EWS/Exchange.asmx ExternalUrl : https://mail.ext-domain.li/ews/exchange.asmx AdminDisplayName : ExchangeVersion : 0.10 (14.0.100.0) DistinguishedName : CN=EWS (Default Web Site),CN=HTTP,CN=Protocols,CN=SERVER1,CN=Servers,CN=Exchange Ad ministrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,C N=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=local Identity : SERVER1\EWS (Default Web Site) Guid : 32d44845-7e7a-4610-861d-3dc9c3d60ddb ObjectCategory : domain.local/Configuration/Schema/ms-Exch-Web-Services-Virtual-Directory ObjectClass : {top, msExchVirtualDirectory, msExchWebServicesVirtualDirectory} WhenChanged : 01.03.2011 15:31:52 WhenCreated : 01.03.2011 15:31:49 WhenChangedUTC : 01.03.2011 14:31:52 WhenCreatedUTC : 01.03.2011 14:31:49 OrganizationId : OriginatingServer : server1.domain.local IsValid : True Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 3. März 2011 Autor Melden Teilen Geschrieben 3. März 2011 Und hier der XML-Test: <?xml version="1.0" encoding="utf-8"?> <Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006"> <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"> <User> <DisplayName>User</DisplayName> <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=User</LegacyDN> <AutoDiscoverSMTPAddress>User@ext-domain.li</AutoDiscoverSMTPAddress> <DeploymentId>4a775154-cacd-457e-ac94-1baa5e4b9a30</DeploymentId> </User> <Account> <AccountType>email</AccountType> <Action>settings</Action> <Protocol> <Type>EXCH</Type> <Server>server1.domain.local</Server> <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SERVER1</ServerDN> <ServerVersion>738180DA</ServerVersion> <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SERVER1/cn=Microsoft Private MDB</MdbDN> <PublicFolderServer>server1.domain.local</PublicFolderServer> <AD>server1.domain.local</AD> <ASUrl>https://server1.domain.local/EWS/Exchange.asmx</ASUrl> <EwsUrl>https://server1.domain.local/EWS/Exchange.asmx</EwsUrl> <EcpUrl>https://server1.domain.local/ecp/</EcpUrl> <EcpUrl-um>?p=customize/voicemail.aspx&exsvurl=1</EcpUrl-um> <EcpUrl-aggr>?p=personalsettings/EmailSubscriptions.slab&exsvurl=1</EcpUrl-aggr> <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx></EcpUrl-mt> <EcpUrl-ret>?p=organize/retentionpolicytags.slab&exsvurl=1</EcpUrl-ret> <EcpUrl-sms>?p=sms/textmessaging.slab&exsvurl=1</EcpUrl-sms> <OOFUrl>https://server1.domain.local/EWS/Exchange.asmx</OOFUrl> <UMUrl>https://server1.domain.local/EWS/UM2007Legacy.asmx</UMUrl> <OABUrl>https://server1.domain.local/OAB/ec04fe2e-77a3-42ed-8658-fffe18ee617e/</OABUrl> </Protocol> <Protocol> <Type>EXPR</Type> <Server>mail.ext-domain.li</Server> <SSL>On</SSL> <AuthPackage>Basic</AuthPackage> <ASUrl>https://mail.ext-domain.li/ews/exchange.asmx</ASUrl> <EwsUrl>https://mail.ext-domain.li/ews/exchange.asmx</EwsUrl> <EcpUrl>https://mail.ext-domain.li/ecp/</EcpUrl> <EcpUrl-um>?p=customize/voicemail.aspx&exsvurl=1</EcpUrl-um> <EcpUrl-aggr>?p=personalsettings/EmailSubscriptions.slab&exsvurl=1</EcpUrl-aggr> <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx></EcpUrl-mt> <EcpUrl-ret>?p=organize/retentionpolicytags.slab&exsvurl=1</EcpUrl-ret> <EcpUrl-sms>?p=sms/textmessaging.slab&exsvurl=1</EcpUrl-sms> <OOFUrl>https://mail.ext-domain.li/ews/exchange.asmx</OOFUrl> <UMUrl>https://mail.ext-domain.li/ews/UM2007Legacy.asmx</UMUrl> <OABUrl>https://mail.ext-domain.li/OAB/ec04fe2e-77a3-42ed-8658-fffe18ee617e/</OABUrl> </Protocol> <Protocol> <Type>WEB</Type> <Internal> <OWAUrl AuthenticationMethod="Basic, Fba">https://server1.domain.local/owa/</OWAUrl> <Protocol> <Type>EXCH</Type> <ASUrl>https://server1.domain.local/EWS/Exchange.asmx</ASUrl> </Protocol> </Internal> <External> <OWAUrl AuthenticationMethod="Fba">https://mail.ext-domain.li/owa/</OWAUrl> <Protocol> <Type>EXPR</Type> <ASUrl>https://mail.ext-domain.li/ews/exchange.asmx</ASUrl> </Protocol> </External> </Protocol> </Account> </Response> </Autodiscover> noch andere Configs gewünscht? Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 3. März 2011 Melden Teilen Geschrieben 3. März 2011 okay, vllt noch ein wenig zur Klarstellung.Im Grunde ist die DMZ eher ein LAN2 bzw ein vLAN. DMZ wäre ja eher, dass von extern Zugriffe auf Webservices oder ähnliches erlaubt ist, was es in diesem Fall nicht ist, aber das tut ja nichts zur Sache. Also oben schreibst du aber was anderes. ;) https://mail.ext-domain.li/ews/exchange.asmx ist für ein Outlook im LAN erreichbar? Falls nein, stell das doch mal sicher, geht der OOF dann? Bye Norbert Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 3. März 2011 Autor Melden Teilen Geschrieben 3. März 2011 ja ich weiss, das ich es oben anders geschrieben hab, ist mir gestern Abend so klar geworden, dass die Ausdrucksweise nicht ganz klar war, deswegen wollte ich es ja noch klarstellen :) (dass du mich nicht so ganz zur Sau machst ;) ) ja ist vom LAN aus erreichbar, funktioniert aber auch nicht. Hmm eigentlich hab ich den Test-XML auch gepostet, muss aber anscheinend, wegen "spam", erst freigeschaltet werden :rolleyes: Zitieren Link zu diesem Kommentar
schiesslt 10 Geschrieben 8. März 2011 Autor Melden Teilen Geschrieben 8. März 2011 Ich würde mein Thema gerne nochmal pushen. Habe hier leider noch keine Lösung gefunden. Config sieht (meiner Meinung nach) gut aus. Aber sobald ich den Port 80 auf der firewall schliesse, geht das out of office nicht mehr :( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.