RPC over HTTPS mit ISA 2004 und Exchange 2007

[Zobus 10]

Hallo zusammen,

 

ich plage mich zurzeit mit einem Problem mit Outlook Anywhere und Exchange 2007 herum.

 

Nach meinem Verständnis kann man Outlook so konfigurieren, dass der Benutzer keinerlei Unterschied in der Bedienung von Outlook feststellen kann, ob er sich mit seinem Notebook im Firmennetzwerk oder im Internet befindet.

Er öffnet einfach Outlook und legt mit seiner Arbeit los.

 

Wir setzten wie bereits kurz erwähnt Exchange 2007 ein und haben einen ISA 2004 Server in der DMZ stehen.

Die Authentifizierung des Users soll über den ISA Server laufen.

Das ist soweit auch umsetzbar. Outlook Web Access (OWA) haben wir bereits erfolgreich eingeführt.

Da RPC over HTTPS (Outlook Anywhere) auf die gleichen Protokolle und auf dem gleichen Weg über den ISA Server geht, haben wir mit der OWA Veröffentlichung schon eine gute Grundlage erstellt.

Prinzipiell kann die OWA-Firewallrichtline mit einer kleinen Anpassung genutzt werden.

Das Verbinden von Extern mit Outlook 2007 funktioniert auch, allerdings erhält der User beim Öffnen von Outlook eine Passwortabfrage. Nach der Eingabe des Passwortes kann der User auch ohne Probleme mit Outlook arbeiten.

Wenn ich mich nicht irre, sollte bei einer richtigen Konfiguration diese Passwortabfrage nicht erscheinen.

Ich habe mich daran gemacht und habe eine separate Richtlinie für Outlook Anywhere auf dem ISA Server eingerichtet.

Nach einer mir vorliegenden Dokumentation soll der Listener für Outlook Anywhere mit der Standardauthentifizierung eingerichtet sein. Ich nehme an, dass das Problem mit dem Anmeldefenster daher rührt, dass unser bisheriger Listener auf die Authentifikation „OWA Forms-based“ eingestellt ist. Daraufhin habe ich einen weiteren Listener erstellt, diesmal mit der Standard Authentifizierung.

Jetzt beschwert sich allerdings der ISA Server, dass der neu erstellte Listener auf den gleichen Port bzw. IP-Adresse wie der OWA Listener „horcht“.

Bedeutet dass, dass ich für die Nutzung von Outlook Anywhere eine zusätzliche Netzwerkkarte einbauen muss und die Anfragen aus dem Web über eine andere öffentliche IP-Adresse an die „neue“ Netzwerkkarte routen muss?

Oder gibt es da noch eine einfachere Lösung? :confused:

[Christoph35 10]

Eine Möglichkeit wäre upgraden auf ISA 2006 ;)

 

Du kannst aber evtl. auch eine 2. IP auf die gleiche Netzwerk-Karte konfigurieren und einen 2. Listener für diese IP erstellen. Den vorhandenen OWA-Listener musst Du dann so konfigurieren, dass er nur an der derzeit vorhandenen IP Adresse lauscht. Dann musst Du natürlich eure Firewall entsprechend konfigurieren.

 

ISA 2004 kann nur mit von MS nicht supporteten Tricks dazu gebracht werden, sowohl OWA FBA als auch RPC/HTTPS (mit Basic Auth.) über den gleichen Listener mit einer IP Adresse abzufackeln.

 

Bei ISA 2006 geht das ohne Probleme.

 

Christoph

[Zobus 10]

Eine Möglichkeit wäre upgraden auf ISA 2006 ;)

 

Du kannst aber evtl. auch eine 2. IP auf die gleiche Netzwerk-Karte konfigurieren und einen 2. Listener für diese IP erstellen. Den vorhandenen OWA-Listener musst Du dann so konfigurieren, dass er nur an der derzeit vorhandenen IP Adresse lauscht. Dann musst Du natürlich eure Firewall entsprechend konfigurieren.

 

ISA 2004 kann nur mit von MS nicht supporteten Tricks dazu gebracht werden, sowohl OWA FBA als auch RPC/HTTPS (mit Basic Auth.) über den gleichen Listener mit einer IP Adresse abzufackeln.

 

Bei ISA 2006 geht das ohne Probleme.

 

Christoph

 

Hallo Christoph,

 

danke für dire Info. Ich werde es einmal mit der 2. IP Adresse versuchen.

[Zobus 10]

Hallo Christoph,

 

danke für dire Info. Ich werde es einmal mit der 2. IP Adresse versuchen.

 

Hallo,

 

mit der zweiten IP und einen zusätlichen öffentlichen Namen funktioniert der Zugriff auf Exchange mit RPC over HTTPS.

 

Danke für die Hilfe.

 

Gruß

 

Zobus