Jump to content

Out of Office Port ändern / Outlook secure communication


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo erstmal an alle,

 

dies ist mein erster Beitrag hier im Forum :)

 

Meine Frage ist ein wenig heikel (aus meiner Sicht).

Ich möchte mich aber nicht über Sinn und Unsinn dieser Konfiguration streiten ;)

 

ich habe zwei Netze - einmal Intern und einmal DMZ.

Im Internen Netz:

- Clients mit Outlook 2010

- Server 2008 R2 mit DC, DNS und DHCP

 

in der DMZ:

- Server 2008 R2 als TerminalServer

- SBS 2011 mit DC, DNS und Exchange 2010

 

Dazwischen eine Firewall, die so restrikt wie nur möglich ist.

Outlook verbindet sich mittels RPC over HTTPS (Outlook Anywhere) vom internen Netz in die DMZ.

 

Mein Problem ist jetzt, dass ich an der Firwall zwingend den Port 80 freischlaten muss (einmal für die Einrichtung des Exchangekontos und einmal für den Abwesenheitsassistenten)

 

Die Domains im LAN und in der DMZ sind autark und haben keinen Trust zueinander.

 

Meine Frage ist nun, ob es eine Möglichkeit gibt, dass ich Outlook sage, es soll ausschliesslich über Port 443 kommunizieren bzw generell nur verschlüsselt.

 

Wenn ich das Exchangekonto einmal eingerichtet habe und ich Port 80 deaktiviere an der Firewall, funktioniert ALLES, ausser dem Abwesenheitsassistenten.

 

Für Ideen und Vorschläge bezüglich der Änderung des Ports bin ich sehr dankbar.

 

Wie gesagt, bitte hier nicht über Sinn oder Unsinn dieser Konfiguration diskutieren, sowas kommt dabei raus, wenn der Vertrieb mit dem Kunden etwas beschliesst, ohne einen Techniker zu fragen (und als neuer Mitarbeiter wird man dann da reingeworfen ;) aba nur soviel am Rande)

 

*************************************

 

Und hier noch für unsere englischen Leser, damit es in Google auch gut gefunden wird ;) :

 

How To change the Out of Office / Autoreply Port

 

My question is a bit tricky (in my opinion).

I would not want to discuss about the meaning and nonsense of this configuration ;)

 

I have two networks - one internal and one DMZ.

In the internal network:

- Clients with Outlook 2010

- Server 2008 R2 with DC, DNS and DHCP

 

in the DMZ:

- Server 2008 R2 as a Terminal Server

- SBS 2011 DC, DNS and Exchange 2010

 

In between of the LAN and DMZ a firewall that is so restrikt as possible.

Outlook connects using RPC over HTTPS (Outlook Anywhere) from the internal network to the DMZ.

 

My problem now is that I must allow port 80 from LAN to DMZ (once for setting up the Exchange account and for the out of office assistant)

 

The domains in the LAN and DMZ are self-sufficient and do not trust each other.

 

My question now is whether there is a possibility that I say Outlook, it should only communicate over port 443 or only encrypted.

 

If I set up the Exchange account and once I disable port 80 on the firewall, everything works except the office assistant.

 

For ideas and suggestions for the modification of the port I am very grateful.

 

As I said, please not discuss the meaning or nonsense of this configuration, something comes out when the sales with the customer something decides, without consulting an engineer ;)

Link zu diesem Kommentar
Meine Frage ist ein wenig heikel (aus meiner Sicht).

Ich möchte mich aber nicht über Sinn und Unsinn dieser Konfiguration streiten ;)

 

Warum nicht? Das Hinterfragen von Konstrukten führt vielleicht zu Lösungen, die "nicht heikel" sind.

 

ich habe zwei Netze - einmal Intern und einmal DMZ.

Im Internen Netz:

- Clients mit Outlook 2010

- Server 2008 R2 mit DC, DNS und DHCP

 

in der DMZ:

- Server 2008 R2 als TerminalServer

- SBS 2011 mit DC, DNS und Exchange 2010

 

DMZ wie auf einer Seite ist internet und auf der anderen ist LAN? Falls ja, warum steht der DC und Exchange in einer DMZ?

 

Dazwischen eine Firewall, die so restrikt wie nur möglich ist.

Outlook verbindet sich mittels RPC over HTTPS (Outlook Anywhere) vom internen Netz in die DMZ.

 

OK.

 

Mein Problem ist jetzt, dass ich an der Firwall zwingend den Port 80 freischlaten muss (einmal für die Einrichtung des Exchangekontos und einmal für den Abwesenheitsassistenten)

 

Hmm und? Warum stellst du nicht einfach auf Port 443 um?

 

Die Domains im LAN und in der DMZ sind autark und haben keinen Trust zueinander.

 

Hmm hat aber nichts mit dem Problem zu tun, aber ok.

 

Meine Frage ist nun, ob es eine Möglichkeit gibt, dass ich Outlook sage, es soll ausschliesslich über Port 443 kommunizieren bzw generell nur verschlüsselt.

 

Eigentlich ist das der Standard. Wie kommst du auf Port 80?

 

 

Wenn ich das Exchangekonto einmal eingerichtet habe und ich Port 80 deaktiviere an der Firewall, funktioniert ALLES, ausser dem Abwesenheitsassistenten.

 

Wo deaktiviert man in Outlook denn Port 80? Was bedeutet denn "funktioniert alles, ausser..."? Gibts vielleicht Fehlermeldungen wie bspw. "Der Server steht nicht zur Verfügung"?

 

Für Ideen und Vorschläge bezüglich der Änderung des Ports bin ich sehr dankbar.

 

Richte Autodiscover korrekt ein, dann funktioniert das auch. Über den Sinn und Unsinn deiner Lösung willst du ja nicht diskutieren. :p

 

Bye

Norbert

Link zu diesem Kommentar
Warum nicht? Das Hinterfragen von Konstrukten führt vielleicht zu Lösungen, die "nicht heikel" sind.

Änderung an der gesamten Konstruktion ist leider nicht so einfach möglich :(

 

DMZ wie auf einer Seite ist internet und auf der anderen ist LAN? Falls ja, warum steht der DC und Exchange in einer DMZ?

Ja eine Seite Internet, eine LAN.

Da steht quasi der "DMZ-DC" ... im LAN gibt es nochmal einen.

Warum das so verkauft wurde, versteh ich ja auch nicht.

 

 

Hmm und? Warum stellst du nicht einfach auf Port 443 um?

Wenn du mir sagst wo, dann mach ich das gerne ;)

 

 

Hmm hat aber nichts mit dem Problem zu tun, aber ok.

Ich weiss, aber lieber zu viel Info, als zu wenig, nicht wahr ;)

 

 

Eigentlich ist das der Standard. Wie kommst du auf Port 80?

Weil, sobald ich Port 80 auf der Firewall öffne, geht das Einrichten eines neuen Kontos im Outlook und der Abwesenheitsassistent => Port 80 deny => die zwei Dinge gehen nicht => Kommunikation über Port 80 (oder nicht ;) )

 

 

Wo deaktiviert man in Outlook denn Port 80? Was bedeutet denn "funktioniert alles, ausser..."? Gibts vielleicht Fehlermeldungen wie bspw. "Der Server steht nicht zur Verfügung"?

Naja alles heisst Mail senden/empfangen, Kalender Free/Busy ... alles hold, ausser der Abwesenheitsassistent.

Ja Fehlermeldung kommt... Weiss leider jetzt nicht den genauen Wortlaut, aber Inhalt ist, wie du richtig vermutest "Der Server steht nicht zur Verfügung" (sorry für das Fehlen dieser Info ;) )

 

 

Richte Autodiscover korrekt ein, dann funktioniert das auch. Über den Sinn und Unsinn deiner Lösung willst du ja nicht diskutieren. :p

Bin mir ziemlich sicher, Autodiscover ist richtig eingerichtet, kann aber gern die Config posten.

 

 

Ach ja noch eine Info:

Das LAN darf nicht ins Internet. Wenn die User surfen wollen, dann über TerminalServer.

 

Umgehung des Problems wäre, das Outlook auf dem TerminalServer zu installieren. Was aber eben nur das Problem umgeht und nicht behebt.

Aber mich würde ja die Behebung des Problems interessieren.

 

 

Aber danke schonmal für Lesen meines Threads :)

Link zu diesem Kommentar
Änderung an der gesamten Konstruktion ist leider nicht so einfach möglich :(

 

Wäre aber ganz klar die vernünftigere Lösung. Das was du da beschreibst ist meiner Meinung ziemlicher Murks. (Ja, ich kenne nur die Fakten, die du beschrieben hast, aber ich behaupte das trotzdem)

 

 

Weil, sobald ich Port 80 auf der Firewall öffne, geht das Einrichten eines neuen Kontos im Outlook und der Abwesenheitsassistent => Port 80 deny => die zwei Dinge gehen nicht => Kommunikation über Port 80 (oder nicht ;) )

 

Also Autodiscover funktioniert definitiv auch nur über ssl /443. Warum das bei dir nicht so ist, kann ich nicht sagen, dazu müßte man die genauen Anfragen die über Port 80 geschickt werden anschauen. Was sagt denn das Outlook AUtodiscover Test XML? Da wird doch normalerweise auch zuerst Port 443 ausgegeben.

 

Naja alles heisst Mail senden/empfangen, Kalender Free/Busy ... alles hold, ausser der Abwesenheitsassistent.

 

Ja, weil dein Autodiscover und die Webservices falsch konfiguriert sind. Was genau da falsch liegt, kann man von hier nicht sagen.

 

 

Bin mir ziemlich sicher, Autodiscover ist richtig eingerichtet, kann aber gern die Config posten.

 

Mach mal.

 

Ach ja noch eine Info:

Das LAN darf nicht ins Internet. Wenn die User surfen wollen, dann über TerminalServer.

 

Dazu muß man doch aber nicht nen DC und einen Exchange in die DMZ verfrachten. Da hat sowas einfach überhaupt nichts zu suchen.

 

Umgehung des Problems wäre, das Outlook auf dem TerminalServer zu installieren. Was aber eben nur das Problem umgeht und nicht behebt.

Aber mich würde ja die Behebung des Problems interessieren.

 

Umgehung des Problems:

Exchange und DC ins LAN, Terminalserver in die DMZ. Fertig.

 

Bye

Norbert

Link zu diesem Kommentar

1. Ich poste morgen mal die Configs.

2. Ich weiß, dass es ziemlich Murks ist, hätte das eh nicht empfohlen ;)

3. Naja der angebliche Grund, dass ein DC in der DMZ steht, ist dass da ein Exchange steht (Exchange braucht ja einen DC). und der Grund dass der Exchange dort steht ist, dass im LAN so wenig Ports wie möglich offen sein sollen (also in dem Fall nur 443 und RDP)

4. Autodiscover Test XML sieht gut aus (jetzt aus dem Gedächnis, poste ich morgen)... glaub nur beim OAB steht http://... dort, obwohl ich es auf https gestellt hab, muss ich aber morgen nochmal prüfen.

 

schönen Abend und Danke.

Link zu diesem Kommentar
1. Ich poste morgen mal die Configs.

2. Ich weiß, dass es ziemlich Murks ist, hätte das eh nicht empfohlen ;)

 

Und dem Kunden kann man diesen Murks jetzt nicht "wegreden"? Stattdessen murkst man weiter?

 

3. Naja der angebliche Grund, dass ein DC in der DMZ steht, ist dass da ein Exchange steht (Exchange braucht ja einen DC).

 

Deswegen stellt man auch keinen Exchange in eine DMZ (Edge Role mal ausgenommen).

 

und der Grund dass der Exchange dort steht ist, dass im LAN so wenig Ports wie möglich offen sein sollen (also in dem Fall nur 443 und RDP)

 

Wenn der Exchange im LAN stünde bräuchtest du gar keine Portts im LAN zur DMZ öffnen. Und nu?

 

4. Autodiscover Test XML sieht gut aus (jetzt aus dem Gedächnis, poste ich morgen)... glaub nur beim OAB steht http://... dort, obwohl ich es auf https gestellt hab, muss ich aber morgen nochmal prüfen.

 

Tu das, denn mit den Infos kann man nicht helfen. ;)

 

Bye

Norbert

Link zu diesem Kommentar

okay, vllt noch ein wenig zur Klarstellung.

Im Grunde ist die DMZ eher ein LAN2 bzw ein vLAN.

DMZ wäre ja eher, dass von extern Zugriffe auf Webservices oder ähnliches erlaubt ist, was es in diesem Fall nicht ist, aber das tut ja nichts zur Sache.

 

 

Hier mal die Configs:

[PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory |fl


RunspaceId                      : e866563d-9453-419e-82e6-7d93e582fac3
Name                            : Autodiscover (Default Web Site)
InternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
ExternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
LiveIdSpNegoAuthentication      : False
WSSecurityAuthentication        : True
LiveIdBasicAuthentication       : False
BasicAuthentication             : True
DigestAuthentication            : False
WindowsAuthentication           : True
MetabasePath                    : IIS://server1.domain.local/W3SVC/1/ROOT/Autodiscover
Path                            : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\Autodiscover
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags         : {}
ExtendedProtectionSPNList       : {}
Server                          : SERVER1
InternalUrl                     : https://server1.domain.local/autodiscover/autodiscover.xml
ExternalUrl                     : https://autodiscover.ext-domain.li/autodiscover/autodiscover.xml
AdminDisplayName                :
ExchangeVersion                 : 0.10 (14.0.100.0)
DistinguishedName               : CN=Autodiscover (Default Web Site),CN=HTTP,CN=Protocols,CN=SERVER1,CN=Servers,CN=Ex
                                 change Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organ
                                 ization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=local
Identity                        : SERVER1\Autodiscover (Default Web Site)
Guid                            : bf1b53e8-2706-4520-aaf9-afe409cb87dd
ObjectCategory                  : domain.local/Configuration/Schema/ms-Exch-Auto-Discover-Virtual-Directory
ObjectClass                     : {top, msExchVirtualDirectory, msExchAutoDiscoverVirtualDirectory}
WhenChanged                     : 02.03.2011 12:58:48
WhenCreated                     : 01.03.2011 15:31:18
WhenChangedUTC                  : 02.03.2011 11:58:48
WhenCreatedUTC                  : 01.03.2011 14:31:18
OrganizationId                  :
OriginatingServer               : server1.domain.local
IsValid                         : True

Link zu diesem Kommentar

Config2:

 

[PS] C:\Windows\system32>Get-WebServicesVirtualDirectory |fl
Neue Sitzung für implizite Remotevorgänge des Befehls "Get-WebServicesVirtualDirectory" wird erstellt...


RunspaceId                      : 33d1711d-0ee7-4724-a2ca-f186503c9250
CertificateAuthentication       :
InternalNLBBypassUrl            : https://server1.domain.local/ews/exchange.asmx
GzipLevel                       : High
Name                            : EWS (Default Web Site)
InternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
ExternalAuthenticationMethods   : {Basic, Ntlm, WindowsIntegrated, WSSecurity}
LiveIdSpNegoAuthentication      : False
WSSecurityAuthentication        : True
LiveIdBasicAuthentication       : False
BasicAuthentication             : True
DigestAuthentication            : False
WindowsAuthentication           : True
MetabasePath                    : IIS://server1.domain.local/W3SVC/1/ROOT/EWS
Path                            : C:\Program Files\Microsoft\Exchange Server\V14\ClientAccess\exchweb\EWS
ExtendedProtectionTokenChecking : None
ExtendedProtectionFlags         : {}
ExtendedProtectionSPNList       : {}
Server                          : SERVER1
InternalUrl                     : https://server1.domain.local/EWS/Exchange.asmx
ExternalUrl                     : https://mail.ext-domain.li/ews/exchange.asmx
AdminDisplayName                :
ExchangeVersion                 : 0.10 (14.0.100.0)
DistinguishedName               : CN=EWS (Default Web Site),CN=HTTP,CN=Protocols,CN=SERVER1,CN=Servers,CN=Exchange Ad
                                 ministrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=First Organization,C
                                 N=Microsoft Exchange,CN=Services,CN=Configuration,DC=domain,DC=local
Identity                        : SERVER1\EWS (Default Web Site)
Guid                            : 32d44845-7e7a-4610-861d-3dc9c3d60ddb
ObjectCategory                  : domain.local/Configuration/Schema/ms-Exch-Web-Services-Virtual-Directory
ObjectClass                     : {top, msExchVirtualDirectory, msExchWebServicesVirtualDirectory}
WhenChanged                     : 01.03.2011 15:31:52
WhenCreated                     : 01.03.2011 15:31:49
WhenChangedUTC                  : 01.03.2011 14:31:52
WhenCreatedUTC                  : 01.03.2011 14:31:49
OrganizationId                  :
OriginatingServer               : server1.domain.local
IsValid                         : True

Link zu diesem Kommentar

Und hier der XML-Test:

 

 

<?xml version="1.0" encoding="utf-8"?>
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006">
 <Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a">
   <User>
     <DisplayName>User</DisplayName>
     <LegacyDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=User</LegacyDN>
     <AutoDiscoverSMTPAddress>User@ext-domain.li</AutoDiscoverSMTPAddress>
     <DeploymentId>4a775154-cacd-457e-ac94-1baa5e4b9a30</DeploymentId>
   </User>
   <Account>
     <AccountType>email</AccountType>
     <Action>settings</Action>
     <Protocol>
       <Type>EXCH</Type>
       <Server>server1.domain.local</Server>
       <ServerDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SERVER1</ServerDN>
       <ServerVersion>738180DA</ServerVersion>
       <MdbDN>/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=SERVER1/cn=Microsoft Private MDB</MdbDN>
       <PublicFolderServer>server1.domain.local</PublicFolderServer>
       <AD>server1.domain.local</AD>
       <ASUrl>https://server1.domain.local/EWS/Exchange.asmx</ASUrl>
       <EwsUrl>https://server1.domain.local/EWS/Exchange.asmx</EwsUrl>
       <EcpUrl>https://server1.domain.local/ecp/</EcpUrl>
       <EcpUrl-um>?p=customize/voicemail.aspx&exsvurl=1</EcpUrl-um>
       <EcpUrl-aggr>?p=personalsettings/EmailSubscriptions.slab&exsvurl=1</EcpUrl-aggr>
       <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx></EcpUrl-mt>
       <EcpUrl-ret>?p=organize/retentionpolicytags.slab&exsvurl=1</EcpUrl-ret>
       <EcpUrl-sms>?p=sms/textmessaging.slab&exsvurl=1</EcpUrl-sms>
       <OOFUrl>https://server1.domain.local/EWS/Exchange.asmx</OOFUrl>
       <UMUrl>https://server1.domain.local/EWS/UM2007Legacy.asmx</UMUrl>
       <OABUrl>https://server1.domain.local/OAB/ec04fe2e-77a3-42ed-8658-fffe18ee617e/</OABUrl>
     </Protocol>
     <Protocol>
       <Type>EXPR</Type>
       <Server>mail.ext-domain.li</Server>
       <SSL>On</SSL>
       <AuthPackage>Basic</AuthPackage>
       <ASUrl>https://mail.ext-domain.li/ews/exchange.asmx</ASUrl>
       <EwsUrl>https://mail.ext-domain.li/ews/exchange.asmx</EwsUrl>
       <EcpUrl>https://mail.ext-domain.li/ecp/</EcpUrl>
       <EcpUrl-um>?p=customize/voicemail.aspx&exsvurl=1</EcpUrl-um>
       <EcpUrl-aggr>?p=personalsettings/EmailSubscriptions.slab&exsvurl=1</EcpUrl-aggr>
       <EcpUrl-mt>PersonalSettings/DeliveryReport.aspx?exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx></EcpUrl-mt>
       <EcpUrl-ret>?p=organize/retentionpolicytags.slab&exsvurl=1</EcpUrl-ret>
       <EcpUrl-sms>?p=sms/textmessaging.slab&exsvurl=1</EcpUrl-sms>
       <OOFUrl>https://mail.ext-domain.li/ews/exchange.asmx</OOFUrl>
       <UMUrl>https://mail.ext-domain.li/ews/UM2007Legacy.asmx</UMUrl>
       <OABUrl>https://mail.ext-domain.li/OAB/ec04fe2e-77a3-42ed-8658-fffe18ee617e/</OABUrl>
     </Protocol>
     <Protocol>
       <Type>WEB</Type>
       <Internal>
         <OWAUrl AuthenticationMethod="Basic, Fba">https://server1.domain.local/owa/</OWAUrl>
         <Protocol>
           <Type>EXCH</Type>
           <ASUrl>https://server1.domain.local/EWS/Exchange.asmx</ASUrl>
         </Protocol>
       </Internal>
       <External>
         <OWAUrl AuthenticationMethod="Fba">https://mail.ext-domain.li/owa/</OWAUrl>
         <Protocol>
           <Type>EXPR</Type>
           <ASUrl>https://mail.ext-domain.li/ews/exchange.asmx</ASUrl>
         </Protocol>
       </External>
     </Protocol>
   </Account>
 </Response>
</Autodiscover>

 

 

noch andere Configs gewünscht?

Link zu diesem Kommentar
okay, vllt noch ein wenig zur Klarstellung.

Im Grunde ist die DMZ eher ein LAN2 bzw ein vLAN.

DMZ wäre ja eher, dass von extern Zugriffe auf Webservices oder ähnliches erlaubt ist, was es in diesem Fall nicht ist, aber das tut ja nichts zur Sache.

 

Also oben schreibst du aber was anderes. ;)

 

https://mail.ext-domain.li/ews/exchange.asmx

ist für ein Outlook im LAN erreichbar? Falls nein, stell das doch mal sicher, geht der OOF dann?

 

Bye

Norbert

Link zu diesem Kommentar

ja ich weiss, das ich es oben anders geschrieben hab, ist mir gestern Abend so klar geworden, dass die Ausdrucksweise nicht ganz klar war, deswegen wollte ich es ja noch klarstellen :) (dass du mich nicht so ganz zur Sau machst ;) )

 

ja ist vom LAN aus erreichbar, funktioniert aber auch nicht.

 

Hmm eigentlich hab ich den Test-XML auch gepostet, muss aber anscheinend, wegen "spam", erst freigeschaltet werden :rolleyes:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...