Exchange 2013 RPC over HTTP Problem

[mr.sarge 12]

Hallo,

 

wir setzen in der Firma einen Exchange 2013 (SP1 CU 21) Server ein zusammen mit Outlook 2013. Soweit funktioniert auch alles (interne Clients, OWA, ActiveSync etc.)

Was ich aber einfach nicht hin bekomme ist der Zugriff mit einem externen Outlook 2013 Client via RPC over HTTP / Outlook Anywhere

 

Problem: beim Verbindungsversuch wird zusätzlich zu Port 443 jedesmal Port 135 (Endpointmapper) verwendet. Diesen Port möchte ich aber nicht bei der FW freischalten/natten, Outlook Anywhere sollte ja ausschließlich mit Port 443 funktionieren.

 

Kann mir jemand sagen wie wo ich welche Einstellung vornehmen muss damit Port 135 für externe Clients nicht verwendet wird?

 

vielen Dank im Voraus!

 

[NorbertFe 2.035]

vor 6 Minuten schrieb mr.sarge:

Outlook Anywhere sollte ja ausschließlich mit Port 443 funktionieren.

Outlook Anywhere funktioniert _ausschließlich nur_ über Port 443. Da wird kein anderer Port für verwendet. Abgesehen davon, solltest du einfach auf MAPI/HTTP umstellen, das ist etwas weniger "umständlich" als Outlook Anywhere.

[andreas.l 0]

wenn OWA funktioniert, sollte (sofern nur Port 443 von extern nach intern geöffnet ist) auch Outlook Anywhere funktionieren.

Wie wird / ist der Exchange Server nach außen veröffentlicht?

Via WAF? wenn ja, welcher Hersteller?

Outlook Anywhere auf dem Exchange aktiv und intern funktionsfähig?

Wie ist der interne / externe Hostname für Outlook Anywhere eingerichtet?

Name auf Zertifikat?

[mr.sarge 12]

vor 9 Minuten schrieb andreas.l:

wenn OWA funktioniert, sollte (sofern nur Port 443 von extern nach intern geöffnet ist) auch Outlook Anywhere funktionieren.

Wie wird / ist der Exchange Server nach außen veröffentlicht?

Via WAF? wenn ja, welcher Hersteller?

Outlook Anywhere auf dem Exchange aktiv und intern funktionsfähig?

Wie ist der interne / externe Hostname für Outlook Anywhere eingerichtet?

Name auf Zertifikat?

ja, OWA funktioniert und nach extern ist nur Port 443 veröffentlicht. Ein Test über https://testconnectivity.microsoft.com/ funktioniert auch.

Der Exchange wird nach extern über eine Barracuda FW mit Reverse Proxy veröffentlicht. Outlook Anywhere intern funktioniert einwandfrei,

 

Interner und externer Hostname ist korrekt eingerichtet, als Zertifikat verwenden wirein selbst ausgestelltes Zertifikat. Das Root-Zertifikat von der internen CA habe ich beim betreffenden Notebook in den vertrauenswürdigen Stammzertifikaten kopiert

 

 

bearbeitet 7. August 2018 von mr.sarge

[andreas.l 0]

hm, ok. Outlook Anywhere (RPC / HTTP) war schon immer spezieller über WAF / Reverse Proxy

Leider kenn ich mich mit der Barracuda (welcher TYP? CloudGen?) nicht aus.

Geht es denn, wenn du zum Test den Port 443 nicht via Reverse Proxy veröffentlichst, sondern direkt veröffentlichst?

Was ich nie verstehen werde, warum man heutzutage immer noch ein Self Sigend Certificate verwendet wenn Services veröffentlicht werden sollen.

Speziell Outlook Anywhere war mit self signed certificate immer schon problematisch.

Greifen die clients intern auch wirklich via Outlook Anywhere auf den Exchange zu?

Welche Outlook Versionen werden genutzt? Evtl. auf MAPI / HTTP switchen?

 

[mr.sarge 12]

vor 22 Minuten schrieb andreas.l:

Greifen die clients intern auch wirklich via Outlook Anywhere auf den Exchange zu?

Welche Outlook Versionen werden genutzt? Evtl. auf MAPI / HTTP switchen?

 

ja, alle über Outlook 2013. Bzgl. Self Signed Certificate muss ich dir recht geben, das gehört umgestellt und würde sicher einige Probleme vermeiden.

 

Vielleicht würde ich auf den Fehler kommen wenn ich wüsste warum und woher Port 135 beim Zugriffsversuch benutzt wird

[NorbertFe 2.035]

Das ist kein Selfsigned Certificate sondern ein Zertifikat einer eigenen internen CA. das ist ein Unterschied. Für Exchange würde ich sowas aber heutzutage auch nur noch maximal in internen Umgebungen nutzen und auf keinen Fall bei welchen die von extern erreichbar sind.

 

[andreas.l 0]

 

vor 6 Minuten schrieb NorbertFe:

Das ist kein Selfsigned Certificate sondern ein Zertifikat einer eigenen internen CA. das ist ein Unterschied. Für Exchange würde ich sowas aber heutzutage auch nur noch maximal in internen Umgebungen nutzen und auf keinen Fall bei welchen die von extern erreichbar sind.

 

klar ist das etwas anderes, vorausgesetzt, der externe Client ist auch Mitglied der Domäne.

 

vor 40 Minuten schrieb mr.sarge:

ja, alle über Outlook 2013. Bzgl. Self Signed Certificate muss ich dir recht geben, das gehört umgestellt und würde sicher einige Probleme vermeiden.

 

Vielleicht würde ich auf den Fehler kommen wenn ich wüsste warum und woher Port 135 beim Zugriffsversuch benutzt wird

versuchst du das Outlook Konto von extern manuell einzurichten? Oder ist das ein bereits eingerichtetes Profil, welches intern bereits via Outlook Anywhere funktioniert und

du bekommst von extern nur keinen Zugriff auf das Postfach? Port 135 hört sich eher wie reines RPC an.

ich würde als nächstes den Port 443 direkt frei schalten, nur zum reinen Test, um den Reverse Proxy und seine Sicherheitsfeatures auszuschließen

 

 

[NorbertFe 2.035]

vor 2 Minuten schrieb andreas.l:

klar ist das etwas anderes

Eben, deswegen schrub ich das. ;)

[mr.sarge 12]

Hallo,

 

danke für eure Tips, mittlerweile funktioniert es! Ich hatte bei den Servereinstellungen / Server den externen Hostnamen anstatt den internen angegeben. 

 

viele Grüße,

 

Sarge

[testperson 1.680]

Hi,

 

da könnte man auch "einfach" Autodiscover korrekt konfigurieren. :-P

 

Gruß

Jan

[NorbertFe 2.035]

Das wäre aber zu einfach. ;) man könnte auch einfach Splitdns Konfigurieren.