MS Outlook 2019 an Exchange (OnPrem): Betrieb ohne Internetverbindung möglich?

[fork 0]

Hi,

 

ich habe hier ein Outlook 2019 und und einen lokal installierten Exchange Server welche grundsätzlich gut miteinander funktionieren. Der Exchange-Server steht in der Zentrale und der PC mit Outlook in einem Aussenstandort (VPN). Die Verbindung zwischen PC und Exchange ist bzgl. Firewall komplett freigeschaltet.

 

Ich möchte jedoch nicht, dass der PC, auf dem das Outlook läuft, ins Internet darf (Sicherheitsgründe). Jedoch funktioniert der Zugriff zum Exchange nicht mehr, sobald ich die Zugriffsmöglichkeit auf das Internet beende.

 

Mit einem Paketsniffer auf der Firewall sehe, dass Outlook zahlreiche Verbindungen auf irgendwelche Hostnamen bei Microsoft initiiert. Die DNS-Anfragen sind dabei erlaubt und werden beantwortet. Die Verbindungen per http(s) aber nicht.

 

Meine Fragen dazu:

 

1. Kann man Outlook irgendwie dazu bringen, dass es auch ohne Internetanbindung funktioniert?
2. Falls nicht, gibt es irgendwo eine Dokumentation auf welche URLs Outlook zugreift, so dass ich dieses selektiv freischalten kann? (Ich habe nur das gefunden, was nicht ausreicht:
   https://learn.microsoft.com/de-de/exchange/plan-and-deploy/deployment-ref/network-ports?view=exchserver-2019 )

 

Zu mir: Ich bin der Firewall-Administrator und meine Fähigkeiten liegen ansonsten im Linux-Bereich und (schon lange) nicht (mehr) im Windows-Bereich.

 

Herzlichen Dank für Eure Unterstützung!

bearbeitet 5. Juli 2023 von fork

[q617 1]

vor 38 Minuten schrieb fork:

 

Mit einem Paketsniffer auf der Firewall sehe, dass Outlook zahlreiche Verbindungen auf irgendwelche Hostnamen bei Microsoft initiiert. Die DNS-Anfragen sind dabei erlaubt und werden beantwortet. Die Verbindungen per http(s) aber nicht.

"funktioniert nicht " ist keine Fehlerbeschreibung.

Ohne Logfiles kann man zu den "zahlreiche Verbindungen auf irgendwelche Hostnamen bei Microsoft" nix sagen.

[fork 0]

Anbei ein Screenshot von Outlook 2019 mit einer Testmail im Postausgang, die nicht versendet wird.

 

Untenstehend in der Statuszeile: Übermittlung wird vorbereitet... Das steht seit Minuten dort.

Weiterhin untenstehend in der Statuszeile: Warnsymbol mit Text "Verbindungsversuch...." (abgeschnittener Text)

 

Desweiteren hier noch der Paste des verfremdeten tcpdumps von der Firewall (tcpdump -i any port domain or port http or port https):

 

https://pastebin.pl/view/9375d28b

 

10.1.1.133 ist die Client-PC-IP

10.10.0.10 ist einer der DCs

 

Das sind die DNS-Anfragen (A-Records) die durchgeführt werden:

 

assets.msn.com.
client.wns.windows.com.
config.edge.skype.com.
login.microsoftonline.com.
outlook.office365.com.
winatp-gw-neu3.microsoft.com.
wpad.kundendomain.de.

 

Welche Logfiles bräuchte es da noch, um mehr sagen zu können?

 

 

bearbeitet 5. Juli 2023 von fork

[NorbertFe 2.034]

Da steht immer noch deine Mail Adresse drin.

Du wirst vermutlich die nicht genutzten Autodiscovereinträge deaktivieren müssen.

[testperson 1.677]

Hi,

 

das Autodiscover Verhalten wäre hier zu finden: Unexpected Autodiscover behavior if settings under the \Autodiscover key - Outlook | Microsoft Learn

 

Bzw. per GPO - sofern die Office / Outlook SKU das zulässt - hier: GPS: AutoErmittlung deaktivieren (gpsearch.azurewebsites.net)

 

Gruß

Jan

[fork 0]

Grundsätzlich im Nachgang nochmal an Dankeschön für die Antworten. Das Thema war mir allerdings zu komplex dafür, dass es nicht mein Kern-Kompetenzbereich ist, und ich dementsprechend hier die Zeit zum Erarbeiten nicht investieren möchte.

 

Lösung war jetzt den Internetzugang zu erlauben und mit Behelfsmöglichkeiten (Kunde hat per Policy die Benutzung des Browsers unterbunden) den Internetzugang zu verhindern.  

[NorbertFe 2.034]

vor 2 Minuten schrieb fork:

Lösung war jetzt den Internetzugang zu erlauben und mit Behelfsmöglichkeiten (Kunde hat per Policy die Benutzung des Browsers unterbunden) den Internetzugang zu verhindern.  

 

Aha. Was auch immer man sich darunter jetzt vorstellen mag ;)

[fork 0]

Hallo NorbertFe,

 

vor 9 Minuten schrieb NorbertFe:

 

Aha. Was auch immer man sich darunter jetzt vorstellen mag ;)

Mein Anliegen war es damit, auch mit einer noch so wenig technisch interessanten Lösung, wie es denn letztlich geworden ist zumindest aus Respekt und Wertschätzung für die Beiträge aller Beteilligten eine Rückmeldung zu geben, was denn aus dem Anliegen geworden ist. Falls das nicht erwünscht ist, kann ich da in Zukunft gerne von absehen.

 

Viele Grüße,
fork 

[NorbertFe 2.034]

Doch das ist sogar sehr erwünscht und gern gesehen, aber mit so pauschalen Aussagen dann irgendwie auch nicht wirklich hilfreich für andere in dieser Situation und ggf. auch (von mir vielleicht überspitzt markiert) sehr widersprüchlich formuliert; die Antwort.

[fork 0]

Ok. Ich versuche es mit meinem begrenzten Windows Know-How nochmal besser zu formulieren:

 

Ziel war an einem bestimmten Standort, an einem bestimmten Windows-Arbeitsplatz den Internetzugriff zu unterbinden. Nachdem ich das jetzt auch mit den von Euch gegebenen Hinweisen nicht hinbekommen habe, da zu unterstützen, dass Outlook auch ohne Internetzugriff funktioniert, wurde der Internetzugriff erlaubt.

 

Weiterhin wurde wohl eine Gruppenrichtline erstellt - das habe ich nicht selbst gemacht - die es den Benutzern an dem System nicht erlaubt, einen Browser aufzurufen / zu nutzen. Ich sehe das als keine gute Lösung an.  Der Kunde sieht das für sich als ausreichend an. Das Thema ist damit für mich fachlich abgeschlossen.

bearbeitet 27. Oktober 2023 von fork

[NorbertFe 2.034]

Alles klar. So wars besser verständlich. Ich stimme dir bei deiner Einschätzung der Lösung zu. :)

 

Schönes Wochenende