| Zugriff auf Outlook-Web-Access (OWA) |
|
Voraussetzungen für OWA via Reverse-Proxy Um Internet-Zugriff auf einen internen Outlook-Web-Access (OWA) Server freizugeben empfiehlt sich der Einsatz von SX-GATE's Reverse-Proxy. Durch dessen Sicherheitsprüfungen wird der Schutz des OWA-Server erhöht. Kommen verschlüsselte Verbindungen (HTTPS) zum Einsatz, fungiert der Reverse-Proxy zudem als SSL-Offloader. Der Exchange-Server wird dadurch entlastet. Für den Zugriff auf OWA über einen Reverse-Proxy gibt Microsoft in einem Technet Artikel (Link zu http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3FrontBack/3beec46b-188a-4067-9f1e-c9fe17e1cb9f.mspx) u.a. folgende Voraussetzungen an: • Der OWA Web-Server muss auf Port 80 laufen • Der Zugriff auf den Reverse-Proxy muss über Port 80 (unverschlüsselt) oder 443 (verschlüsselt) erfolgen Da auf dem SX-GATE der Port 443 bereits durch die Administrations-Oberfläche belegt ist, muss der Reverse-Proxy auf einen anderen Port gebunden werden. OWA-Zugriffe auf Port 443 müssen dann innerhalb des SX-GATE mit Hilfe von Firewall DNAT-Regeln an den Reverse-Proxy umgeleitet werden. Details dazu finden Sie in der Online-Hilfe des Reverse-Proxies bzw. im Handbuch des SX-GATE. Authentifizierungs-Varianten In der Voreinstellung nutzt OWA HTTP-Authentifizierung. Als Methoden werden meist Kerberos, NTLM und Basic in dieser Reihenfolge angeboten. Wird nicht der Internet-Explorer verwendet, so kommt in der Regel Basic, manchmal auch NTLM zum Zuge. Zugriffe mit dem Internet-Explorer schlagen jedoch fehl, da weder Kerberos noch die NTLM-Authentifizierung des IE über Internet und Proxy funktionieren. Deaktivieren Sie daher unbedingt Kerberos und NTLM in der Konfiguration des Internet-Information-Servers (IIS). Alternativ kann OWA die sogenannte "Forms-Based Authentication" verwenden. Anstelle des Popup-Fensters zur Eingabe der Zugangsdaten tritt hier ein in HTML eingebettetes Formular. OWA bietet diese Authentifizierungs-Variante nur an, wenn die Verbindung HTTPS verschlüsselt ist. SX-GATE leitet diese Information an OWA weiter. Damit diese aber auch ausgewertet wird, muss OWA zunächst mitgeteilt werden, dass SX-GATE als HTTPS-Offloader fungiert. Die entsprechende Option kann mit dem kostenlosen Microsoft-Tool owaadmin aktiviert werden. Alternativ kann ein Eintrag in die Registry vorgenommen werden. Die notwendigen Schritte sind in einem Microsoft Technet Artikel (Link zu http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3FrontBack/d7a6c54d-bb5d-443d-9759-d552695c5176.mspx) beschrieben. Vorteile der Forms-Based Authentication: Die zusätzliche Authentifizierung durch SX-GATE's Reverse-Proxy kann aktiviert werden. Einen kurzer Überblick über die notwendige Konfiguration unter Windows mit Screenshots finden Sie unter www.digital-labs.de/index.php?option=com_content&task=view&id=290&Itemid=27. Weitere notwendige Einstellungen Folgende Parameter müssen in der Konfiguration des SX-GATE gesetzt werden damit der Zugriff auf OWA funktioniert: • Syntax-Prüfung der Anfragen darf nicht auf "streng" stehen • Authentifizierung durch Reverse-Proxy darf nur bei Forms-Based Authentication aktiviert sein |
