Hallo zusammen,
erst mal ein großes Lob und Danke an Frank, deine Website hat mir schon oft geholfen. ? ?
Habe die letzten Wochen endlich unseren Exchange 2010 auf 2016 migriert. Sprich der 2010er ist deinstalliert und die WAF der Sophos UTM (Version 9.7) nach deinem Guide KlickMich eingerichtet.
Unsere Außendienstler haben bisher immer Outlook Anywhere genutzt und stören sich aktuell daran, das seit dem Wechsel auf 2016 immer das Passwort abgefragt wird wenn sie außerhalb der Firma ohne VPN Outlook öffnen. Die Geräte sind natürlich in der Domäne und verwenden auch ihren entsprechenden User.
Kurz zur Umgebung.
1 Exchange auf dem alles läuft, kein Load Balancer, kein DAG
Internet -> Sophos WAF -> Exchange
Jetzt habe ich schon einige Stunden mit Testen und googlen "verschwendet" komme aber nicht dahinter. Die einzigen Hinweise die ich gefunden habe das NTLM/Negotiate angeblich von der WAF nicht unterstützt wird und man muss Basic verwenden. Wenn ich auf meinem Notebook über das Internet Outlook öffne und das PW eingebe habe ich als Protokoll HTTP sprich MAPI over HTTP und als Authentifizierung Negotiation.
Ändere ich die externe Authentifizierung am Exchange mit set-outlookanywhere -externalClientAuthenticationMethod und mache einen iisreset ändert sich die Authentifizierung nicht, auch wenn ich intern und extern auf basic oder sonst was stelle. Ich raff das gerade überhaupt nicht mehr.
Hoffe ihr könnt mich erleuchten.
SG Flo
Hab jetzt den Artikel vom Frank nicht gelesen, aber soweit ich mich erinnere funktioniert bei der Sophos nur, wie du schreibst, Basic für die Prä-auth. also entweder damit leben oder auf passthrough konfigurieren, mit dem Manko, dass dann der Exchange direkt erreichbar ist.
Also jetzt habe ich aber einen Denkfehler.
Habe gerade mal probeweise bei der MAPI Authentifizierung auf Basic only umgestellt... dann bekommen die internen Clients ebenfalls eine Passwortabfrage beim Öffnen - logisch. Aktiviere ich zusätzlich Basic zu NTLM und Negotiate kommt beim Notebook übers Internet nach wie vor die Passwortabfrage.
Müssen die externen Clients noch über RPC erlaubt werden das ich das hinbekomme? Denn aktuell kommen die Clients von extern auch über MAPI over HTTP daher. Mich würde das ganze aber wundern das muss doch ohne die alte RPC auch klappen.
Also jetzt habe ich aber einen Denkfehler.
Das denke ich auch. ;) rpc over https kannst du an der Firewall schließen. Du wirst wohl kaum noch Outlook 2007 im Einsatz haben.
und ansonsten müßte man eben deine firewallkonfig kennen. Aber wie schon geschrieben, wenn die Sophos mapi over https preauth macht, wird’s schwierig. ;)