Für Exchange 2010 und Exchange 2013 hatte ich ja hier bereits Artikel für die Sophos UTM Webserver Protection (WAF) veröffentlicht. Da es aber mittlerweile Exchange 2016 veröffentlicht wurde und auch die Sophos UTM in einer aktuelleren Version vorliegt, gibt es an dieser Stelle mal wieder ein Update.
Umgebung (UTM und Exchange)
Exchange Server 2016 CU1 und Sophos UTM 9.400-9 sind die eingesetzten Versionen. Die Exchange URLs lauten intern, sowie extern auf mail.frankysweb.de und es wird Split-Brain DNS eingesetzt.
Als ersten kann das Zertifikat installiert werden. Ich verwende ein Wildcard Zertifikat (*.frankysweb.de). Es funktioniert aber auch, wenn nur die externen Hostnamen auf dem Zertifikat hinterlegt sind (als Beispiel autodiscover.frankysweb.de und mail.frankysweb.de).
Wichtig: Es muss ein SAN-Zertifikat genutzt werden, also ein Zertifikat welches mindestens die beiden externen Namen enthält, es können nicht 2 Zertifikate mit je einem Namen verwendet werden.
Nachdem das Zertifikat installiert wurde, wird der Real Webserver angelegt, hierbei handelt es sich um den Exchange Server der bei mir intern, sowie extern mail.frankysweb.de heißt:
Jetzt müssen die Firewall Profile angelegt werden. In diesem Fall werden zwei Firewall Profile benötigt, eins für Autodiscover und eins für die restlichen Exchange Webservices.
Einstellungen für das Autodiscover Firewall Profile
Entry URLs:
/autodiscover /Autodiscover
Skip Filter Rules:
- 960015
- 960911
Einstellungen Exchange Webservices Firewall Profile
Entry URLs:
/ecp /ECP /ews /EWS /Microsoft-Server-ActiveSync /oab /OAB /owa /OWA /rpc /RPC /mapi /Mapi /
Skip Filter Rules:
- 960015
- 981203
- 960010
- 960018
- 981204
- 960032
- 981176
Virtual Webserver
Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:
Hier die Einstellungen für den Autodiscover Virtual Webserver:
Und hier für die restlichen Exchange Webservices:
Ausnahmen
Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt
Autodiscover:
Paths:
/autodiscover/* /Autodiscover/*
OWA Antivirus:
Paths:
/owa/ev.owa* /OWA/ev.owa*
Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)
Paths:
/rpc/* /RPC/* /mapi/* /MAPI/*
Exchange Webservices
Paths:
/ecp/* /ECP/* /ews/* /EWS/* /Microsoft-Server-ActiveSync* /oab/* /OAB/* /owa/* /OWA/*
Fertig.
Hallo, vielen Dank für die ausführliche Anleitung. In meiner Umgebung hat die Konfiguration einwandfrei funktioniert. Ich habe jetzt allerdings nur ein Thema: Beim Versand von Mails via OWA oder neu konfiguriertem Outlook werden die Mails mit dem Zertifikat der Sophos signiert. Das ist natürlich bei den Empfängern nicht vertrauenswürdig eingestuft. Wie kann ich das denn noch konfigurieren, ohne dass die Warnung auftaucht?
Grüße, Johannes
Hallo,
lässt sich auch MFA direkt an der Sophos umsetzen zur Erhöhung der Sicherheit ? Ich würde das am liebsten mit dem Google Authenticator umsetzen wollen.
Gruß
Thomas
Hi,
soweit alles eingerichtet. Wenn ich jetzt nun die NAT Regel ausmache kommt die Fehlermeltung von Extern 403 Forbidden.
Im Real Webserver habe ich im Host die IPv4 Aderesse den DNS Hostname + Reverse und das Interveace gewählt. Leider keine Änderung.
Sehr gute Anleitung. Vielen Dank.
Wir habe eine Umgebung mit 2x EX 2016 (CU14) in einer DAG. Vorgeschaltet als Loadbalancer sind 2 virtuelle Kemps, die ebenfalls im LBL laufen.
Jetzt haben wir das Problem mit der WAF das Outlook das sich über die WAF sich verbinden ca. alle 5 Minuten die Credentials neu anfordert.
Wir die WAF deaktiviert und simpel per DNAT weitergegeben tritt dieses Verhalten nicht auf.
Kennt jemand dieses Problem?
VG
Marc
Hi Frank,
Danke hat alles Funktioniert mit deiner Anleitung.
THX
Ich wollte gerne nachfragen bin dabei alles Server mit der WAF zu erstellen/Regeln. Soweit alles gut.
Bei mir Scheitert es an „ Sophos UTM 9.4 WAF und Exchange 2016“
Habe Aktuell die Sophos 9.700-5
Könntest du vielleicht einmal einen Neuen Beitrag machen ? (UTM, Lets Crypt, EX2016 Settings usw. ?)
Hi,
gibt es hier bereits. Einfach mal ein bisschen suchen :-)
Gruß,
Frank
Sehr gute Anleitung, hat bei uns auch auf anhieb funktioniert.Funktioniert auch noch mit der Firmware UTM 9.603
Nach zwei Tagen mussten wir dann aber feststellen das einige Geräte nicht mehr synchronisiert werden.
Ursache war die Option „Block clients with bad reputation“ in dem Firewall Profil „Exchange Webservices“. Aus dem Log habe ich erfahren das die IP-Adressen dieser Geräte auf der Cyren Blacklist stehen und somit geblockt werden.
Franky hat das hier https://www.frankysweb.de/sophos-utm-9-webserver-protection-und-outlook-fuer-android-ios/ auch schon herausgefunden, schön wäre hier ein Verweis auf den anderen Beitrag.
Da die IP-Addressen Vergabe bei den Mobilfunkprovidern etwas anders läuft und mehrere Clients die gleiche erhalten, kann es wohl öfter mal vorkommen das deine IP auf dieser Liste landet. Da braucht nur einer mal die Adresse zum spamen nutzen.
Naja wie auch immer, „Block clients with bad reputation“ sollte man nicht aktivieren
Hallo Norbert,
siehe dazu auch hier:
https://www.frankysweb.de/sophos-utm-9-6-lets-encrypt-webserver-protection-und-exchange-2016-2019/
Gruß,
Frank
hat die Sophos auch eine reverse-proxy Funktion?
wenn nicht, wozu brauche ich sie dann, wenn sie sowieso alle anfragen (mit ein bisschen vorfilterung) an den Exchange weiterleitet?
dann könnte ich (fast) genauso gut port 443 gleich auf den Exchange leiten…
Das ist eine Revers-Proxy Funktion – je nach eingehenden DNS-Namen kannst du auf einen anderen internen Server weiterleiten. Die SOPHOS kann sich dazu sogar per Lets Encrypt ein passenden Zertifikat holen (und automatisch erneuern) und so einen ungesichertern internen HTTP-Dienst als HTTPS nach extern übergeben.
Und du kannst dadurch hinter der öffentlichen IP-Adresse mehr als den Exchange-Server betreiben, z.B. auch die Homepage
Mal sehen, ob in dem alten Thread noch was kommt.
Habe OWA mit der Sophos nach der Doku umgesetzt. Soweit alles gut, nur, wenn ich aus OWA in neues Fenster z.B. neue Email oder lesen einer Mail im Browser) öffnen, ist dieses leer. Den Quelltest der Seite (https://meinexcange//owa/projection.aspx) kann ich mir anzeigen lassen, aber die Seite wird nicht dargestellt.
Im Log der WebProtection kann ich leider keinen Hinweis finden, was genau die Ursache ist.
Hat ansonsten jemand das Problem oder besser eine Lösung.
Habe identisches Problem, gibt es dazu eine Lösung?
Wir setzen ein Exchange DAG hinter einem Kemp Loadbalancer und der WebApplication Firewall von Sophos ein. Es kam nun die Diskussion auf ob man den Kemp „sparen“ kann.
Angesteuert wird das über Split DNS so dass der externe Verkehr auf der Sophos aufläuft und der interne direkt auf der Kemp.
Neben den HTTP(S) Zugriffen ist die Kemp auch für das Loadbalancing von SMTP,IMAP,SMTPS,IMAPS zuständig.
Funktioniert das zwischenzeitlich?
Ich habe mir die obige Diskussion angeschaut, mit ist aber nicht ganz klar geworden wo genau die Knackpunkte liegen.
Es scheint Probleme mit der Authentifizierung, der Session Awareness und der Prüfung der Verfügbarkeit zu geben.
Erkennt die Sophos im Fall von mehreren Real Servers überhaupt wenn einer dieser komplett ausfällt bzw. einer der Dienste auf einem der Server nicht erreichbar ist.
Hallo zusammen,
ich habe die UTM bei vielen Kunden im Einsatz und aktuell das Problem, dass ein Kunde eine Exchange Hybrid Lösung im Einsatz hat. Die Sophos mach alles was sie soll, jedoch besteht das Problem wenn der Kunde Userpostfächer verschieben will, fällt das auf die Nase. Das liegt ohl daran, dass bei der Hybridlkonstellation, die CLoud wohl direkten Zugriff (ohne SSL Offloading) auf den Exchnage CAS benötigt.
Wenn der Kunde das NAT auf der First Line of Defense nicht auf die Sophos stellt, sondern direkt auf den CAS, funktioniert der Usermove. Stellt man das NAT wieder auf die UTM funktioniert der Mailboxmove wieder nicht. Nach etlichen Stunden googlen ergab sich das Thema MSR Proxy. gibt es eine möglichekeit nur einen bestimmten Pfad vom Virtualserver zu naten?
Zur Lösung von Lars Dittmar kann man noch etwas anfügen: Die Webserver einer DAG als Real Webserver in die Firewall eintragen (IP mäßig), die Real Webserver im Virtual Webserver markieren und im Site Path Routing den Haken beim hot-standby aktivieren. Damit wird die Load Balancing Funktion deaktiviert und lediglich der in der Priorität oberste Server verwendet, die anderen werden zu Standby Servern.
Sicherlich nicht die schönste Methode, für kleine Umgebungen in denen es hauptsächlich um Verfügbarkeit geht, eine Alternative.
Eine Verständnisfrage zu den Ausnahmen: Warum werden zuerst Optionen gesetzt (z.B. aktiviertes URL-hardening bei Autodiscover), um sie dann später wieder in den Exceptions aufzuheben?
Die WAF der 9.5 läuft wohl doch nicht mit 2 echten Webservern. Zu früh gefreut.
Wenn jeweils der als erster eingetragene Real_Server im Virtuelle Eintrag stirbt, wird der zweite gelb. Aber eine andere Lösung ist es, einen realen Webserver als DNS-Host zu definieren. Auf diese Weise übernimmt der interne DNS, falls ihm denn alle Exchangeserver einer DAG bekannt sind (identische Einträge für mail.xxx.de im internen DNS = round robin) die Aulösung. Allerdings hat das auch einen Haken: Wenn der Server IP_mäßig noch erreichbar, aber sein IIS weg ist oder Exchangedienste nicht laufen, merkt das die WAF nicht. Da müsste jemand eine Idee für eine passende Linküberwachung in der UTM haben.
Hallo Frank,
Ich habe mich nur gewundert, das 9.5 auf Anhieb mit zwei Exchange_Servern lief. Da hatten
bisher alle Probleme?
Die Passwortabfragen sind kein Problem der UTM, sie sind ein generelles Problem seit EX2016, dass
einiger meiner Kollegen haben. Meist Outlook2016 / Exchange2016 und mit nichts zu beseitigen.
Das Roundrobin ist für 15 Outlookclients völlig ok. Ein interner DNS liefert immer abwechseln den
einen oder anderen Exchange. Niemand merkt, wenn ein Server mal in der Wartung ist. Ich konnte
bisher keine negativen Dinge feststellen. Die Passwortabfragen waren auch vorher schon da…
Gruß, Lars
Hallo Frank, – Christian,
wie immer perfekt! Man googled nicht Exchange… oder Outlokk… sondern +Frank Exchange…
Ich habe in der UTM9 – 9.505-4 beide Exchangeserver der DAG als echte Webserver angelegt
und beide in den virtuellen Webservern eingetragen. Es funktioniert offenbar. Hat Sophos etwa etwas
geändert? Lediglich die nervigen Passwortabfragen bei Outlook (seit Exchange 2016 wohl nicht
behebbarer Standard) sind auch extern wieder da. Intern nutze ich einen DNS als round robin.
Habe schon alles, was dazu findbar ist probiert, inkl. neuer Outlookinstallation… Aber keine
Besserung. Man kann die Passwortabfrage wegklicken, die Verbindung geht auch dann, aber das Fenster
kommt alle Nase lang wieder.
Viele Grüße
Lars
Hallo Lars,
ich erstelle mal ein aktuelles Howto für Exchange 2016 und die UTM 9.5. Hier gibt es auch keine Passwortabfragen, allerdings würde ich DNS Roundrobin nicht unbedingt in einer produktiven Umgebung mit DAG einsetzen…
Gruß,
Frank
Hallo Frank,
gibt es mittlerweile ein Update vom Sophos Support bezüglich der Funktionalität zwischen WAF und Exchange DAG? Was wäre ein gangbarer Weg um die DAG mit Sophos, aber ohne Loadbalancer zu nutzen?
Viele Grüße,
Christian
Hallo
Leider funktioniert das bei mir nicht. Ich muss Statisches URL-Hardening deaktivieren, damit ich die Webseite aufrufen kann, mache ich das nicht dann kommt folgende Meldung:
„Request blocked The web application firewall has blocked access to /owa/auth/logon.aspx for the following reason: No signature found“
Auch muss ich die Option „Clients mit schlechtem Ruf blockieren“ deaktivieren, sonst kann ich mit meinem WP10 keine Verbindung auf den Exchange Server machen. Kann mir da jemand helfen?
Hallo,
ich habe die Anleitung und die Ausnahme mit OWA für die Version 9.5x in unserem Unterhnehme umgesetzt bzw. gestestet. Es funktioniert alles, bis auf die für uns leider wichtigen IPhones. Andere Telefone funktionieren. Hat jemand eine Lösung oder einen Tipp für das ActiveSync mit Apple.
LG
Hallo zusammen,
eventuell hilft euch ja dier link weiter:
http://techgenix.com/issues-activesync-after-moving-user-mailboxes-to-exchange-2010-466/
LG
Gleiches Problem mit den iPhones bei uns. Sind nur neue iPhones betroffen, alte iPhones arbeiten normal. Jemand eine Idee?
Ach ja, die Ausnahme gilt für „Statisches URL-Hardening“
Muss mich auch Outen bin Legastheniker. Ihr könnt alle gefundenen Fehler behalten :-)
Mfg
Hallo,
ich habe mit 9.502-4 die selben Probleme mit /owa_……_form sowie /ecp_……_form gehabt und die dadurch gelöst, dass ich in den Ausnahmelisten für OWA einen Eintrag erstellt habe:
/owa_………_form*
Danach erschien bei mit wieder die Anmeldemaske.
@Frank
Deine Seite ist toll, danke dafür!
Mfg
Hello. I followed the instructions to configure Waf + Exchange. Everything seems ok, but when I configure an Exchange account at an Android device, I have to set SSL/TLS (Accept all certificates)“ instead ofSSL/TLS (when NAT+packet filter rule is used). Similarly when I configure owncloud app I am asked if the certificate is to be trusted. When NAT+packet filter rule is used, no problem. The certificates are from public providers and not self-signed. Any idea why this happens?
Thanks in advance
Hallo,
Habe nach dem Update auf die Version 9.502-4 das gleiche Problem. Komme mit meinem Browser nicht mehr auf die
/owa Seite. Bekomme folgende Fehlermeldung:
The web application firewall has blocked access to /owa_nafnbcnssuoghy_form for the following reason:
No signature found.
ActiveSync, ECP usw. funktionieren.
Werde nachher mal die Lösung von funserver Testen und berichten.
Mfg
Hallo,
Ich habe gestern das Update auf die Version 9.502-4 gemacht, und hier habe ich das Problem dass nun folgende Einträge in der WSF erscheinen:
2017:07:24-12:41:44 utm httpd[7066]: [url_hardening:error] [pid 7066:tid 3970616176] [client 80.92.117.27:16143] No signature found, URI: https://xxxxxxxx.xxxxxxxxxx.at/owa_myzlfiweagafkuute_form?L293YS8/Yk89MQ==
2017:07:24-12:41:44 utm httpd: id=“0299″ srcip=“xxx.92.xxx.27″ localip=“xx.92.xxx.171″ size=“222″ user=“-“ host=“xxx.92.xxx.27″ method=“GET“ statuscode=“403″ reason=“url hardening“ extra=“No signature found“ exceptions=“-“ time=“2995″ url=“/owa_myzlfiweagafkuute_form“ server=“xxxxxx.xxxxxxxxxxx.com“ port=“443″ query=“?L293YS8/Yk89MQ==“ referer=“-“ cookie=“-“ set-cookie=“-“ uid=“WXXO6FBccK0AABuaR18AAAB3″
ich musste nun in den exceptions zusätzlich zu /owa/ noch das /owa* hinzufügen…
Gibt es da eine neue vorgehensweise?
Danke und LG
Hallo,
Vielen Dank für die Anleitung. alles funktioniert wunderbar, nur mit dem IPhone kann ich keine Verbindung über Active Sync herstellen. Zumindest nicht neu konfigurieren, von bestehenden Iphone Connections habe ich nichts gehört, dass es nicht mehr funktionieren würde.
habt ihr eine Idee an was es legen könnten? Habe 9.501 im Einsatz.
Vielen Dank!
Tobias
Hallo,
erst einmal vielen Dank! Ein Problem habe ich noch – vielleicht hat jemand einen Tipp oder einen Link.
Outlook ANywhere funktioniert extern einwandfrei, wenn ich das auf Standard- bzw. Basic-Auth einstelle. Aber dann wird im internen Netz beim Start von Outlook eine ANmeldung verlangt. (Exchange 2010, Split-DNS)
Viele Grüße!
Oliver
Hallo zusammen,
ich habe die Konfiguration wie oben beschrieben durch geführt! Nur leider funktioniert die APP OWA für iPhone nicht! Bekomme immer die Fehlermeldung „keine Verbindung zum Server“ hat jemand eine Idee? Alles andere funktioniert einwandfrei!
Hallo Frank,
ich verwende die UTM 9.5 und da hat bei den Firewall Profilen einige Änderungen gegeben, wen ich das so wie bei dir beschreiben für den Test umsetze funktioniert eigentlich alles bis auf ActiveSync das kann ich auf einem iPhone zwar einrichten (überall einen hacken) nur wen ich dann in die Mail App wechsle erhalte ich folgenden Fehler:
E-Mails können nicht empfangen werden
Die Verbindung mit dem Server ist fehlgeschlagen
Hat hier evtl. jemand einen Tipp woran das liegen könnte?
Grüsse
Michael
Hallo Frank,
ja habe es bei beiden Verzeichnissen umgestellt :/ Ganz komische Sache…
Gruss Patrick
Hi Frank,
danke für die super Anleitung.
Ich hatte bis vor kurzem Exchange 2013, alles funktionierte.
Jetzt mit 2016 muss ich mich beim OWA doppelt authentifizieren. Wie du oben schreibst, habe ich auf Standardauthenzifizierung umgestellt anstatt Formbased und es klappt.
Sobald ich das umstelle, komme ich aber nicht mehr ins ECP (lokal direkt auf dem Exchange zb)…
Eine Idee?
Danke,
Gruss Patrick
Hi Patrick,
hast du daran gedacht auch die Auth. Metode für /ECP auf Standardauthentifizierung umzustellen?
Gruß, Frank
Hey nochmal,
waren nur paar Buchstabendreher meinerseits. Mir ist lediglich aufgefallen das du unter Ausnahmen Outlook Anywhere /MAPI/* anstelle von /Mapi/* stehen hast. Oder muss das so sein? Würde eigentlich nicht zu dem Rest der Anleitung passen und auch nicht zu einem Pfad / einer Beschreibung in Exchange?!
Hi Steven,
stimmt, eigentlich müsste es /Mapi/* heißen. Danke für den Hinweis. Die UTM arbeitet Case Sensitive, daher macht es einen Unterschied ob /Mapi oder /mapi aufgerufen wird. Allerdings verbindet sich Outlook immer zu /mapi.
Gruß, Frank
Hallo nochmal,
vergiss bitte meinen letzten Kommentar und bemühe deine wertvollen Gehirnteilen nicht dafür. Ich hab noch ein paar kleine Rechtschreibfehler entdeckt. Jetzt läuft alles super!
Trotzdem vielen Dank für deine großartigen Anleitungen!
Hi Steven,
Danke für das Lob und schön das es funktioniert. Sind die Rechtsschreibfehler in dieser Anleitung? Wenn ja, würde ich die gerne korrigieren.
Gruß, Frank
Hallo Frank,
auch von mir ein großes Dankeschön für deine Anleitung.
Ich habe alles nach Ihr eingestellt und es funktioniert alles außer Outlook.
Vorher lief alles über NAT ohne Probleme.
Ich kann mich in OWA, ECP usw. überall anmelden und Mails versenden. Autodiscovery scheint auch ohne Probleme zu funktionieren, sprich Outlook erkennt alle Settings, stellt die Verbindung her und bittet dann um einen Neustart. Beim erneuten Starten von Outlook kann er allerdings keine Verbindung mehr herstellen.
Hast du eine Idee oder zumindest einen Anhaltspunkt woran das liegen könnte?
Getestet unter:
Server 2016, Exchange 2016, Outlook 2013-2016
Danke Vorab für deine Bemühungen.
Viele Grüße
Steve
Hallo Frank,
entschuldigung fur meine Deutsch. ist nicht meine native sprache. danke fur diesem artikel. hab shon in einem lab diese configuration getestet und es functioniert perfect. das einige probleme was ich hat ist mit mobile zugang. es bleibt fragen fur login. hast du einem idee was es kann sein? habst alle logs und livelogs durch gelezen abe kann nichts sehen. danke
Hi,
du brauchst dich nicht zu entschuldigen (and if it’s easier for you, we could switch to English as well).
Mit welchem Protokoll treten die Probleme auf? ActiveSync, RPCoverHTTP oder MAPIoverHTTP?
Gruß, Frank
Hallo,
wie kann ich /ecp Directory über WAF sperren?möchte dass es von extern nicht erreichbar ist.
mfg Sebastian
Hi,
wenn du das ECP Verzeichnis direkt an der WAF sperrst, können Benutzer auch keine Einstellungen mehr vornehmen (Regeln, Abwesenheitsassistent). Wenn es nur einen Exchange Server im Unternehmen gibt, wird es relativ schwierig, vielleicht hilft dir aber dieses hier weiter:
https://www.frankysweb.de/exchange-2016-eac-nur-im-internen-netzwerk-freigeben/
(Das hat allerdings so seine Tücken…)
Gruß, Frank
Hi Frank,
ich habe die Anforderung, den Zugang zur EAC von außen, per HTTPS, zu verhindern.
Derzeit läuft Exchange 2013 (ein Server) und eine UTM 9.409.
Kann ich die im Artikel beschriebenen Einstellungen 1 zu 1 so auch für Exchange 2013 verwenden?
Insbesondere die „Outlook Anywhere“ & „OWA Antivirus“ Exceptions (/owa/ev.owa* /OWA/ev.owa*)?
Die im Artikel beschriebene Konfiguration habe ich soweit abgebildet, aber Outlook Anywhere funktioniert nicht mehr. Und den Artikel zum 2013er Exchange habe ich nicht mehr gefunden.
Gruß Frank
Hi Frank,
ich habe es mit Exchange 2013 zwar nicht getestet, es sollte aber funktionieren. Ggf mal die UTM auf das aktuelle Release bringen.
Gruß, Frank
Hallo Frank,
erstmal vielen Dank für das hilfreiche HowTo! Das hat mir einige schlaflose Nächte erspart ;)
Ich habe jedoch ein Problem bei mehreren Installationen, dass Outlook for Mac 2016 beim senden von Mails einen „unknown error“ raushaut. Das Mail bleibt kurz in der Outbox, wird aber dann gesendet. Ich versuch mich momentan durch die WAF und Exchange Logs zu arbeiten, eine Lösung ist momentan aber noch nicht da.
Vielen Dank falls du einen Tipp hast!
Gruß,
Lukas
Hi Lukas,
Outlook for Mac nutzt meines Wissens die EWS Schnittstelle, ich muss allerdings zugeben, dass ich in Sachen Mac (und Office for Mac) nicht sicher bin. Ich denke es könnte eine Filterregel anschlagen und Probleme verursachen. Falls ja, sollte dass in den WAF Logs erkenntlich sein. Einen direkten Tipp, welche Regel es sein könnte habe ich allerdings nicht.
Gruß, Frank
Hallo Dirk,
hast du den HAProxy als Single Node aufgesetzt oder ebenfalls wieder HA Pair?
Ich möchte eigentlich einen zusätzlichen Aufwand bzw. Single Point of Failure vermeiden, deswegen hat man ja schließlich eine Sophos…
Bin mal gespannt wann Sophos das Problem behebt.
Grüße
Philipp
Hi Philipp,
ich habs als Single-Node aufgesetzt, allerdinsg in einer VM, die in einem VMWare-HA-CLuster steht. Für meine Zwecke reicht das und dass der Proxy logisch beim Packet Forwarding abkachelt, ist von der Wahrscheinlichkeit her eher gering. Muss man aber im gegebenen Umfeld neu bewerten. Soweit ich weiß, kann man den HAProxy auch in sich als Cluster aufsetzen. Ich hab das Teil jetzt seit knapp 2 Monaten am Laufen und bisher war es fire&forget. Das Teil läuft einfach.
Gruß,
Dirk
Hi Frank,
ich habe alles genau wie bei dir gezeigt eingestellt und wir hängen nun leider am selben fehler wie DIrk Pauli am 16. Dezember 2016 geschrieben hat.
Also wir haben 4x Exchange 2016 Server und wenn wir alle 4 als Real-Server eintragen wird man durchgehend nach dem Passwort im Outlook gefragt. Wenn nur ein Server in der Liste ist, dann geht alles.
Gibts hierfür schon ne Lösung?
Wir wollten die UTM eben auch als Loadbalancer hierfür nutzen.
Als Realserver ein virtuelles Interface der UTM eintragen und dann auf dieses über die Server-LoadBalancing Funktion https / 443 aufteilen? Vermutlich geht das, aber ziemliches gemurkse -> unschön.
Grüße
Tobias
Hi Tobias,
das Problem ist leider bekannt. Die UTM kann in diesem Fall nur mit einem Exchange Server umgehen. Auch der Weg von der WAF auf das UTM Loadbalancing Feature zu verweisen, funktioniert nicht. Das Problem ist schon mehrfach an Sophos gemeldet worden, aber leider immer noch nicht behoben. Bei mehreren Exchange Servern muss in diesem Fall ein externer Loadbalancer eingesetzt werden.
Gruß, Frank
Hi Tobias,
schau Dir mal den HAProxy an. Ich habe mir damit einen schlanken, Ubuntu-basierten Layer-4 LB aufgesetzt und diesen als Real-Server in der Sophos eingetragen. Funktioniert bei mir tadellos.
Gruß,
Dirk
Hallo Frank, vielen Dank für den hilfreichen Beitrag!!! Kannst du mir sagen ob ich deine aktuelle Anleitung auch in der Kombination UTM 9.4 und Exchange 2010 umsetzen kann.
Vielen Dank.
Lieben Gruß,
Benny
Hi Benny,
hab ich zwar nicht probiert, sollte aber funktionieren.
Gruß, Frank
Hallo, funktioniert anscheinend auch mit Exchange 2013 und der 9.4
Habe es gerade mal umgesetzt und getestet, es bekommt dann zwar jeder USer nochmal die Abfrage nach Username und Passwort aber mit bestätigen dieser und der Option „PAsswort speichern“ scheint es zu funktionieren, obwohl ich im Exchange formularbasierte Authentifizierung aktiviert habe.
Kannst Du das bestätigen/nachstellen?
VG
Dieses Problem habe ich auch. Habe schon tausend Lösungsansätze ausprobiert, komme aber nicht zur Beseitigung des Problems.
Hi,
vielen Dank für den super Artikel. Ich habe hier eine DAG aus 2x Exchange 2016 CU3 und eine UTM mit Firmware 9.408-4. Alles so eingerichtet wie im Artikel beschrieben. Dennoch habe ich das Problem, dass meine Clients (Outlook 2016) immer nach Benutzername und PW fragen. Stelle ich den Virtuellen Webserver aus und richte in der UTM statt dessen eine HTTPS-Weiterleitung via Server Load Balancing ein, läuft alles problemlos (nur habe ich dann auch keine Filterung durch die UTM). Woran könnte das noch liegen?
Hi Dirk,
ich nehme an du hast bei den Real Server der WAF dann eine DNS Hostgruppe angegeben? Das wird soweit ich weiß nicht von der WAF unterstützt, probiere mal in der WAF nur einen der beiden Exchange Server anzugeben. Funktioniert es dann?
Gruß, Frank
Hi Frank,
interessant… Ich habe heute mal ein bisschen rumgespielt:
1) gebe ich als Real Webserver die DAG-Adresse an, geht gar nichts; ich bekomme nicht mal eine initiale Connection hin, auch das Webinterface zeigt sich nicht
2) gebe ich genau EINEN der beiden Member-Server als Real Webserver an, funktioniert alles fein.
3) aktivie ich BEIDE Member-Server der DAG als Real Webserver, bekomme ich kurz einen Connect und kurz darauf fragt mich Outlook wieder nach Zugangsdaten.
Ich hatte vorher Variante #3. Meine Interpretation ist, dass der Virt. Webserver das LB nicht/nicht sauber macht. Ein kurzer Versuch, als Real Webserver eine Firewall-Adresse einzuführen, die ich dann wiederum unter Network Protection -> Server Load Balancing definiert habe, schlug leider auch fehl. Scheint so, als müsste ich mir einen „externen“ LB suchen.
Gruß,
Dirk
Hi Dirk,
richtig, das ist leider ein Problem der WAF. Ein separater Loadbalancer würde helfen.
Gruß, Frank
Load Balacing kann WAF nicht.
Ich habe das erstmal mit „Hot-Standby-Modus“ konfiguriert
Hallo Franck,
Vielen Dank für dieses Tutorial sehr gut gemacht. die Veröffentlichung von OWA arbeitet mit Sophos, aber ich muss mich 2 mal authentifiziert, 1 Mal Sohos dann Austausch.
Ist es möglich, eine einzelne Authentifizierungsseite zu haben?
Vielen Dank für Ihre Antwort.
herzlich
Philippe
Hi,
die Authentifizierungsmethode für das virtuelle Verzeichnis /OWA muss am Exchange Server auf Standard Authentifizierung umgestellt werden. Wahrscheinlich steht es bei dir auf „Formular basiert“.
Gruß, Frank
Hallo,
ich habe eine Problem mit der Sophos und Autodiscover und owa.
Über die Hauptdomain: mail.meinedomain1.de funktioniert alles tadellos. Jetzt möchte ich aber eine zweite Domain über Owa anbinden. mail.meinedomain2.de und natürlich Autodiscover.meinedomain2.de. Ich habe mein meinem Provider ein cname eingetragen: mail.meinedomain2.de cname mail.meinedomain1.de.
Leider bekomme ich wenn ich mail.meinedomain2.de aufrufe Request block No signature found.
Hast du noch Idee? Domain in der Sophos ist eingetragen.
Hi,
ich glaube nicht das es mit der UTM auf dem Weg funktioniert. Anstatt eines CNAMES könntest du einen SRV Record verwenden, das läuft bei mir problemlos.
Gruß, Frank
So, hab das Problem selbst gelöst. War ein dummer Typo. Die UTM ist ja Linux und deshalb case sensitive. Da macht es halt einen Unterschied ob man ActiveSync oder Activesync schreibt. :-) Jetzt läuft’s.
Hi, ich hab das auch mal so umgesetzt, hab aber den Autodiscover Part weggelassen. OWA über Browser funktioniert und auf dem iOS bekomme ich beim Einrichten vom Profil auch überall einen Haken, sieht also soweit gut aus, aber die Mails werden offenbar nicht synchronisiert. Woran kann denn das liegen?
Outlook Anywhere does not work for me. I’ve got split brain DNS set up and configured the UTM exactly as in the guide but I just get repeated logon prompts when setting up an exchange email account in Outlook.
Vielen Dank für diesen Artikel. Ich habe unser System heute nach Deiner Anleitung angepasst und alles funktioniert wie gewünscht. Probleme hatten wir danach nur noch, weil unser Mailserver intern einen von der von außen erreichbaren Domain abweichenden Namen trägt und es daher beim Autodiscover zu Zertifikatsfehlern kam. Da Autodiscover für „draußen“ aber nicht erforderlich ist, haben wir das dann so gelöst, dass wir die internen Namen (cas.intern.subdomain.stollfuss.de und mailserver.intern.subdomain.stollfuss.de) bei unserem Provider als Subdomains angelegt und diese auf 127.0.0.1 verbogen haben. Nun scheitert das (überflüssige) Autodiscover still im Hintergrund und die Verbindung wird ohne Zertifikatsfehler aufgebaut. Vielleicht nicht die sauberste Lösung – aber es funktioniert ;)
Hi,
wir setzen nach deiner „alten“ Anleitung (stand Jan 2016) eine Sophos mit 9.3 und Exchange 2013 ein. Glaubst du wir können die Sophos auf 9.4 updaten und es läuft weiter ?
Danke für diesen Artikel! Hat sehr geholfen und hat auf Anhieb funktioniert! Endlich mal wieder eine Webseite aus der Praxis für die Praxis. Keine sinnlosen Texte wie auf den ganzen „Tech Blog“ Seiten. Kurz und Knapp! Auch dein Autodiscover Artikel hat mehr geholfen als die ganzen Bücher, TechNet und „Blogs“ der letzten Jahre.
Hallo Frank, ich bin auch noch auf der Suche nach einem TMG Nachfolger und man liest allerorts von Sophos UTM als sinnvollste Alternative. Bei Deinen Posts verstehe ich es jedoch so, dass die Authentifizierung jeweils am Backend (also in diesem Fall Exchange selbst) vorgenommen wird. Bei TMG haben wir mit „Kerberos constrained Delegation“ gearbeitet und nach meinem Verständnis wurde die Authentifizierung am TMG durchgeführt und dann weitergereicht. Ist das mit der UTM auch so möglich oder liege ich mit meiner Annahme falsch?
gibt es hierfür beim Exchange 2010 etwas zu beachten, oder kann man analog vorgehen.
Kann man hierfür auch die feie Home Version verwenden?
Ja. Ich habe es mit der Home Lizenz getestet.
Hallo Frank,
Hast du eine Möglichkeit gefunden via WAF eine https Umleitung zu erstellen?
Beispiel: ->
Gruss
Michael
Hi Michael,
die Umleitung von / nach /owa übernimmt Exchange 2016 per Default. Das HTTP zu HTTPS Redirect wird am Virtual Server an der UTM aktiviert.
Gruß, Frank