Sophos UTM 9.4 WAF und Exchange 2016

Für Exchange 2010 und Exchange 2013 hatte ich ja hier bereits Artikel für die Sophos UTM Webserver Protection (WAF) veröffentlicht. Da es aber mittlerweile Exchange 2016 veröffentlicht wurde und auch die Sophos UTM in einer aktuelleren Version vorliegt, gibt es an dieser Stelle mal wieder ein Update.

Umgebung (UTM und Exchange)

UTM Umgebung

Exchange Server 2016 CU1 und Sophos UTM 9.400-9 sind die eingesetzten Versionen. Die Exchange URLs lauten intern, sowie extern auf mail.frankysweb.de und es wird Split-Brain DNS eingesetzt.

Als ersten kann das Zertifikat installiert werden. Ich verwende ein Wildcard Zertifikat (*.frankysweb.de). Es funktioniert aber auch, wenn nur die externen Hostnamen auf dem Zertifikat hinterlegt sind (als Beispiel autodiscover.frankysweb.de und mail.frankysweb.de).

Zertifikat

 

Wichtig: Es muss ein SAN-Zertifikat genutzt werden, also ein Zertifikat welches mindestens die beiden externen Namen enthält, es können nicht 2 Zertifikate mit je einem Namen verwendet werden.

Nachdem das Zertifikat installiert wurde, wird der Real Webserver angelegt, hierbei handelt es sich um den Exchange Server der bei mir intern, sowie extern mail.frankysweb.de heißt:

Real Server

 

Jetzt müssen die Firewall Profile angelegt werden. In diesem Fall werden zwei Firewall Profile benötigt, eins für Autodiscover und eins für die restlichen Exchange Webservices.

Firewall Profile

Einstellungen für das Autodiscover Firewall Profile

Firewall Profile

Entry URLs:

/autodiscover
/Autodiscover

Skip Filter Rules:

  • 960015
  • 960911
Einstellungen Exchange Webservices Firewall Profile

Firewall Profile

Entry URLs:

/ecp
/ECP
/ews
/EWS
/Microsoft-Server-ActiveSync
/oab
/OAB
/owa
/OWA
/rpc
/RPC
/mapi
/Mapi
/

Skip Filter Rules:

  • 960015
  • 981203
  • 960010
  • 960018
  • 981204
  • 960032
  • 981176
Virtual Webserver

Jetzt können die Virtual Webserver angelegt werden. Hier werden ebenfalls zwei virtuelle Webserver angelegt, einen für Autodiscover und einen für die restlichen Webservices:

Virtual Server

Hier die Einstellungen für den Autodiscover Virtual Webserver:

Virtual Server

Und hier für die restlichen Exchange Webservices:

Virtual Server

Ausnahmen

Damit alle Dienste korrekt funktionieren, werden noch Ausnahmen benötigt

Autodiscover:

Ausnahme

Paths:

/autodiscover/*
/Autodiscover/*

OWA Antivirus:

07-04-_2016_20-44-00

Paths:

/owa/ev.owa*
/OWA/ev.owa*

Outlook Anywhere (RPCoverHTTP und MAPIoverHTTP)

07-04-_2016_20-46-11

Paths:

/rpc/*
/RPC/*
/mapi/*
/MAPI/*

Exchange Webservices

07-04-_2016_20-47-53

Paths:

/ecp/*
/ECP/*
/ews/*
/EWS/*
/Microsoft-Server-ActiveSync*
/oab/*
/OAB/*
/owa/*
/OWA/*

Fertig.

74 Kommentare zu “Sophos UTM 9.4 WAF und Exchange 2016”

  1. Hallo Frank,

    Hast du eine Möglichkeit gefunden via WAF eine https Umleitung zu erstellen?
    Beispiel: ->

    Gruss
    Michael

    1. Hi Michael,
      die Umleitung von / nach /owa übernimmt Exchange 2016 per Default. Das HTTP zu HTTPS Redirect wird am Virtual Server an der UTM aktiviert.
      Gruß, Frank

  2. Hallo Frank, ich bin auch noch auf der Suche nach einem TMG Nachfolger und man liest allerorts von Sophos UTM als sinnvollste Alternative. Bei Deinen Posts verstehe ich es jedoch so, dass die Authentifizierung jeweils am Backend (also in diesem Fall Exchange selbst) vorgenommen wird. Bei TMG haben wir mit „Kerberos constrained Delegation“ gearbeitet und nach meinem Verständnis wurde die Authentifizierung am TMG durchgeführt und dann weitergereicht. Ist das mit der UTM auch so möglich oder liege ich mit meiner Annahme falsch?

  3. Danke für diesen Artikel! Hat sehr geholfen und hat auf Anhieb funktioniert! Endlich mal wieder eine Webseite aus der Praxis für die Praxis. Keine sinnlosen Texte wie auf den ganzen „Tech Blog“ Seiten. Kurz und Knapp! Auch dein Autodiscover Artikel hat mehr geholfen als die ganzen Bücher, TechNet und „Blogs“ der letzten Jahre.

  4. Hi,

    wir setzen nach deiner „alten“ Anleitung (stand Jan 2016) eine Sophos mit 9.3 und Exchange 2013 ein. Glaubst du wir können die Sophos auf 9.4 updaten und es läuft weiter ?

  5. Vielen Dank für diesen Artikel. Ich habe unser System heute nach Deiner Anleitung angepasst und alles funktioniert wie gewünscht. Probleme hatten wir danach nur noch, weil unser Mailserver intern einen von der von außen erreichbaren Domain abweichenden Namen trägt und es daher beim Autodiscover zu Zertifikatsfehlern kam. Da Autodiscover für „draußen“ aber nicht erforderlich ist, haben wir das dann so gelöst, dass wir die internen Namen (cas.intern.subdomain.stollfuss.de und mailserver.intern.subdomain.stollfuss.de) bei unserem Provider als Subdomains angelegt und diese auf 127.0.0.1 verbogen haben. Nun scheitert das (überflüssige) Autodiscover still im Hintergrund und die Verbindung wird ohne Zertifikatsfehler aufgebaut. Vielleicht nicht die sauberste Lösung – aber es funktioniert ;)

  6. Outlook Anywhere does not work for me. I’ve got split brain DNS set up and configured the UTM exactly as in the guide but I just get repeated logon prompts when setting up an exchange email account in Outlook.

  7. Hi, ich hab das auch mal so umgesetzt, hab aber den Autodiscover Part weggelassen. OWA über Browser funktioniert und auf dem iOS bekomme ich beim Einrichten vom Profil auch überall einen Haken, sieht also soweit gut aus, aber die Mails werden offenbar nicht synchronisiert. Woran kann denn das liegen?

  8. So, hab das Problem selbst gelöst. War ein dummer Typo. Die UTM ist ja Linux und deshalb case sensitive. Da macht es halt einen Unterschied ob man ActiveSync oder Activesync schreibt. :-) Jetzt läuft’s.

  9. Hallo,

    ich habe eine Problem mit der Sophos und Autodiscover und owa.
    Über die Hauptdomain: mail.meinedomain1.de funktioniert alles tadellos. Jetzt möchte ich aber eine zweite Domain über Owa anbinden. mail.meinedomain2.de und natürlich Autodiscover.meinedomain2.de. Ich habe mein meinem Provider ein cname eingetragen: mail.meinedomain2.de cname mail.meinedomain1.de.
    Leider bekomme ich wenn ich mail.meinedomain2.de aufrufe Request block No signature found.

    Hast du noch Idee? Domain in der Sophos ist eingetragen.

    1. Hi,
      ich glaube nicht das es mit der UTM auf dem Weg funktioniert. Anstatt eines CNAMES könntest du einen SRV Record verwenden, das läuft bei mir problemlos.

      Gruß, Frank

  10. Hallo Franck,
    Vielen Dank für dieses Tutorial sehr gut gemacht. die Veröffentlichung von OWA arbeitet mit Sophos, aber ich muss mich 2 mal authentifiziert, 1 Mal Sohos dann Austausch.
    Ist es möglich, eine einzelne Authentifizierungsseite zu haben?
    Vielen Dank für Ihre Antwort.
    herzlich
    Philippe

    1. Hi,
      die Authentifizierungsmethode für das virtuelle Verzeichnis /OWA muss am Exchange Server auf Standard Authentifizierung umgestellt werden. Wahrscheinlich steht es bei dir auf „Formular basiert“.
      Gruß, Frank

  11. Hi,
    vielen Dank für den super Artikel. Ich habe hier eine DAG aus 2x Exchange 2016 CU3 und eine UTM mit Firmware 9.408-4. Alles so eingerichtet wie im Artikel beschrieben. Dennoch habe ich das Problem, dass meine Clients (Outlook 2016) immer nach Benutzername und PW fragen. Stelle ich den Virtuellen Webserver aus und richte in der UTM statt dessen eine HTTPS-Weiterleitung via Server Load Balancing ein, läuft alles problemlos (nur habe ich dann auch keine Filterung durch die UTM). Woran könnte das noch liegen?

    1. Hi Dirk,
      ich nehme an du hast bei den Real Server der WAF dann eine DNS Hostgruppe angegeben? Das wird soweit ich weiß nicht von der WAF unterstützt, probiere mal in der WAF nur einen der beiden Exchange Server anzugeben. Funktioniert es dann?
      Gruß, Frank

      1. Hi Frank,
        interessant… Ich habe heute mal ein bisschen rumgespielt:
        1) gebe ich als Real Webserver die DAG-Adresse an, geht gar nichts; ich bekomme nicht mal eine initiale Connection hin, auch das Webinterface zeigt sich nicht
        2) gebe ich genau EINEN der beiden Member-Server als Real Webserver an, funktioniert alles fein.
        3) aktivie ich BEIDE Member-Server der DAG als Real Webserver, bekomme ich kurz einen Connect und kurz darauf fragt mich Outlook wieder nach Zugangsdaten.
        Ich hatte vorher Variante #3. Meine Interpretation ist, dass der Virt. Webserver das LB nicht/nicht sauber macht. Ein kurzer Versuch, als Real Webserver eine Firewall-Adresse einzuführen, die ich dann wiederum unter Network Protection -> Server Load Balancing definiert habe, schlug leider auch fehl. Scheint so, als müsste ich mir einen „externen“ LB suchen.
        Gruß,
        Dirk

        1. Load Balacing kann WAF nicht.
          Ich habe das erstmal mit „Hot-Standby-Modus“ konfiguriert

  12. Hallo, funktioniert anscheinend auch mit Exchange 2013 und der 9.4

    Habe es gerade mal umgesetzt und getestet, es bekommt dann zwar jeder USer nochmal die Abfrage nach Username und Passwort aber mit bestätigen dieser und der Option „PAsswort speichern“ scheint es zu funktionieren, obwohl ich im Exchange formularbasierte Authentifizierung aktiviert habe.

    Kannst Du das bestätigen/nachstellen?

    VG

  13. Hallo Frank, vielen Dank für den hilfreichen Beitrag!!! Kannst du mir sagen ob ich deine aktuelle Anleitung auch in der Kombination UTM 9.4 und Exchange 2010 umsetzen kann.

    Vielen Dank.

    Lieben Gruß,
    Benny

  14. Hi Frank,

    ich habe alles genau wie bei dir gezeigt eingestellt und wir hängen nun leider am selben fehler wie DIrk Pauli am 16. Dezember 2016 geschrieben hat.
    Also wir haben 4x Exchange 2016 Server und wenn wir alle 4 als Real-Server eintragen wird man durchgehend nach dem Passwort im Outlook gefragt. Wenn nur ein Server in der Liste ist, dann geht alles.

    Gibts hierfür schon ne Lösung?
    Wir wollten die UTM eben auch als Loadbalancer hierfür nutzen.
    Als Realserver ein virtuelles Interface der UTM eintragen und dann auf dieses über die Server-LoadBalancing Funktion https / 443 aufteilen? Vermutlich geht das, aber ziemliches gemurkse -> unschön.
    Grüße
    Tobias

    1. Hi Tobias,

      das Problem ist leider bekannt. Die UTM kann in diesem Fall nur mit einem Exchange Server umgehen. Auch der Weg von der WAF auf das UTM Loadbalancing Feature zu verweisen, funktioniert nicht. Das Problem ist schon mehrfach an Sophos gemeldet worden, aber leider immer noch nicht behoben. Bei mehreren Exchange Servern muss in diesem Fall ein externer Loadbalancer eingesetzt werden.

      Gruß, Frank

      1. Hi Tobias,
        schau Dir mal den HAProxy an. Ich habe mir damit einen schlanken, Ubuntu-basierten Layer-4 LB aufgesetzt und diesen als Real-Server in der Sophos eingetragen. Funktioniert bei mir tadellos.

        Gruß,
        Dirk

  15. Hallo Dirk,

    hast du den HAProxy als Single Node aufgesetzt oder ebenfalls wieder HA Pair?

    Ich möchte eigentlich einen zusätzlichen Aufwand bzw. Single Point of Failure vermeiden, deswegen hat man ja schließlich eine Sophos…

    Bin mal gespannt wann Sophos das Problem behebt.

    Grüße

    Philipp

    1. Hi Philipp,
      ich habs als Single-Node aufgesetzt, allerdinsg in einer VM, die in einem VMWare-HA-CLuster steht. Für meine Zwecke reicht das und dass der Proxy logisch beim Packet Forwarding abkachelt, ist von der Wahrscheinlichkeit her eher gering. Muss man aber im gegebenen Umfeld neu bewerten. Soweit ich weiß, kann man den HAProxy auch in sich als Cluster aufsetzen. Ich hab das Teil jetzt seit knapp 2 Monaten am Laufen und bisher war es fire&forget. Das Teil läuft einfach.
      Gruß,
      Dirk

  16. Hallo Frank,
    erstmal vielen Dank für das hilfreiche HowTo! Das hat mir einige schlaflose Nächte erspart ;)
    Ich habe jedoch ein Problem bei mehreren Installationen, dass Outlook for Mac 2016 beim senden von Mails einen „unknown error“ raushaut. Das Mail bleibt kurz in der Outbox, wird aber dann gesendet. Ich versuch mich momentan durch die WAF und Exchange Logs zu arbeiten, eine Lösung ist momentan aber noch nicht da.
    Vielen Dank falls du einen Tipp hast!
    Gruß,
    Lukas

    1. Hi Lukas,
      Outlook for Mac nutzt meines Wissens die EWS Schnittstelle, ich muss allerdings zugeben, dass ich in Sachen Mac (und Office for Mac) nicht sicher bin. Ich denke es könnte eine Filterregel anschlagen und Probleme verursachen. Falls ja, sollte dass in den WAF Logs erkenntlich sein. Einen direkten Tipp, welche Regel es sein könnte habe ich allerdings nicht.
      Gruß, Frank

  17. Hi Frank,

    ich habe die Anforderung, den Zugang zur EAC von außen, per HTTPS, zu verhindern.
    Derzeit läuft Exchange 2013 (ein Server) und eine UTM 9.409.

    Kann ich die im Artikel beschriebenen Einstellungen 1 zu 1 so auch für Exchange 2013 verwenden?
    Insbesondere die „Outlook Anywhere“ & „OWA Antivirus“ Exceptions (/owa/ev.owa* /OWA/ev.owa*)?
    Die im Artikel beschriebene Konfiguration habe ich soweit abgebildet, aber Outlook Anywhere funktioniert nicht mehr. Und den Artikel zum 2013er Exchange habe ich nicht mehr gefunden.

    Gruß Frank

  18. Hallo Frank,

    entschuldigung fur meine Deutsch. ist nicht meine native sprache. danke fur diesem artikel. hab shon in einem lab diese configuration getestet und es functioniert perfect. das einige probleme was ich hat ist mit mobile zugang. es bleibt fragen fur login. hast du einem idee was es kann sein? habst alle logs und livelogs durch gelezen abe kann nichts sehen. danke

    1. Hi,
      du brauchst dich nicht zu entschuldigen (and if it’s easier for you, we could switch to English as well).
      Mit welchem Protokoll treten die Probleme auf? ActiveSync, RPCoverHTTP oder MAPIoverHTTP?
      Gruß, Frank

  19. Hallo Frank,

    auch von mir ein großes Dankeschön für deine Anleitung.
    Ich habe alles nach Ihr eingestellt und es funktioniert alles außer Outlook.
    Vorher lief alles über NAT ohne Probleme.

    Ich kann mich in OWA, ECP usw. überall anmelden und Mails versenden. Autodiscovery scheint auch ohne Probleme zu funktionieren, sprich Outlook erkennt alle Settings, stellt die Verbindung her und bittet dann um einen Neustart. Beim erneuten Starten von Outlook kann er allerdings keine Verbindung mehr herstellen.

    Hast du eine Idee oder zumindest einen Anhaltspunkt woran das liegen könnte?

    Getestet unter:

    Server 2016, Exchange 2016, Outlook 2013-2016

    Danke Vorab für deine Bemühungen.

    Viele Grüße

    Steve

  20. Hallo nochmal,

    vergiss bitte meinen letzten Kommentar und bemühe deine wertvollen Gehirnteilen nicht dafür. Ich hab noch ein paar kleine Rechtschreibfehler entdeckt. Jetzt läuft alles super!

    Trotzdem vielen Dank für deine großartigen Anleitungen!

    1. Hi Steven,
      Danke für das Lob und schön das es funktioniert. Sind die Rechtsschreibfehler in dieser Anleitung? Wenn ja, würde ich die gerne korrigieren.
      Gruß, Frank

  21. Hey nochmal,

    waren nur paar Buchstabendreher meinerseits. Mir ist lediglich aufgefallen das du unter Ausnahmen Outlook Anywhere /MAPI/* anstelle von /Mapi/* stehen hast. Oder muss das so sein? Würde eigentlich nicht zu dem Rest der Anleitung passen und auch nicht zu einem Pfad / einer Beschreibung in Exchange?!

    1. Hi Steven,
      stimmt, eigentlich müsste es /Mapi/* heißen. Danke für den Hinweis. Die UTM arbeitet Case Sensitive, daher macht es einen Unterschied ob /Mapi oder /mapi aufgerufen wird. Allerdings verbindet sich Outlook immer zu /mapi.
      Gruß, Frank

  22. Hi Frank,
    danke für die super Anleitung.

    Ich hatte bis vor kurzem Exchange 2013, alles funktionierte.

    Jetzt mit 2016 muss ich mich beim OWA doppelt authentifizieren. Wie du oben schreibst, habe ich auf Standardauthenzifizierung umgestellt anstatt Formbased und es klappt.
    Sobald ich das umstelle, komme ich aber nicht mehr ins ECP (lokal direkt auf dem Exchange zb)…

    Eine Idee?

    Danke,
    Gruss Patrick

  23. Hallo Frank,
    ich verwende die UTM 9.5 und da hat bei den Firewall Profilen einige Änderungen gegeben, wen ich das so wie bei dir beschreiben für den Test umsetze funktioniert eigentlich alles bis auf ActiveSync das kann ich auf einem iPhone zwar einrichten (überall einen hacken) nur wen ich dann in die Mail App wechsle erhalte ich folgenden Fehler:

    E-Mails können nicht empfangen werden
    Die Verbindung mit dem Server ist fehlgeschlagen

    Hat hier evtl. jemand einen Tipp woran das liegen könnte?

    Grüsse
    Michael

  24. Hallo zusammen,

    ich habe die Konfiguration wie oben beschrieben durch geführt! Nur leider funktioniert die APP OWA für iPhone nicht! Bekomme immer die Fehlermeldung „keine Verbindung zum Server“ hat jemand eine Idee? Alles andere funktioniert einwandfrei!

  25. Hallo,
    erst einmal vielen Dank! Ein Problem habe ich noch – vielleicht hat jemand einen Tipp oder einen Link.
    Outlook ANywhere funktioniert extern einwandfrei, wenn ich das auf Standard- bzw. Basic-Auth einstelle. Aber dann wird im internen Netz beim Start von Outlook eine ANmeldung verlangt. (Exchange 2010, Split-DNS)

    Viele Grüße!
    Oliver

  26. Hallo,

    Vielen Dank für die Anleitung. alles funktioniert wunderbar, nur mit dem IPhone kann ich keine Verbindung über Active Sync herstellen. Zumindest nicht neu konfigurieren, von bestehenden Iphone Connections habe ich nichts gehört, dass es nicht mehr funktionieren würde.

    habt ihr eine Idee an was es legen könnten? Habe 9.501 im Einsatz.

    Vielen Dank!
    Tobias

  27. Hallo,

    Ich habe gestern das Update auf die Version 9.502-4 gemacht, und hier habe ich das Problem dass nun folgende Einträge in der WSF erscheinen:

    2017:07:24-12:41:44 utm httpd[7066]: [url_hardening:error] [pid 7066:tid 3970616176] [client 80.92.117.27:16143] No signature found, URI: https://xxxxxxxx.xxxxxxxxxx.at/owa_myzlfiweagafkuute_form?L293YS8/Yk89MQ==
    2017:07:24-12:41:44 utm httpd: id=“0299″ srcip=“xxx.92.xxx.27″ localip=“xx.92.xxx.171″ size=“222″ user=“-“ host=“xxx.92.xxx.27″ method=“GET“ statuscode=“403″ reason=“url hardening“ extra=“No signature found“ exceptions=“-“ time=“2995″ url=“/owa_myzlfiweagafkuute_form“ server=“xxxxxx.xxxxxxxxxxx.com“ port=“443″ query=“?L293YS8/Yk89MQ==“ referer=“-“ cookie=“-“ set-cookie=“-“ uid=“WXXO6FBccK0AABuaR18AAAB3″

    ich musste nun in den exceptions zusätzlich zu /owa/ noch das /owa* hinzufügen…
    Gibt es da eine neue vorgehensweise?

    Danke und LG

  28. Hallo,

    Habe nach dem Update auf die Version 9.502-4 das gleiche Problem. Komme mit meinem Browser nicht mehr auf die
    /owa Seite. Bekomme folgende Fehlermeldung:

    The web application firewall has blocked access to /owa_nafnbcnssuoghy_form for the following reason:
    No signature found.

    ActiveSync, ECP usw. funktionieren.
    Werde nachher mal die Lösung von funserver Testen und berichten.

    Mfg

  29. Hello. I followed the instructions to configure Waf + Exchange. Everything seems ok, but when I configure an Exchange account at an Android device, I have to set SSL/TLS (Accept all certificates)“ instead ofSSL/TLS (when NAT+packet filter rule is used). Similarly when I configure owncloud app I am asked if the certificate is to be trusted. When NAT+packet filter rule is used, no problem. The certificates are from public providers and not self-signed. Any idea why this happens?
    Thanks in advance

  30. Hallo,
    ich habe mit 9.502-4 die selben Probleme mit /owa_……_form sowie /ecp_……_form gehabt und die dadurch gelöst, dass ich in den Ausnahmelisten für OWA einen Eintrag erstellt habe:
    /owa_………_form*
    Danach erschien bei mit wieder die Anmeldemaske.
    @Frank
    Deine Seite ist toll, danke dafür!
    Mfg

  31. Ach ja, die Ausnahme gilt für „Statisches URL-Hardening“
    Muss mich auch Outen bin Legastheniker. Ihr könnt alle gefundenen Fehler behalten :-)

    Mfg

  32. Hallo,
    ich habe die Anleitung und die Ausnahme mit OWA für die Version 9.5x in unserem Unterhnehme umgesetzt bzw. gestestet. Es funktioniert alles, bis auf die für uns leider wichtigen IPhones. Andere Telefone funktionieren. Hat jemand eine Lösung oder einen Tipp für das ActiveSync mit Apple.
    LG

  33. Hallo
    Leider funktioniert das bei mir nicht. Ich muss Statisches URL-Hardening deaktivieren, damit ich die Webseite aufrufen kann, mache ich das nicht dann kommt folgende Meldung:
    „Request blocked The web application firewall has blocked access to /owa/auth/logon.aspx for the following reason: No signature found“

    Auch muss ich die Option „Clients mit schlechtem Ruf blockieren“ deaktivieren, sonst kann ich mit meinem WP10 keine Verbindung auf den Exchange Server machen. Kann mir da jemand helfen?

  34. Hallo Frank,

    gibt es mittlerweile ein Update vom Sophos Support bezüglich der Funktionalität zwischen WAF und Exchange DAG? Was wäre ein gangbarer Weg um die DAG mit Sophos, aber ohne Loadbalancer zu nutzen?

    Viele Grüße,
    Christian

  35. Hallo Frank, – Christian,
    wie immer perfekt! Man googled nicht Exchange… oder Outlokk… sondern +Frank Exchange…
    Ich habe in der UTM9 – 9.505-4 beide Exchangeserver der DAG als echte Webserver angelegt
    und beide in den virtuellen Webservern eingetragen. Es funktioniert offenbar. Hat Sophos etwa etwas
    geändert? Lediglich die nervigen Passwortabfragen bei Outlook (seit Exchange 2016 wohl nicht
    behebbarer Standard) sind auch extern wieder da. Intern nutze ich einen DNS als round robin.
    Habe schon alles, was dazu findbar ist probiert, inkl. neuer Outlookinstallation… Aber keine
    Besserung. Man kann die Passwortabfrage wegklicken, die Verbindung geht auch dann, aber das Fenster
    kommt alle Nase lang wieder.
    Viele Grüße
    Lars

    1. Hallo Lars,
      ich erstelle mal ein aktuelles Howto für Exchange 2016 und die UTM 9.5. Hier gibt es auch keine Passwortabfragen, allerdings würde ich DNS Roundrobin nicht unbedingt in einer produktiven Umgebung mit DAG einsetzen…
      Gruß,
      Frank

  36. Hallo Frank,
    Ich habe mich nur gewundert, das 9.5 auf Anhieb mit zwei Exchange_Servern lief. Da hatten
    bisher alle Probleme?
    Die Passwortabfragen sind kein Problem der UTM, sie sind ein generelles Problem seit EX2016, dass
    einiger meiner Kollegen haben. Meist Outlook2016 / Exchange2016 und mit nichts zu beseitigen.
    Das Roundrobin ist für 15 Outlookclients völlig ok. Ein interner DNS liefert immer abwechseln den
    einen oder anderen Exchange. Niemand merkt, wenn ein Server mal in der Wartung ist. Ich konnte
    bisher keine negativen Dinge feststellen. Die Passwortabfragen waren auch vorher schon da…
    Gruß, Lars

  37. Die WAF der 9.5 läuft wohl doch nicht mit 2 echten Webservern. Zu früh gefreut.
    Wenn jeweils der als erster eingetragene Real_Server im Virtuelle Eintrag stirbt, wird der zweite gelb. Aber eine andere Lösung ist es, einen realen Webserver als DNS-Host zu definieren. Auf diese Weise übernimmt der interne DNS, falls ihm denn alle Exchangeserver einer DAG bekannt sind (identische Einträge für mail.xxx.de im internen DNS = round robin) die Aulösung. Allerdings hat das auch einen Haken: Wenn der Server IP_mäßig noch erreichbar, aber sein IIS weg ist oder Exchangedienste nicht laufen, merkt das die WAF nicht. Da müsste jemand eine Idee für eine passende Linküberwachung in der UTM haben.

  38. Eine Verständnisfrage zu den Ausnahmen: Warum werden zuerst Optionen gesetzt (z.B. aktiviertes URL-hardening bei Autodiscover), um sie dann später wieder in den Exceptions aufzuheben?

  39. Zur Lösung von Lars Dittmar kann man noch etwas anfügen: Die Webserver einer DAG als Real Webserver in die Firewall eintragen (IP mäßig), die Real Webserver im Virtual Webserver markieren und im Site Path Routing den Haken beim hot-standby aktivieren. Damit wird die Load Balancing Funktion deaktiviert und lediglich der in der Priorität oberste Server verwendet, die anderen werden zu Standby Servern.

    Sicherlich nicht die schönste Methode, für kleine Umgebungen in denen es hauptsächlich um Verfügbarkeit geht, eine Alternative.

  40. Hallo zusammen,
    ich habe die UTM bei vielen Kunden im Einsatz und aktuell das Problem, dass ein Kunde eine Exchange Hybrid Lösung im Einsatz hat. Die Sophos mach alles was sie soll, jedoch besteht das Problem wenn der Kunde Userpostfächer verschieben will, fällt das auf die Nase. Das liegt ohl daran, dass bei der Hybridlkonstellation, die CLoud wohl direkten Zugriff (ohne SSL Offloading) auf den Exchnage CAS benötigt.
    Wenn der Kunde das NAT auf der First Line of Defense nicht auf die Sophos stellt, sondern direkt auf den CAS, funktioniert der Usermove. Stellt man das NAT wieder auf die UTM funktioniert der Mailboxmove wieder nicht. Nach etlichen Stunden googlen ergab sich das Thema MSR Proxy. gibt es eine möglichekeit nur einen bestimmten Pfad vom Virtualserver zu naten?

  41. Wir setzen ein Exchange DAG hinter einem Kemp Loadbalancer und der WebApplication Firewall von Sophos ein. Es kam nun die Diskussion auf ob man den Kemp „sparen“ kann.

    Angesteuert wird das über Split DNS so dass der externe Verkehr auf der Sophos aufläuft und der interne direkt auf der Kemp.

    Neben den HTTP(S) Zugriffen ist die Kemp auch für das Loadbalancing von SMTP,IMAP,SMTPS,IMAPS zuständig.

    Funktioniert das zwischenzeitlich?

    Ich habe mir die obige Diskussion angeschaut, mit ist aber nicht ganz klar geworden wo genau die Knackpunkte liegen.

    Es scheint Probleme mit der Authentifizierung, der Session Awareness und der Prüfung der Verfügbarkeit zu geben.

    Erkennt die Sophos im Fall von mehreren Real Servers überhaupt wenn einer dieser komplett ausfällt bzw. einer der Dienste auf einem der Server nicht erreichbar ist.

  42. Mal sehen, ob in dem alten Thread noch was kommt.

    Habe OWA mit der Sophos nach der Doku umgesetzt. Soweit alles gut, nur, wenn ich aus OWA in neues Fenster z.B. neue Email oder lesen einer Mail im Browser) öffnen, ist dieses leer. Den Quelltest der Seite (https://meinexcange//owa/projection.aspx) kann ich mir anzeigen lassen, aber die Seite wird nicht dargestellt.
    Im Log der WebProtection kann ich leider keinen Hinweis finden, was genau die Ursache ist.
    Hat ansonsten jemand das Problem oder besser eine Lösung.

  43. hat die Sophos auch eine reverse-proxy Funktion?
    wenn nicht, wozu brauche ich sie dann, wenn sie sowieso alle anfragen (mit ein bisschen vorfilterung) an den Exchange weiterleitet?
    dann könnte ich (fast) genauso gut port 443 gleich auf den Exchange leiten…

    1. Das ist eine Revers-Proxy Funktion – je nach eingehenden DNS-Namen kannst du auf einen anderen internen Server weiterleiten. Die SOPHOS kann sich dazu sogar per Lets Encrypt ein passenden Zertifikat holen (und automatisch erneuern) und so einen ungesichertern internen HTTP-Dienst als HTTPS nach extern übergeben.
      Und du kannst dadurch hinter der öffentlichen IP-Adresse mehr als den Exchange-Server betreiben, z.B. auch die Homepage

  44. Sehr gute Anleitung, hat bei uns auch auf anhieb funktioniert.Funktioniert auch noch mit der Firmware UTM 9.603

    Nach zwei Tagen mussten wir dann aber feststellen das einige Geräte nicht mehr synchronisiert werden.
    Ursache war die Option „Block clients with bad reputation“ in dem Firewall Profil „Exchange Webservices“. Aus dem Log habe ich erfahren das die IP-Adressen dieser Geräte auf der Cyren Blacklist stehen und somit geblockt werden.
    Franky hat das hier https://www.frankysweb.de/sophos-utm-9-webserver-protection-und-outlook-fuer-android-ios/ auch schon herausgefunden, schön wäre hier ein Verweis auf den anderen Beitrag.
    Da die IP-Addressen Vergabe bei den Mobilfunkprovidern etwas anders läuft und mehrere Clients die gleiche erhalten, kann es wohl öfter mal vorkommen das deine IP auf dieser Liste landet. Da braucht nur einer mal die Adresse zum spamen nutzen.

    Naja wie auch immer, „Block clients with bad reputation“ sollte man nicht aktivieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.