locked
Exchange 2013 Reverseproxy - HTML-Formularbasierte Authentifizierung und NTLM RRS feed

  • Frage

  • Hallo Leute,

    wir haben erst vor kurzem auf Exchange 2013 umgestellt und die Verbindung mit Blackberry Enterprise Server 5 benötigt NTLM-Authentifizierung. 

    Vorher war es auf Standard.
    Jetzt haben wir OWA über den TMG und HTML-Formularauthentifizierung im SSL-Listener bereitgestellt. In den  Regeleinstellungen steht die Authentifizierung deshalb auf "keine Delegierung, aber direkte Authentifizierung des Clients" oder "Standard". Funktioniert auch bei ActiveSync und OWA wunderbar. Jedoch bei Outlook Anywhere nicht wirklich. (komischerweise bei Outlook für MAC schon, aber Outlook 2010/2013 nicht)
    Outlook 2013 Error am TMG:  Der ISA Server erfordert Autorisierung, um die Anforderung durchführen zu können. Der Zugriff auf den Webserver wird verweigert. Wenden Sie sich an den Serveradministrator.

    Vor allem warum funktionierts mit den Outllook 2011 for Mac? Sobald ich auf Standard umstelle, klappts mit dem Windows Outlook, abe rmit dem Mac nicht mehr. Bin wirklich verwirrt. 

    Vielen Dank


    • Bearbeitet D.Jung Donnerstag, 25. September 2014 11:41
    Donnerstag, 25. September 2014 09:57

Antworten

  • Moin,

    bin ich auch schon drüber gestolpert, es gibt leider ein Bug im Outlook 2011 für den Mac. Zu folgenden Erkenntnissen bin ich gelangt:

    • Outlook 2011 macht EWS, nicht RPC over HTTPS wie Outlook für Windows. Es gilt also hier wie du /ews* gepublished hast, nicht /rpc
    • Outlook 2011 für den Mac präferiert immer NTLM, wenn der IIS auf deinem CAS der Owa und EWS bereitstellt NTLM unterstützt, will Outlook 2011 es auch immer machen. Wenn du Basic Authentication hier machen möchtest, muss du einen dedizierten CAS nur für Outlook 2011 bereitstellen, der ausschließlich Basic Authentication anbietet und den für die 2011 Clientsseperat publishen.
    • Grundsätzlich hat EWS das Problem nicht, wenn du andere EWS Clients nutzt, gibt es dieses Problem auch nicht (Apple Mail afaik).

    Ich hoffedeas hilft dir schonmal weiter.

    VG

    Sebastian

    • Als Antwort markiert D.Jung Donnerstag, 25. September 2014 17:25
    Donnerstag, 25. September 2014 12:03

Alle Antworten

  • Moin,

    bin ich auch schon drüber gestolpert, es gibt leider ein Bug im Outlook 2011 für den Mac. Zu folgenden Erkenntnissen bin ich gelangt:

    • Outlook 2011 macht EWS, nicht RPC over HTTPS wie Outlook für Windows. Es gilt also hier wie du /ews* gepublished hast, nicht /rpc
    • Outlook 2011 für den Mac präferiert immer NTLM, wenn der IIS auf deinem CAS der Owa und EWS bereitstellt NTLM unterstützt, will Outlook 2011 es auch immer machen. Wenn du Basic Authentication hier machen möchtest, muss du einen dedizierten CAS nur für Outlook 2011 bereitstellen, der ausschließlich Basic Authentication anbietet und den für die 2011 Clientsseperat publishen.
    • Grundsätzlich hat EWS das Problem nicht, wenn du andere EWS Clients nutzt, gibt es dieses Problem auch nicht (Apple Mail afaik).

    Ich hoffedeas hilft dir schonmal weiter.

    VG

    Sebastian

    • Als Antwort markiert D.Jung Donnerstag, 25. September 2014 17:25
    Donnerstag, 25. September 2014 12:03
  • Oh man, einen CAS extra für die MACs, ne das mach ich nicht wirklich! 
    Vielen Dnak für die Antwort. Wie hast du es gelöst?

    Donnerstag, 25. September 2014 13:26
  • Moin,

    mir war es aufgefallen, als ich unseren ISA 2006 durch etwas anderes ablösen wollte. Ich bin derzeit noch beim ISA 2006 und muss mich der Herausforderung noch stellen. Wenn ich beim ISA 2006 Basic Authentication auf der Internet-Seite und NTLM auf der internen Seite zum IIS hin mache, besteht das Problem nicht. Ich gucke jetzt, welche ISA -Replacements es gibt, die auch aus einer Basic Authentication eine NTLM-Authentication erzeugen können (ein paar können das nämlich). Wenn eine dabei ist, die auch alle anderen Kriterien erfüllt, hoffe ich damit den ISA ablösen zu können.

    Da du TMG ja noch hast kannst du für den /ews-Pfad einen separate Richtlinie mit eigenem Listener aufmachen und dort Basic/NTLM einstellen, dann sollte es auf jedenfall gehen. Zumindest beim ISA funktioniert es, TMG habe ich leider keine Erfahrung mit gemacht. Diesen Punkt solltest du auf jedenfall im Hinterkopf behalten, wenn du dir Nachfolger für das Teil überlegst.

    Es trifft bei uns auch nur zwei Anwender (leider GF), weswegen ich Outlook 2011 notfalls abklemmen würde oder mir den Aufwand für einen weiteren CAS genehmigen lasse.

    VG

    Sebastian

    Donnerstag, 25. September 2014 14:11
  • Hi,
    vielen Dank für Deine Auskunft.
    Ja, das mit dem weiteren Listener habe ich mir auch schon gedacht. Externe IP auf neue macowa.domain.com und darauf den Listener ansetzen mit interner Weiterleitung auf den gleichen Namen. 
    Leider muss ich dazu jeden MAC einzeln neu konfigurieren und das sind immerhin 15 Stück in verschiedenen Ländern, daher wird das ein Fernwartungsaufwand den ich vermeiden wollte und vor allem dachte ich, ich hätte einfach nur was falsch gemacht. Aber nun gut, das hilft ja nix.

    Ich glaube Sophos UTM soll das gut können (habe aber keine Erfahrungen damit, nur vom Hören-Sagen)

    Beste Grüße

    Donnerstag, 25. September 2014 17:25
  • Moin,

    ich bin mich nicht sicher, ich meine beim ISA kannst du mehrere Rules und Listener auf die selbe Domain laufen lassen und der ISA entscheidet nur anhand des Pfades, welche Regel er verwendet. Dann könntest du EWS in eine extra Policy verfrachten, ohne dass sich nach außen etwas ändert. Das solltest du auch unbedingt machen, weil auch Outlook hin und wieder EWS benutzt (Free/Busy-Infos holt er darüber ab), und du da entwedr denselben Host verwendest oder dein Autodiscover anpassen müsstest.

    Sophos UTM war übrigens das erste was ich evaluiert habe, da wir bereits Sophos als Mailgateway verwenden. Sophos konnte zu dem Zeirtpunkt keine NTLM Tokens erzeugen und genau zu diesem Problem geführt.

    VG

    Sebastian


    • Bearbeitet Sebastian_HH Freitag, 26. September 2014 08:59 Ergänzung
    Freitag, 26. September 2014 08:55
  • Hi,

    also ich habe es nun so gelöst:
    1. Neue Subdomain mit A-Record auf eine unserer öffentlichen IP-Adresse.
    2. Neue Firewallregel auf dem TMG (bestehende Outlook Anywhere Regel kopiert und dann geändert)
    3. Neuen Listener mit neuem Exchange-Zertifikat und Subdomain erstellt. SSL und HTTP-Port müssen dabei geändert werden, weil er nicht zweimal auf den gleichen hören kann/mag.
    4. DNS-Einstellungen für die neue macowa.domain.com vorgenommen
    5. Firewall-Port ankommend auf TMG in der DMZ verwiesen
    6. Regel aktiviert und mit einem MacBook intern wie extern getestet (natürlich müssen die Kontoeinstellungen geändert werden)

    Läuft bisher ganz gut. Sobald ich alle MacBooks umgestellt habe, werde ich die ursprüngliche OA-Regel wieder auf Standard-Auth stellen und Windows Outlook kann auch wieder OA. 

    /ews* ist in jeder der Regeln hinterlegt, somit kann es ja egal sein ob Windows Outlook auch ab und an /ews* benötigt. 

    Habe gestern mit jemanden kurz über die Sophos gesprochen, anscheinend funst NTLM nun!? (Wie gesagt, habs aber selber nicht getestet bzw. eruiert.)

    Freitag, 26. September 2014 09:31
  • Moin,

    wenn's klappt ist doch super.

    Hier würde ich dir raten genau nachzufragen, viele Anbieter sagen, sie können NTLM (ich habe mir auch Kemp mal angeschaut, die sagen das auch), leider wird das aber nie genauer beschrieben. Die meisten Anbieter können ein eingehendes NTLM-Token auswerten, also NTLM auf der Internetseite anbieten, aber nicht selber mit NTLM authentifizieren (Client<--NTLM-->Sophos<--Basic-->CAS). Das wird leider auch undifferenziert mit "kann NTLM" beworben, vielleicht hat Sophos es aber mittlerweile auch nachgerüstet, ich glaube das Feature-Request gibts bei denen in der Datenbank.

    VG

    Sebastian

    Freitag, 26. September 2014 12:00
  • Jo, also bisher nichts zu beklagen! :-) Trotzdem ziemlicher Aufwand. 
    Wird Zeit für das Ende von BES 5 oder den MAcs :-) 
    Normalerweise reicht ja BasicAuth iVm Zertifikat also SSL, aber wenn man in das Korsett gezwungen wird, muss man da jetzt durch! :-)

    Mit Sophos oder Kemp oder UAG hoffe ich mich nun erst wieder beschäftigen zu müssen wenn TMG Support endet -1 Jahr :-) 

    Freitag, 26. September 2014 14:16