locked
Korrekte Veröffentlichung von Autodiscover (Exchange) über das TMG? RRS feed

  • Frage

  •  

    Hallo,

    ich habe bei einem Kunden folgendes Setup:

    - TMG in DMZ mit einer öffentlichen IP

    - Exchange 2010

    Im TMG gibt es drei Veröffentlichungsregeln für OWA, ActiveSync und OutlookAnywhere. In der OutlookAnywhere Regel hab ich neben dem webmail.xxx.de Hostnamen noch autodiscover.xxx.de hinzugefügt. Autodiscover wird auf https://www.testexchangeconnectivity.com/ bis auf das nicht vertrauenswürdige Zertifikat auch als funktionsfähig beschrieben. Als ich es beim Kunden implentiert und getestet habe, funktionierte Autodiscover auch. Von meinem Notebook aus (Outlook 2010) funktioniert Outlook Anywhere und Autodiscover auch immer noch. Der Kunde hat allerdings das Problem bei neuen Clients, d.h. Clients die sich erstmalig überhaupt mit dem Exchange verbinden und das von extern (das konnte ich im Test auch nachstellen trotzdem installiertem Zertifikat), dass ein Anmeldeschirm kommt, der nach Eingabe der Daten gleich wieder aufpoppt.

    Daher mal die Frage ob meine Art der Veröffentlichung korrekt ist.

    Ich habe für die drei Veröffentlichungsregeln einen Weblistener mit HTML Authentifizierung, Standardauthentifizierung zum Webserver sowie LDAP Authentifizierung. Der Weblistener verwendet ein Wildcardzertifikat. (auf dem Exchange ist ein entsprechendes SAN Zertifikat eingebunden)

    Danke und Gruß,

    Patrick

     

    Donnerstag, 8. Juli 2010 14:14

Antworten

  • Problem gelöst :-)

    Also ich hatte mir die Links angeschaut und verstehe allerdings nicht, warum man bei Clients, die nicht in der Domäne sind eine XML Datei mitgeben soll für die Autodiscover URL (http://www.faq-o-matic.net/2008/01/10/exchange-server-2007-outlook-anywhere-autodiscover-und-isa-server-2006/). Dafür ist doch der DNS Eintrag?

    Jedenfalls war die Lösung meines Problemes recht simpel...

    Ich hatte anfangs ein Zertifikat für den Weblistener gebaut auf den CN=webmail.kunde.de und das später durch ein Wildcardzertifikat *.kunde.de ausgetauscht (damit Autodiscover über den selben Weblistener laufen kann). Nun habe ich bei der Konfiguration der Clients immer noch bei der Outlook-Option "Verbindung nur mit Proxyservern herstellen, deren Zertifikat den folgenden Prinzipalnamen enhält" msstd:webmail.kunde.de drin. Ändere ich das auf msstd:*.kunde.de oder nehme die Notwendigkeit komplett raus, funktioniert es wunderbar bei "domänen-fremden"-Clients. War meine Implementierung doch korrekt :D

    Danke trotzdem für Eure Anteilnahme! 

    Gruß aus dem leider schon wieder zu warmen Hamburg (warum kann es nicht so bleiben wie gestern? :-/)
    Patrick

    • Als Antwort markiert Patrick Böhm Mittwoch, 14. Juli 2010 14:28
    Mittwoch, 14. Juli 2010 14:28

Alle Antworten

  • Hi,

    schau mal, hier sind ein paar moegliche Ansaetze:
    http://blog.msfirewall.org.uk/2008/07/publishing-exchange-2007-services-with.html
    http://www.isaserver.org/tutorials/Publishing-Exchange-2007-Outlook-Autodiscover-2006-ISA-Firewalls.html
    http://www.faq-o-matic.net/2008/01/10/exchange-server-2007-outlook-anywhere-autodiscover-und-isa-server-2006/ (die habe ich mit Nicki Wruck verfolgt)
    Deinen Ansatz finde ich richtig und so mache ich es auch immer (mit der Ausnahme das ich in der Regel auch ein SAN Zertifikat am TMG verwende, aber das sollte hier nicht das Problem sein)
    Fuer einen Client der sich das erste Mal mit Outlook ueber das Internet mit Hilfe von Autodiscover verbindet, habe ich festgestellt, dass Du eine Veroeffentlichungsregel haben musst, welche keine Authentifizierung fordert, sondt kommt die Popup Box. Eine manuelle Konfiguration des Outlook Profils funktioniert aber und danach auch Sachen wie Out of Office, OAB Download etc.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Donnerstag, 8. Juli 2010 16:06
  • moin patrick,

    ergänzend findest du infos rund ums zertifikatsgeraffel für oa hier:
    http://blog.forefront-tmg.de/?p=250


    gruss, jens mander aka karsten hentrup - http://www.aixperts.de - http://www.forefront-tmg.de - http://www.hentrup.net |<-|
    Donnerstag, 8. Juli 2010 19:53
  • Hi,

    schau mal, hier sind ein paar moegliche Ansaetze:
    http://blog.msfirewall.org.uk/2008/07/publishing-exchange-2007-services-with.html
    http://www.isaserver.org/tutorials/Publishing-Exchange-2007-Outlook-Autodiscover-2006-ISA-Firewalls.html
    http://www.faq-o-matic.net/2008/01/10/exchange-server-2007-outlook-anywhere-autodiscover-und-isa-server-2006/ (die habe ich mit Nicki Wruck verfolgt)
    Deinen Ansatz finde ich richtig und so mache ich es auch immer (mit der Ausnahme das ich in der Regel auch ein SAN Zertifikat am TMG verwende, aber das sollte hier nicht das Problem sein)
    Fuer einen Client der sich das erste Mal mit Outlook ueber das Internet mit Hilfe von Autodiscover verbindet, habe ich festgestellt, dass Du eine Veroeffentlichungsregel haben musst, welche keine Authentifizierung fordert, sondt kommt die Popup Box. Eine manuelle Konfiguration des Outlook Profils funktioniert aber und danach auch Sachen wie Out of Office, OAB Download etc.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de

    Hallo Jens,
    selbst wenn ich den Client manuell konfiguriere, d.h. den lokalen Exchangeserver eintrage etc. kommt das Anmeldefenster immer wieder hoch.

    Bezüglich der Links werde ich diese nochmal genauer anschauen. Den ersten Link kenne ich schon, da hier allerdings irgendwas mit Kerberos Delegationen steht habe ich dieses nicht genauer gelesen. Außerdem wird in dem Artikel eine extra Veröffentlichungsregel für Autodiscover mit HTTP Authentifizierung erstellt. Tut das Not? :-/

    Gruß aus dem viel zu warmen Hamburg!
    Patrick

    Freitag, 9. Juli 2010 15:46
  • Hi,

    nein tut aus meiner Sicht nicht Not. Kerberos Constrained Delegation benoetigt man fuer eine normale Veroeffentlichung auch nicht!

    Gruss aus den viel zu warmen ICen ohne Klimaanlage von Berlin nach Hause


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 9. Juli 2010 16:09
  • moin,

    jau aber kcd ist schick für kombi mit rsa/kcd. habe ich letzte woche für einen kunden in hh gebaut. gruss aus dem warmen ac. ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Samstag, 10. Juli 2010 07:22
  • Problem gelöst :-)

    Also ich hatte mir die Links angeschaut und verstehe allerdings nicht, warum man bei Clients, die nicht in der Domäne sind eine XML Datei mitgeben soll für die Autodiscover URL (http://www.faq-o-matic.net/2008/01/10/exchange-server-2007-outlook-anywhere-autodiscover-und-isa-server-2006/). Dafür ist doch der DNS Eintrag?

    Jedenfalls war die Lösung meines Problemes recht simpel...

    Ich hatte anfangs ein Zertifikat für den Weblistener gebaut auf den CN=webmail.kunde.de und das später durch ein Wildcardzertifikat *.kunde.de ausgetauscht (damit Autodiscover über den selben Weblistener laufen kann). Nun habe ich bei der Konfiguration der Clients immer noch bei der Outlook-Option "Verbindung nur mit Proxyservern herstellen, deren Zertifikat den folgenden Prinzipalnamen enhält" msstd:webmail.kunde.de drin. Ändere ich das auf msstd:*.kunde.de oder nehme die Notwendigkeit komplett raus, funktioniert es wunderbar bei "domänen-fremden"-Clients. War meine Implementierung doch korrekt :D

    Danke trotzdem für Eure Anteilnahme! 

    Gruß aus dem leider schon wieder zu warmen Hamburg (warum kann es nicht so bleiben wie gestern? :-/)
    Patrick

    • Als Antwort markiert Patrick Böhm Mittwoch, 14. Juli 2010 14:28
    Mittwoch, 14. Juli 2010 14:28
  • ah supi, schön das es läuft.

    wenns zu warm in hh ist, dann geh einfach in den alten elbtunnel, in den habe ich mir vorletzte woche mal verkrochen als ich in hh war um abzukühlen!!!

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 14. Juli 2010 17:54