» Home » Ex 2007/2010 » Client Access » CASProxy 2010

CAS Proxy 2010

Exchange 2007 Administratoren sollten Sie die Seite CASProxy 2007 anschauen.

Upgrading Outlook Web App to Exchange 2010
http://blogs.technet.com/b/exchange/archive/2009/12/02/453367.aspx
Ein ganz wichtiger und deutlicher Blogeintrag, was der Exchange 2010 CAS macht und was nicht.

Mit Exchange 2010 hat Microsoft die Rolle des Client Access Servers stark erweitert, weil damit auch die MAPI-Clients über den CAS-Server auf das Postfach zugreifen. Ein Exchange 2010 CAS Server ist aus Sicht eines MAPI-Anwenders ein Postfachserver. Aber der CAS-Server ist weiterhin  der einzige Zugangspunkt für Outlook WebApp (der neue Name statt Outlook Web Access), ActiveSync (Push-Mail), POP3 und IMAP4. Allerdings unterstützt die Exchange 2010 Rolle nur die Exchange 2010 Postfachserver direkt. Für die Koexistenz mit Exchange 2007 und Exchange 2003 werden die Zugriffe teilweise selbst direkt durchgeführt, an den Exchange 2007 CAS weiter gegeben (Reverse Proxy) oder der Client auf einen anderen CAS-Server umgelenkt.

Direkt, Reverse Proxy oder LegacyURL

Die Exchange 2010 CAS-Rolle unterstützt drei verschiedene Arten, wie Anfragen der verschiedenen Clients weiter verarbeitet werden:

• Direkt
  Die Exchange 2010 CAS-Rolle greift dann direkt auf den Postfachserver (per MAPI/RPC) zu. Dieser Weg wird immer für Exchange 2010 Postfächer angewendet aber nicht immer für ältere Versionen  der Postfachserver
• Reverse Proxy
  Die Exchange 2010 CAS-Rolle enthält keinen Code für einen direkten Zugriff auf Exchange 2003 oder Exchange 2007. Aber für bestimmte Zugriff leitet er die Anfragen als Reverse Proxy an den Exchange 2007 CAS oder den Exchange 2003 Server weiter. Der Client spricht also weiter mit dem Exchange 2010 CAS, obwohl die Daten von einem anderen Server kommen. Die Funktion ähnelt der eines Exchange 2003 "Frontend" Servers oder Exchange 2007 CAS-Servers, wobei ein Exchange 2007 CAS diese Funktion nur bereit gestellt hat, wen keine Mailboxrolle installiert war (Konflikt des virtuellen Verzeichnisses /EXCHANGE als OWA2003-Zugriff nud WebDAV-URL)
• Umleitung/LegayURL
  Zuletzt gibt es Protokolle, bei denen der Exchange 2010 CAS den Client auf einen anderen Server verweist. Dies passiert z.B. beim OWA-Zugriff oder wenn Sie per MAPI/RPC intern aus versehen den Exchange 2010 CAS-Server angegeben haben aber noch auf Exchange 2007/2003 arbeiten. Dann wird ihr Outlookprofil einfach umgestellt.
• Autodiscover
  Outlook 2007 und Windows Mobile 6.1 und neuer unterstützen "Autodiscover". Wenn diese Clients also keine Verbindung mehr mit den bekannten Daten aufbauen können, dann führen Sie eine Autodiscover-Erkennung durch, um den Weg zu finden. Es ist daher wichtig, dass die "Autodiscover"-Funktion sehr früh auf Exchange 2010 CAS-Server umgeleitet wird.

Da es sehr viele Client, Server und Protokolle gibt, ist eine Übersicht als Tabelle hilfreich.

Versionsabhängigkeiten

Zum Erstellungszeitpunkt habe ich noch keine ähnliche Übersicht in den Microsoft Dokumenten gefunden. Die Daten müssen daher nicht korrekt sein. Korrekturen nehme ich gerne an.

Die folgende Tabelle zeigt, welche Zugriffe für die verschiedenen Protokolle wie unterstützt werden. Sie werden keine Exchange 2000 oder 5.5 Server mehr finden, da diese nicht mit Exchange 2010 in einer Organisation existieren können.

Protokoll	Client	Postfach	Zugriff
MAPI/RPC	Outlook 2003/2007/2010	2010	Über CAS-Server bzw. CAS-Array auf Postfachserver. Ein direkter Zugriff auf eine Mailboxrolle erfolgt nur für öffentliche Ordner
	Outlook XP/2003/2007/2010	2007/2003	Umleitung: Das Outlook Profil wird auf den korrekten Postfachserver umkonfiguriert.
RPC/HTTP	Outlook 2003/2007/2010	2010/2007/2003	Direkt
OWA	Browserunabhängig	2010	Direkt auf Postfachserver
	Browserunabhängig	2007	Umleitung auf die externe Url des Exchange 2007 CAS in der jeweiligen AD-Site Nur wenn der 2007CAS nicht in einer "Internet Facing AD-Site" ist, erfolgt ein Reverse Proxy. Dazu muss aber ein Exchange 2007 Verzeichnis auf den Exchange 2010-Server "kopiert" werden. "Transitioning Client Access to Exchange Server 2010  http://blogs.technet.com/b/exchange/archive/2009/11/20/453272.aspx " Aber kein Proxy auf Exchange 2007 CAS-Server in der gleichen AD-Site
	Browserunabhängig	2003	Laut http://technet.microsoft.com/de-de/library/bb310763.aspx würde der Zugriff als Reverse Proxy auf den Exchange 2003 Mailbox Server gehen, wenn der Client //Exchange" oder "/Public" eingegeben hat. Alternativ kann man aber auch über die Konfiguration einer "LegacyURL" den Client auf den alten OWA-Zugang umleiten.
ActiveSync	WM6.1/6.5 (EAS-Version 12.1 und höher)	2010/2007	Autodiscover/Redirect aber es geht auch Reverse Proxy auf Exchange 2007 CAS
	WM6.0 und älter, Nokia, Android, iPhone (EAS Clientversion 12.0 und älter	2010	Direkt
	WM6.0 und älter, Nokia, Android, iPhone (EAS Clientversion 12.0 und älter	2007	Reverse Proxy auf Exchange 2007 CAS
	any	2003	Reverse Proxy auf Exchange 2003 Backend Server (Auf dem virtuellen Verzeichnis "/Microsoft-Server-ActiveSync" muss integrierte Anmeldung aktiv sein !)
OAB	Outlook 2007/2010	2010/2007/2003	Direkt
Autodiscover	Outlook 2007/2010	2010/2007/2003	Direkt Hinweis: Autodiscover muss über 2010 laufen, da ein Exchange 2007 CAS den neueren 2010 CAS zurückgibt.
EWS	Outlook 2007/2010	2010/2007/2003	Wird per Autodiscover ermittelt
POP3 IMAP4	Beliebiger Client	2010	Direkt
	Beliebiger Client	2007	Reverse Proxy zum Exchange 2007 CAS
	Beliebiger Client	2003	Direkt

Authentifizierung = NTLM

Damit ein CAS in einer "Internet Facing Site" auf einen anderen CAS in einer anderen nicht direkt erreichbaren Site erreicht, muss auf dem Zielserver die integrierte Anmeldung aktiv sein. Es reicht aber, wenn eine WebSeite diese Anmeldung anführt. Die CAS-Server schauen im Active Directory nach, welche Webseite im anderen Standort genutzt werden.

Seit Exchange 2010 funktioniert dies mit dem "new-OWAVirtualDirectory" commandlet. Vergessen Sie danach nicht ,den IIS mit einem "IISRESET /noforce" durchzustarten.

Auf dem Internet zugewandten Server können Sie natürlich weiter per Formular eine Anmeldung durchführen.

"LegacyURL"

Wie sie auf der Tabelle ersehen können, kann die Exchange 2010 CAS-Rolle nicht mehr direkt einen Zugriff auf OWA für auf Exchange 2007 oder 2003 gewähren. Laut Microsoft wurde der erforderliche Code einfach nicht entwickelt. Statt dessen müssen Sie in einer gemischten Umgebung auf dem Exchange 2010 CAS konfigurieren, unter welcher URL die Anwender nun auf den Exchange 2007 OWA oder Exchange 2003 OWA zugreifen können. Greift ein Anwender dann auf den Exchange 2010 CAS-Server zu und meldet sich mit einem Postfach an, welche noch nicht auf Exchange 2010 migriert ist, dann erfolgt eine Umleitung auf dem Client (HTTP Redirect) auf eine neue URL.

Im Laufe der Migration müssen Sie also mehrere Schritte in der richtigen Reihenfolge durchlaufen

• "Alter" OWA-Zugang mit einem neuen Namen und Zertifikat veröffentlichen
• Diese URL in den Exchange 2010 CAS-Einstellungen hinterlegen
• Die Exchange 2010 Server mit dem alten Namen veröffentlichen

Über diesen "Trick" müssen sich die Anwender keine neue URL merken, sondern greifen wie bisher auf ihre bekannte URL zu, aber sehen den "neuen" Anmeldeschirm. Sobald Sie sich aber mit einem "alten" Postfach (2003 oder 2007) anmelden, wird der Client auf die alte URL gesendet. Wenn Sie die "Formularbasierte Anmeldung" nutzen, dann muss der Anwender sich nicht einmal neu anmelden.

Kniffliger wird es, wenn Sie den OWA-Zugriff nicht direkt veröffentlicht haben, sondern z.B. ein Portal vorgeschaltet haben oder eine starke Authentifizierungslösung integriert haben, dann bedarf es zusätzlicher Schritte, um den Anwendern eine Doppelanmeldung zu ersparen.

Beim Zugriff auf OWA im internen LAN ist die Pflege der LegacyURL erst einmal nicht erforderlich, da intern der Exchange 2010 CAS die Client dann auf einen Exchange 2007 CAS-Server bzw. Exchange 2003 Postfachserver umleitet. Beim Zugriff aus dem Internet hingegen kommt es darauf an, ob sie direkt von Exchange 2003 nach Exchange 2010 migrieren oder vielleicht Postfächer auf 2010, 2007 und 2003 liegen.

Wenn Sie Exchange 2007 und 2003 parallel betreiben, dann wissen sie ja schon von CASProxy 2007, dass ein Exchange 2007 CAS-Server als Reverse Proxy auch einen Exchange 2003 OWA-Zugriff erlauben kann. Dazu muss der Exchange 2007 CAS aber auf den Exchange 2003 Backendserver per HTTP zugreifen können und der Server mit der Exchange 2007 CAS-Rolle darf keine Mailboxrolle betreiben. Dieses Problem ist aber nicht mit Exchange 2010 neu, sondern schon seit Exchange 2007 der Fall.

Für die Konfiguration der LegacyURL bedeutet dies aber:

• Exchange 2010/2003 only
  Veröffentlichen Sie den bisherigen Exchange 2003 OWA-Zugang mit einem neuen Zertifikat und einer neuen URL
• Exchange 2010/2007/2003
  Veröffentlichen Sie den bisherigen Exchange 2007 CAS-Server mit einem neuen Zertifikat und einer neuen URL.

Die LegacyURL sollte dann auf diesen zweiten Namen verweisen. Der Betrieb beider Zugänge mit dem gleichen Namen und der gleichen URL ist offiziell nicht möglich.

"LegacyURL" mit Single IP/Zertifikat

Nicht jede Firma kann eine zweite offizielle IP-Adresse bereit stellen und über die Firewalls veröffentlichen. Zudem ist für Anwender der Wechsel nicht immer einfach. Daher werden viele Administratoren nach einer alternativen Lösung suchen. Und es sind Lösungen denkbar, bei denen mit einer IP-Adresse oder vielleicht sogar mit einem Namen gearbeitet werden kann

SAN-Zertifikat

Eine offizielle Lösung ist der Einsatz von SAN-Zertifkaten für den OWA-Zugang. Exchange 2007 Administratoren kennen diesen Weg schon für die Veröffentlichung von OWA und Autodiscover. Über diesen Trick können sie von außen mehrere Namen auf die gleiche IP-Adresse veröffentlichen und trotz SSL mit dem Hostheader die Datenströme zu verschiedenen Diensten lenken.

Reverse Proxy für 2003/2010 ohne 2007 

Wer nur Exchange 2010 und Exchange 2003 betreibt, könnte eine Konfiguration finden, da Exchange 2010 für OWA nur die URL /"owa" verwendet und Exchange 2003 die URLs "/exchange", "/public" und "exchweb". Es könnte also möglich sein, dass ein vorgeschalteter Reverse-Proxy die URLs einfach an den richtigen internen Server weiter leitet oder dass ein ReverseProxy-Modul auf dem Exchange 2010-Server die Anfragen an die bislang nicht belegten URLs zum Exchange 2003-Server weiter gibt.

• IIS ARR (Application Request Routing)
  http://www.iis.net/download/ApplicationRequestRouting
• ISA-Server und SSL
  Zuerst würde ich den ISA-Server als Reverse Proxy nutzen, welcher für die gewünschten URLs auf entsprechende Interne Server weiter geben kann.
• URL Rewrite
  http://www.codeplex.com/Wikipage?ProjectName=urlrewriter
  IIS-Applikation, die Anfragen auf eine URL annehmen und die Daten von einem anderen WebServer abrufen kann.
• Apache
  Über das Modul "MOD_PROXY" habe ich schon selbst OWA mit Apache als Reverse Proxy veröffentlicht. Eventuell können darüber auch sowohl ein Exchange 2010 CAS als auch Exchange 2003 OWA mit einem Namen erreichbar gemacht werden.
• WebProxy

Leider konnte ich diese "Baselkonfiguration" noch nicht selbst testen, da meine Kunden lieber ein paar Euro für ein Zertifikat und eine LegacyURL investieren.

Reverse Proxy mit "Portalseite"

Eine ganz elegante Möglichkeit mehrere Exchange Versionen zu veröffentlichen ist der Umweg über ein Portal, wie es z.B. auch ein ISA/TMG bereit stellen kann. Die Anmeldung erfolgt dabei nicht mehr am Exchange Server sondern an am Portalsystem. Diese kann dann anhand des Benutzers einfach heraus finden, auf welchem System dieser liegt (z.B. HomeMDB oder RecipientType) um dann die Anfragen an den passenden CAS oder Frontend Server weiter zu leiten.

So eine Lösung hat oft noch den zweiten Vorteil, dass die einmal erfolgte Anmeldung auch für anderen Dienste genutzt werden kann und sogar starke Authentifizierungen elegant eingebunden werden können. Neben TMG/ISA gibt es natürlich auch andere Anbieter wie z.B. Checkpoint, Citrix (Access gateway) und Juniper (SSL Gateway) und andere.

Weitere Links

• CASProxy 2007
• Autodiscover
• SAN-Zertifkate
• ISA-Server und SSL
• WebProxy
• Upgrading Outlook Web App to Exchange 2010
  http://blogs.technet.com/b/exchange/archive/2009/12/02/453367.aspx
• Configuration tips and common troubleshooting steps for multiple forest deployment of Autodiscover service http://blogs.technet.com/b/exchange/archive/2008/02/13/448127.aspx
• Default Authentication Settings for Exchange-related Virtual Directories
  http://technet.microsoft.com/en-us/library/gg263433(EXCHG.80).aspx
• White Paper: Exchange 2007 Autodiscover Service
  http://technet.microsoft.com/en-us/library/bb332063.aspx
• Transitioning Client Access to Exchange Server 2010
  http://blogs.technet.com/b/exchange/archive/2009/11/20/453272.aspx
• Understanding Proxying and Redirection
  http://technet.microsoft.com/de-de/library/bb310763.aspx
• Exchange 2010: Proxy or Redirect?
  http://blogs.technet.com/mbaher/archive/2009/12/17/exchange-2010-proxy-or-redirect.aspx
• Exchange 2010 – Teil 4 (Migration und Co-Existenz)
  http://blog.geisbauer.de/2009/12/exchange-2010-teil-4-migration-und-co.html
• Default settings for Exchange-related virtual directories in Exchange Server 2010
  http://blogs.technet.com/b/exchange/archive/2010/09/23/456396.aspx
• URL Rewrite
  http://www.codeplex.com/Wikipage?ProjectName=urlrewriter
  IIS-Applikation, die Anfragen auf eine URL annehmen und die Daten von einem anderen WebServer abrufen kann. Vergleichbar zu MOD_PROXY für Apache
• E2K7 OWA Redirect Bug Introduced with Exchange 2010 SP1
  http://ucken.blogspot.com/2010/09/e2k7-owa-redirect-bug-introduced-with.html

Keywords:

CAS Proxy 2010 OWA

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
  • Ex2007
  • Ex2010
  • Wer braucht 2007/2010
  • Fakten
  • Erfahrung
  • Umsteiger
  • Rollen
  • Mailbox/Datenbank
  • Hub/Transport
  • Client Access
    • CAS Intern/Extern
    • CAS URLs
    • CASProxy 2007
    • CASProxy 2010
    • CAS und NLB
  • Unified Messaging
  • Edge
  • Dienste
  • 64-bit
  • Autodiscover
  • POP3/IMAP4
  • Management Console
  • Toolbox
  • Management Shell
  • Konformität
  • Whitepapers
  • OABGen
  • OPATH
  • Entfernen
  • Rollback
  • Ressourcen 2007/2010
  • MRM Message Records Management
  • Akzeptierte Domains
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages