Exchange 2013 Outlook Anywhere

Ihnen ist sicher nicht entgangen, dass Exchange 2013 keinen direkten Zugriff per MAPI/TCP auf die Postfächer erlaubt, sondern nun alle MAP-Clients per Outlook Anywhere zugreifen müssen. Das scheint soweit kein Problem zu sein, das sogar das nicht mehr unterstützte Outlook 2003 schon Outlook Anywhere unterstützt hat. Dennoch gibt es ein paar Fallstricke zu beachten.

Exchange 2013 Default

Exchange 2013 konfiguriert Outlook Anywhere per Default mit folgenden Werten:

[PS] C:\>Get-OutlookAnywhere -Server nawex13

SSLOffloading                      : True
ExternalClientAuthenticationMethod : Negotiate
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods           : {Basic, Ntlm, Negotiate}
ExternalClientsRequireSsl          : False
InternalClientsRequireSsl          : False

Der IIS bietet zwar auch "Basic" an, aber per Autodiscover erhalten die Clients die Information, dass Sie sich per NTLM (intern) oder Negotiate (Extern) anmelden können. Damit ist die interne Funktion gegeben. Mich irritiert natürlich etwas, dass gerade intern als Anmeldeverfahren dem Client mittelst Autodiscover "nur" NTLM mitgeteilt wird anstatt Negotiate.

Von Extern macht Negotiate aber eigentlich keinen Sinn, denn Negotiate enthält Kerberos und NTLM. Die wenigsten Clients im Internet dürften ein Kerberos-Ticket vorweisen können und selbst NTLM funktioniert nicht über alle Proxies.

Externer Zugriff einrichten

Ehe Sie also Outlook Anywhere von extern freischalten, müssen Sie erst noch die Konfiguration anpassen. So fehlt nämlich auch der "External Host Name", wenn Sie nicht bei der Installation diesen schon angegeben haben. Allerdings werden Sie erstaunt feststellen, dass die Konfiguration gar nicht so einfach ist.

Das Setzen des "ExternalHostname" alleine liefert den Fehler, dass ich auch ExternalClientsRequireSSL auf "$True" setze und kaum mache ich das, kommt die nächste Fehlermeldung die nun die "ExternalClientAuthenticationMethod" erzwingt. Wenn ich dann den Default "Negotiate" mitgeben, dann sehe ich eine Warnung, dass genau dies der Koexistenz mit Exchange 2010 abträglich ist. Darauf weist auch der entsprechende KB-Artikel hin

  • 2834139 users of Exchange Server 2013 or Exchange Online can't open public folders or shared mailboxes on an Exchange 2010 or Exchange 2007 server

Also bleibt nur, dass Outlook Anywhere für den Zugriff aus dem Internet mit NTLM oder gar BASIC zu konfigurieren ist und Sie über andere Wege sicherstellen, dass SSL genutzt wird.

Koexistenz mit Exchange 2010/2007

Die Migrationsanleitungen sind deutlich: Ehe das erste Postfach auf Exchange 2013 verschoben werden darf, muss der Client Zugriff zumindest was RPC/HTTP-betrifft, auf Exchange 2013 umgestellt sein, da der Exchange 2013 CAS-Server problemlos alle drei Versionen bedienen kann, zumindest solange Sie als Authentifizierung nicht "Negotiate" einsetzen. Die PowerShell weist sie explizit darauf hin:

WARNING: Microsoft Exchange versions earlier than Exchange Server 2013 do not support the Negotiate client
authentication method.  Connectivity to public folders and mailboxes hosted on earlier versions may be affected.

Sobald sie den externen Hostnamen für Outlook Anywhere setzen wollen, müssen Sie also sowohl den SSL-Zwang von extern aktivieren also auch die Authentifizierungsmethode angeben. Und wer hier Negotiate angibt, stört die Koexistenz mit Exchange 2010. Da aber Kerberos-Tickets von Extern sowieso nicht gehen, würde ich NTLM vorziehen.

Schaut man dann in das IISLog, dann sind zwei Dinge gut zu sehen:

  • Authentifizierung am Exchange 2013 als Client


2013-07-05 00:00:07 192.168.100.32 POST /Microsoft-Server-ActiveSync/default.eas Cmd=Sync&user=msxfaq%5Cuser&DeviceId=androidc1315273704&DeviceType=Android 443 msxfaq\user 192.168.100.12 Android/4.2.2-EAS-1.3 - 200 0 0 20534

  • Authentifizierung am Exchange 2013 Mailbox

2013-07-05 11:41:26 192.168.100.32 RPC_IN_DATA /rpc/rpcproxy.dll NAWEX13.msxfaq.de:6001&RequestId=563eeecd-be91-4a5c-a210-cfbdd38c85f5 444 MSXFAQ\NAWEX13$ 192.168.100.32 MSRPC - 200 0 0 0

  • Authentifizierung am Exchange 2010 Mailbox

KEINE TREFFER !!

Weitere Links