Outlook Anywhere Grundlagen

Outlook 2003 und höher erlaubt es, allein über HTTP/HTTPS eine gesicherte Verbindung zwischen Client und Server aufzubauen und sowohl aktiv zu arbeiten als auch zu replizieren. Dies kann eine sinnvolle Alternative zu einem VPN sein. Allerdings sind die Voraussetzungen zum Einsatz zu beachten:

Ehe Sie nun RCP over HTTP einsetzen können, muss Windows 2003 Server auf folgenden Systemen installiert sein:

  • Postfachserver müssen Exchange 2003 sein
    Auf allen Server, deren Postfächer über RPC over HTTP erreicht werden müssen, muss Exchange 2003 Installiert sein
  • Alle Globalen Katalogserver müssen Windows 2003 Sein
    die von Outlook 2003 und Exchange 2003 genutzt werden. (Das Active Directory ersetze den Exchange 5.x Verzeichnisdienst)
  • Exchange 2003 Frontend Server
    die als RPC Proxy genutzt werden.
  • Exchange Server 2003 - System Requirements für RPC over HTTP on Exchange Server 2003
    http://technet.microsoft.com/en-us/library/aa998943.aspx

Zusätzlich gilt:

  • Exchange 2003 oder neuer (also auch 2007 und 2010) muss auf allen Servern installiert sein, die Postfächer für RPC over HTTP bereitstellen.
  • Alle Clients müssen Outlook 2003, 2007 oder neuer einsetzen
  • Betriebssystem muss mindestens Windows XP SP1 + Patch "Q331320 Windows XP Patch: RPC Updates needed für Exchange Server 2003 Beta" sein. Natürlich geht auch Windows XP SP2 und höher und Windows Vista und Windows 7
  • HTTPS über Standardports 443 oder 80
    Offiziell ist es nicht möglich, Outlook auf einen anderen Port als 443 bzw. 80 zu konfigurieren. Bei der Nutzung von 80 (ohne SSL) wird die "Basic-Authentication" nicht unterstüzt.

Empfehlung

  • Firewall mit Application Filter
    Sie sollten nicht ohne entsprechende Firewall die RPC-Funktion über das Internet frei schalten.

Insofern bedeutet die Einführung des ersten Outlook 2003 Benutzers mit RPC over HTTP eventuell eine weit reichende Aktualisierung ihrer Umgebung.

RPC over HTTP Prinzip

Die prinzipielle Funktionsweise ist auf dem folgenden Bild skizziert:

Outlook spricht per HTTPS mit dem IIS, auf dem es ein virtuelles Verzeichnis /RPC gibt. Auf diesem Server ist der RPC-Proxy installiert, was im wesentlichen eine DLL in einem virtuellen Verzeichnis des IIS ist.

Die komplette Outlook Kommunikation erfolgt dabei über HTTP, d.h. auch der Zugriff auf die GAL auf einem DC etc.

Achtung: Outlook 2007 erkennt, wenn es sich um einen Exchange 2007 Server handelt und nutzt dann für OOF, OAB und andere Zugriffe die Exchange Web Services (EWS) und benötigt dazu ebenfalls "Autodiscover"

Direktes RPC

Es wäre im Prinzip auch denkbar, die Exchange RPC-Dienste direkt erreichbar zu machen, z.B.

  • VPN
    Der PC baut erst eine sichere verschlüsselte Verbindung zum Netzwerk auf. Damit werden die Daten verschlüsselt und getunnelt zum Zielnetzwerk übertragen.
  • IP-Authentifizierung
    Hersteller wie RSA und andere Token-Verfahren erlauben eine Freischaltung des Clients aufgrund der IP-Adresse. Der Anwender greift zuerst mit einem Browser auf eine Seite zu, über die er sich sicher autorisiert. Damit erhält die Firewall die Information, dass diese IP-Adresse für bestimmte Dienste für eine bestimmte Zeit frei geschaltet wird. Ziel ist, dass unbekannte Personen überhaupt nicht bis zu Anmeldung des Exchange Servers auftreten. Problem ist der Einsatz von NAT, da sich hier viele Systeme hinter eine Adresse verbergen können.
  • ISA-Server mit RPC Veröffentlichung
    Eine weitere Möglichkeit ist der Einsatz des ISA-Servers, welcher die RPC-Anfragen der Clients annehmen und nach Prüfung an den Exchange Server weitergeben. Damit übernimmt der ISA-Server die Absicherung der RPC-Kommunikation, dass z.B. "nur" Exchange erreicht werden kann und nicht noch andere Dienste (File, Print, SQL etc.) auf dem Server

Auf jeden Fall kann nur davon abgeraten werden, einen Exchange Server per RPC ungesichert im Internet erreichbar zu machen.