Exchange 2016 CASProxy

Eigentlich dürfte es diese Seite so gar nicht mehr geben, denn eine eigenständige CAS-Rolle gibt es mit Exchange 2016 gar nicht mehr. Es gibt aber natürlich die Funktion des CAS, welcher die Anfragen des Clients annimmt und weiter zum richtigen Server leitet. Diese Funktion gibt es so natürlich auch als CASProxy2013, CASProxy 2010 und CASProxy2007.

Achten Sie auf TLS 1.2: Exchange 2019 auf Windows 2019 nutzt TLS 1.2. Exchange 2016/2013 können TLS aber es muss auf dem Betriebssystem auch aktiviert werden.
Exchange Server TLS guidance Part 2: Enabling TLS 1.2 and Identifying Clients Not Using It
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761

Koexistenz und Migration

Wer schon länger mit Exchange arbeitet, hat mit jeder Migration und jedem Update die Fragestellung zu klären, wie ein Client den Weg zu "seinem Postfach" findet. Klar stellt der Client eine "Autodiscover"-Anfrage und dann erhält er eine passende Konfiguration zurück. Wenn ich aber die externen Namen wie "owa.firma.tld" nicht ändern möchte, dann muss ich diese Zugriffe auf einen Exchange Server leiten, der alle Benutzer bedienen kann.

Damit muss aber auch sicher gestellt werden, dass der erreichte Server auch Benutzer bedienen kann, die nicht auf ihm liegen sondern auf einem anderen Server, der sogar in anderen Sites stehen könnte und andere Exchange Versionen ist. Die Themen "Proxy" oder "Redirect" sind hier wieder gefordert.

  • Proxy
    Der angefragte Server leitet die Anfrage an den nachgeordneten Server weiter. Der nachgeordnete Server erstellt die Antwort und gibt sie an den anfragenden Server weiter, der diese dann zum Client weiter gibt.
  • Redirect
    Wenn Sie mehrere Standorte haben, dann macht es oft sinn, wenn ein Client auf einen Zugangsserver umgeleitet wird, der möglichst nahe an seinem Postfach steht, damit die Pakete nicht ungünstige Wege laufen

Exchange bedient sich dabei den konfigurierten Interne und externe URLs, um dem Client per Autodisover den Weg zu weisen oder auch umzuleiten. Im "Innenverhältnis" sprechen die Exchange Server aber immer mit dem FQDN des Servers.

CAS 2016 zum NextHop

Auch Exchange 20106 unterstützt die Funktion "Proxy" und "Redirect"

Der Exchange 2016 CAS authentifiziert in jedem Fall erst einmal den Anwender um zu wissen, wer da überhaupt eine Information anfordert.

 

URL
Ex2016
Ex2013

  • Ex2010

OWA
  • Proxy zum Ex2016 MB (Active Copy)
  • Proxy zum Ex2013 MB
  • Ohne External URL
    Proxy zum Ex2010 CAS, Aber nur für Outlook AnyWhere
  • Mit ExternalURL
    Redirect zur ExternalURL des Exchange 2010 CAS in der AD-Site des Postfachservers

ECP
  • Lokale bedient
  • Proxy zum Ex2013 MB

 

ActiveSync
  • Proxy zum Ex2016 MB (Active Copy)
  • Proxy zum Ex2013 MB
  • Ohne External URL
    Proxy zum Ex2010 CAS
  • Mit ExternalURL
    Redirect zur ExternalURL des Exchange 2010 CAS in der AD-Site des Postfachservers

Autodiscover
  • Proxy zum Ex2016 MB (Active Copy)
  • Proxy zum Ex2013 CAS
  • Proxy zum Exchange 2010 CAS in der Site der Mailbox
    Der 2016er authentifiziert den User, sucht dann aus dem AD die MailboxGUID und dazu dann die passende Datenbank mit dem aktiven Server. Zu diesem Server wird der Request weiter gegeben.
Voraussetzungen sind, dass der Zielserver die richtige Authentifizierung anbietet und z.B. kein IIS-Redirect konfiguriert ist.

EWS
  • Proxy zum Ex2016 MB (Active Copy)
  • Proxy zum Ex2013 CAS
  • Ohne External URL
    Proxy zum Ex2010 CAS
  • Mit ExternalURL
    Redirect zur ExternalURL des Exchange 2010 CAS in der AD-Site des Postfachservers

RPC/HTTP
  • Proxy zum Ex2016 MB (Active Copy)

Proxy zum Ex2013 MB
  • Ohne External URL
    Proxy zum Ex2010 CAS
  • Mit ExternalURL
    Redirect zur ExternalURL des Exchange 2010 CAS in der AD-Site des Postfachservers

MAPI/HTTP

 

 

 

OWA
  • Proxy zum Ex2016 MB (Active Copy)

Proxy zum Ex2013 MB
  • Proxy zum einen CAS in der lokalen Site mit einer Kopie des OAB

POP
  • Proxy zum Ex2016 MB (Active Copy)
  • Proxy zum Ex2013 MB
  • Proxy zum Ex2010 CAS in der Site mit der Mailbox anhand der Internen Hostnamens.
    Hinweis: CAS2016 macht keinen Healthcheck, ob der Dienst erreichbar ist

IMAP
  • Proxy zum Ex2016 MB (Active Copy)
  • Proxy zum Ex2013 MB
  • Proxy zum Ex2010 CAS in der Site mit der Mailbox anhand der Internen Hostnamens.
    Hinweis: CAS2016 macht keinen Healthcheck, ob der Dienst erreichbar ist

Eigentlich kann ein Exchange 2016 quasi zu allen Servern als Proxy die Pakete weiter geben. Teilweise verbindet er sich mit dem Backend Server (Exchange 2013) oder mit dem Exchange 2010 CAS, der dann die Verbindung bedient.

Diese "einfache Funktion" hat sicher auch seinen Grund darin, dass MAPI/TCP mit Exchange 2016 nicht mehr bedient wird und damit alle Zugriffe entweder HTTPS oder POP3/IMAP4 sind. und diese Protokolle sind relativ einfach als "Proxy" auf den aktuell gültigen Backend-Service weiter zu leiten.

Upstream Proxy 2013 zu 2016

Erstmalig in der Exchange Umgebung gibt es mit Exchange 2013 und 2016 eine erweiterte Funktion des Proxying. Galt bislang die Regel, dass eine neuere Version immer eine ältere Version unterstützen kann aber eine alte Version nicht auf einen neueren Server zugreifen kann.

Das ist zumindest mit Exchange 2013 und Exchange 2016 nun anders. Ein Stück weit hat es die Versionsnummer natürlich schon suggeriert, dass Exchange 2016 (15.1) nicht so unterschiedlich von Exchange 2013 (15.0) ist. Man könnte auch sagen, dass Exchange 2016 eher ein Service Pack 1 ist. Aber auch die Installation eines Service Pack musste früher immer die Regel "Outside In" beachtet werden, d.h. die "vorne" stehenden Server mussten neuer sein als die dahinter stehenden Server.

Das ist mit Exchange 2013 als Client Access Service für einen Exchange 2016 Backend Server nicht der Fall. Ein Exchange 2013-CAS-Server kann auch Postfächer auf Exchange 2016 Server bedienen. Damit können Sie erstmals Exchange 2016 neben Exchange 2013 installieren und dennoch weiter die Exchange 2013 CAS-Server nutzen und erst später den Namespace umstellen.

Weitere Links