Exchange 2013 Outlook Anywhere
Ihnen ist sicher nicht entgangen, dass Exchange 2013 keinen direkten Zugriff per MAPI/TCP auf die Postfächer erlaubt, sondern nun alle MAP-Clients per Outlook Anywhere zugreifen müssen. Das scheint soweit kein Problem zu sein, das sogar das nicht mehr unterstützte Outlook 2003 schon Outlook Anywhere unterstützt hat. Dennoch gibt es ein paar Fallstricke zu beachten.
Exchange 2013 Default
Exchange 2013 konfiguriert Outlook Anywhere per Default mit folgenden Werten:
[PS] C:\>Get-OutlookAnywhere -Server nawex13 SSLOffloading : True ExternalClientAuthenticationMethod : Negotiate InternalClientAuthenticationMethod : Ntlm IISAuthenticationMethods : {Basic, Ntlm, Negotiate} ExternalClientsRequireSsl : False InternalClientsRequireSsl : False
Der IIS bietet zwar auch "Basic" an, aber per Autodiscover erhalten die Clients die Information, dass Sie sich per NTLM (intern) oder Negotiate (Extern) anmelden können. Damit ist die interne Funktion gegeben. Mich irritiert natürlich etwas, dass gerade intern als Anmeldeverfahren dem Client mittelst Autodiscover "nur" NTLM mitgeteilt wird anstatt Negotiate.
Von Extern macht Negotiate aber eigentlich keinen Sinn, denn Negotiate enthält Kerberos und NTLM. Die wenigsten Clients im Internet dürften ein Kerberos-Ticket vorweisen können und selbst NTLM funktioniert nicht über alle Proxies.
Externer Zugriff einrichten
Ehe Sie also Outlook Anywhere von extern freischalten, müssen Sie erst noch die Konfiguration anpassen. So fehlt nämlich auch der "External Host Name", wenn Sie nicht bei der Installation diesen schon angegeben haben. Allerdings werden Sie erstaunt feststellen, dass die Konfiguration gar nicht so einfach ist.
Das Setzen des "ExternalHostname" alleine liefert den Fehler, dass ich auch ExternalClientsRequireSSL auf "$True" setze und kaum mache ich das, kommt die nächste Fehlermeldung die nun die "ExternalClientAuthenticationMethod" erzwingt. Wenn ich dann den Default "Negotiate" mitgeben, dann sehe ich eine Warnung, dass genau dies der Koexistenz mit Exchange 2010 abträglich ist. Darauf weist auch der entsprechende KB-Artikel hin
- 2834139 Users of Exchange Server 2013 or Exchange Online can't open public folders or shared mailboxes on an Exchange 2010 or Exchange 2007 server
Also bleibt nur, dass Outlook Anywhere für den Zugriff aus dem Internet mit NTLM oder gar BASIC zu konfigurieren ist und Sie über andere Wege sicherstellen, dass SSL genutzt wird.
Koexistenz mit Exchange 2010/2007
Die Migrationsanleitungen sind deutlich: Ehe das erste Postfach auf Exchange 2013 verschoben werden darf, muss der Client Zugriff zumindest was RPC/HTTP-betrifft, auf Exchange 2013 umgestellt sein, da der Exchange 2013 CAS-Server problemlos alle drei Versionen bedienen kann, zumindest solange Sie als Authentifizierung nicht "Negotiate" einsetzen. Die PowerShell weist sie explizit darauf hin:
WARNING: Microsoft Exchange
versions earlier than Exchange Server 2013 do
not support the Negotiate client
authentication method. Connectivity to
public folders and mailboxes hosted on earlier
versions may be affected.
Sobald sie den externen Hostnamen für Outlook Anywhere setzen wollen, müssen Sie also sowohl den SSL-Zwang von extern aktivieren also auch die Authentifizierungsmethode angeben. Und wer hier Negotiate angibt, stört die Koexistenz mit Exchange 2010. Da aber Kerberos-Tickets von Extern sowieso nicht gehen, würde ich NTLM vorziehen.
Schaut man dann in das IISLog, dann sind zwei Dinge gut zu sehen:
- Authentifizierung am Exchange 2013 als Client
2013-07-05 00:00:07 192.168.100.32 POST
/Microsoft-Server-ActiveSync/default.eas Cmd=Sync&User=msxfaq%5CUser&DeviceId=androidc1315273704&DeviceType=Android
443 msxfaq\User 192.168.100.12
Android/4.2.2-EAS-1.3 - 200 0 0 20534
- Authentifizierung am Exchange 2013 Mailbox
2013-07-05 11:41:26 192.168.100.32 RPC_IN_DATA /rpc/rpcproxy.dll NAWEX13.msxfaq.de:6001&RequestId=563eeecd-be91-4a5c-a210-cfbdd38c85f5 444 MSXFAQ\NAWEX13$ 192.168.100.32 MSRPC - 200 0 0 0
- Authentifizierung am Exchange 2010 Mailbox
KEINE TREFFER !!
- Set-OutlookAnywhere
http://technet.microsoft.com/de-de/library/bb123545(v=exchg.150).aspx - Exchange 2013: Configuring
Outlook anywhere
http://msexchangeguru.com/2013/01/10/e2013-outlook-anywhere/ - 2834139 Users of Exchange Server 2013 or Exchange Online can't open public folders or shared mailboxes on an Exchange 2010 or Exchange 2007 server
- Setting Internal and
External URL’s in Exchange 2013
http://jaworskiblog.com/2013/04/13/setting-internal-and-external-URLs-in-exchange-2013/
Weitere Links
- Exchange 2013 Routing
- Client Access Server
http://technet.microsoft.com/en-us/library/dd298114(v=exchg.150).aspx - Exchange 2013 - What's New: Client Access Server Exchange
2013 – What’s New: Client Access Server
http://www.oakwoodinsights.com/exchange-2013-new-client-access-server/ - Using the option Proxy through client access server in
Exchange Server 2013
http://msmvps.com/blogs/andersonpatricio/archive/2012/11/01/using-the-option-proxy-through-client-access-server-in-exchange-server-2013.aspx - Exchange 2013 Client Access Server Role
http://blogs.technet.com/b/exchange/archive/2013/01/25/exchange-2013-client-access-server-role.aspx - Exchange 2013 Outlook Anywhere (RPC) Settings
http://infused.co.nz/2013/05/13/exchange-2013-outlook-anywhere-rpc-settings/