Outlook Web Access mit Exchange 2007

Die Bedeutung des Postfachzugriffs per Webbrowser hat mit Exchange 2007 noch zugenommen. Nicht nur der Gestalt, dass OWA2007 sehr viel leistungsfähiger geworden ist, sondern auch im Bezug auf die Lizenzierung. Eine Exchange 2007 CAL enthält nicht mehr automatisch das Recht die aktuelle Outlook Version installieren zu dürfen. Schon daher muss OWA als angeblich "primary Client" entsprechend leistungsfähig sein.

Zum Outlook Web Access 2007 gehört zwingend auch die Kenntnis über die Rolle: ClientAccess und die Funktion CASProxy 2007.

OWA 2007 und IE8
Wenn Sie OWA mit dem neuen Internet Explorer 8 starten und keine Bilder sehen, dann ist eine Sicherheitseinstellung im IE8 daran schuld und nicht ihr Exchange Server:
http://exchangepedia.com/blog/2009/03/internet-explorer-8-and-owa-where-are-the-images.html

Sicher trägt Microsoft aber auch dem Wettbewerb Rechnung, welcher mittlerweile auch leistungsfähige Funktionen per Browser anbieten, weil Sie nicht auf Outlook und Office setzen können.

.NET 1.1 und Exchange 2007 OWA

Bei der Installation des .NET 1.1 Frameworks kann es passieren, dass Exchange 2007 OWA nicht mehr funktioniert. Dann hilft die Korrektur der IIS-Einstellungen
894435 How to switch between the 32-bit versions of ASP.NET 1.1 and the 64-bit version of ASP.NET 2.0 on a 64-bit version of Windows

ASP 2.0 x64 wieder aktivieren

cscript %SYSTEMDRIVE%\inetpub\Administratorencripts\adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 0
%SYSTEMROOT%\Microsoft.NET\Framework64\v2.0.50727\aspnet_regiis.exe -i

Anmeldung und erster Eindruck

Der Funktion OWA ist Bestandteil der Exchange 2007 "Client Access"-Rolle und wird automatisch mit installiert und konfiguriert. Insofern muss man erst mal nichts machen, um OWA zu nutzen. Auch die formularbasierte Anmeldung ist standardmäßig aktiviert. Allerdings hat sich die URL etwas geändert. Um nicht in Konflikt mit Exchange 2000/2003 zu kommen, müssen sie nun eingeben:

https://servername/owa

Danach sehen Sie im Browser die neue Anmeldemaske:

OWA Anmeldebildschirm

Sie haben auch hier zum einen die Wahl, ob Sie von einem "privaten" oder öffentlichen Computer zugreifen. Damit wird z.B. bestimmt, wie lange eine Sitzung gültig bleibt, auch wenn Sie keine Aktivität mehr zeigt. Auf öffentlichen Computern wird nach ca.10 Minuten Inaktivität eine Neuanmeldung erforderlich.

Die "Light-"Version verzichtet auf einige Funktionen, was sich in schnelleren Anzeigen durch weniger Datenvolumen speziell auf mobilen Geräten niederschlägt. Dies ist auch die Version, die Browser angezeigt bekommen, die älter als IE6 sind. Allerdings fehlen hier dann auch einige Funktionen wie z.B.:  "Drag and Drop" von Terminen etc., die intensiv auf Javascript und anderen Techniken basieren.

Das erste Fenster ist der "Posteingang" und es ist schon erstaunlich, wie gut ein Browser eine fast vollständige Anwendung bereitstellen kann.

OWA 2007 Posteingang

Man beachte hier besonders die neue Funktion, im Posteingang nach Nachrichten suchen zu können.

Termine

Damit der Blick auf die Termine auch etwas aussagekräftiger wird, habe ich einfach die Woche IT-Forum in Barcelona

OWA2007 Termine

Es ist schon deutlich erkennbar, dass die Übersicht viel besser ist als bei den bisherigen Versionen von OWA. Man kann mittlerweile sogar einfach die Termine direkt verschieben.

Anpassen

Mittlerweile hat Microsoft nun auch das Anpassen von OWA vereinfacht und anscheinend etwas besser durchdacht. So kann man nun problemlos ein eigenes Design verwenden. Über so genannte "Themes" kann der Administrator einfach eigene Bilder und angepasste CSS-Dateien in der ClientAccess-Rolle hinzufügen.

OWA2007 Themen

Die Themen liegen im Verzeichnis des ClientAccess-Rolle/Owa/%version%/themes/%themenname%. Um ein eigenes Layout einzubauen, muss man hier ein Verzeichnis anlegen und darin all die Dateien addieren, die man abweichend vom Standard ändern möchte. Also kopiert man aus dem Verzeichnis "base" einfach nur die Dateien, die man austauschen oder anpassen muss.

Der Name des Thema leitet sich vom Verzeichnis ab. Alternativ kann man auch in der themeinfo.xml einen Namen hinterlegen. Leider muss man nach den Anpassungen den IIS durchstarten, damit diese Änderungen auch sichtbar werden.

Der Mitarbeiter kann dann das Thema selbst in den Eigenschaften auswählen, sofern diese Funktion nicht in den Eigenschaften der OWA-Seite deaktiviert ist.

OWA 2007 Themes

Natürlich können Sie auch das Standardlayout ändern, so dass alle Benutzer das gleiche "neue" Thema haben. Leider habe ich noch keine Informationen, wie man das Thema vorgeben kann. Ich halte es erst mal für keine gute Idee, den Default zu ändern.

Quota

Eine nette Funktion offenbart sich, wenn Sie mittels OWA ihre Mailbox öffnen und an die konfigurierte Grenze kommen. OWA blendet dann links oben die aktuelle Belegung ein.

OWA2007 Quota Warnung

Diese Funktion ist natürlich besonders für Hoster interessant. Wenn man noch nicht an die Grenzen gestoßen ist, so kann man an der gleichen Stelle die aktuelle Belegung angezeigt bekommen. Bewegen Sie einfach ihre Maus auf ihren Namen und warten ein wenig.

OWA 2007 Quota

Nach kurzer Zeit erscheint ein kleines Fenster mit der Anzeige der aktuellen Postfachgröße.

Zugriff auf Dateien

Exchange 2007 erlaubt auch erstmals den Durchgriff auf Dateien im internen Netzwerk. Diese muss der Administrator natürlich erst einmal "freischalten". Aber dann ist es durchaus möglich, dass ihnen ein Kollege eine Mail mit einem internen Link auf eine Datei oder auch eine interne Webseite (Sharepoint, Intranet etc.) sendet. Sie können die Mail per OWA aus dem Internet lesen und sogar den Link auf die interne Ressource anklicken. Der Link ist entsprechende umgeschrieben, so dass Exchange 2007 quasi wie ein Portal wird.

Windows Mobile Endgerät können mit zertifikatbasierter Anmeldung per OWA nicht auf Dateifreigaben von Exchange 2007 zugreifen.
Dies funktioniert auch nicht in Verbindung mit einem CAS-Proxy oder einen ISA mit NTLM-Authentifizierung.

Zugriff auf öffentliche Ordner

Mit dem Exchange 2007 SP1 wurde auch wieder die Erreichbarkeit von öffentlichen Ordnern per OWA bereit gestellt. Aber auch ohne dieses Update war es möglich, auf öffentliche Ordner zuzugreifen. Allerdings musst man dazu weiterhin einen Exchange 2003 Server betreiben. Der Exchange 2007 CAS-Server konnte dann quasi wie ein Frontend Server die Daten vom Exchange 2003 Server per HTTP anfordern und weiter geben. Das "Look and Fee" hat dann natürlich nichts von Exchange 2007

Privat und öffentlich

Vielleicht ist ihnen auf der Anmeldeseite aufgefallen, dass Sie zwischen "Privat" und "öffentlich" wählen können. Überwiegend wird damit durch den Anwender festgelegt, wie lange die Cookies der Anmeldung gültig bleiben, d.h. nach wie vielen Minuten die Neueingabe der Anmeldung erforderlich ist

  • öffentlicher Computer
    Cookie Lebensdauer  15 Minuten
  • Privater Computer
    Cookie Lebensdauer  8 Stunden

Setzen und lesen der Timeouts können Sie über die PowerShell

get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA' -name PublicTimeout

set-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Services\MSExchange OWA' -name PublicTimeout -value <time> -type dword

Die Auswahl beeinflusst aber auch, wie sich OWA zu erkennen gibt. So kann der Administrator für beide Umgebungen unterschiedliche Berechtigungen, z.B.: ob Anlagen heruntergeladen werden dürfen. Allerdings ist man natürlich vom Anwender abhängig, der die Auswahl trifft.

OWA2007 und ISA

Im Gegensatz zu Exchange 2000 und 2003 muss man mit Exchange 2007 schon einige URL-Pfade mehr veröffentlichen. Zwar fällt "Outlook Mobile Access" (Zugriff per WAP) weg, aber für die Funktion Autodiscover, Offline Adressbücher und Exchange Web Services sind weitere URLs zu veröffentlichen. In einem ISA-Server kann das dann wie folgt aussehen:

ISA und OWA2007

Hier sieht man welche URLs für Exchange z.B. über einen ISA-Server veröffentlicht werden, um neben OWA auch Outlook 2007 mit Autodiscover, EWS, OAB und RPC/HTTP nutzen zu können. Weitere Infos über die sichere Veröffentlichung finden Sie auch auf OWA Absichern

OWA und Webpart

Outlook Web Access eignet sich natürlich auch zur Einbindung in andere Webseiten. So stellt Sharepoint z.B. ein "Posteingangs-Webpart" bereit, mit dem ein Outlook Web Access Fenster in die Portalseite des Benutzers eingebunden werden kann. Bei Exchange 2000 war dies einfach, da es keine formularbasierte Anmeldung gab. Bei Exchange 2003 konnte "Formbased" aktiviert werden, aber bei einem Zugriff ohne SSL war weiter eine Anmeldung ohne Maske möglich. In Exchange 2007 ist die Einstellung aber nun sowohl für HTTP als auch HTTPS aktiv. Was tun ?

Eine direkte Anpassung der Authentifizierung im IIS funktioniert nicht und Exchange 2007 erlaubt auch kein zweites virtuelles Verzeichnis in der gleichen Webseite. Die einzige Lösung ist daher die Einrichtung einer neuen virtuellen Webseite, in der dann eines OWA-Verzeichnis angelegt und die Authentifizierung konfiguriert wird. Das Anlegen geht nur per PowerShell. Die Konfiguration ist danach auch über die GUI möglich

New-OwaVirtualDirectory -WebSitename "web2"

Auf dieser Webseite können Sie nun natürlich ebenfalls SSL, IP-Beschränkungen etc. hinterlegen und im DNS mit einer eigenen URL ansprechen.

Fehler und Umleitungen

Exchange 2007 bietet genau genommen zwei OWA-Pfade an. /OWA und /EXCHANGE, wobei /EXCHANGE für alte Postfächer (Exchange 2000/2003) und /OWA für Exchange 2007 vorgesehen sind. Während der Zugriff auf Exchange 2007 entsprechend der CASProxy-Funktion über andere CAS-Server oder per Redirect und letztlich per MAPI ein Zugriff auf den Mailbox Server erfolgt, wird der Zugriff auf "/Exchange" direkt auf den OWA-Zugang des Postfachserver weiter geleitet (Reverse Proxy). Nun weiß ein Mitarbeiter ja nicht, welche URL die richtige und und bei einer Migration kann ja genau das sich auch ändern.

Version des Postfachservers Angesprochene
OWA-URL
Was passiert ?

2003

/exchange

Der Anwender sieht zwar einen Exchange 2007 ähnlichen Anmeldeschirm, aber nach der Anmeldung holt der CAS-Server die OWA-Ansicht vom Exchange 2000/2003 Postfach Server mit dem alten klassischen Look and Feel. Ein Exchange 2007 CAS-Server kann damit "Frontend" für Exchange 2000/2003 sein.

2003

/owa

Der Anwender bekommt zuerst den Anmeldeschirm zu sehen. Er bekommt dann aber die Fehlermeldung, dass Exchange keine Mailbox finden kann.

2007

/exchange

Benutzer wird auf "/owa" umgeleitet

2007

/owa

Normaler Zugriff

Natürlich kann es auch hier zu Fehlern kommen. Exchange 2007 meldet diese aber sehr ausführlich, wenn man sie denn auch genau liest: Hier die wichtigsten:

  • Kein Scripting aktiv
    OWA2007 ohne Skripting
    Dieses Problem sehen Sie eigentlich nur auf einem Windows Server mit hoher Internet Explorer Sicherheit oder stark reglementierten Clients. Dann kann es helfen, die URL in die "vertrauenswürdige Zone" aufzunehmen.
  • Kein Exchange 2007 CAS in der Site erreichbar

    Diese Meldung erhalten Anwender, wenn Sie auf einen Exchange 2007 CAS-Server in einer anderen Site zugreifen, der die Anfragen an den CAS-Server in der Site des Postfachservers weitergeben muss. Dieser ist hier wohl nicht erreichbar (Namensauflösung, Firewall, IP-Routing, AD-Sitelinks und Kosten oder einfach nur "Down".
  • OWA für Exchange 2003 Benutzer

    Diese Meldung bekommen Exchange 2000/2003 Postfächer, wenn Sie über "/OWA" auf das Postfach zugreifen wollen. Es kann aber auch einfach sein, dass sich der Benutzer zwar über OWA am Active Directory anmelden konnte, aber Exchange 2007 zu dem Benutzer einfach kein Postfach finden konnte.

Aus diesem Grund gibt es auch OWARedirect, eine ASP-Seite, die in gemischten Umgebungen die User auf "ihren" OWA-Server umleiten kann

Weitere Links