CAS Proxy 2010

Inhaltsverzeichnis

Direkt, Reverse Proxy oder LegacyURL
Versionsabhängigkeiten
Authentifizierung = NTLM
ExternalURL und Redirect
"LegacyURL"
"LegacyURL" mit Single IP/Zertifikat
Weitere Links

Exchange 2007 Administratoren sollten Sie die Seite CASProxy 2007 anschauen.

Exchange 2013 Administratoren sollten die Seite CASProxy2013 lesen.

Upgrading Outlook Web App to Exchange 2010
http://blogs.technet.com/b/exchange/archive/2009/12/02/453367.aspx
Ein ganz wichtiger und deutlicher Blogeintrag, was der Exchange 2010 CAS macht und was nicht.

Mit Exchange 2010 hat Microsoft die Rolle des Client Access Servers stark erweitert, weil damit auch die MAPI-Clients über den CAS-Server auf das Postfach zugreifen. Ein Exchange 2010 CAS Server ist aus Sicht eines MAPI-Anwenders ein Postfachserver. Aber der CAS-Server ist weiterhin der einzige Zugangspunkt für Outlook WebApp (der neue Name statt Outlook Web Access), ActiveSync (Push-Mail), POP3 und IMAP4. Allerdings unterstützt die Exchange 2010 Rolle nur die Exchange 2010 Postfachserver direkt. für die Koexistenz mit Exchange 2007 und Exchange 2003 werden die Zugriffe teilweise selbst direkt durchgeführt, an den Exchange 2007 CAS weiter gegeben (Reverse Proxy) oder der Client auf einen anderen CAS-Server umgelenkt.

Direkt, Reverse Proxy oder LegacyURL

Die Exchange 2010 CAS-Rolle unterstützt drei verschiedene Arten, wie Anfragen der verschiedenen Clients weiter verarbeitet werden:

Direkt
Die Exchange 2010 CAS-Rolle greift dann direkt auf den Postfachserver (per MAPI/RPC) zu. Dieser Weg wird immer für Exchange 2010 Postfächer angewendet aber nicht immer für ältere Versionen der Postfachserver
Reverse Proxy
Die Exchange 2010 CAS-Rolle enthält keinen Code für einen direkten Zugriff auf Exchange 2003 oder Exchange 2007. Aber für bestimmte Zugriff leitet er die Anfragen als Reverse Proxy an den Exchange 2007 CAS oder den Exchange 2003 Server weiter. Der Client spricht also weiter mit dem Exchange 2010 CAS, obwohl die Daten von einem anderen Server kommen. Die Funktion ähnelt der eines Exchange 2003 "Frontend" Servers oder Exchange 2007 CAS-Servers, wobei ein Exchange 2007 CAS diese Funktion nur bereit gestellt hat, wen keine Mailboxrolle installiert war (Konflikt des virtuellen Verzeichnisses /EXCHANGE als OWA2003-Zugriff nud WebDAV-URL)
Umleitung/LegacyURL
Zuletzt gibt es Protokolle, bei denen der Exchange 2010 CAS den Client auf einen anderen Server verweist. Dies passiert z.B. beim OWA-Zugriff oder wenn Sie per MAPI/RPC intern aus versehen den Exchange 2010 CAS-Server angegeben haben aber noch auf Exchange 2007/2003 arbeiten. Dann wird ihr Outlookprofil einfach umgestellt.
Autodiscover
Outlook 2007 und Windows Mobile 6.1 und neuer unterstützen "Autodiscover". Wenn diese Clients also keine Verbindung mehr mit den bekannten Daten aufbauen können, dann führen Sie eine Autodiscover-Erkennung durch, um den Weg zu finden. Es ist daher wichtig, dass die "Autodiscover"-Funktion sehr früh auf Exchange 2010 CAS-Server umgeleitet wird.

Da es sehr viele Client, Server und Protokolle gibt, ist eine Übersicht als Tabelle hilfreich.

Versionsabhängigkeiten

Zum Erstellungszeitpunkt habe ich noch keine ähnliche Übersicht in den Microsoft Dokumenten gefunden. Die Daten müssen daher nicht korrekt sein. Korrekturen nehme ich gerne an.

Die folgende Tabelle zeigt, welche Zugriffe für die verschiedenen Protokolle wie unterstützt werden. Sie werden keine Exchange 2000 oder 5.5 Server mehr finden, da diese nicht mit Exchange 2010 in einer Organisation existieren können.

Protokoll	Client	Postfach	Zugriff
MAPI/RPC	Outlook 2003/2007/2010	2010	Über CAS-Server bzw. CAS-Array auf Postfachserver. Ein direkter Zugriff auf eine Mailboxrolle erfolgt nur für öffentliche Ordner
MAPI/RPC	Outlook XP/2003/2007/2010	2007/2003	Umleitung: Das Outlook Profil wird auf den korrekten Postfachserver umkonfiguriert.
RPC/HTTP	Outlook 2003/2007/2010	2010/2007/2003	Der angesprochene RPC-Proxy baut eine direkte Verbindung zum Mailbox Server auf den Port 6001-6004 auf. Auch über AD-Site-Grenzen hinweg und wenn in der Zielsite kein CAS-Server mit aktiviertem Outlook AnyWhere steht.
OWA	Browserunabhängig	2010	Direkt auf Postfachserver
	Browserunabhängig	2007	Umleitung auf die externe URL des Exchange 2007 CAS in der jeweiligen AD-Site Nur wenn der 2007CAS nicht in einer "Internet Facing AD-Site" ist, erfolgt ein Reverse Proxy. Dazu muss aber ein Exchange 2007 Verzeichnis auf den Exchange 2010-Server "kopiert" werden. Exchange 2010 mach aber keinen Reverse Proxy auf einen Exchange 2007 CAS in der gleichen AD-Site. "Transitioning Client Access to Exchange Server 2010 http://blogs.technet.com/b/exchange/archive/2009/11/20/3408856.aspx
	Browserunabhängig	2003	Laut http://technet.microsoft.com/de-de/library/bb310763.aspx würde der Zugriff als Reverse Proxy auf den Exchange 2003 Mailbox Server gehen, wenn der Client //Exchange" oder "/Public" eingegeben hat. Alternativ kann man aber auch über die Konfiguration einer "LegacyURL" den Client auf den alten OWA-Zugang umleiten.
ActiveSync	WM6.1/6.5 (EAS-Version 12.1 und höher)	2010/2007	Autodiscover/Redirect aber es geht auch Reverse Proxy auf Exchange 2007 CAS, aber nur, wenn der Exchange 2007 keine External URL hat, ansonsten erfolgt eine Umleitung
	WM6.0 und älter, Nokia, Android, iPhone (EAS Clientversion 12.0 und älter	2010	Direkt
	WM6.0 und älter, Nokia, Android, iPhone (EAS Clientversion 12.0 und älter	2007	Reverse Proxy auf Exchange 2007 CAS Aber nur, wenn der Exchange 2007 keine External URL hat, ansonsten erfolgt eine Umleitung
	any	2003	Reverse Proxy auf Exchange 2003 Backend Server (Auf dem virtuellen Verzeichnis "/Microsoft-Server-ActiveSync" muss integrierte Anmeldung aktiv sein !)
OAB	Outlook 2007/2010	2010/2007/2003	Direkt
Autodiscover	Outlook 2007/2010	2010/2007/2003	Direkt Hinweis: Autodiscover muss über 2010 laufen, da ein Exchange 2007 CAS den neueren 2010 CAS zurückgibt.
EWS	Outlook 2007/2010	2010/2007/2003	Wird per Autodiscover ermittelt
POP3 IMAP4	Beliebiger Client	2010	Direkt
	Beliebiger Client	2007	Reverse Proxy zum Exchange 2007 CAS
	Beliebiger Client	2003	Direkt

Authentifizierung = NTLM

Damit ein CAS in einer "Internet Facing Site" auf einen anderen CAS in einer anderen nicht direkt erreichbaren Site erreicht, muss auf dem Zielserver die integrierte Anmeldung aktiv sein. Es reicht aber, wenn eine WebSeite diese Anmeldung anführt. Die CAS-Server schauen im Active Directory nach, welche Webseite im anderen Standort genutzt werden.

Seit Exchange 2010 funktioniert dies mit dem "new-OWAVirtualDirectory" commandlet. Vergessen Sie danach nicht ,den IIS mit einem "IISRESET /noforce" durchzustarten.

Auf dem Internet zugewandten Server können Sie natürlich weiter per Formular eine Anmeldung durchführen.

ExternalURL und Redirect

Exchange 2007 und höher nutzen die Konfiguration von "ExternalURL", um allen Servern bekannt zu geben, welcher Server wie extern zu erreichen ist. S kann ein Exchange Server, der von einem Client erreicht wird, schnell seine Zuständigkeit klären. Der Server prüft also, ob es zum Postfach des Benutzers vielleicht einen "besseren CAS" gibt. Dazu nutzt Exchange die Active Directory Standorte und Dienste. Gibt es z.B. eine CAS-Server, der in der gleichen AD-Site wie das Postfach liegt oder die gleiche Exchange Version wie der Postfachserver hat, dann wird der Client auf dessen ExternalURL umgeleitet.

So erreicht Exchange in großen Umgebungen, dass ein Client immer den "besten" Server verwendet, auch wenn er beim erste Kontakte den "falschen" CAS erwischt. Umgekehrt kann ein Administrator so natürlich auch steuern, welcher CAS direkt vom Client angesprochen wird und welcher im Rahmen der Möglichkeiten durch den ersten als Proxy erreicht wird.

Understanding Proxying and Redirection
http://technet.microsoft.com/en-us/library/bb310763.aspx

"LegacyURL"

Wie sie auf der Tabelle ersehen können, kann die Exchange 2010 CAS-Rolle nicht mehr direkt einen Zugriff auf OWA für auf Exchange 2007 oder 2003 gewähren. Laut Microsoft wurde der erforderliche Code einfach nicht entwickelt. Statt dessen müssen Sie in einer gemischten Umgebung auf dem Exchange 2010 CAS konfigurieren, unter welcher URL die Anwender nun auf den Exchange 2007 OWA oder Exchange 2003 OWA zugreifen können. Greift ein Anwender dann auf den Exchange 2010 CAS-Server zu und meldet sich mit einem Postfach an, welche noch nicht auf Exchange 2010 migriert ist, dann erfolgt eine Umleitung auf dem Client (HTTP Redirect) auf eine neue URL.

Im Laufe der Migration müssen Sie also mehrere Schritte in der richtigen Reihenfolge durchlaufen

"Alter" OWA-Zugang mit einem neuen Namen und Zertifikat veröffentlichen
Diese URL in den Exchange 2010 CAS-Einstellungen hinterlegen
Die Exchange 2010 Server mit dem alten Namen veröffentlichen

Über diesen "Trick" müssen sich die Anwender keine neue URL merken, sondern greifen wie bisher auf ihre bekannte URL zu, aber sehen den "neuen" Anmeldeschirm. Sobald Sie sich aber mit einem "alten" Postfach (2003 oder 2007) anmelden, wird der Client auf die alte URL gesendet. Wenn Sie die "Formularbasierte Anmeldung" nutzen, dann muss der Anwender sich nicht einmal neu anmelden.

Kniffliger wird es, wenn Sie den OWA-Zugriff nicht direkt veröffentlicht haben, sondern z.B. ein Portal vorgeschaltet haben oder eine starke Authentifizierungslösung integriert haben, dann bedarf es zusätzlicher Schritte, um den Anwendern eine Doppelanmeldung zu ersparen.

Beim Zugriff auf OWA im internen LAN ist die Pflege der LegacyURL erst einmal nicht erforderlich, da intern der Exchange 2010 CAS die Client dann auf einen Exchange 2007 CAS-Server bzw. Exchange 2003 Postfachserver umleitet. Beim Zugriff aus dem Internet hingegen kommt es darauf an, ob sie direkt von Exchange 2003 nach Exchange 2010 migrieren oder vielleicht Postfächer auf 2010, 2007 und 2003 liegen.

Wenn Sie Exchange 2007 und 2003 parallel betreiben, dann wissen sie ja schon von CASProxy 2007, dass ein Exchange 2007 CAS-Server als Reverse Proxy auch einen Exchange 2003 OWA-Zugriff erlauben kann. Dazu muss der Exchange 2007 CAS aber auf den Exchange 2003 Backendserver per HTTP zugreifen können und der Server mit der Exchange 2007 CAS-Rolle darf keine Mailboxrolle betreiben. Dieses Problem ist aber nicht mit Exchange 2010 neu, sondern schon seit Exchange 2007 der Fall.

Für die Konfiguration der LegacyURL bedeutet dies aber:

Exchange 2010/2003 only
Veröffentlichen Sie den bisherigen Exchange 2003 OWA-Zugang mit einem neuen Zertifikat und einer neuen URL
Exchange 2010/2007/2003
Veröffentlichen Sie den bisherigen Exchange 2007 CAS-Server mit einem neuen Zertifikat und einer neuen URL.

Die LegacyURL sollte dann auf diesen zweiten Namen verweisen. Der Betrieb beider Zugänge mit dem gleichen Namen und der gleichen URL ist offiziell nicht möglich.

"LegacyURL" mit Single IP/Zertifikat

Nicht jede Firma kann eine zweite offizielle IP-Adresse bereit stellen und über die Firewalls veröffentlichen. Zudem ist für Anwender der Wechsel nicht immer einfach. Daher werden viele Administratoren nach einer alternativen Lösung suchen. Und es sind Lösungen denkbar, bei denen mit einer IP-Adresse oder vielleicht sogar mit einem Namen gearbeitet werden kann

SAN-Zertifikat

Eine offizielle Lösung ist der Einsatz von SAN-Zertifikaten für den OWA-Zugang. Exchange 2007 Administratoren können diesen Weg schon für die Veröffentlichung von OWA und Autodiscover. Über diesen Trick können sie von außen mehrere Namen auf die gleiche IP-Adresse veröffentlichen und trotz SSL mit dem Hostheader die Datenströme zu verschiedenen Diensten lenken.

Reverse Proxy für 2003/2010 ohne 2007

Wer nur Exchange 2010 und Exchange 2003 betreibt, könnte eine Konfiguration finden, da Exchange 2010 für OWA nur die URL /"owa" verwendet und Exchange 2003 die URLs "/exchange", "/public" und "exchweb". Es könnte also möglich sein, dass ein vorgeschalteter Reverse-Proxy die URLs einfach an den richtigen internen Server weiter leitet oder dass ein ReverseProxy-Modul auf dem Exchange 2010-Server die Anfragen an die bislang nicht belegten URLs zum Exchange 2003-Server weiter gibt.

IIS ARR (Application Request Routing)
http://www.iis.net/download/ApplicationRequestRouting
ISA-Server und SSL
Zuerst würde ich den ISA-Server als Reverse Proxy nutzen, welcher für die gewünschten URLs auf entsprechende Interne Server weiter geben kann.
URL Rewrite
http://www.codeplex.com/Wikipage?ProjectName=URLrewriter
IIS-Applikation, die Anfragen auf eine URL annehmen und die Daten von einem anderen WebServer abrufen kann.
Apache
Über das Modul "MOD_PROXY" habe ich schon selbst OWA mit Apache als Reverse Proxy veröffentlicht. Eventuell können darüber auch sowohl ein Exchange 2010 CAS als auch Exchange 2003 OWA mit einem Namen erreichbar gemacht werden.
WebProxy

Leider konnte ich diese "Baselkonfiguration" noch nicht selbst testen, da meine Kunden lieber ein paar Euro für ein Zertifikat und eine LegacyURL investieren.

Reverse Proxy mit "Portalseite"

Eine ganz elegante Möglichkeit mehrere Exchange Versionen zu veröffentlichen ist der Umweg über ein Portal, wie es z.B. auch ein ISA/TMG bereit stellen kann. Die Anmeldung erfolgt dabei nicht mehr am Exchange Server sondern an am Portalsystem. Diese kann dann anhand des Benutzers einfach heraus finden, auf welchem System dieser liegt (z.B. HomeMDB oder RecipientType) um dann die Anfragen an den passenden CAS oder Frontend Server weiter zu leiten.

So eine Lösung hat oft noch den zweiten Vorteil, dass die einmal erfolgte Anmeldung auch für anderen Dienste genutzt werden kann und sogar starke Authentifizierungen elegant eingebunden werden können. Neben TMG/ISA gibt es natürlich auch andere Anbieter wie z.B. Checkpoint, Citrix Access Gateway und Juniper (SSL Gateway) und andere.

Weitere Links

CASProxy2013
CASProxy 2007
Autodiscover
SAN-Zertifikate
ISA-Server und SSL
WebProxy
Namespace Planning in Exchange 2016
https://blogs.technet.microsoft.com/exchange/2015/10/06/namespace-planning-in-exchange-2016/
Client Connectivity in an Exchange 2016 Coexistence Environment with Exchange 2010
https://blogs.technet.microsoft.com/exchange/2015/10/26/client-connectivity-in-an-exchange-2016-coexistence-environment-with-exchange-2010/
Understanding Proxying and Redirection
http://technet.microsoft.com/en-us/library/bb310763.aspx
Upgrading Outlook Web App to Exchange 2010
http://blogs.technet.com/b/exchange/archive/2009/12/02/453367.aspx
Configuration tips and common troubleshooting steps für multiple forest deployment of Autodiscover service http://blogs.technet.com/b/exchange/archive/2008/02/13/448127.aspx
Default Authentication Settings für Exchange-related Virtual Directories
http://technet.microsoft.com/en-us/library/gg263433(EXCHG.80).aspx
White Paper: Exchange 2007 Autodiscover Service
http://technet.microsoft.com/en-us/library/bb332063.aspx
Transitioning Client Access to Exchange Server 2010
http://blogs.technet.com/b/exchange/archive/2009/11/20/453272.aspx
Understanding Proxying and Redirection
http://technet.microsoft.com/de-de/library/bb310763.aspx
Exchange 2010: Proxy or Redirect?
http://blogs.technet.com/mbaher/archive/2009/12/17/exchange-2010-proxy-or-redirect.aspx
Exchange 2010 – Teil 4 (Migration und Co-Existenz)
http://blog.geisbauer.de/2009/12/exchange-2010-teil-4-migration-und-co.html
Default settings für Exchange-related virtual directories in Exchange Server 2010
http://blogs.technet.com/b/exchange/archive/2010/09/23/456396.aspx
How Exchange Server 2010 CAS Proxy & Redirection works für Exchange ActiveSync
https://charlesgate86.wordpress.com/2012/01/30/how-exchange-server-2010-cas-proxy-redirection-works-for-exchange-activesync/
URL Rewrite
http://www.codeplex.com/Wikipage?ProjectName=URLrewriter
IIS-Applikation, die Anfragen auf eine URL annehmen und die Daten von einem anderen WebServer abrufen kann. Vergleichbar zu MOD_PROXY für Apache
E2K7 OWA Redirect Bug Introduced with Exchange 2010 SP1
http://ucken.blogspot.com/2010/09/e2k7-owa-redirect-bug-introduced-with.html