Exchange Outlook Web Access veröffentlichen mit ISA Feature Pack 1
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000 Feature Pack 1
- Microsoft Exchange Server 2000
- Microsoft Exchange Server 2003
Im Kapitel Exchange OWA wurde beschrieben, wie man am einfachsten den ISA Server für Outlook Web Access konfiguriert. Microsoft hat durch das Feature Pack 1 einige Vereinfachungen herausgebracht. Eine davon betrifft die Einrichtung einer Webveröffentlichung für OWA. Es entfällt z.B. das vorherige Erstellen eines Zielsatzes.
Nach der Installation des FP1 findet man im Kontextmenü der Webveröffentlichungsregeln einen neuen Assistenten:
Zum besseren und klareren Verständnis hier zuerst kurz die Konfigurationsdaten des für dieses Beispiel verwendeten Netzwerkes:
- ISA Server:
- externe IP-Adresse: 192.168.69.99
- default Gateway: 192.168.69.1
- interne IP-Adresse: 192.168.133.1
- DNS-Eintrag mail.msisafaq.de zeigt auf 192.168.69.99
- Exchange Server:
- interne IP-Adresse: 192.168.133.2
- default Gateway: 192.168.133.1
Der Exchange Server ist also ein SecureNAT Client.
Nach dem Aufruf des Assistenten wird als erstes (wie bei allen Regeln auch) nach einem beschreibenden Namen gefragt:
Im nächsten Fenster muss die interne Adresse des Exchange Servers angegeben werden. Hier kann entweder die IP-Adresse oder ein auflösbarer FQDN (z.B. msx.intern.msisafaq.de) eingegeben werden. Die Option "SSL-Verbindung zwischen ISA Server und Outlook Web Access-Server verwenden" bewirkt eine interne Verschlüsselung des Verkehrs zwischen ISA und Exchange. Dazu muss am Exchange Server im IIS ein entsprechendes Zertifikat eingebunden werden und der ISA Server muss ein gültiges Client-Zertifikat besitzen. Diese SSL-Verschlüsselung hat nichts mit der Verschlüsselung zwischen ISA Server und externem Client zu tun, das wird an späterer Stelle konfiguriert. Im Normalfall wird die interne Kommunikation nicht verschlüsselt, da es sich ja um das vertraute interne Firmennetz handelt. Eine Verschlüsselung geht immer zu Lasten der Performance.
Im nächsten Dialogfenster wird nach der URL gefragt, die ein externer Client zum Aufruf des OWA in seinem Browser verwendet. Unbedingt wichtig ist hierbei, dass die URL per DNS aufgelöst werden kann. D.h. es muss im unteren Beispiel ein A-Record in der DNS-Zone für msisafaq.de existieren, die auf die externe IP-Adresse des ISA Servers (192.168.69.99) zeigt. Es kann natürlich auch eine IP-Adresse verwendet werden, dann müsste http://192.168.69.99/exchange eingetragen werden.
Anschließend kann noch konfiguriert werden, dass der OWA nur per https:, also per SSL aufgerufen werden kann:
Dazu muss das Häkchen gesetzt werden. Danach kann man mittels des Buttons "Auswählen" ein bereits hinterlegtes Serverzertifikat angeben. Dieses Zertifikat muss vor Verwendung des Assistenten eingerichtet werden. Selbstverständlich kann jederzeit nachträglich die Verschlüsselung ein- oder ausgeschaltet werden.
Nachdem nun alle wesentlichen Parameter eingegeben wurden bringt der Assistent eine kurze Zusammenfassung.
Im Anschluss daran wird der Webproxydienst neu gestartet und die OWA-Webveröffentlichungsregel ist einsatzbereit.
Ein kleiner Schönheitsfehler hat sich eingeschlichen. Er ist nicht sehr sicherheitskritisch, dennoch empfehle ich ihn zu korrigieren. Der Zielsatz wurde mit /exchange* statt /exchange/* erstellt:
Der Unterschied liegt darin, dass mit /exchange* auch ein File im IIS aufgerufen werden könnte, das /exchange.htm heißt. /exchange/* erzwingt den Verbleib im Virtuellen Verzeichnis /exchange/ des IIS. Jedoch ist es sehr unwahrscheinlich, dass sich im IIS ein solches File befindet. Selbstverständlich funktioniert der OWA auch ohne Zielsatzkorrektur.
Der "richtige" Zielsatz sieht so aus:
Wenn alle Voraussetzungen korrekt waren, erscheint im Browser beim Aufruf der Adresse http://mail.msisafaq.de/exchange/ und der Eingabe der Anmeldedaten folgende Seite:
Stand: Friday, 28. August 2009/DR.
