Wichtig: Dieses Feature benötigt ein Abonnement
Wichtig2: Für SSL wird ein SSL Zertifikat benötigt
Wichtig3: Sollte ein Exchange 2010 geschützt werden, bitte zuerst den Zusatz am Ende lesen
SSL Zertifikat Installieren
-------------------------------------------------------------------------------------------------------------------
System -> Certificates
Hier euer SSL Zertifikat installieren, leider geht Lets Encrypt nicht (bzw. Ihr müsst es alle 3 Monate manuel selber erneuern). Günstige Zertifikate (SSL Positive) gibt es bei namecheap.com
Exchange / Web Server hinterlegen
-------------------------------------------------------------------------------------------------------------------
Protect -> Web Server
Web Servers
Hier den Exchange / Web Server hinzufügen:
Name: z.B. Exchange2016
Host: Hier den Host wählen (oder neu hinzufügen)
Type: Encrypted [HTTPS]
Port: 443
Zeitüberschreitung: 1850
Firewall Regel für Outlook / ActiveSync
-------------------------------------------------------------------------------------------------------------------
Eine neue Firewallregel hinzufügen -> Business Application Rule
Als Template: Exchange General
Rule Name: z.B: Exchange 2016 Webservices
Host Adresse: Den WAN Port wählen
HTTPS / Redirect HTTP: Einschalten
Listening Port: 443
HTTPS Certificate: Das SSL Zertifikat wählen
Domains:
Wichtig: Hier den autodiscover.contoso.com Eintrag löschen
Protected Servers:
In der Liste kann erstmal /oma und /OMA gelöscht werden (die sind veraltet)
Nun muss bei jedem Pfad via Bearbeiten folgendes eingestellt werden:
1: Der Webserver
2: Authentifizierung auf: Keine
Also Total ca. 9 mal...
Die restlichen Einstellunge sind soweit OK
Speichern
Firewall Regel für Autodiscover
-------------------------------------------------------------------------------------------------------------------
Eine neue Firewallregel hinzufügen -> Business Application Rule
Als Template: Exchange Autodiscover
Rule Name: z.B: Exchange 2016 Autodiscover
Host Adresse: Den WAN Port wählen
HTTPS / Redirect HTTP: Einschalten
Listening Port: 443
HTTPS Certificate: Das SSL Zertifikat wählen
Domains:
Wichtig: Hier nur autodiscover.contoso.com Eintrag belassen, alle anderen löschen
Protected Servers:
Nun muss bei jedem Pfad via Bearbeiten folgendes eingestellt werden:
1: Der Webserver
2: Authentifizierung auf: Keine
Also Total ca. 3 mal
Die restlichen Einstellunge sind soweit OK
Firewallregel speichern nicht vergessen
Umleitung von "/" nach "/owa"
-------------------------------------------------------------------------------------------------------------------
Falls jemand vergessen hat /owa im Browser einzugeben
In der Firewall Regel für Outlook / ActiveSync, folgendes Bearbeiten:
Protected Servers:
Hier einen Pfad hinzufügen:
Path: /
Webserver: Der Webserver angeben
Authentifizierung auf: Keine
Unter den Exceptions
Hier ebenfalls den Pfad / hinzufügen
Path: /
Skip these checks: Static URL Hardening: Einschalten
Firewallregel speichern nicht vergessen
MAPIoverHTTP aktivieren
-------------------------------------------------------------------------------------------------------------------
In der Firewall Regel für Outlook / ActiveSync, folgendes Bearbeiten:
Protected Servers:
Hier zwei Pfade hinzufügen:
Path: /mapi sowie /MAPI
Webserver: Der Webserver angeben
Authentifizierung auf: Keine
Also zwei neue Einträge total
Unter den Exceptions:
Hier auf den bestehenden Exeption (wo /owa etc drinn ist) folgende zwei Einträge hinzufügen
/mapi/* sowie /MAPI/*
Firewallregel speichern nicht vergessen
REST-API
-------------------------------------------------------------------------------------------------------------------
Möchte man die REST-API von Exchange 2016 nutzen, muss dies natürlich analog zu den obigen Beispielen ebenfalls freigegeben werden (Pfad: /api und /API, Ausnahme /api/* und /API/*)
ANMERKUNG
-------------------------------------------------------------------------------------------------------------------
Sollte folgender Fehler erscheinen, anstelle des OWA:
The proxy server received an invalid response from an upstream server.
The proxy server could not handle the request GET /owa.
Reason: Error reading from remote server
Kann dies wie folgt behoben werden:
Auf dem Exchange Server folgendes Tool installieren:
https://www.nartac.com/Products/IISCrypto
Dort zuerst auf "Best Practice" und dann auf "Apply"
Dies ändert die SSL Crypto Einstellungen des IIS auf Einstellungen, welche auch funktionieren
ANMERKUNG Exchange 2010 - RPCoverHTTP
-------------------------------------------------------------------------------------------------------------------
Da Exchange 2010 noch kein MAPIoverHTTP kann, muss wohl oder übel RPCoverHTTP aktiviert werden. Nur leider ist es bei der Sophos so, dass dadurch, sofern nicht ein eigener DNS Name für RPC genutzt wird, fast alle Schutzmechanismen deaktiviert werden müssen.
1:
In der Firewall Regel für Outlook / ActiveSync, folgendes Bearbeiten:
Protected Servers:
Hier einen Pfad hinzufügen:
Path: /RPC sowie /rpc
Jeweils:
Webserver: Der Webserver angeben
Authentifizierung auf: Keine
Unter den Exceptions
Hier ebenfalls den Pfad / hinzufügen
Path: /rpc/* sowie /RPC/*
Skip these checks: Static URL Hardening: Einschalten
Firewallregel speichern nicht vergessen
2:
Unter Protect -> Webserver -> Protection Policies
Entweder die bestehende "Exchange General" anpassen, oder eine neue mit den gleiche Einstellungen erstellen (empfohlen)
Einfach folgendes zum Standard anpassen:
Pass Outlook Anywhere: Ein
/rpc sowie /RPC bei URL Hardening hinzufügen
Anti.virus: Aus
Rigid Filtering: Aus
Alle Prüfungen bis auf Protocol Violations rausnhemen
Man deaktiviert also sozusagen fast alles.
Schöner wäre es, für RCP einen eigenen DNS Namen im Exchange zu hinterlegen (rcp.contoso.com) womit mit einer eigenen Regelnd dann nur dieser Domainname etwas schutzloser wäre und nicht nur das ganze OWA (die Regel hätte dann nur /rpc und /RPC als Pfad!)
Keine Kommentare:
Kommentar veröffentlichen