Outlook-Web-App / Outlook-Web-Access (OWA)

Voraussetzungen für OWA via Reverse-Proxy

Um Internet-Zugriff auf einen internen Outlook-Web-App (OWA) Server freizugeben, empfiehlt sich der Einsatz von SX-GATEs Reverse-Proxy. Durch dessen Sicherheitsprüfungen wird der Schutz des OWA bereitstellenden Internet-Information-Servers (IIS) erhöht. Für den Zugriff auf OWA über einen Reverse-Proxy müssen folgende Voraussetzungen gegeben sein:

  • Der OWA Web-Server muss auf Port 443 laufen (SSL-Offloading zu Port 80 unverschlüssel ist möglich)
  • Der Zugriff auf den Reverse-Proxy muss auf Port 443 (verschlüsselt) erfolgen

Da auf dem SX-GATE der Port 443 bereits durch die Administrations-Oberfläche belegt ist, muss der Reverse-Proxy auf einen anderen Port gebunden werden. OWA-Zugriffe auf Port 443 müssen dann innerhalb des SX-GATE mit Hilfe von Firewall DNAT-Regeln an den Reverse-Proxy umgeleitet werden. Details dazu finden Sie in der Online-Hilfe des Reverse-Proxies bzw. im Handbuch des SX-GATE.

Authentifizierungs-Varianten

In der Voreinstellung nutzt OWA HTTP-Authentifizierung. Als Methoden werden meist Kerberos, NTLM und Basic in dieser Reihenfolge angeboten. Wird nicht der Internet-Explorer verwendet, so kommt in der Regel Basic, manchmal auch NTLM zum Zuge. Vor Version 6.0-2.0 unterstützt der SX-GATE Reverse-Proxy leider Kerberos und NTLM nicht. Kerberos und NTLM müssen in diesem Fall in der Konfiguration des Internet-Information-Servers (IIS) deaktiviert werden. Ab 6.0-2.0 ist keine Anpassung der IIS-Konfiguration mehr notwendig.

Alternativ kann OWA die sogenannte »Forms-Based Authentication« verwenden. Anstelle des Popup-Fensters zur Eingabe der Zugangsdaten tritt hier ein in HTML eingebettetes Formular. OWA bietet diese Authentifizierungs-Variante nur an, wenn die Verbindung HTTPS verschlüsselt ist.

Als stärkste Form der Authentifizierung kann SX-GATEs Reverse-Proxy vom Browser ein Client-Zertifikat verlangen. Ein Browser der nicht über ein entsprechendes Zertifikat verfügt, kann sich nicht verbinden. Während Client-Zertifikate auch von einigen ActiveSync-Clients (z.B. iPhone) unterstützt werden, kann sich Outlook nicht mit einem Client-Zertifikaten anmelden. Sollte Ihr SX-GATE über mehrere Internet-IP-Adressen verfügen, können Sie jedoch beide Verfahren parallel betreiben. Legen Sie für OutlookAnywhere einfach einen weiteren Reverse-Proxy-Port an. Je nach Ziel-IP verteilen dann zwei DNAT-Regeln die eingehenden Verbindungen auf den nicht authentifizierten Port für OutlookAnywhere oder den authentifizierten Port.