Outlook-Web-App / Outlook-Web-Access (OWA)

Voraussetzungen für OWA via Reverse-Proxy

Um Internet-Zugriff auf einen internen Outlook-Web-App (OWA) Server freizugeben, empfiehlt sich der Einsatz von SX-GATEs Reverse-Proxy. Durch dessen Sicherheitsprüfungen wird der Schutz des OWA bereitstellenden Internet-Information-Servers (IIS) erhöht. Für den Zugriff auf OWA über einen Reverse-Proxy müssen folgende Voraussetzungen gegeben sein:

  • Der OWA Web-Server muss auf Port 443 laufen (SSL-Offloading zu Port 80 unverschlüssel ist möglich)
  • Der Zugriff auf den Reverse-Proxy muss auf Port 443 (verschlüsselt) erfolgen

Da auf dem SX-GATE der Port 443 bereits durch die Administrations-Oberfläche belegt ist, muss der Reverse-Proxy auf einen anderen Port gebunden werden. OWA-Zugriffe auf Port 443 müssen dann innerhalb des SX-GATE mit Hilfe von Firewall DNAT-Regeln an den Reverse-Proxy umgeleitet werden. Details dazu finden Sie in der Online-Hilfe des Reverse-Proxies bzw. im Handbuch des SX-GATE.

Authentifizierungs-Varianten

In der Voreinstellung nutzt OWA HTTP-Authentifizierung. Als Methoden werden meist Kerberos, NTLM und Basic in dieser Reihenfolge angeboten. Wird nicht der Internet-Explorer verwendet, so kommt in der Regel Basic, manchmal auch NTLM zum Zuge. Vor Version 6.0-2.0 unterstützt der SX-GATE Reverse-Proxy leider Kerberos und NTLM nicht. Kerberos und NTLM müssen in diesem Fall in der Konfiguration des Internet-Information-Servers (IIS) deaktiviert werden. Ab 6.0-2.0 ist keine Anpassung der IIS-Konfiguration mehr notwendig.

Alternativ kann OWA die sogenannte »Forms-Based Authentication« verwenden. Anstelle des Popup-Fensters zur Eingabe der Zugangsdaten tritt hier ein in HTML eingebettetes Formular. OWA bietet diese Authentifizierungs-Variante nur an, wenn die Verbindung HTTPS verschlüsselt ist.

Als stärkste Form der Authentifizierung kann SX-GATEs Reverse-Proxy vom Browser ein Client-Zertifikat verlangen. Ein Browser der nicht über ein entsprechendes Zertifikat verfügt, kann sich nicht verbinden. Während Client-Zertifikate auch von einigen ActiveSync-Clients (z.B. iPhone) unterstützt werden, kann sich Outlook nicht mit einem Client-Zertifikaten anmelden. Sollte Ihr SX-GATE über mehrere Internet-IP-Adressen verfügen, können Sie jedoch beide Verfahren parallel betreiben. Legen Sie für OutlookAnywhere einfach einen weiteren Reverse-Proxy-Port an. Je nach Ziel-IP verteilen dann zwei DNAT-Regeln die eingehenden Verbindungen auf den nicht authentifizierten Port für OutlookAnywhere oder den authentifizierten Port.

Diese Website verwendet Cookies. Mit einem Klick auf OK stimmen Sie der Benutzung von Cookies zu.
Weitere Informationen Ok Ablehnen