This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9.2 - WAF und Exchange 2010/2013

Hi zusammen,
ich wollte mal nachfragen, ob jemand seinen (primär) Exchange 2013 via WAF gesichert hat.
Also nicht nur OWA, sondern ActiveSync, Outlook Anywhere etc.

So, wie es hier beschrieben ist, geht es nicht:
How to configure the UTM Web Application Firewall for Microsoft Exchange connectivity

Owa funktioniert (teilweise), aber leider stehen nicht alle Funktionen zur Verfügung.
Autodiscover funktioniert garnicht, ohne Autodiscover dann ständige RPC Tunnel Fehler im Log (RPC_IN_DATA, RPC_OUT_DATA). Outlook stellt keine Verbindung her. Somit funktioniert natürlich Outlook Anywhere nicht. Ist exakt so konfiguriert, wie in der Anleitung [:S]

Mal davon abgesehen, dass diese Anleitung nicht für die 9.2 ist, sondern für 9.1.
Ich würde ja nicht so nerven, wenn Sophos nicht leider ein sehr starkes TMG Replacement Marketing macht. Daher wäre eine aktuelle Anleitung echt klasse!

Außerdem gibt es hier noch einen Known Issue:

ID29957 9.150 Exchange 2013 OA and OWA didn't work with WAF (9.2)
------------------------------------------------------------------------
Description:
Workaround:
Fixed in:

Also aktuell funktioniert es leider nicht so, wie ich es mir wünschen würde.
Ich musste mir bis Dato nie so die Zähne an der UTM Funktion ausbeißen, wie bei der WAF und Exchange!
Wenn jemand hier Tipps bzw. eine lauffähige Umgebung hat, dann würde ich und sicherlich diverse andere über Tipps/Anleitungen/Anpassungen freuen.

Nice greetings

This thread was automatically locked due to age.

0 GuyFawkes over 10 years ago

Also wird die autodiscover.xml erfolgreich geladen, haben wir inzwischen auch raus.

Dann hast du NTLM deaktiviert.
WAF geht nicht mit NTLM.

Nice greetings
Cancel
Vote Up 0 Vote Down

Cancel
0 UThomas over 10 years ago

Nein, NTLM ist an.
Get-OutlookAnywhere liefert:
ExternalClientAuthenticationMethod : Ntlm
InternalClientAuthenticationMethod : Ntlm
IISAuthenticationMethods : {Basic, Ntlm, Negotiate}
Cancel
Vote Up 0 Vote Down

Cancel
0 GuyFawkes over 10 years ago

Aber der NAT Eintrag HTTPS zum Exchange ist raus?
Muss zugeben, dass ich das nicht nachvollziehen bzw. verstehen kann, warum es alles funktioniert.
Selbst der Entwurf für die 9.2 von Sophos sagt was anderes und Der Artikel auch:

Probleme mit NTLM: Supported authentication methods of the Web Application Firewall(WAF)

Aktuell packt die Sophos externe Anfragen an und für Exchange sieht es so aus, als kommen Anfragen von Intern und somit per Default NTLM.

Aktuell warten wir auf Antwort von Sophos.

Nice greetings
Cancel
Vote Up 0 Vote Down

Cancel

0 UThomas over 10 years ago in reply to GuyFawkes

Aber der NAT Eintrag HTTPS zum Exchange ist raus?

Ja, natürlich. Ein NAT-Eintrag ist nicht vorhanden.

Ok, ich hab im Log immer so knapp vier Zeilen Statuscode=401 und dann aber ein noch ein 200.
Stört mich aber zur Zeit nicht. Outlook meldet keine Fehler. Das OAB wird synchronisiert.

Mein Autodiscover von Outlook 2013 (PC ohne Domäne):



  
    
      Nachname, Vorname
      /o=domain/ou=first administrative group/cn=Recipients/cn=Vorname.Nachname
      Vorname.Nachname@domain.tld
      072cb1b2-2726-4d0b-95e1-6e05bbe9c2db
    
    
      email
      settings
      False
      
        EXCH
        7d0c16df-433b-4981-a54b-98ce76ebbe3b@domain.tld
        /o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=7d0c16df-433b-4981-a54b-98ce76ebbe3b@domain.tld
        73C08391
        /o=domain/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=7d0c16df-433b-4981-a54b-98ce76ebbe3b@domain.tld/cn=Microsoft Private MDB
        outlookanywhere.domain.tld
        Data-SRV.domain
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://owa.domain.tld/ecp/
        ?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=domain
        ?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=domain
        PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain
        ?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=domain
        ?rfr=olk&p=sms/textmessaging.slab&exsvurl=1&realm=domain
        PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain
        Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=domain
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/UM2007Legacy.asmx
        https://outlookanywhere.domain.tld/oab/5cdd0a22-31d6-4153-9636-2a238ca24192/
        off
      
      
        EXPR
        outlookanywhere.domain.tld
        On
        Ntlm
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://owa.domain.tld/ecp/
        ?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=domain
        ?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=domain
        PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain
        ?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=domain
        ?rfr=olk&p=sms/textmessaging.slab&exsvurl=1&realm=domain
        PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain
        Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=domain
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/UM2007Legacy.asmx
        https://outlookanywhere.domain.tld/OAB/5cdd0a22-31d6-4153-9636-2a238ca24192/
        on
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        Standardname-des-ersten-Standorts
      
      
        WEB
        
          https://owa.domain.tld/owa/
          
            EXCH
            https://outlookanywhere.domain.tld/ews/exchange.asmx
          
        
        
          https://owa.domain.tld/owa/
          
            EXPR
            https://outlookanywhere.domain.tld/ews/exchange.asmx
          
        
      
      
        EXHTTP
        outlookanywhere.domain.tld
        On
        Ntlm
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://owa.domain.tld/ecp/
        ?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=domain
        ?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=domain
        PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain
        ?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=domain
        ?rfr=olk&p=sms/textmessaging.slab&exsvurl=1&realm=domain
        PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain
        Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=domain
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/UM2007Legacy.asmx
        https://outlookanywhere.domain.tld/oab/5cdd0a22-31d6-4153-9636-2a238ca24192/
        On
      
      
        EXHTTP
        outlookanywhere.domain.tld
        On
        Ntlm
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://owa.domain.tld/ecp/
        ?rfr=olk&p=customize/voicemail.aspx&exsvurl=1&realm=domain
        ?rfr=olk&p=personalsettings/EmailSubscriptions.slab&exsvurl=1&realm=domain
        PersonalSettings/DeliveryReport.aspx?rfr=olk&exsvurl=1&IsOWA=<IsOWA>&MsgID=<MsgID>&Mbx=<Mbx>&realm=domain
        ?rfr=olk&p=organize/retentionpolicytags.slab&exsvurl=1&realm=domain
        ?rfr=olk&p=sms/textmessaging.slab&exsvurl=1&realm=domain
        PersonalSettings/EditAccount.aspx?rfr=olk&chgPhoto=1&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailbox&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxCreating&SPUrl=<SPUrl>&Title=<Title>&SPTMAppUrl=<SPTMAppUrl>&exsvurl=1&realm=domain
        ?rfr=olk&ftr=TeamMailboxEditing&Id=<Id>&exsvurl=1&realm=domain
        Extension/InstalledExtensions.slab?rfr=olk&exsvurl=1&realm=domain
        https://outlookanywhere.domain.tld/ews/exchange.asmx
        https://outlookanywhere.domain.tld/ews/UM2007Legacy.asmx
        https://outlookanywhere.domain.tld/OAB/5cdd0a22-31d6-4153-9636-2a238ca24192/
        On

0 mod2402 over 10 years ago

Hallo zusammen,

zu dem NTLM Problem. NTLM funktioniert nur bei Outlook Anywhere (rpc over http/s), da hier der Traffic in der WAF ungefiltert weiter geleitet wird. Bei OWA und AS funktioniert NTLM nicht. Genauso wie bei Sharpoint oder andren MS Diensten. Das liegt daran das der darunter liegende Apache kein NTLM supported.

Ich weis das Sophos schon länger an dem Problem arbeitet.

vg
mod
Cancel
Vote Up 0 Vote Down

Cancel
0 GuyFawkes over 10 years ago

@Uli

Danke für deine Ausführungen und den Eintrag im Artikel.

Nice greetings
Cancel
Vote Up 0 Vote Down

Cancel
0 runnel over 10 years ago

Oh man ....

Ich sitze hier und soll ein TMG ablösen und bekomme es nicht zum laufen.
Mein Problem ist immer 401 Password Mismatch

AH01617: user domain\benutzer: authentication failure for "/Microsoft-Server-ActiveSync": Password Mismatch

Meine Aufgabe ist, das nur gewisse Benutzer einer AD Gruppe Zugriff auf ActiveSync haben sollen.

Nehme ich die Revers Authentification heraus, dann geht alles.
- Exchange ist aus Basic eingerichtet.
- Bein Test IPhone habe ich auch schon die Authentifizierung geändert.
- ohne Domäne
- mit Domäne
- ohne Domäne und Benutzer mit @Domäne.lan

Immer der gleiche Fehler.
Beim Support warte ich auf Antwort. Es gibt dort nur einen der das kann haben die gesagt.

Wie sind denn bei euch die Einstellungen von "Reverse Authentication". Was genau bedeutet "Frontend realm"
Cancel
Vote Up 0 Vote Down

Cancel
0 mod2402 over 10 years ago

Hi runnel,

Welche Version verwendest du? Welche Authentifizierung verwendest du? Hast du Site path Routing konfiguriert? Hast du auf dem activesync Verzeichniss auf dem Iis eine sso Domain eingerichtet?

Poste mal ein paar Screenshots und den aua log.

Gruß
Mod
Cancel
Vote Up 0 Vote Down

Cancel
0 FormerMember over 10 years ago

Hallo zusammen,

nun muss ich mich auch noch einklinken.... Habe soeben ein Update auf 9.204-20 auf meiner ASG220 gemacht.....

Nun funktioniert aber der OWA-Zugriff mit meinem iPhone auf unseren Exchange nicht mehr... Habe aber keinerlei Änderungen an der Konfiguration vorgenommen....
Cancel
Vote Up 0 Vote Down

Cancel
0 runnel over 10 years ago

Hallo Mod

Ich habe die Version 9.204-19 und 9.204-20 getestet.

Hier die Einstellungen

Alles geht solange ich in den Site Path Einstellungen das Reverse Authentication Profil nicht aktiviere.

Einstellung Active Sync.zip
Cancel
Vote Up 0 Vote Down

Cancel