Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 1 subscriber
  • Views 42015 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Webserver Protection and EWS :(

ehofstede
UTM (9.1) seems to have issues with EWS. So it's having issues with all the Mac's/Macbooks in combination with an Exchange server...

I'm running an Exchange 2013 server and everything works fine, all kind of devices synchronize the way they should, iphone/ipad, android, windows mobile, outlook on Windows (2010 and 2013). Update 31-05-2013 11:04; This was a bit over enthusiastic... The Android phones stops synchronizing all of a sudden as well. Solution; shut down Webserver protection, enable NAT rule, let phone sync, disable NAT rule, enable Webserver protection and it's working again... For the time being...

But that is not an EWS issue so, back to the original message; I believe that these products all use Activesync, but... 

The email products used on a Mac are using EWS and that is not functioning with the Webserver Protection.
After configuring the account in Outlook 2011 or Entourage (outlook 2008) I get a message like: "Mail could not be received at this time, the server account returned "Login failure: unknown username or bad password."
And it askes if I want to re-enter the password...

But this is BS, because when I turn off Webserver Protection and use a NAT rule, then the error message doesn't appear and Outlook is working fine... That's why I know it has to be something in the Webserver Protection.

Does anybody know what is going on here and how I can solve this, or is this something that Sophos need to look at?

Thanks!
Regards,
Erwin.


This thread was automatically locked due to age.
Parents
  • 0
    My guess about the reason for the problem with Mac Outlook is the Exchange offering NTLM authentication to the clients, though NTLM cannot be used via any non-Microsoft reverse proxy (WAF). As the client does not know about these limitiations of the reverse proxy, it tries the most secure authentication method and consists on it, which is Negotiate (Kerberos/NTLM) or NTLM as given by the http response header "WWW-Authenticate". The client fails to fall back to http Basic-Auth.

    This week I saw the same effect on a current Android phone using the Exchange Client App "Touchdown" which does not fail generally with Webmail but does not authenticate to our autodiscover URL which uses the same UTM proxy configuration.

    Maybe some can try to disable NTLM and Negotiate authentication on his Exchange for the Internet facing connector and try again with Outlook for Mac over UTM WAF?

    You can check, if NTLM and Negotiate is activated, with requesting your Exchange URL via wget:

    $ wget -S https://webmail.domain.com/ews/Services.wsdl
    --2014-01-21 09:49:02--  https://webmail.domain.com/ews/Services.wsdl
    Connecting to webmail.domain.com ... connected.
    HTTP request sent, awaiting response... 
      HTTP/1.1 401 Unauthorized
      Date: Tue, 21 Jan 2014 08:49:02 GMT
      Server: Microsoft-IIS/7.5
      WWW-Authenticate: Negotiate
      WWW-Authenticate: NTLM
      WWW-Authenticate: Basic realm="webmail.domain.com"
      X-Powered-By: ASP.NET
      Content-Length: 0
      Keep-Alive: timeout=15, max=100
      Connection: Keep-Alive
      Content-Type: application/x-wsdl
    Authorization failed.
  • 0 in reply to isenberg_01
    I am having exactly the same issue but with Lync 2013 clients.  It uses the external EWS URL to collect calendar information and message history.  If I use WAF, the client constantly prompts for credentials which do not work despite them being correct.  If I switch to DNAT, the clients are happy as pigs.

    I have opened a support ticket but not heard anything yet.  Am hopeing this can be resolved soon as we have a large deployment to start and we bought the Sophos UTM as a replacement for the EOL MS TMG.
  • 0 in reply to occadmin
    We have the same issue with our UTM 9.1

    Our MAC users have problems with our Exchange (Exchange 2010) through the reverse proxy of the UTM (MAC Mail and Outlook 2011)


    Furthermore emails are send in behalf of another person. Those send emails can also be found in the mail account of the other person.


    I found a similar post in the forum:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50162

    From the support I got the following answer:
    We are working on a fix.
    Mantis 27287: Outlook anywhere connection with WAF didn't work for Mac Clients

    At the moment, we do not support Outlook Anywhere connections for Mac clients


    kind regards Marco
  • 0 in reply to occadmin
    I am having exactly the same issue but with Lync 2013 clients.  It uses the external EWS URL to collect calendar information and message history.  If I use WAF, the client constantly prompts for credentials which do not work despite them being correct.  If I switch to DNAT, the clients are happy as pigs.


    I have the exact issue on site as well. OWA, ActiveSync and Outlook Anywhere work as expected. Lync 2013 just keeps asking for credentials as you've outlined. If i open a browser to the EWS site and enter my creds, its fine.Going to log a support case today.
Reply
  • 0 in reply to occadmin
    I am having exactly the same issue but with Lync 2013 clients.  It uses the external EWS URL to collect calendar information and message history.  If I use WAF, the client constantly prompts for credentials which do not work despite them being correct.  If I switch to DNAT, the clients are happy as pigs.


    I have the exact issue on site as well. OWA, ActiveSync and Outlook Anywhere work as expected. Lync 2013 just keeps asking for credentials as you've outlined. If i open a browser to the EWS site and enter my creds, its fine.Going to log a support case today.
Children
Unfiltered HTML