16
NGINX Reverse Proxy mit Exchange 2016 und Outlook 2016
Hallo Forum,
ich befasse mich gerade mit dem Thema Reverse-Proxy für Exchange 2016 unter Ubuntu mit NQINX.
Wenn ich meine Konfiguration aktiviere, dann kommt bei Outlook 2016 (Outlook Anywhere) immer die Kennwortabfrage. Eine Verbindung zum Exchange-Server kommt nicht zustande.
Outlook Web Access läuft dagegen ohne Probleme.
Im Zertifikat (StartSSL) stehen die folgenden Eintragungen:
mail.domain.de
autodiscover.domain.de
Im Exchange sind alle Zugriffe (intern und extern) auf die folgenden Domains eingerichtet
https://mail.domain.de
https://autodiscover.domain.de
Die Anpassung des DNS-Server ist so eingerichtet, dass intern der lokale Mail-Server gezeigt wird und von extern auf meine öffentliche IP-Adresse verweisen wird.
Im Linux-Server (Ubuntu Server 16.04 LTS) habe ich NGINX und NGINX-Extras installiert.
Im wesentlichen habe ich mich an die Anleitungen von blog.freidlandreas.net (https://blog.friedlandreas.net/2013/07/reverseproxy-fur-eas-exchange-act ...) und https://blog.friedlandreas.net/2016/05/nginx-reverseproxy-fuer-mapi-over ..) gehalten.
Für EWS und OAB habe ich am Exchange-Server im IIS die Standardauthentifizierung aktiviert.
Die Konfiguration vom Reverse-Proxy sieht wie folgt aus:
Habe ich etwas übersehen?
Danke für Ideen und Vorschläge.
VG Dieter
ich befasse mich gerade mit dem Thema Reverse-Proxy für Exchange 2016 unter Ubuntu mit NQINX.
Wenn ich meine Konfiguration aktiviere, dann kommt bei Outlook 2016 (Outlook Anywhere) immer die Kennwortabfrage. Eine Verbindung zum Exchange-Server kommt nicht zustande.
Outlook Web Access läuft dagegen ohne Probleme.
Im Zertifikat (StartSSL) stehen die folgenden Eintragungen:
mail.domain.de
autodiscover.domain.de
Im Exchange sind alle Zugriffe (intern und extern) auf die folgenden Domains eingerichtet
https://mail.domain.de
https://autodiscover.domain.de
Die Anpassung des DNS-Server ist so eingerichtet, dass intern der lokale Mail-Server gezeigt wird und von extern auf meine öffentliche IP-Adresse verweisen wird.
Im Linux-Server (Ubuntu Server 16.04 LTS) habe ich NGINX und NGINX-Extras installiert.
Im wesentlichen habe ich mich an die Anleitungen von blog.freidlandreas.net (https://blog.friedlandreas.net/2013/07/reverseproxy-fur-eas-exchange-act ...) und https://blog.friedlandreas.net/2016/05/nginx-reverseproxy-fuer-mapi-over ..) gehalten.
Für EWS und OAB habe ich am Exchange-Server im IIS die Standardauthentifizierung aktiviert.
Die Konfiguration vom Reverse-Proxy sieht wie folgt aus:
#Abschnitt 1
server {
listen 80;
server_name mail.domain.de autodiscover.domain.de;
# Redirect any HTTP request to HTTPS
return 301 https://$server_name$request_uri;
error_log /var/log/nginx/exchange-error.log;
access_log /var/log/nginx/exchange-access.log;
}
#Abschnitt 2
server {
listen 443;
server_name mail.domain.de autodiscover.domain.de;
# Enable SSL
ssl on;
ssl_certificate /etc/nginx/certs/exchange2016-2016-10-31-startssl.pem;
ssl_certificate_key /etc/nginx/certs/exchange2016-2016-10-31-startssl.key;
ssl_session_timeout 5m;
# Set global proxy settings
proxy_read_timeout 360;
proxy_http_version 1.1;
proxy_pass_request_headers on;
proxy_pass_header Date;
proxy_pass_header Server;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Accept-Encoding "";
more_set_input_headers 'Authorization: $http_authorization';
proxy_set_header Accept-Encoding "";
more_set_headers -s 401 'WWW-Authenticate: Basic realm="mail.domain.de"';
location /owa { proxy_pass https://mail.domain.de/owa; }
location /EWS { proxy_pass https://mail.domain.de/EWS; }
location /Microsoft-Server-ActiveSync { proxy_pass https://mail.domain.de/Microsoft-Server-ActiveSync; }
location /mapi { proxy_pass https://mail.domain.de/mapi; }
location /rpc { proxy_pass https://mail.domain.de/Rpc; }
location /OAB { proxy_pass https://mail.domain.de/OAB; }
location /autodiscover { proxy_pass https://mail.domain.de/autodiscover; }
location /Autodiscover { proxy_pass https://mail.domain.de/Autodiscover; }
error_log /var/log/nginx/exchange-ssl-error.log;
access_log /var/log/nginx/exchange-ssl-access.log;
}Habe ich etwas übersehen?
Danke für Ideen und Vorschläge.
VG Dieter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 319620
Url: https://administrator.de/contentid/319620
Printed on: April 16, 2024 at 04:04 o'clock
16 Comments
Latest comment
Hallo Dieter,
halte dich erstmal an diesen Thread. Dort hat am Ende alles wie gewünscht funktioniert.
Gruß,
Dani
halte dich erstmal an diesen Thread. Dort hat am Ende alles wie gewünscht funktioniert.
Gruß,
Dani
Hallo Dani,
danke für deine Rückmeldung.
Anhand der Konfig im verlinkten Thread habe ich meine Konfig wie folgt angepasst.
Leider habe ich das fast das gleiche Problem wie vorher.
Der einzige Unterschied ist der, dass Outlook 2016 lange braucht, um nach dem Passwort zu fragen.
Im verlinkten Thread ist ebenfalls eine geänderte Konfig enthalten. Auch diese läuft nicht.
Gibt es eine universell laufende Möglichkeit für einen Reverse-Proxy?
VG Dieter
danke für deine Rückmeldung.
Anhand der Konfig im verlinkten Thread habe ich meine Konfig wie folgt angepasst.
server {
listen 443 ssl;
server_name mail.domain.de;
ssl_certificate /etc/nginx/certs/exchange2016-2016-10-31-startssl.pem;
ssl_certificate_key /etc/nginx/certs/Exchange2016-2016-10-31-startssl.key;
access_log /var/log/nginx/mydomain.access.log combined;
error_log /var/log/nginx/mydomain.error.log;
client_max_body_size 3G;
proxy_request_buffering off;
ssl_session_timeout 5m;
tcp_nodelay on;
proxy_http_version 1.1;
proxy_read_timeout 360;
proxy_pass_header Date;
proxy_pass_header Server;
proxy_pass_header Authorization;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_request_headers on;
more_set_input_headers 'Authorization: $http_authorization';
proxy_set_header Accept-Encoding "";
more_set_headers -s 401 'WWW-Authenticate: Basic realm="mail.domain.de"';
proxy_buffering off;
proxy_set_header Connection "Keep-Alive";
location / {
return 301 https://mail.domain.de;
}
location ~* ^/owa { proxy_pass https://mail.domain.de; }
location ~* ^/Microsoft-Server-ActiveSync { proxy_pass https://mail.domain.de; }
location ~* ^/ecp { proxy_pass https://mail.domain.de; }
location ~* ^/rpc { proxy_pass https://mail.domain.de; }
}
# redirect all http traffic to https
server {
listen 80;
server_name mail.domain.de;
return 301 https://$host$request_uri;
}Leider habe ich das fast das gleiche Problem wie vorher.
Der einzige Unterschied ist der, dass Outlook 2016 lange braucht, um nach dem Passwort zu fragen.
Im verlinkten Thread ist ebenfalls eine geänderte Konfig enthalten. Auch diese läuft nicht.
Gibt es eine universell laufende Möglichkeit für einen Reverse-Proxy?
VG Dieter
Moin Dieter,
Gruß,
Dani
Im verlinkten Thread ist ebenfalls eine geänderte Konfig enthalten. Auch diese läuft nicht.
du hast die Konfiguration aus dem letzten Kommentar entnommen? Denn dort ist der Fehler nicht mehr aufgetreten. Gibt es eine universell laufende Möglichkeit für einen Reverse-Proxy?
Bestimmt. Mit Nginx ist meiner Meinung oft Try & Error angesagt. Wir nutzen inzwischen Microsoft Web Application Proxy, weil dieser nicht nur für Exchange sondern auch andere Services veröffentlicht und authentifiziert.Gruß,
Dani
Hallo Dani,
die Konfiguration im letzten Kommentar bezieht sich hauptsächlich auf die Zeile "Proxy_pass https://mail.domain.de;;.
Diese hatte ich auch mal eingetragen. Ich hatte auch die gesamte Konfig übernommen. Leider ohne den gewünschten Erfolg.
Mein Ziel war es eine Lösung auf meinem Testsystem zu finden, die ich bei mir im Produktivsystem übernehmen kann und auch bei meinen Kunden zum Einsatz bringen kann. Eine Lösung, die auf der Basis "Try & Error" läuft kann ich nicht mit ruhigem Gewissen beim Kunden einsetzen.
Ich werde mal den WAP von Windows testen. Danke für den Hinweis.
VG Dieter
die Konfiguration im letzten Kommentar bezieht sich hauptsächlich auf die Zeile "Proxy_pass https://mail.domain.de;;.
Diese hatte ich auch mal eingetragen. Ich hatte auch die gesamte Konfig übernommen. Leider ohne den gewünschten Erfolg.
Mein Ziel war es eine Lösung auf meinem Testsystem zu finden, die ich bei mir im Produktivsystem übernehmen kann und auch bei meinen Kunden zum Einsatz bringen kann. Eine Lösung, die auf der Basis "Try & Error" läuft kann ich nicht mit ruhigem Gewissen beim Kunden einsetzen.
Ich werde mal den WAP von Windows testen. Danke für den Hinweis.
VG Dieter
Moin,
Gruß,
Dani
Für EWS und OAB habe ich am Exchange-Server im IIS die Standardauthentifizierung aktiviert.
würde ich wieder auf den Ursprungskonfiguration abändern. Diese hatte ich auch mal eingetragen. Ich hatte auch die gesamte Konfig übernommen. Leider ohne den gewünschten Erfolg.
Hast du danach mal einen Microsoft Remote Connectivity Analyzer durchgeführt, um zu sehen wo es hängt? Autodiscover funktioniert vollumfänglich von extern? Ich werde mal den WAP von Windows testen. Danke für den Hinweis.
bevor du dich ins Unglück stürzt, für WAP ist ADFS erforderlich. Das ist kein Selbstläufer, sondern kann dich je nach Anforderungen und Umsetzung in den Wahnsinn treiben.Gruß,
Dani
Hi Dani,
ich bin gerade am Recherchieren und hatte dabei die Frage, ob ADFS zwingend Voraussetzung ist. Diese Frage hast du mir schon mal beantwortet.
Vielen Dank.
VG Dieter
ich bin gerade am Recherchieren und hatte dabei die Frage, ob ADFS zwingend Voraussetzung ist. Diese Frage hast du mir schon mal beantwortet.
Vielen Dank.
VG Dieter
Moin,
Gruß,
Dani
Für EWS und OAB habe ich am Exchange-Server im IIS die Standardauthentifizierung aktiviert.
würde ich wieder auf den Ursprungskonfiguration abändern. Diese hatte ich auch mal eingetragen. Ich hatte auch die gesamte Konfig übernommen. Leider ohne den gewünschten Erfolg.
Hast du danach mal einen Microsoft Remote Connectivity Analyzer durchgeführt, um zu sehen wo es hängt? Autodiscover funktioniert vollumfänglich von extern?Gruß,
Dani
Hi Dani,
mit der ersten Konfiguration konnte ich den MRCA erfolgreich laufen lassen. Es gab ledig eine Warnung bzgl. meines StartSSL-Zertifikates und der Prüfung der CA. Bei den verschiedenen Tests hatte ich zum Teil keine Verbindung zum Netzwerk mittels MRCA.
Der Zugriff auf Autodiscover, OWA und Outlook Anywhere funktioniert ohne Probleme, wenn ich am Router HTTPS direkt zum Exchange-Server leite.
VG Dieter
mit der ersten Konfiguration konnte ich den MRCA erfolgreich laufen lassen. Es gab ledig eine Warnung bzgl. meines StartSSL-Zertifikates und der Prüfung der CA. Bei den verschiedenen Tests hatte ich zum Teil keine Verbindung zum Netzwerk mittels MRCA.
Der Zugriff auf Autodiscover, OWA und Outlook Anywhere funktioniert ohne Probleme, wenn ich am Router HTTPS direkt zum Exchange-Server leite.
VG Dieter
Es gab ledig eine Warnung bzgl. meines StartSSL-Zertifikates und der Prüfung der CA.
Das Problem holt dich später noch ein. Hat mit diesem aber nichts zu tun. Der Zugriff auf Autodiscover, OWA und Outlook Anywhere funktioniert ohne Probleme, wenn ich am Router HTTPS direkt zum Exchange-Server leite.
Das sind schon mal 50%. 
Wie sieht das Ergebnis mit Nginx aus?Gruß,
Dani
Das Problem holt dich später noch ein. Hat mit diesem aber nichts zu tun.
Ich denke du hast Recht. Ich habe gerade gelesen, dass StartCom (Betreiber von StartSSL) bei Google und Mozilla gesperrt wird. Ich muss mir wohl ein anderes Zertifikat holen. Mal sehen wo ich günstig ein Zertifikat erhalten kann.Das sind schon mal 50%. Wie sieht das Ergebnis mit Nginx aus?
Mit meiner ersten Konfig (Eingangspost) hatte ich das gleiche Ergebnis im MRCA. Owa von extern hat funktioniert. Outlook mit Outlook Anywhere fragte nach Kennwort und baute keine Verbindung auf. Wie sieht das Ergebnis mit Nginx aus?VG Dieter
Moin,
welche Authentifizierungsmethode wird für Outlook Anywhere genutzt? NTLM oder Basic.
Gruß,
Dani
welche Authentifizierungsmethode wird für Outlook Anywhere genutzt? NTLM oder Basic.
Gruß,
Dani
Hi Dani,
das kann ich nicht eindeutig beantworten. Im Outlook 2016 werden diese Informationen nicht mehr angezeigt.
Im Outlook-Verbindungsstatus wird eine Verbindung über Mapi over HTTPS und Authentifizierung Nego* angezeigt.
Am Exchange-Server steht alles auf Standard (d.h. Windows-Authentifizierung ist aktiviert). Die Standardauthentifizierungen habe ich wieder deaktiviert.
Ich habe ein neues Zertifikat bei einem anderen Anbieter beantragt und werde dieses sobald es verfügbar ist bei mir aktivieren. Dann sollte ich MRCA ohne Fehler zum Laufen bringen. Danach werde ich meine Ausgangskonfig in NGINX wieder aktivieren und erneute Tests ausführen.
Sobald ich neue Infos habe, gebe ich Bescheid.
VG Dieter
das kann ich nicht eindeutig beantworten. Im Outlook 2016 werden diese Informationen nicht mehr angezeigt.
Im Outlook-Verbindungsstatus wird eine Verbindung über Mapi over HTTPS und Authentifizierung Nego* angezeigt.
Am Exchange-Server steht alles auf Standard (d.h. Windows-Authentifizierung ist aktiviert). Die Standardauthentifizierungen habe ich wieder deaktiviert.
Ich habe ein neues Zertifikat bei einem anderen Anbieter beantragt und werde dieses sobald es verfügbar ist bei mir aktivieren. Dann sollte ich MRCA ohne Fehler zum Laufen bringen. Danach werde ich meine Ausgangskonfig in NGINX wieder aktivieren und erneute Tests ausführen.
Sobald ich neue Infos habe, gebe ich Bescheid.
VG Dieter
Hallo Dani,
nun habe ich mein SSL-Zertifikat getauscht und ein Wildcard-Zertifikat von Geotrust.
Wenn ich den MRCA aufrufe, dann erhalte ich beim direkten Zugriff (Router leitet https zum Exchange-Server) die gleiche Ausgabe, wie beim Einsatz vom Proxy (Router leitet https zum Exchange-Server).
Selbstredend verwenden Exchange-Server und Prxy das selbe Zertifikat.
Meine Konfig ist wieder die Ausgangskonfig und zeigt wieder die gleichen Fehler, d.h. OWA geht, Outlook Anywhere mit Outlook 2016 geht nicht.
Über www.ssllabs.com/ssltest/index.html habe ich mal einen Test laufen lassen. Hier treten Unterschiede auf.
Auszug aus dem Testprotokoll beim direkten Zugriff:
Auszug aus dem Testprotokoll beim direkten Zugriff:
Ich gehe daher davon aus, dass beim Zugriff auf das Zertifikat bei Outlook Anywhere irgend welche Fehler auftreten.
Hast Du noch weitere Ideen?
VG Dieter
nun habe ich mein SSL-Zertifikat getauscht und ein Wildcard-Zertifikat von Geotrust.
Wenn ich den MRCA aufrufe, dann erhalte ich beim direkten Zugriff (Router leitet https zum Exchange-Server) die gleiche Ausgabe, wie beim Einsatz vom Proxy (Router leitet https zum Exchange-Server).
Selbstredend verwenden Exchange-Server und Prxy das selbe Zertifikat.
Meine Konfig ist wieder die Ausgangskonfig und zeigt wieder die gleichen Fehler, d.h. OWA geht, Outlook Anywhere mit Outlook 2016 geht nicht.
Über www.ssllabs.com/ssltest/index.html habe ich mal einen Test laufen lassen. Hier treten Unterschiede auf.
Auszug aus dem Testprotokoll beim direkten Zugriff:
Auszug aus dem Testprotokoll beim direkten Zugriff:
Ich gehe daher davon aus, dass beim Zugriff auf das Zertifikat bei Outlook Anywhere irgend welche Fehler auftreten.
Hast Du noch weitere Ideen?
VG Dieter
Moin,
Hast du den Exchange Server mal neugestartet? Hat bei uns während der Migration seltsame Phänomen gelöst.
Gruß,
Dani
Ich gehe daher davon aus, dass beim Zugriff auf das Zertifikat bei Outlook Anywhere irgend welche Fehler auftreten.
wenn das so wäre, würde eigentlich eine Sicherheitswarnung am Client angezeigt.Bei den verschiedenen Tests hatte ich zum Teil keine Verbindung zum Netzwerk mittels MRCA.
Kannst du mal das Ergebnis von MRCA posten?Hast du den Exchange Server mal neugestartet? Hat bei uns während der Migration seltsame Phänomen gelöst.
Gruß,
Dani
Hallo Dani,
danke für deine Rückmeldung.
In Outlook und OWA erhalte ich keine Fehlermeldungen bzgl. Zertifikat.
In welcher Form soll ich das Testergebnis posten? Als XML oder HTML oder PN?
VG Dieter
danke für deine Rückmeldung.
In Outlook und OWA erhalte ich keine Fehlermeldungen bzgl. Zertifikat.
In welcher Form soll ich das Testergebnis posten? Als XML oder HTML oder PN?
VG Dieter
Moin,
Gruß,
Dani
In welcher Form soll ich das Testergebnis posten? Als XML oder HTML oder PN?
als Screenshot reicht mir.Gruß,
Dani