plominski
Goto Top

(Apache) Reverse Proxy für OutlookWebAccess

Grüße

folgendes Szenario ist gewünscht:

Client -> ANFRAGE -> <- Firewall -> Webserver (Apache SSL) -> <- Exchange (SSL OWA)

nun nach etlichen gelese/geteste kam ich erstmal auf folgenden httpd.conf Ansatz:

### SSL Exchange ### 

<VirtualHost mysslserver:443> 
DocumentRoot /opt/lampp/htdocs/owa 
ServerName mysslserver.extern 
ServerAdmin administrator@mysslserver.extern 

ServerSignature Off 
SSLProxyEngine On 

ProxyPass /exchange https://192.168.0.xxx/exchange
ProxyPassReverse /exchange https://192.168.0.xxx/exchange

ProxyPass /exchweb https://192.168.0.xxx/exchweb
ProxyPassReverse /exchweb https://192.168.0.xxx/exchweb

ProxyPass /exchweb/bin/auth https://192.168.0.xxx/exchweb/bin/auth
ProxyPassReverse /exchweb/bin/auth http://192.168.0.xxx/exchweb/bin/auth

### NoCache * 

ErrorLog logs/owa_ssl_error_log 
TransferLog logs/owa_ssl_access_log 

SSLEngine on 

SSLCertificateFile /opt/lampp/etc/ssl.crt/server.crt 
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/server.key 

### SSLCertificateFile /opt/lampp/etc/ssl.crt/owa.crt 
### SSLCertificateKeyFile /opt/lampp/etc/ssl.key/owa.key 

CustomLog logs/owa_ssl_request_log \ 

### "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"  
</VirtualHost> 

### SSL Exchange ###

Das Problem besteht jetzt darin - das im Clientbrowser folgende Adresse erscheint:

https://mysslserver.extern/exchweb/bin/auth/owalogon.asp?url=https://192 ...

Bei der Auth. Übertragung versucht er nun auf den (INTERNEN) Server zu redirecten, also "https://192.168.0.xxx/exchange" was ja schlecht funktionieren kann ...

Danke für Antworten ...

Content-ID: 6812

Url: https://administrator.de/tutorial/apache-reverse-proxy-fuer-outlookwebaccess-6812.html

Ausgedruckt am: 26.12.2024 um 05:12 Uhr

uschi15
uschi15 18.02.2005 um 10:31:15 Uhr
Goto Top
Versuch mal in die virtual host directive folgenden Eintrag:

RequestHeader set Front-End-Https "On"

Soll angeblich helfen.

Würd mich freuen, wenn du mir sagst ob es geholfen hat.
Plominski
Plominski 18.02.2005 um 21:00:51 Uhr
Goto Top
grüße

danke erstmal, loggin seite wird sauber angezeigt, der anhang steht dennoch in der startadresse und beim login kommt die tabellenspalte die linke(übersicht) und rechte(mails) seiten trennt. aber dennoch wird versucht auf die INTERNTE server adresse umzuleiten ... und kein loggin geht.

MFG Daniel
uschi15
uschi15 21.02.2005 um 13:36:26 Uhr
Goto Top
Hast du es schon mal mit mod_rewrite anstatt ProxyPass versucht.
Könnte auch helfen.

Viel Erfolg
uschi15
uschi15 22.02.2005 um 14:01:44 Uhr
Goto Top
In der httpd.conf werden in der Zeile ....

ProxyPass /exchange https://192.168.0.xxx/exchange
ProxyPassReverse /exchange https://192.168.0.xxx/exchange

... alle Anfragen auf den host mysslserver.extern mit Informationen vom Server 192.168.0.xxx "befriedigt". Das ist ja nun eine private Adresse. Wo steht denn dein OWA Server?
Laut deiner config müsste der OWA Server ja in deinem LAN stehen, dass durch die Firewall vom Internet geschützt ist.

Wo ist jetzt das Problem? Kannst du noch mal genau definieren, was genau passiert und vor allem, was passieren soll?

Viele Grüße
Plominski
Plominski 22.02.2005 um 23:41:56 Uhr
Goto Top
grüße

wie schon oben beschrieben:

Client -> ANFRAGE -> <- Firewall -> Webserver (Apache SSL) -> <- Exchange (SSL OWA)

EXTERNER Client -> Firewall = Apache Webserver -> Interner Exchange Server (OWA)

es soll eine externe adresse aufgerufen werden z.b https://exchange.firma.net

Jetzt übergibt der Apache Server den kompletten Inhalt an den INTERNEN Exchange Server und wieder zurück.

Das funktioniert soweit mit der Login Seite, doch bei der Auth Übertragung wechselt er die Adresse und versucht eben dem EXTERNEN Client die Interne Exchange Adresse anzubieten, was schlecht geht ...

https://www.firma.net - Website im Root Verzeichnis

https://exchange.firma.net bzw https://www.firma.net/exchange ...

(Exchange OWA Zugriff)

Mod_ReWrite ist ein kompliziertes thema für sich ...

Was uns helfen würde wäre eine Beispiel Konfig die Jemand in einer ProduktionsUmgebung "zufriedenstellend" im Einsatz hat, denke die Problematik "Apache Reverse für Exchange" sollten schon lange pfiffige Leute gelöst haben ...
uschi15
uschi15 23.02.2005 um 11:02:42 Uhr
Goto Top
Hallo Plominski,

wir haben das gelöst und bei uns auch im Einsatz. Alles natürlich über HTTPS.
Bei uns gab es da keinerlei Probleme.
Wir setzen den Apache 2.0.52 ein. Leider kann ich dir zur Zeit unsere Konfiguration nicht senden, weil ich erst am Montag von einem Auslandseinsatz zurück kehre und von hier aus nicht an die Konfig komme.
Sobald ich Montag, evtl. auch Freitag die Möglichkeit habe daran zu kommen, sende ich dir unsere Config gern zu.
Falls sich in der Zwischenzeit was ergibt, kannst du ja noch mal posten.

Kannst du mir vorab schon mal sagen, welche Komponenten (OWA-Version, Apache-Version) ihr im Einsatz habt? Bei uns läuft das Ganze unter OWA 5.5 SP4 relativ problemlos.

Bis dahin, viel Erfolg
Plominski
Plominski 23.02.2005 um 23:15:58 Uhr
Goto Top
grüße

WIR wären super dankbar dafür ...

mhh da ich mich all die Jahre nur intensiv mit Linux beschäftigt habe steh ich jetzt ein wenig auf dem Schlauch ...

also im Einsatz befindet sich ein Win2003 Small Business Server (mit allen Patches) also denke mal normales Exchange 2003 mit PopConnector ohne (beta) SP ...

der Apache wäre aus dem Xampp (www.apachefriends.org) Paket, tiefgehend wurde er nicht modiziert, da er ja von Haus AUS recht großzügig konfiguriert ist -> sollten da eventuelle Fehlerquellen auszuschließen sein ...

sofern dies dann irgendwann mal lauffähig sein sollte, wird das ganze entweder durch ein "Trustix" oder "RedHat" Indianer Zelt ersetzt ...

MFG Daniel
Plominski
Plominski 26.02.2005 um 20:34:00 Uhr
Goto Top
@markus2004

du meinst "mod_proxy_http.so" & "mod_proxy_connect.so" ;)
uschi15
uschi15 02.03.2005 um 10:52:40 Uhr
Goto Top
<VirtualHost <ReverseProxy IP Adress>:443>

#verhindert die komprimierte Datenübertragung
RequestHeader unset accept-encoding
ServerName <myservername>

HostnameLookups off
UseCanonicalName off

ProxyPreserveHost On

SSLProtocol All
SSLEngine On
SSLCertificateFile conf/ssl/<myservername>.cert
SSLCertificateKeyFile conf/ssl/<myservername>.key
SSLCertificateChainFile conf/ssl/<myservername>.pem

#eingehende Anfragen für <myservername> werden "geroutet" zu <ZieladresseOWA>
ProxyPass / http://<ZieladresseOWA>
ProxyPassReverse / http://<ZieladresseOWA>/

ErrorLog logs/443_myerrorlog.log
CustomLog logs/443_mycustom.log common

</VirtualHost>

So funktioniert es bei uns.
Einige Funktionen stehen allerdings erst ab Apache 2 bereit.

Falls fragen sind bitte posten
uschi15
uschi15 02.03.2005 um 10:57:38 Uhr
Goto Top
virtualHost "IP Adresse des Reverse Proxys":443

#verhindert die komprimierte Datenübertragung
RequestHeader unset accept-encoding
#Hostname der Anfrage vom Client
ServerName "myservername"

HostnameLookups off
UseCanonicalName off

ProxyPreserveHost On

SSLProtocol All
SSLEngine On
SSLCertificateFile conf/ssl/myservername.cert
SSLCertificateKeyFile conf/ssl/myservername.key
SSLCertificateChainFile conf/ssl/myservername.pem

#eingehende Anfragen für "myservername" werden "geroutet" zu OWAServer
ProxyPass / http://OWAServer/
ProxyPassReverse / http://OWAServer/

ErrorLog logs/443_myerrorlog.log
CustomLog logs/443_mycustom.log common

/virtualHost

So funktioniert es bei uns.
Einige Funktionen stehen allerdings erst ab Apache 2 bereit.

Falls fragen sind bitte posten
Plominski
Plominski 03.03.2005 um 00:08:07 Uhr
Goto Top
Besten Dank erstmal:

### !!! <font color="RED">SSL Exchange</font> !!! ###<font color="GREEN">
< VirtualHost webserver.extern:443 >
DocumentRoot /opt/lampp/htdocs/owa
ServerName webserver.extern
ServerAdmin administrator@webserver.extern

RequestHeader unset accept-encoding

HostnameLookups Off
UseCanonicalName Off

ProxyPreserveHost On

ProxyPass /exchange https://192.168.0.xxx/exchange/
ProxyPassReverse /exchange https://192.168.0.xxx/exchange/

ProxyPass /exchweb https://192.168.0.xxx/exchweb/
ProxyPassReverse /exchweb https://192.168.0.xxx/exchweb/

ProxyPass /public https://192.168.0.xxx/public/
ProxyPassReverse /public https://192.168.0.xxx/public/

ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log

SSLProtocol All
SSLEngine On

SSLProxyEngine On
#! ServerSignature Off

SSLCertificateFile /opt/lampp/etc/ssl.crt/server.crt
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/server.key

#! CustomLog logs/owa_ssl_request_log \

< /VirtualHost >
</font>### !!! <font color="RED">SSL Exchange</font> !!! ###

das einzigste problem ist jetzt noch das Umlaute nicht sauber dargestellt werden ...

MFG Daniel
uschi15
uschi15 03.03.2005 um 11:29:09 Uhr
Goto Top
Du musst am IIS nicht zwingend https machen. Du kannst bis zum ReverseProxy HTTPS und dann zum IIS (OWA) mit http gehen.
meine Konfig beschreibt dieses Szenario.
In dieser Zeile wird der HTTPS Strom auf HTPP zum IIS (OWA) umgelenkt:

ProxyPass / http://OWAServer/

Gruß
USCHI
uschi15
uschi15 03.03.2005 um 11:31:47 Uhr
Goto Top
Und genau hier brauchst du folgende Zeile in deinem virtualHost:

AddDefaultCharset utf-8
Viel Erfolg

Uschi15
Plominski
Plominski 03.03.2005 um 13:14:39 Uhr
Goto Top
Besten Dank:

mit "AddDefaultCharset utf-8" läuft jetzt alles Sauber

naja https sollte schon vom IIS auch ausgehen und auf das Wurzelverzeichnis weiterleiten möchte ich nicht da ich nur OWA freigeben möchte ...

MFG Daniel

PS: jetzt nach lauffähiger konfig könnte man sich ans absichern mit ReWrite machen :D
Plominski
Plominski 03.03.2005 um 16:50:05 Uhr
Goto Top
für WAP und ActiveSync Zugriff einfach dies noch hinzufügen:

<font color=GREEN>
ProxyPass /oma https://192.168.0.xxx/oma/
ProxyPassReverse /oma https://192.168.0.xxx/oma/

### Windows2003 ###
ProxyPass /Microsoft-Server-ActiveSync https://192.168.0.xxx/Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync https://192.168.0.xxx/Microsoft-Server-ActiveSync/
</font>

MFG Daniel
Plominski
Plominski 03.03.2005 um 23:13:58 Uhr
Goto Top
Grüße

also wenn als Eintrag genommen wurde: "AddDefaultCharset UTF-8"

enthält die Login Seite "exchweb/bin/auth/owalogon.asp" zwar Umlaute Fehler aber nach einem erfolgreichen Login funktioniert alles problemlos

hingegen bei "AddDefaultCharset ISO-8859-1" funktioniert die Auth Seite -> aber dann die Postfächer nicht mehr sauber *G*

mhh ich gehe halt von einer sauberen Xampp (linux) Version aus ...

- FTP/MySQL nicht geladen (also mit /opt/lampp/lampp startssl gestartet)
- in der "httpd.conf" Options auf "-Indexes" gesetzt um Verzeichnis-Durchstöberer zu ärgern :D
und "ServerTokens" auf Prod gesetzt ...

ansonsten hab ich IIS mit "erforderlichem SSL" aktiviert ....

somit der Client eine Verbindung zu -> SSL Apache -> SSL IIS gezwungen wird ...

das Zertifikat des IIS spielt in dem falle keine Rolle, weil Apache dies für sich handshaked :D

dem Apache selbst muss man jetzt natürlich ein gültiges, selbstsigniertes Zertifikat erstellen, wie folgt:

Server Key (Schlüssel) erstellen z.b: "/opt/lampp/bin/openssl genrsa 1024 > /opt/lampp/etc/ssl.key/owa_server.key"

und den Key signieren z.b: "/opt/lampp/bin/openssl req -new -x509 -key /opt/lampp/etc/ssl.key/owa_server.key -out /opt/lampp/etc/ssl.crt/owa_server.crt <font color="RED">-days 3651</font>"

GANZ WICHTIG wäre die Option "-days 3651" damit erstellt Ihr einen Schlüssel mit einer Gültigkeit von knapp 10 Jahren erstellt, weil Standardmäßig nur ein Schüssel für paar ?Wochen? ausgestellt wird ...

und schon sollte es gewesen sein :D

ich meine man kann es auch übertreiben und solche Späße wie "tsweb" oder "Remote" weiterleiten lassen, aber darauf verlass ich mich persönlich nicht :D

und naja da ich auch kein WAP / PocketPC besitze kann ich auch nicht die Sync Funktion testen ...

mein kleiner betagter Palm gleicht sich mit Outlook direkt ab ... ansonsten funktioniert diese WAP / ActiveSync Sache spezifisch mit der "default.asp" & "mbx.asp" ... die dann als Services auf die Exchange Fächer zugreifen ....

mein anliegen hier bezieht sich halt alles auf die Konstellation -> eines OWA aus das von einem Apache Server nach Windows2003 Server mit laufendem IIS samt Exchange und OutlookWebAccess beruht ...

Leute mit Serverfarmen :D die Exchange getrennt vom IIS / OWA laufen haben müssen das explizit noch über RPC ansprechen ...

MFG Daniel
addl
addl 09.03.2005 um 17:07:25 Uhr
Goto Top
Hallo

Super Sache mit dem mod_proxy. Bin Euch sehr dankbar fuer die Beiträge. bei mir hat es sofort funktioniert. Mir ist bloss ein Problem aufgefallen.

Der Upload von PDF funktioniert bei mir nicht. Sobald ich ueber den Proxy gehe, kann ich den Mails bei OWA keinen pdf Anhang einfügen.

Waere Supre wenn jemand helfen koennte.

Gruss Andi
addl
addl 10.03.2005 um 11:20:32 Uhr
Goto Top
Hallo

Das Problem muss mit dem Apachen zu tun haben. Wenn ich den OWA im Lan nehme kann ich alles anfügen. Sobald ich von aussen komme kann ich keine PDF`s mehr anfügen. Das Uploadfenster wird weiss und es tut sich nichts mehr. Im Log vom Apachen sehe ich das er den POST macht aber da auch stehenbleibt.

Als HTTP Fehler steht im Log die 413 REQUEST_ENTITY_TOO_LARGE .

An der Länge kann es aber nicht liegen, da selbst ein PDF mit ein paar Kilobytes nicht funktioniert.

Bin ziemlilch ratlos und um jede hilfe dankbar.


Gruss Andi
Plominski
Plominski 10.03.2005 um 11:39:13 Uhr
Goto Top
grüße

mit der PDF-problematik werd ich auch mal testen ...

Markus maile mir bitte mal deine PDF als reines Word format an Administrator@Plominski.de ... danke da werd ich daraus meine eine Xampp PDF erstellen ...

ansonten schon gute arbeit geleistet könntest uns noch mit in einer Fussnote erwähnen ;) und die SSL certs/keys links auf SuSE und nicht lampp anpassen ;)

MFG Daniel
addl
addl 10.03.2005 um 12:26:14 Uhr
Goto Top
Hallo,

als Apchen habe ich apache2-2.0.50-7.2. SuSE 9.2. In der httpd.conf habe ich nichts veraendert,sondern nur in der vhost.

Anbei meine vhost-ssl

<IfDefine SSL>
<IfDefine !NOSSL>

<VirtualHost _default_:443>

DocumentRoot "/srv/www/htdocs"
ServerName xxx:443
ErrorLog /var/log/apache2/error_log
TransferLog /var/log/apache2/access_log

ProxyPass /exchange https://w3k-dc.phicae.local/exchange/
ProxyPassReverse /exchange https://w3k-dc.phicae.local/exchange/

ProxyPass /exchweb https://w3k-dc.phicae.local/exchweb/
ProxyPassReverse /exchweb https://w3k-dc.phicae.local/exchweb/

ProxyPass /public https://w3k-dc.phicae.local/public/
ProxyPassReverse /public https://w3k-dc.phicae.local/public/

ProxyPass /kunden https://proxy.phicae.local/kunden
ProxyPassReverse /kunden https://proxy.phicae.local/kunden

ProxyPass /Microsoft-Server-ActiveSync https://w3k-dc.phicae.local/Microsoft-Server-ActiveSync/
ProxyPassReverse /Microsoft-Server-ActiveSync https://w3k-dc.phicae.local/Microsoft-Server-ActiveSync/

RequestHeader unset accept-encoding
ProxyBadHeader ignore
ProxyReceiveBufferSize 10240
ProxyTimeout 900
AddDefaultCharset utf-8
LimitRequestBody 10240000

HostnameLookups On
UseCanonicalName off

ProxyPreserveHost On

SSLProtocol All
SSLEngine On
SSLProxyEngine On
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
SSLCertificateFile /etc/apache2/ssl.crt/server.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/server.key

SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog /var/log/apache2/ssl_request_log ssl_combined

<Directory /srv/www/htdocs>
Options IncludesNoExec
Order allow,deny
Allow from all
</Directory>

</VirtualHost>

</IfDefine>
</IfDefine>


Hier das Apache access log

[10/Mar/2005:13:26:11 +0100] "POST /exchange/andreas.schoeffler/Entw%C3%BCrfe/No%20Subject-23.EML/?Cmd=addattach&Target= HTTP/1.1" 413


Vielen dank fuer Eure hilfe


Gruss Andi
Plominski
Plominski 10.03.2005 um 13:24:35 Uhr
Goto Top
grüße

entferne bitte erstmal den doppelten eintrag: "SSLEngine on"

und klammere mal aus:

"LimitRequestBody 10240000"

"ProxyReceiveBufferSize 10240"

und versuch nochmal die uploads ...

MFG Daniel
addl
addl 10.03.2005 um 13:34:24 Uhr
Goto Top
Hallo

Die Einträge habe ich erst später hinzugefügt als es nicht ging. Habe jetzt noch einmal die Einträge entfernt. Leider ohne Erfolg.

Das Ergebnis ist gleich. Ich habe ein weisses Fenster nachdem ich Anfügen drücke.

Gruss Andi
Plominski
Plominski 10.03.2005 um 13:34:35 Uhr
Goto Top
grüße

und wenn dann muss ein: "SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown"

anstatt:

"SetEnvIf User-Agent ".*MSIE.*" \"
"nokeepalive ssl-unclean-shutdown \"

stehen ;)

MFG Daniel
Plominski
Plominski 10.03.2005 um 13:43:09 Uhr
Goto Top
grüße

also bei mir geht der (pdf) upload ohne probleme, versuch einfach mal die grund konfig wie oben von uns erleutert, und was das weiße fensterchen angeht, hab das vor kurzem auch bei einem kunden gehabt, liegt wohl an der lokalen Internet Explorer Version *G*

MFG Daniel
addl
addl 10.03.2005 um 13:52:48 Uhr
Goto Top
Hallo

Super Danke das war es. Habe den kompletten Eintrag gelöscht und jetzt geht es. Die Backslashes sind mir gar nicht aufgefallen.#

Der Eintrag SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown geht allerdings nicht.


Ein Frage Frage haette ich jetzt nioch zu OWA. Wie kann ich auf die Adressen aus Öffentlichen Ordnern zugreifen wenn ich eine neue Mail schreibe.


Gruss Andi
Plominski
Plominski 10.03.2005 um 14:26:42 Uhr
Goto Top
grüße

wie jetzt ?

"ProxyPass /public https://192.168.0.xxx/public/;
"ProxyPassReverse /public https://192.168.0.xxx/public/;

reicht doch aus?

<font color="blue">
schau Dir mal meine Doku an da ist das Problem der Öffentlichen Ordner erwähnt.

leider macht der Link Öffentliche Ordner einen direkten Link auf dem OWA auf.

Workaround ist: ersetze den OWA Link mit dem des Apache Server und trage noch die Links in Deiner vhosts nach so wie ich es in der Doku beschrieben habe.
</font>

was meinst damit ?

MFG Daniel
addl
addl 10.03.2005 um 14:34:58 Uhr
Goto Top
Hallo

Wuerde mir gerne die Doku ziehen, geht aber nicht.

Kannst Du das mit dem Link kurz erläutern ?

Gruss Andi
addl
addl 10.03.2005 um 14:54:45 Uhr
Goto Top
Hallo

Ich glaube ich habe mich nicht richtig ausgedrückt. Die Öffentlichen Ordner werden schon angezeigt. Nur wenn ich eine Mail schreiben möchte und auf den Button an drücke habe ich sind keine Adressen vorhanden wir in Outlook. In Outlook kann ich ja ueber die Eignschaften die verschiedenen Ordner anzeigen lassen. Im Owa kann ich nur nach Namen suchen.

Hoffe es ist jetzt klarer.

Gruss Andi
Plominski
Plominski 10.03.2005 um 15:02:31 Uhr
Goto Top
grüße

also "markus2004 (Markus Wortmann)" problem versteh ich nicht, bei mir geht alles einwandfrei ... Aus WinXP SP2 und allen Patches kommt ein Sicherheitshinweis denn man erst freischalten muss !

und Andi dein Problem teste ich jetzt mal ...

MFG Daniel
Plominski
Plominski 10.03.2005 um 15:43:18 Uhr
Goto Top
grüße

Andi - dies hat nichts mit der (Apache) Reverse Funktion zutun -> sondern ist ganz und allein Outlook Web Access spezifisch ...

MFG Daniel ;)
addl
addl 10.03.2005 um 15:56:07 Uhr
Goto Top
Hallo Daniel

Das habe ich auch bemerkt. Doch leider kann ich nirgendwo etwas finden weder im Exchange noch im OWAADMIN oder den Optionen.

Ich suche auf jeden Fall weiter.


Gruss Andi
Plominski
Plominski 10.03.2005 um 16:11:55 Uhr
Goto Top
Grüße

könntest mal den OWAADMIN installieren und mal schauen ob man dort so etwas einstellen kann ...

HINWEIS: http://www.layerdrei.de/bin/owaadmin.pdf

http://www.microsoft.com/exchange

MFG Daniel
addl
addl 10.03.2005 um 20:09:38 Uhr
Goto Top
Hallo

Den OWAADMIN habe ich schon installiert. Dort kann man nichts einstellen bezüglich der Öffentlichen Ordner.

gruss Andi
JochenS
JochenS 10.03.2005 um 22:14:54 Uhr
Goto Top
Hallo,

habe Probleme beim öffnen der PDF-Datei.
Acrobat sagt diese ist defekt und kann nicht repariert werden.


Gruss
Jochen
Plominski
Plominski 11.03.2005 um 07:22:45 Uhr
Goto Top
grüße

@andi -

@Jochen - welche PDF geht nicht ?

MFG Daniel

PS: versucht mal diesen SuSE Krempel zu mieden - benutzt mal lieber entweder ein angepasstes Xampp oder gleich ein sauberes RedHat oder Trustix ;)
JochenS
JochenS 11.03.2005 um 08:13:56 Uhr
Goto Top
Hallo Daniel,

das PDF:

http://www.edvbw.de/documente/owa-access.pdf

habs mit dem 6er und dem 7er Acrobat versucht.

Danke und Viele Grüße

Jochen
Plominski
Plominski 11.03.2005 um 11:54:00 Uhr
Goto Top
JochenS
JochenS 11.03.2005 um 16:08:40 Uhr
Goto Top
Hallo zusammen,

habe Probleme mit dem IE.
Firefox & Co funktionieren einwandfrei.

Meine Frage ist es normal oder ist es nur bei mir so?!

Danke und Viele Grüße

Jochen
Plominski
Plominski 11.03.2005 um 17:04:12 Uhr
Goto Top
grüße

Jochen meine Glaskugel ist gerade zersprungen, könntest du vielleicht eine genauere Angaben schreiben ...

MFG Daniel
JochenS
JochenS 11.03.2005 um 17:24:37 Uhr
Goto Top
Hallo Daniel,

ja natürlich. Bin schon einbisschen naja, lassen wir das.

Also,..

IE: Ich öffne die HTTPS-Seite ... bekomme dann das SSL-Zertifikat vom Apache angzeigt ...
dann kommt noch die Authentifizierungsabfrage vom Exchange mit Benutzername und Passwort
... und dann war es das ... (Seite kann nicht angezeigt werden ....)

In den Logfiles vom Apache kommt nur ...
GET /exchange/ HTTP/1.1" 401 27


Mit dem Firefox & Co dagegen geht er schön ins Postfach des Users,
und ich kann problem los arbeiten.

Habe mich an die Anleitung zu 100% gehalten:
http://www.plominski.de/docs/Xampp-ReverseProxy-fuer-Exchange-OWA-09.pd ...

Ich bedanke mich schonmal im Vorraus


Viele Grüße

Jochen
Plominski
Plominski 11.03.2005 um 22:25:40 Uhr
Goto Top
grüße

@Jochen - dann entferne einfach nochmal "SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown" und Patche dein gesamten Windows Client (SP2 usw) ...

MFG Daniel
JochenS
JochenS 14.03.2005 um 11:54:16 Uhr
Goto Top
Hallo Daniel,

habe die Zeile "SetEnvIf User-Agent ".*MSIE.*" auskommentiert.
... und es funktioniert zumindest mit OWA 2000.
Ob der R-Proxy auch mit OWA 2003 sauber arbeitet wird sich herrausstellen.

Danke, aber erstmal !!


Viele Grüße

Jochen
Plominski
Plominski 15.03.2005 um 10:05:45 Uhr
Goto Top
grüße

hab nur port 443 offen, wie in der Xampp config beschrieben und denke das sollte "relativ" sicher sein ;)

bin gerade am basteln eines apache zwischengeschalteten plugins (antiviren scan) face-smile

MFG Daniel
SNap
SNap 19.03.2005 um 16:46:14 Uhr
Goto Top
Hallo,

ich habe meinen apache auch dafür konfiguriert, aber bei mir passiert folgendes:

wenn ich die config mit vhost mache sagt er mir directory /exchange nicht gefunden....

wenn ich die reverse proxy angaben an der Stelle wo ich schon andere reverse proxy habe reintue, kommt zwar der exchange login, aber er akzeptiert user/pass ned, es kommt immer wieder die login-box....

habt Ihr ne Idee was ich falsch mache?

Gruss
SNap
SNap
SNap 19.03.2005 um 22:23:14 Uhr
Goto Top
domain\user geht auch nicht.. hatte ich natürlich auch schon probiert...
Plominski
Plominski 19.03.2005 um 23:48:21 Uhr
Goto Top
grüße

ich denke eine einmal passwort auth sollte vollkommen reichen, viel wichtiger ist, aus meiner sicht, ein BUG freier Apache und ein ständig gepatchter IIS ...

was eine internet cafe tauglichkeit ausschließen würde, wäre eine strikte Extern Benutzer DDNS Webport Freigabe *G*, nur da können gleich die leute ne vpn aufbauen *G*

ich persönlich bastel daran nur einem weiteren server im I-net webzugriff zu gewähren und über diesen eine dritte ssl proxy verbindung aufzubauen, funktioniert zumindest nicht mit der angebotenen möglichkeit von 1und1 *G*

MFG Daniel
Plominski
Plominski 19.03.2005 um 23:49:25 Uhr
Goto Top
grüße

Domain.local\Benutzer geht nicht ?

MFG Daniel
SNap
SNap 20.03.2005 um 08:39:43 Uhr
Goto Top
nein domain.local\user geht auch nicht face-sad
SNap
SNap 20.03.2005 um 10:23:45 Uhr
Goto Top
ich sollte vielleicht dazu sagen das ich nur einen apache 1 habe?
Plominski
Plominski 20.03.2005 um 10:43:57 Uhr
Goto Top
grüße

das wirft jetzt natürlich ein ganz anderes licht!

apache 2 setzen wir hier schon vorraus ...

MFG Daniel
SNap
SNap 20.03.2005 um 16:59:53 Uhr
Goto Top
mit 1 gehts gar nicht?
SNap
SNap 20.03.2005 um 19:16:30 Uhr
Goto Top
ich habs jetzt mit apache 2 gemacht... aber er sagt mir immer das es /exchange auf dem Server ned gibt beim aufruf.

muss man noch spezielle module konfigurieren/laden?
SNap
SNap 21.03.2005 um 10:51:42 Uhr
Goto Top
ok jetzt gehts. super, danke face-smile
5434
5434 23.03.2005 um 16:29:52 Uhr
Goto Top
Hallo,

ich habe alles so gemacht, wie hier besprochen wurde.

Leider habe ich da ein Problem:
wenn ich auf dem linux-server https://localhost eingebe, kommt "keine Verbindung zu Rechner localhost"
wenn ich die IP (so wie sie auch in der vhost steht) eingebe: https://192.168.xxx.xxx dann bekomme ich "Access forbidden! ... ERROR 403

Im Moment steht der Apache noch im Netz mit dem Exchange. Wenn es intern geht, soll er in die DMZ.

Kann mir mit diesen Infos vielleicht schon jemand helfen?

Gruß,
Jordan
Plominski
Plominski 14.04.2005 um 08:29:04 Uhr
Goto Top
@Markus

also bin gerade durch Zufall auf http://www.postfach.biz gestoßen - die Jungs scheinen sauber eine zusätzliche auth laufen zu haben ...

MFG Daniel
Plominski
Plominski 15.04.2005 um 09:31:53 Uhr
Goto Top
ÜBRIGENS:

"AddDefaultCharset OFF" und es funktioniert sowohl mit IE als auch mit Firefox und konsorten ...

MFG Daniel
Plominski
Plominski 17.04.2005 um 14:50:05 Uhr
Goto Top
Grüße

- OutlookWebAccesss läuft reibungslos -

nur wie sieht das mir "RPC over HTTP(s)" aus ?

geht das auch zu reversen ?, wenn ja, hätte man auch komplette Outlook Client SYNC möglichkeit ohne VPN usw vorrauszusetzen ...

MFG Daniel
JochenS
JochenS 25.04.2005 um 17:52:36 Uhr
Goto Top
Hallo zusammen,

möchte mich nochmals bedanken für die Hilfe.

Habe den R-Proxy jetzt auch mit OWA 2003 erfolgreich getestet.

Ich habe aber noch eine bescheide Frage, vielleicht könnt ihr mir da weiterhelfen.

->Was brauchte ich für Apache2-Module damit der R-Proxy läuft.

Habe Debian Sarge im Einsatz, und würde gerne die Update-Funktion
von Debian nutzen, wenn es eben möglich ist.


Viele Grüße

Jochen
jani
jani 11.08.2006 um 12:48:27 Uhr
Goto Top
Hallo zusammen,

ich breche mir schon etwas länger die füsse dabei, über einen reverse proxy die weiterleitung zu owa etc einzurichten.

ich habe mir eben nochmals einen frischen webserver aufgesetzt. nutze debian und habe nur ein funktioniertes xampp installiert. habe die config des indaniers nach der anleitung von http://www.plominski.de/docs/Xampp-ReverseProxy-fuer-Exchange-OWA-09.pd ... eingerichtet.

wenn ich nun über meine externe adresse versuche aufs exchange zuzugreifen, bekomme ich die meldung


Not Found

The requested URL /exchange was not found on this server.
Apache Server at alias.domain.de Port 443



der exchange reagiert auf ssl anfragen von intern. habe ein neues zertifikat erstellt, wo auf beiden server der common name des zertifikates passt.

ich weiss nicht genau woran es liegen kann.

meine config ist diese:

###

## SSL Exchange ###

<VirtualHost alias.domain.de:443>

DocumentRoot /opt/lampp/htdocs/owa
ServerName alias.domain.de
ServerAdmin alias@domain.de

AddDefaultCharset OFF

RequestHeader unset accept-encoding

HostnameLookups Off
UseCanonicalName Off

ProxyPreserveHost On

SSLProxyEngine On
SLProtocol All
SSLEngine On

RequestHeader unset accept-encoding

HostnameLookups Off
UseCanonicalName Off

ProxyPreserveHost On

SSLProxyEngine On
SLProtocol All
SSLEngine On

### Microsoft Exchange

ProxyPass /exchange https://192.168.100.1/exchange/
ProxyPassReverse /exchange https://192.168.100.1/exchange/

ProxyPass /exchweb https://192.168.100.1/exchweb/
ProxyPassReverse /exchweb https://192.168.100.1/exchweb/

ProxyPass /public https://192.168.100.1/public/
ProxyPassReverse /public https://192.168.100.1/public/

### WAP & ActiveSync ###

ProxyPass /oma https://192.168.100.1/oma/
ProxyPassReverse /oma https://192.168.100.1/oma/

ProxyPass /Microsoft-Server-ActiveSync https://192.168.100.1/Microsoft-Server-ActiveSync
ProxyPassReverse /Microsoft-Server-ActiveSync https://192.168.100.1/Microsoft-Server-ActiveSync

ProxyPass /public https://192.168.100.1/public/
ProxyPassReverse /public https://192.168.100.1/public/

###

ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log


SSLCertificateFile /opt/lampp/etc/ssl.crt/owa_server.crt
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/owa_server.key

### Extras ###


#SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

### WAP & ActiveSync ###

ProxyOass /oma https://192.168.100.1/oma/
ProxyPassReverse /oma https://192.168.100.1/oma/

ProxyPass /Microsoft-Server-ActiveSync https://192.168.100.1/Microsoft-Server-ActiveSync
ProxyPassReverse /Microsoft-Server-ActiveSync https://192.168.100.1/Microsoft-Server-ActiveSync

###

ErrorLog logs/owa_ssl_error_log
TransferLog logs/owa_ssl_access_log

SSLCertificateFile /opt/lampp/etc/ssl.crt/owa_server.crt
SSLCertificateKeyFile /opt/lampp/etc/ssl.key/owa_server.key

### Extras ###

#SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown


</VirtualHost>


muss ich eigentlich im meinem htdocs verzeichnis den 'owa' ordner erstellen? eigentlich soll er die anfragen ja weiterleiten.
Plominski
Plominski 11.08.2006 um 15:54:49 Uhr
Goto Top
Grüße

schau dir mal die Config an: http://media.plominski.de/docs/Xampp-ReverseProxy-fuer-Exchange-RPCover ...

Ich nehme mal an das du keine Standleitung hast und somit folgenden Eintrag über den VirtualHost ergänzen solltest:

NameVirtualHost *:443

UND dein <VirtualHost alias.domain.de:443> musst in <VirtualHost *:443> abändern!

Viel Erfolg
jani
jani 15.08.2006 um 13:11:19 Uhr
Goto Top
Hallo Plominski,

danke für deine Antwort. Ich habe den Fehler gefunden.

Ich habe bei <VirtualHost alias.domain.de:443> den externen Namen ersetzt gegen die interne ip des apache servers. damit wurde die seite dann gefunden und korrekt angezeigt.

normal dachte ich sollte es mit dem name passen, da wir eine feste ip adresse haben, aber mann kann sich ja irren face-smile trotzdem danke
Plominski
Plominski 15.08.2006 um 14:37:54 Uhr
Goto Top
Grüße

Durch die SSL Entwickelte "Einschränkung" wird noch vor dem Header die Kommunikation verschlüsselt, was eine normale Headerdiverenzierung, wie es üblicherweise unter dem Port 80 möglich ist, nicht funktionieren...

Z.B. im IIS bei Port 80:
---Standard Website (OWA, Intranet usw.): header = servername1.domain.local
---Company Web (Share Point): header = servername2.domain.local

Deswegen bietet z.B. auch der IIS in der SSL Config keine Headerzuweisungen an...

Mit Apache lässt sich wohl ein SSL Reverse einrichten, das es ermöglicht, verschiedene SSL Zieladressen über ein und dieselbe IP zu Prox(y)'n....

Z.B. https://www.hauptsslserver.de/ohnessladresse.de (das Verzeichnis "ohnessladresse.de" folgt als Reverse Weiterleitung von nicht SSL laufenden Webadressen)

[z.B. 1und1 bietet diese "SSL Proxy" Möglichkeit an, um NUR über 1 SSL Zertifikat und Site, weitere SSL_LOSE Pages "routen" zu können]

Aber das funktioniert schon alleine mit Outlook RPC over HTTPS nicht -> da die Config keine "extra" Verzeichnisangabe unterstützt (zumindest bei mir nicht *G*)

denn Apache zum Beispiel meckert sofort nach einer doppelt belegten Namens bzw. IP Adressbelegung -> wenn aus dem RED (Internet) der ein und der selbe „Named Lookup“ erfolgt.

SSL Reverse nützt indem falle aber nicht viel da die "servername/rpc", „/exchange“ usw... Verzeichnisstruktur beibehalten werden (sollte) muss ...

---

Aber wenn ihr NUR 1 SSL Adresse habt, und darüber euren Exchange Revers(e)'t -> seit ihr ja aus dem Schneider ... und für weitere SSL Projekte in der Zukünftig müsst ihr euch halt verschiedene RED Alias IP Adressen anmieten ;)

In diesem Sinne
Viel Erfolg!
Plominski
Plominski 30.09.2006 um 12:41:57 Uhr
Goto Top
### URLScan ###
<Location />
#AllowOverride None

<Limit HEAD OPTIONS GET POST SEARCH POLL SUBSCRIBE BMOVE BCOPY MOVE PROPFIND PROPPATCH BPROPPATCH DELETE BDELETE MKCOL RPC_IN_DATA RPC_OUT_DATA>
Order allow,deny
Allow from all
</Limit>

<LimitExcept HEAD OPTIONS GET POST SEARCH POLL SUBSCRIBE BMOVE BCOPY MOVE PROPFIND PROPPATCH BPROPPATCH DELETE BDELETE MKCOL RPC_IN_DATA RPC_OUT_DATA>
Order deny,allow
Deny from all
</LimitExcept>

</Location>
### ####### ###

Link: http://www.microsoft.com/germany/technet/datenbank/articles/600989.mspx
MReimer
MReimer 12.09.2008 um 15:04:18 Uhr
Goto Top
hallo,

der thread ist zwar schon alt, aber das macht ja nichts..
gibt es denn schon erfarungen mit exchange 2007 und apache als reverse proxy?

danke und gruss....
marioman
marioman 01.10.2008 um 02:16:01 Uhr
Goto Top
hallo,

ja, wie mein vorredner schon meinter, der thread ist zwar schon alt, aber ich hab jetzt ein aktuelles problem...

ich verwende eine cisco firewall einen ubuntu server mit apache als reverse proxy und einen win2k3 exchange, welcher das OWA bereitstellt.

ich verwende zurzeit keine SSL. also der zugang soll rein über http erfolgen.

internet -> firewall -> apache reverseproxy -> owa

vorweg einmal, grundsätzlich funktioniert es! aber es holpert ein wenig. ich bzw. die user müssen sich von zeit zu zeit mehrmals anmelden. dann gehts wieder. auch oft mitten drinnen. also man ruft das OWA auf, dann arbeitet man ein wenig darin, dann popt auf einmal wieder die authentifizierung auf, das muss man dann wieder 2-4 mal machen, dann gehts wieder eine weile.

besonder auffällig ist, dass es nach einen neustart des apachen besser geht und je länger der dienst läuft, um so öfters muss man sich wiederholt anmelden.

es ist wie, wenn die authentifizierung verloren geht...

ich verwende folgende konfig:

<VirtualHost *:80>
ServerName meine_domain
RequestHeader unset accept-encoding
AddDefaultCharset utf-8
Options -Indexes FollowSymLinks ExecCGI Includes

HostnameLookups Off
UseCanonicalName Off

ProxyPreserveHost On

ProxyPass / http://mein_interner_server/
ProxyPassReverse / http://mein_interner_server/
</VirtualHost>

ich hab gleich das ganze root weitergeleitet, damit hab ich mir die unterverzeichnisse erspart. ich habs natürlich auch schon mit den einzelnen unterverzeichnissen probiert, aber das änderte natürlich nichts...

ich hab auch schon in diversen docs geschaut, aber keine passenden konfigparameter gefunden. evtl. hab ich aber auch einen übersehen...

habe aber schon in anderen foren gelesen, das es dbzgl. mehrere fälle meiner art gibt, aber nirgens werden lösungen dazu angeboten...

danke mal im voraus für euren mühen oder gedanken... face-smile

gruß
mario aus wien!
uschi15
uschi15 01.10.2008 um 09:29:24 Uhr
Goto Top
Zum Thema 2007 kann ihcleider nichts sagen, sorry.

Zu Mario aus Wien:
Hast du einen Timeout in deiner Konfig definiert? Machst du irgendwas mit Caching? Hats du eine minimal-Konfig, oder hast du die Standardkonfig angepasst?

Gruß
Uschi15
marioman
marioman 01.10.2008 um 12:24:50 Uhr
Goto Top
@uschi15:
also der ubuntu server ist frisch und minimal aufgesetzt. da läuft vorerst nur der apache. und der hat auch nur die reverseproxy rolle. kein caching etc.

ich bin grundsätzlich nach den hier im forum erhältlichen HOWTO vorgegangen. ich glaub da muss man ein zwei parameter im konfig ändern. ich weiß es jetzt net auswendig. ich werde nachher nochmal schaun, was für einen konfigparam. ich da noch geändert hab. alles was aber zu ssl gehört, hab ich übersprungen, da ich, wie schon erwähnt, kein ssl verwende.

bzgl. timeout... ist das defaultmässig gesetzt, denn ich hab keines bewusst gesetzt. wie lautet der parameter dafür?

danke
mario
MReimer
MReimer 09.12.2008 um 16:29:38 Uhr
Goto Top
Hallo,

zur info:

RPC over https mit Apache funktioniert auch mit Exchange 2007. Nach einer Woche try & error haben wir es endlich hinbekommen....

Haben jetzt nur noch das Problem dass im virtuellen RPC Verzeichniss die Standardauthentifizierung immer verloren geht. Also der Haken verschwindet einfach. Hat hierfür jemand eine Idee bzw. Erklärung?

Danke.
oggi2005
oggi2005 04.02.2009 um 17:12:35 Uhr
Goto Top
Hallo,

hat jemand Erfahrung mit eben diesem Szenario, nur ein Webdav-Verzeichnis des IIS geproxyt.