Exchange 2010 und Veröffentlichung von Outlook Anywhere über TMG: Abwesenheitsassistent funktioniert nicht

Aktuell bin ich mit diversen Vorbereitungen zur Migration von Exchange 2003 auf 2010 beschäftigt und teste in diesem Zusammehang viele Funktionen, unter anderem auch Outlook Anywhere.

Nach der Aktivierung von Outlook Anywhere auf dem entsprechenden CAS kann die Funktion im Thread Management Gateway über einen entsprechenden Assistenten sicher veröffentlicht werden:

Nachdem es mit dem Assistenten für ActiveSync und Outlook Web Access keinerlei Probleme gab und alles auf Anhieb funktionierte, war die Veröffentlichung von Outlook Anywhere über den Assistenten von weniger Erfolg gekrönt.

Zwar funktionierte die Verbindung grundsätzlich, allerdings ließen sich von einem entsprechend verbundenen Client aus weder das Offline Adressbuch herunterladen, die Frei-/Gebucht-Zeiten anzeigen oder der Abwesenheitsassistent öffnen. Beim Anklicken der Option „Automatische Antworten“ erschien jedes Mal folgende Fehlermeldung:

Zunächst muss man wissen, dass die Frei-/Gebucht-Zeiten und der Abwesenheitsassistent von den Exchange Web Services abhängig sind, die auf Client Access Servern im virtuellen IIS Verzeichnis /EWS/ abgebildet sind. Ähnliches gilt für das Offline Adressbuch, das über den Pfad /OAB/ bereitgestellt wird.

Auf Client Access Servern werden die Verzeichnisse auch als WebServicesVirtualDirectory bzw. OabVirtualDirectory bezeichnet. Sind diese Verzeichnisse nicht verfügbar, funktionieren o.g. Dienste nicht, da die Daten schlicht nicht abgerufen werden können.

Beim Blick in die entsprechende Veröffentlichungsregel auf dem TMG fiel auf, dass der Assistent die entsprechenden Pfade überhaupt nicht mit veröffentlicht hatte:

Tatsächlich werden die Pfade nur dann mit freigegeben, wenn bei der Erstellung der Regel zusätzlich die Option „Publish additional folders on the Exchange Server for Outlook 2007 clients“ mit aktiviert wird. Das ist, wenn man bereits Outlook 2010 einsetzt, etwas irreführend, da man die Option auch so interpretieren kann, als wäre sie nur für Outook 2007 relevant.

Wird die Option mit aktiviert, werden auch die restlichen notwendigen Pfade mit veröffentlicht:

Darüberhinaus gibt es noch einen weiteren wichtigen Punkt zu beachten, der für eine vollständig funktionierende Verbindung ebenfalls notwendig ist [1]:

    Mit dem Einsatz von Outlook 2007 wird die Funktion „Autodiscover“ auch für die Verbindung per Internet mit RPC over HTTP wichtig, da Outlook den Exchange 2007 Server „erkennt“ und dann immer per Autodiscover arbeitet. Entsprechend muss man Autodiscover, aber auch EWS und OAB aus dem Internet per SSL und Anmeldung erreichbar machen.

Dabei ist wichtig zu wissen, dass sich Outlook bei der Suche nach der Autodiscover URL nicht nach der Domäne des in Outlook konfigurierten RPC over HTTP Proxys bzw. TMG richtet, sondern nach der primären E-Mail-Adresse des in Outlook aktiven E-Mail-Kontos.

Lautet die E-Mail-Adresse im Outlook Profil z.B. layer9@wordpress.com, wird während der Suche nach der URL folgende Reihenfolge abgearbeitet:

Existiert eine der beiden URLs, baut Outlook eine HTTPS-Verbindung auf. Hier kann es ein Problem geben, wenn sich die Autodiscover URL von der URL des RPC over HTTP Proxys bzw. TMG unterscheidet.

Ist Outlook Anywhere beispielsweise über den Namen tmg.layer9.com veröffentlicht, lautet so auch der Name des an den SSL Listener gebundenen SSL Zertifikats. Baut Outlook nun aber eine HTTPS Verbindung zu einer der o.g. URLs mit dem Namen wordpress.com auf, gibt es ein Mismatch beim Namen des Zertifikats und damit eine SSL Sicherheitswarnung für den Anwender.

Zum Glück hat Microsoft hier schon zu Zeiten von Outlook 2007 nachgebessert und eine dritte Möglichkeit zur URL-Suche implementiert. Alternativ zur o.g. Methode können im DNS SRV-Records erstellt werden, die Outlook zur Adresse des RPC over HTTP Proxys bzw. TMG und damit zum veröffentlichten Autodiscover Directory weiterleiten. Das läuft wie folgt ab:

Bringt die Suche nach o.g. URLs kein Ergebnis, sucht Outlook in der Zone der SMTP Domäne des konfigurierten E-Mail-Kontos nach folgendem SRV Eintrag:

    _autodiscover._tcp.wordpress.com.

Der Eintrag sollte wie in Artikel KB940881 beschrieben folgendermaßen aussehen:

    Service: _autodiscover
    Protocol: _tcp
    Port Number: 443
    Host: Hostname, für den das Zertifikat gültig und wo Autodiscover veröffentlicht ist.

Lautet der Hostname wie in diesem Beispiel tmg.layer9.com, für den auch das Zertifikat gültig ist, wird die Verbindung zum Autodiscover Directory ohne Sicherheitswarnung aufgebaut. Es erscheint lediglich ein vom Anwender zu bestätigender Hinweis, dass eine Umleitung stattfindet.

Neben der Einrichtung von Autodiscover gibt es noch zwei weitere Punkte zu beachten. Punkt 1 ist, dass für das virtuelle Verzeichnis /EWS/ auf dem CAS die Standardauthentifzierung aktiviert werden muss. Das ist deshalb erforderlich, weil die Fallback-Authentifizierung der formularbasierten Authentifizierung auf dem TMG immer die Standardauthentifzierung ist. Die Authentifizierung kann im IIS Manager auf dem CAS angepasst werden:

Punkt 2 ist das Setzen der externen URLs für die entsprechenden Webdienste auf dem CAS. Die URLs für Outlook Web Access, ActiveSync und das Exchange Control Panel können alle in der GUI angepasst werden, für die Verzeichnisse /OAB/ und /EWS/ muss die Powershell verwendet werden. Die externen URLs müssen dabei dem Namen entsprechen, über den die Dienste extern erreichbar sind. Mit folgendem Befehl können die URLs angezeigt werden:

[PS] C:\Windows\system32>Get-WebServicesVirtualDirectory | fl

InternalUrl                     : https://ex01.layer9.local/EWS/Exchange.asmx
ExternalUrl                     : https://tmg.layer9.de/EWS/Exchange.asmx

[PS] C:\Windows\system32>Get-OabVirtualDirectory | fl

InternalUrl                     : http://ex01.layer9.local/OAB
ExternalUrl                     : https://tmg.layer9.de/OAB

Angepasst wird die ExternalURL mit folgendem Befehl:

[PS] C:\Windows\system32>Set-OABVirtualDirectory EX01\* -ExternalURL https://tmg.layer9.de/OAB
[PS] C:\Windows\system32>Set-WebServicesVirtualDirectory EX01\* -ExternalURL https://tmg.layer9.de/EWS/Exchange.asmx

Mit diesen Einstellungen sollte der Zugriff auf Outlook Anywhere vollständig funktionieren. Hilfreich in diesem Zusammenhang ist außerdem das Whitepaper Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010 aus diesem Eintrag vom Exchange Team Blog.

Ebenfalls hilfreich zum Testen ist der Microsoft Remote Connectivity Analyzer.

[1] Exchange AutoDiscover in der MSXFAQ: http://www.msxfaq.de/e2007/autodiscover.htm

0 Responses to “Exchange 2010 und Veröffentlichung von Outlook Anywhere über TMG: Abwesenheitsassistent funktioniert nicht”



  1. Schreibe einen Kommentar

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s





%d Bloggern gefällt das: