Discussion:
Outlook Anywhere mit FBA?
(zu alt für eine Antwort)
Christian Krüsi
2009-12-03 08:05:01 UTC
Permalink
Hallo zusammen

Ich habe einen Exchange Server 2007 hinter einer ISA 2006 Firewall. Über
einen Listener mit einem UUC Zertifikat ist OWA und Activesync
veröffentlicht. Die Authentifizierung geschieht formularbasiert. Nun wollte
ich mich einer schon längeren Pendenz annehmen: Outlook Anywhere. Nach langen
Recherchen und ausprobieren habe ich immer noch mehrere Fragen:

Stimmt es, dass ich für Outlook Anywhere die formularbasierte
Authentifizierung nicht verwenden kann? Da ich ja nur einen Listener für das
gleiche Protokoll und die gleiche IP verwenden kann, müsste ich dann auch für
die anderen Veröffentlichungen auf die formularbasierte Authentifizierung
verzichten. Stimmen diese Überlegungen?

Wenn ich OWA nicht mehr über das ISA Formular veröffentlichen könnte, würde
die Anmeldung direkt auf dem Exchangeserver gemacht. Ist das ein grosser
Sicherheitsverlust?

Im Moment haben Benutzer die Möglichkeit über das ISA Formular ihr Passwort
zu ändern. Wäre das auch möglich, wenn ich den Listener auf eine andere als
formularbasierte Authentifizierung ändere?

Gibt es andere Überlegungen, die ich beachten muss, wenn ich den Listener
auf eine andere Authentifizierung abändere?

Oder ist es doch möglich, auch Outlook Anywhere über FBA zu veröffentlichen?

Vielen Dank
Christian
Christian Gröbner [MVP]
2009-12-03 08:27:34 UTC
Permalink
Hallo Christian :-),
Post by Christian Krüsi
Stimmt es, dass ich für Outlook Anywhere die formularbasierte
Authentifizierung nicht verwenden kann? Da ich ja nur einen Listener für das
gleiche Protokoll und die gleiche IP verwenden kann, müsste ich dann auch für
die anderen Veröffentlichungen auf die formularbasierte Authentifizierung
verzichten. Stimmen diese Überlegungen?
Ja, aber der Listener macht einen Fallback auf Standard, somit geht das
wieder
Post by Christian Krüsi
Wenn ich OWA nicht mehr über das ISA Formular veröffentlichen könnte, würde
die Anmeldung direkt auf dem Exchangeserver gemacht. Ist das ein grosser
Sicherheitsverlust?
Wäre nicht unbedingt tragisch, da nur die Authentifizierung vom Exchange
übernommen wird. Die HTTP-Filterung geht ja nach wie vor.
Ich würde das vorgehen aber ändern und die FBA am ISA aktiv lassen, somit
hast du die schöne Authentifizierung für OWA. Outlook Anywhere würde ich
dann mit dem gleichen Listener veröffentlichen, aber keine Authentifizierung
fordern, somit ist der Listener egal.
Post by Christian Krüsi
Im Moment haben Benutzer die Möglichkeit über das ISA Formular ihr Passwort
zu ändern. Wäre das auch möglich, wenn ich den Listener auf eine andere als
formularbasierte Authentifizierung ändere?
Nein, die Kennwortänderung über die FBA geht logischer Weise nur über FBA.
Du könntest aber die OWA-Funktion dafür hernehmen.
Post by Christian Krüsi
Gibt es andere Überlegungen, die ich beachten muss, wenn ich den Listener
auf eine andere Authentifizierung abändere?
Nein.
Post by Christian Krüsi
Oder ist es doch möglich, auch Outlook Anywhere über FBA zu
veröffentlichen?
Ja.

Gruß
Christian
--
Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/
Jens Baier
2009-12-03 08:39:01 UTC
Permalink
Hi,
Post by Christian Krüsi
Stimmt es, dass ich für Outlook Anywhere die formularbasierte
Authentifizierung nicht verwenden kann?
nein, ISA Server 2006 kann ein Fallback von FBA auf Basic Auth machen, so
dass das alles ueber einen Listener moeglich ist. Das ist auch das
Tandardverhalten von ISA und muss nicht geaendert werden

Gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
unknown
2009-12-03 09:11:56 UTC
Permalink
moin christian,
Post by Christian Krüsi
Stimmt es, dass ich für Outlook Anywhere die formularbasierte
Authentifizierung nicht verwenden kann? Da ich ja nur einen Listener für das
gleiche Protokoll und die gleiche IP verwenden kann, müsste ich dann auch für
die anderen Veröffentlichungen auf die formularbasierte Authentifizierung
verzichten. Stimmen diese Überlegungen?
nein, da fallback auf basic (siehe die antworten der kollegen).
Post by Christian Krüsi
Wenn ich OWA nicht mehr über das ISA Formular veröffentlichen könnte, würde
die Anmeldung direkt auf dem Exchangeserver gemacht. Ist das ein grosser
Sicherheitsverlust?
bei fallback auf basic (standard) würde die authentifizierung weiterhin
zuerst am isa durchgeführt werden, danach erst am exchange.
Post by Christian Krüsi
Im Moment haben Benutzer die Möglichkeit über das ISA Formular ihr Passwort
zu ändern. Wäre das auch möglich, wenn ich den Listener auf eine andere als
formularbasierte Authentifizierung ändere?
nope.
Post by Christian Krüsi
Oder ist es doch möglich, auch Outlook Anywhere über FBA zu
veröffentlichen?
yop (s.o.)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Christian Krüsi
2009-12-03 10:17:01 UTC
Permalink
Hallo zusammen
Post by unknown
nein, da fallback auf basic (siehe die antworten der kollegen).
Da bin ich froh, dann kann ich den gleichen Listener weiterhin verwenden.
Also muss nochmals auf Fehlersuche gehen. Wenn beim ISA Server Basic
verwendet wird, muss wahrscheinlich auch bei Exchange Basic verwendet werden,
wo ich im Moment NTLM eingetragen habe.
Ich merke, dass ich bei solchen Sachen immer wieder an die Grenzen meines
Wissens stosse. Umso besser, dass man hier schnelle, kompetente und
freundliche Antworten erhält. Vielen Dank!

Christian
unknown
2009-12-03 10:45:55 UTC
Permalink
mahlzeit christian,
Post by Christian Krüsi
Da bin ich froh, dann kann ich den gleichen Listener weiterhin verwenden.
Also muss nochmals auf Fehlersuche gehen. Wenn beim ISA Server Basic
verwendet wird, muss wahrscheinlich auch bei Exchange Basic verwendet werden,
wo ich im Moment NTLM eingetragen habe.
bei der authentifizierungsdelegierung nehme ich immer gerne standard zu
standard (so eine ssl-bridge eingesetzt wird), das spart ärger und
performance!
Post by Christian Krüsi
Ich merke, dass ich bei solchen Sachen immer wieder an die Grenzen meines
Wissens stosse. Umso besser, dass man hier schnelle, kompetente und
freundliche Antworten erhält. Vielen Dank!
gernö! btw. empfehle ich neben trainings immer gerne folgende deutsche
referenz in sachen isa:
http://www.msisafaq.de/Buch/2006/index.htm
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Tobias Redelberger [MVP - SBS]
2009-12-03 11:22:38 UTC
Permalink
Hi Jens,
Post by unknown
Post by Christian Krüsi
Da bin ich froh, dann kann ich den gleichen Listener weiterhin verwenden.
Also muss nochmals auf Fehlersuche gehen. Wenn beim ISA Server Basic
verwendet wird, muss wahrscheinlich auch bei Exchange Basic verwendet werden,
wo ich im Moment NTLM eingetragen habe.
bei der authentifizierungsdelegierung nehme ich immer gerne standard zu
standard (so eine ssl-bridge eingesetzt wird), das spart ärger und
performance!
Post by Christian Krüsi
Ich merke, dass ich bei solchen Sachen immer wieder an die Grenzen meines
Wissens stosse. Umso besser, dass man hier schnelle, kompetente und
freundliche Antworten erhält. Vielen Dank!
gernö! btw. empfehle ich neben trainings immer gerne folgende deutsche
http://www.msisafaq.de/Buch/2006/index.htm
das heisst dann aber auch, dass man die Anmelde-Credentials auf dem Outlook
Anywhere nicht speichern und so jedesmal beim Starten erneut eingeben muss..
:/


Besser:

In der Web Publishing Rule für "Outlook Anywhere" unter "Authentication
Delegation":

No delegation - allow end-to-end authentication
The user's credentials are passed to the destination server without any
additional action on the part of ISA Server. The client and the destination
server then negotiate the authentication. This is typically used in a
scenario where the destination server requires some proprietary form of
authentication. This delegation method is also referred to as pass-through
delegation.
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: ***@starnet-services.net
Web: http://www.starnet-services.net
unknown
2009-12-03 12:05:07 UTC
Permalink
huhu thobias,
Post by Tobias Redelberger [MVP - SBS]
In der Web Publishing Rule für "Outlook Anywhere" unter "Authentication
No delegation - allow end-to-end authentication
The user's credentials are passed to the destination server without any
additional action on the part of ISA Server. The client and the
destination server then negotiate the authentication. This is typically
used in a scenario where the destination server requires some proprietary
form of authentication. This delegation method is also referred to as
pass-through delegation.
ich denke das ist geschmacksache! ich persönlich bin ein großer freund von
"authentifiziere dich am isa, bevor du in die heiligen hallen kommst". was
bleibt mir sonst noch übrig, bis auf den (rudimäntären) http-filter?!
wie sagen wir hier in ac: jeder jeck ist anders.
;-)
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Tobias Redelberger [MVP - SBS]
2009-12-03 12:41:19 UTC
Permalink
Hi Jens,
Post by unknown
Post by Tobias Redelberger [MVP - SBS]
In der Web Publishing Rule für "Outlook Anywhere" unter "Authentication
No delegation - allow end-to-end authentication
The user's credentials are passed to the destination server without any
additional action on the part of ISA Server. The client and the
destination server then negotiate the authentication. This is typically
used in a scenario where the destination server requires some proprietary
form of authentication. This delegation method is also referred to as
pass-through delegation.
ich denke das ist geschmacksache! ich persönlich bin ein großer freund von
"authentifiziere dich am isa, bevor du in die heiligen hallen kommst". was
bleibt mir sonst noch übrig, bis auf den (rudimäntären) http-filter?!
wie sagen wir hier in ac: jeder jeck ist anders.
Geschmacksache - sicherlich (und Sicherheitsfragen an jeder Ecke), aber sag
das dann auch mal jeden Benutzer (vor allem den "Cheffes"), der genervt ist,
nach jedem Starten von Outlook sich noch mal zu authentifizieren, wenn er
sich doch schon an Windows mit den gleichen Credentials authentifiziert
hat.."Single-Sign-On", da war doch was.. :P
--
Tobias Redelberger
StarNET Services (HomeOffice)
Frankfurter Allee 193
D-10365 Berlin
Tel: +49 (30) 86 87 02 678
Mobil: +49 (163) 84 74 421
Email: ***@starnet-services.net
Web: http://www.starnet-services.net
unknown
2009-12-03 13:10:31 UTC
Permalink
huhu,
Post by Tobias Redelberger [MVP - SBS]
"Single-Sign-On", da war doch was.. :P
ach, das wird doch überbewertet. ;-)))
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Christian Krüsi
2009-12-05 08:13:01 UTC
Permalink
Hallo zusammen

Ich wollte nur noch zurückmelden, dass es mit eurer Hilfe und der Website
https://www.testexchangeconnectivity.com/ funktioniert hat.

Nochmals vielen Dank.

Gruss
Chrisitan
unknown
2009-12-05 10:29:29 UTC
Permalink
moin christian,
Post by Christian Krüsi
Ich wollte nur noch zurückmelden, dass es mit eurer Hilfe und der Website
https://www.testexchangeconnectivity.com/ funktioniert hat.
ja supi, das freut mich zu lesen!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2009-12-05 11:43:30 UTC
Permalink
Hi,
Post by Christian Krüsi
https://www.testexchangeconnectivity.com/ funktioniert hat.
jau, ein cooles Testtool
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Maximilian von Zweydorff
2009-12-07 10:35:35 UTC
Permalink
Hallo Jens,
Post by unknown
ich denke das ist geschmacksache! ich persönlich bin ein großer freund
von "authentifiziere dich am isa, bevor du in die heiligen hallen
kommst". was bleibt mir sonst noch übrig, bis auf den (rudimäntären)
http-filter?!
wie sagen wir hier in ac: jeder jeck ist anders.
;-)
Das sehe ich genauso!!!

Ich empfehle folgende Konfiguration, wo auch keine "Doppelanmeldung"
notwendig ist:

- am Listener "Integrated"
- KCD zum Exchange Frontend (Kerberos Constrained Delegation)

Gruß
Max

Loading...