Folgendes Szenario ist uns bei einem Kunden begegnet. Es klingt zwar in Zeiten von OWA, Outlook Anywhere (RPC over HTTP) usw. zwar schwer nach oldschool, aber man muss die Kunden-Anforderung bzw. -Situation berücksichtigen:
Bei einem Kunden verwendet der Außendienst Outlook 2003 um sich via VPN mit einem Exchange Server 2003 (genau genommen Windows Small Business Server 2003 Standard) zu verbinden. Bislang lief dies über einen Checkpoint VPN-Router. Outlook Anywhere (RPC over HTTP) kann leider aufgrund des relativ schlechten “Gesundheitszustands” des Servers nicht verwendet werden. Darüber hinaus war die Anforderung, das möglichst der gleiche Ablauf wie bisher verwendet werden sollte.
Das heisst:
- VPN aufbauen
- Outlook starten
- ActiveSync 4.5 starten
- Handheld synchronisieren
ActiveSync 4.5 direkt an den Exchange Server war aus vorgenannten Gründen leider auch nicht möglich. Alles in allem eine etwas unglückliche Konstellation.
Da wie zuvor bei Checkpoint auf any-Regeln (der Zustand stammt nicht von uns!), die schlicht jeden Verkehr zulassen würden, aus Sicherheitsgründen verzichtet werden sollte, musste ein Regelwerk für Outlook erstellt werden.
Voraussetzungen
- Konfiguriertes SSL-VPN
- Konfiguriertes Netzwerkobjekt für den Exchange Server
Dienste konfigurieren
Damit Outlook über das VPN kommunizieren kann, müssen zwei Dienste konfiguriert werden:
- Den Dienst “netbios-rpc” zu der Dienstgruppe “netbios” hinzufügen.
- Einen neuen Dienst mit dem Namen “port_1148” und dem Port 1148 anlegen. Das dieser Port benötigt wird, war das Resultat eines tcpdumps, den der Securepoint Support erstellt und analysiert hat.
Regeln konfigurieren
Letztlich werden nur zwei Regeln benötigt:
ssl-vpn - server - netbios ssl-vpn - server - port_1148
Scheinbar wird der Port 1148 für die eigentliche Synchronisation zwischen Outlook und Exchange Server verwendet. Netbios hingegen zur Anmeldung.
Danksagung
Danke an Pascal von Securepoint für die schnelle Hilfe und die Lösung des Problems.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Schreibe einen Kommentar