» Home » Ex 2007/2010 » Client Access

Client Zugriff (CAS)

Diese Rolle ist das Bindeglied zwischen den Clients und der entsprechenden Datenbank. Es ist nicht mehr gewünscht, dass die Anwender sich direkt mit der Datenbank verbinden, sondern nur noch eine Verbindung zur "Client Access"-Rolle aufbauen, welche dann den "richtigen" Datenbankserver findet. Dazu gibt es einiges zu erfahren, wie auf den folgenden Unterseiten beschrieben ist:

• CAS Intern/Extern
  Was hat es mit der "internen URL" und "externen URL" auf sich, die konfiguriert werden können
• CAS URLs
  Wo, außer in den paar per GUI erreichbaren Masken können noch entsprechende URLs konfiguriert werden
• CASProxy 2007
  Proxy-Funktion der Exchange 2007 CAS-Rolle
• CASProxy 2010
  Proxy-Funktion der Exchange 2010 CAS-Rolle
• CAS und NLB
  Mehrere CAS-Server als Team mit NLB verfügbar machen
• MOMT
  MAPI on the Middle Tier: Die Exchange 2010 CAS-Rolle übernimmt auch den Outlook RPC Traffic
• OWA Absichern (Bereich Exchange Clients)
  Hinweise zur Platzierung von CAS und Firewall-Filtern.

Die CAS-Rolle übernimmt auch die Konvertierung und Codierung von Inhalten und die Verschlüsselung per SSL als auch die Authentifizierung. So kann die Last verteilt und Exchange besser skaliert werden. Zudem können mögliche Angreifer nicht mehr direkt die Datenbank selbst beeinflussen. Mehrere Server mit dieser Rolle verteilen die Last und erlauben auch eine höhere Verfügbarkeit.

Die Rolle bedient folgende Zugriffe:

• Outlook Webzugriff (HTTP)
  Der klassische Zugriff per Webbrowser auf ihre Postfach. Die Client-Rolle agiert ähnlich einem Frontend Server in einer Exchange 2000/2003 Umgebung und ist der Endpunkt für die Kommunikation ihres Browsers. Diese Rolle übernimmt damit auch die SSL-Verschlüsselung und Authentifizierung.
• Outlook Mobile Access (HTTP)
  Das gleiche gilt für den Zugriff per WAP auf ihr Postfach
• Microsoft Server ActiveSync
  Auch die Replikation
• Dateisystemzugriffe und Sharepoint
  Angeblich soll OWA auch den Zugriff auf interne Dateiserver und andere Ressourcen erlauben. Dies ist natürlich erforderlich, wenn auf den Einsatz von öffentlichen Ordnern verzichtet werden soll. Auf der anderen Seite stellt sich natürlich die Frage der Sicherheit

Ab Exchange 2007 Service Pack 1 funktioniert:

• OWA auf Public Folder
  Angeblich soll es nicht mehr möglich sein, auf öffentlichen Ordner per OWA oder IMAP4 zuzugreifen. Das ist dann der erste Schubs in Richtung Friedhof

Ab Exchange 2010

• MAPI over RPC (Kommt mit Exchange 2010 MOMT)
  Outlook Clients, die direkt per RPC mit dem Speicher sprechen, werden aber wohl auch zukünftig nicht die Client-Rolle nutzen, sondern direkt den entsprechenden Mailboxserver ansprechen. Um hier eine Trennung zu erhalten, ist demnach ein Update auf Outlook 2003 (RPC over HTTP) oder Outlook 2007 erforderlich.

Client Access und Exchange Update auf 2007/2010

Wenn Sie ihre bestehende Exchange 2000/2003 Organisation auf Exchange 2007 Updaten, dann kann der Client Access Server quasi auch als "Frontend" für die Exchange 2003 Server dienen. Meist werden Sie dies nach einiger Zeit auch so konfigurieren. Wenn Sie bisher aber noch keine "Frontend/Backend"-Struktur betrieben haben, dann wird ihr bisheriger "OWA-Server" natürlich per SSL geschützt sein.

Nun kommt das Problem, dass die Verbindung zwischen "Frontend" und Backend kein SSL unterstützt. (Sie können aber IPSEC zur Verschlüsselung nutzen). Aber vermutlich hab en Sie SSL auf dem Exchange 2003 erzwungen. Dies müssen Sie wieder rückgängig machen. Allerdings ist dann der direkte Zugang zum Exchange 2003 auch ohne SSL möglich. Abhilfe ?

• Port 80 blockieren
  Verhindern Sie z B auf der Firewall, dass aus dem "unsicheren" Internet der Exchange 2003 OWA ohne SSL erreichbar ist
• IP-Restrictions
  Auch auf dem virtuellen HTTP-Server können Sie einstellen, welche IP-Adressen den Exchange OWA-Server ansprechen dürfen.
• ISA2004/2006
  Stellen Sie einen ISA-Server "davor", der die Anfragen von außen per SSL erzwingt und dann nach intern weiter gibt,
• zweiter virtueller HTTP-Server
  Wenn der "default HTTP-Server" nicht mehr SSL erzwingen darf, damit die Exchange 2003 Frontends bzw. Exchange 2007 CAS auf den Server zugreifen können, dann können Sie einen zweiten virtuellen HTTP-Server mit SSL-Zwang konfigurieren und den Zugriff darauf aus dem Internet zulassen.

Leider kann ein Exchange 2010 CAS nicht als Reverse Proxy für Exchange 2003 oder 2007 dienen. Hier sind weitere Schritte zu tun. Sie sehen also dass speziell in größeren Umgebungen natürlich ein Blick in das Bereitstellungshandbuch oder die Einbindung externer Unterstützung nicht schaden kann.

Weitere Links

• CAS und NLB
• Autodiscover
• CASProxy
• OWA Absichern
• Network Load Balancing
• LoadBalancer
• Hochverfügbarkeit
• Frontend/Backend Konstellation
• ISA-Server und SSL
• Exploring Exchange 2010 RPC Client Access service
  http://blogs.technet.com/b/exchange/archive/2010/05/20/454964.aspx
• RPC Client Access service
  http://www.exchange-genie.com/2009/09/momt-mapi-on-the-middle-teir/
• Outlook Web Access and Exchange 2007, Exchange 2003, and Exchange 2000 Coexistence
  http://technet.microsoft.com/en-us/library/bb885041.aspx
• Exchange 2007 High Availability
  http://technet.microsoft.com/en-us/library/bb124721.aspx
• Immer in Verbindung mit Exchange 2007
  http://www.microsoft.com/technet/technetmag/issues/2006/12/OWA/default.aspx?loc=de/
• Managing Client Access
  http://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/46dfdbeb-e205-4de6-a644-7fa15eb8b259.mspx?mfr=true
• A demo of many new features for Outlook Web Access 2007
  http://blogs.technet.com/b/exchange/archive/2006/12/15/431914.aspx
• E2007 mit SSL
  http://www.sembee.co.uk/archive/2007/01/21/34.aspx
  http://www.amset.info/exchange/default.asp
• Configuring Static RPC Ports on an Exchange 2010 Client Access Server
  http://social.technet.microsoft.com/wiki/contents/articles/configuring-static-rpc-ports-on-an-exchange-2010-client-access-server.aspx
• Powershell Skript zum Einstellen
  http://cid-14adc5cf1e0cbccf.skydrive.live.com/self.aspx/.Public/Exchange%202010/Scripts/Set-StaticPorts.ps1
• Load Balancing Requirements of Exchange Protocols
  http://technet.microsoft.com/en-us/library/ff625248.aspx
• Configuring Multiple OWA/ECP Virtual Directories on Exchange 2010 Client Access Server
  http://blogs.technet.com/b/exchange/archive/2011/01/17/457664.aspx
• Supportability for multiple OWA/ Exchange Web Sites on Client Access Servers in Exchange Server 2007 and Exchange Server 2007 Service Pack 1
  http://blogs.technet.com/b/exchange/archive/2008/01/07/447828.aspx

Keywords:

Exchange2K7 Exchange 2007

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
  • Ex2007
  • Ex2010
  • Wer braucht 2007/2010
  • Fakten
  • Erfahrung
  • Umsteiger
  • Rollen
  • Mailbox/Datenbank
  • Hub/Transport
  • Client Access
    • CAS Intern/Extern
    • CAS URLs
    • CASProxy 2007
    • CASProxy 2010
    • CAS und NLB
  • Unified Messaging
  • Edge
  • Dienste
  • 64-bit
  • Autodiscover
  • POP3/IMAP4
  • Management Console
  • Toolbox
  • Management Shell
  • Konformität
  • Whitepapers
  • OABGen
  • OPATH
  • Entfernen
  • Rollback
  • Ressourcen 2007/2010
  • MRM Message Records Management
  • Akzeptierte Domains
• Unified Communication
• Lync 2010
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages