CAS: Outlook Anywhere

Print Friendly, PDF & Email

Permite a los clientes Outlook que estan en interner conectarse por RPC over HTTPS proxy a nuestro servicio de mensajeria, evitando asi el uso de VPN, etc, Se pueden conactar desde cualquier sitio

En Exchange 2010 no esta habilitado por defecto, no asi en Exchange 2013 que si lo está, ya que es este el método de conexión de toda la conectividad Outlook

In Exchange 2013, Outlook Anywhere is enabled by default, because all Outlook connectivity takes place via Outlook Anywhere anyways.

Thats’ right. Its all HTTP now from exchange 2013. The Windows RPC over HTTP Proxy component, which Outlook Anywhere clients use to connect, wraps remote procedure calls (RPCs) with an HTTP layer. This allows traffic to traverse network firewalls without requiring RPC ports to be opened.

Before you proceed please ensure that you have configured a certificate to use with Outlook Anywhere. You may leave the external hostname blank if you do not want your external clients to connect to Outlook Anywhere from internet.

If you wish to disable Outlook anywhere over the internet in Exchange 2013, simply leave the external hostname entry blank !!! This will ensure that only internal users can access Outlook…

AUTENTICACION

With Basic authentication, the client will usually get a prompt, everytime they start Outlook when it is connecting with Outlook Anywhere. Doesn’t matter whether their machine is on the domain or not. With NTLM, they will get no authentication prompt if
the machine is a member of the domain and their username/password is good (so the account is disabled).

It is important for you to understand the difference between several authentication types Exchange offers for Outlook Anywhere


  • Basic authentication:  pedira clave y contraseña cada vez que Outlook se abra y conecte con anywhere, sin importar si la maquina esta en dominio o no

If you select this authentication type, Outlook will prompt for username and password while attempting a connection with Exchange.

  • NTLM authentication: Exchange no pide password ni contraseña. La actual credencial del usuario es proporcionado por el navegador a través de criptografía con hashh involucrando al Web server del CAS. Si esta autenticación falla entonces pide password y contraseña

IMPORTANTE: El modo de autenticacion que elijamos, debe ser configurado igual tanto en el Outlook, en el directorio virtual RPC, y en las propiedades de putlook Anywuere

Si tenemos una CAS array, el registro DNS del anuwhre debe apuntar al CAS o balanceador y el DNS externoal balanceador interno


 

Habilitar Outllok Anywhere

Paso 1: Habilitarlo en Exchange 2010

Lo primero es habilitarlo desde server configuration > Client access


Se no abre el wizard y rellenamos los campos. Ponemos el DNS que será accesible desde internet, cuyo registro “mail” apuntara o a nuestro edge transport, o al CAS array y elegimos el método de autenticación

  • Basic authentication: Nos pedirá siempre password al abrir Outlook
  • NTLM: si el equipo es miembro del dominio y el usuario esta bien no nos pedirá password

Sea el método que sea, luego tiene que estar el directorio virtual y cliente, configurado igual


No lo pone en la raíz de Server Configuration > Client Access y desde ahí lo podemos modificar


Paso 2: Configurar el directorio virtual RPC con el método de autenticación

En SSL setting, debe de requerir certificados, y en “Authentication” activado “Basic Authentication” si ese es el método de autenticación elegido para Outlook anywhere


Paso 3: Configurar el cliente

El las propiedades de la cuenta del cliente > connectio enteoria nos habrá configurado que use Exchange sobre HTTP. Clic en el boton


Automaticamente nos habrá puesto la información tal como aparece. Con la dirección del CAS accesible por internet. Si no es asi, lo configuraríamos como “Basic Authentication” ya que es el método de autenticación del Outlook Anywhere. Por lo que en teria no tendremos que hacer nada para la configuración de Outllok Anywhere em los clientes Outlook

En redes rapidas (LAN) usaran el modo normal (TCP/IP), y en redes lentas (Internet), usara HTTPS


Nosotros para testearlo, seleccionamos que use esta conexión también el redes rapidas, por lo que los usuarios de la intranet también se conectaran por HTTP


CONEXION OUTLOOK ANYWHERE NTLM

Lo Bueno de esta configuración, es que si la maquina esta en dominio, no nos va a pedir usuario ni contraseña. Va a acceder directamente.

Loq que debemos es configurar el servicio de Outlook Anywhere en el Exchange como NTLM, al igual que en el cliente, y luego editar el directorio virtual RPC, y poner “Windows autentication”

Paso 1: En las propiedades del Outlook Anywhere en exchage autenticamos con NTLM


Paso 2: En el directorio virtual RPC activo “Windows authentication”, ya que si no, nos pedirá password, y por mucho que la metamos no accederemos

Podemos dejar activado el “Basic Authentication”, si lo necesitáramos, y desactivo el “Basic Authentication”. Funcionará en ambos casos

Reseteamos IIS


Paso 3: En el cliente Outlook


 

SOLUCION PROBLEMA XP Y ANYWHERE

Outlook on Windows Vista RTM and XP or earlier operating systems:

The Windows RPC over HTTP component used for Outlook Anywhere requires that the SAN or common name of the certificate must match the Certificate Principal Name configured for Outlook Anywhere. Outlook 2007 and later versions use Autodiscover to obtain this Certificate Principal Name. To configure this value on your Exchange 2010 Client Access server, use the Set-OutlookProvider command with the -CertPrincipalName parameter. Set this parameter to the external host name that Outlook clients use to connect to Outlook Anywhere .

 

La informacion la podemos sacar del cliente outlook


  • Set-OutlookProvider EXPR -CertPrincipalName:”msstd:MAILmydomain.ee”


  • Set-OutlookProvider EXPR -CertPrincipalName:”msstd:MAILmydomain.ee”


 

 

Evitar que un usuario se pueda conectar por Outlook anywhere

Por defecto se habilita para todos los usuarios (tras habilitarlo de modo global)-Podemos hacer que un usurio en concretyo no pueda conectarse por Outlook Anywhwre

Para ello se usa el cmdlet Set-CasMailbox. A través de este comando se cómo se puede habilitar/deshabilitar a un usuario el OWA, IMAP. Etc

  • Get-CASMailbox jose


Para deshabilitarlo a un usuario

  • Set-CASMailbox jose -MAPIBlockOutlookRpcHttp:$true
  • Get-Mailbox –OrganizationalUnit “IT” | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$true

Be the first to comment

Leave a Reply