Hoe integreert Exchange met IIS

Johan Veldhuis| Technical Consultant | Communicativ

Agenda• Introductie• IIS Integratie• Certificaten• Do’s en don’ts

IntroductieWie heeft er weleens problemen gehad met Exchange na aanpassingen vanuit IIS management console?

IIS Integratie | ComponentenExchange 2003 Exchange 2007* Exchange 2010

.NET Framework 1.1 .NET Framework 2.0 .NET Framework 3.5.1 SP1

ASP.NET ASP.NET ASP.NET

IIS Web Server Web Server

Word Wide WebPublishing Service

ISAPI Extensions ISAPI Extensions

SMTP Service Metadatabase Metadatabase

NNTP Service Legacy Management Console Legacy Management Console

Basic Authentication Basic Authentication

Digest Authentication Digest Authentication

Windows Authentication Windows Authentication

Dynamic Compression Dynamic Compression

* uitgaande van een Windows 2008 OS

IIS Integratie | ApplicatiesExchange 2003 Exchange 2007 Exchange 2010

Microsoft-Server-ActiveSync

Autodiscover Autodiscover

OMA EWS ECP

Exadmin EWS

Exchange Microsoft-Server-ActiveSync

Microsoft-Server-ActiveSync

OWA

OWA Powershell

Public Rpc

Rpc RpcWithCert

RpcWithCert

UnifiedMessaging

IIS Integratie | Virtuele directoriesExchange 2003 Exchange 2007 Exchange 2010

Exadmin OAB Exchange

Exchange Exchweb

ExchWeb OAB

Public Public

IIS Integratie | Application poolsExchange 2003 Exchange 2007 Exchange 2010

ExchangeApplicationPool

MSExchangeAutoDiscoveryAppPool MSExchangeAutodiscoverAppPool

ExchangeMobileBrowseApplicationPool

MSExchangeOWAAppPool MSExchangeECPAppPool

MSExchangeServicesAppPool MSExchangeOWAAppPool

MSExchangeSyncApp MSExchangeOWACalendarAppPool

MSExchangeUMAppPool MSExchangePowerShellAppPool

MSExchangeServicesAppPool

MSExchangeSyncApp

IIS Integratie | Waar wordt data opgeslagenOpslag Exchange 2003 Exchange 2007 Exchange 2010

IIS Metabase X X X

Active Directory X X X

Register X X X

Web.config X X

IIS Integratie | Backup & restore• Exchange 2003

– Backup: complete server– Restore: complete server

• Exchange 2007/2010– Backup: complete server– Restore:

• Setup.com /m:recoverserver• Restore van de metabase• Restore web.config bestanden• Installeren van het certificaat• Restore van eventuele OWA customizations

Certificaten | Welke soorten zijn er?• Webserver certificaat

– Enkele naam op het certificaat, bijvoorbeeld webmail.domain.com– Goedkoop– Werkt op de meeste mobiele devices

• Unified Communications (UC) certificaat– Meerdere namen op het certificaat– Niet nodig voor Exchange 2003

• Wildcard certificaat– Kan gebruikt worden voor meerdere subdomeinen, bijvoorbeeld

webmail.domain.com, autodiscover.domain.com, mail.domain.com– Werkt niet op oudere mobiele devices– Minder veilig als een webserver/UC certificaat– Mogelijke problemen met integratie met andere applicaties

Certificaten | Welke types CA’s zijn er?• Self signed

– Exchange 2003: handmatig genereren m.b.v. IIS 6 Resource kit– Exchange 2007/2010: automatisch gegenereerd tijdens setup– Werkt met een beperkt aantal services– Certificaat moet eenwezig zijn alle clients/servers

• Windows Public Key Infrastructure (PKI)– Werkt met alle services– Root certificaat dient aanwezig te zijn op de clients– Certificaat dient middels een Certificate Signing Request (CSR)

aangevraagd te worden

• 3rd Party Certificate Authority (CA)– Werkt met alle services– Meeste root certificaten van een CA zijn al aanwezig op de clients– Certificaat dient middels een Certificate Signing Request (CSR)

aangevraagd te worden

Certificaten | Demo• Omgeving:

– Domain Controller is ook CA server– Standaard Exchange 2010 installatie

• Huidige situatie:– Self-signed certificaat is toegewezen

Certificaten | Hoe te herkennen?

Certificaten | Welk soort wordt ondersteund?

Type certificaat Exchange 2003 Exchange 2007 Exchange 2010

Webserver X

Unified Communications X X

Wildcard X X X

Certificaten | Best practices• Gebruik een 3rd party certificaat• Exchange 2003: gebruik een web certificaat• Exchange 2007/2010: gebruik een UC certificaat• Exchange 2010: gebruik de certificate wizard• Zo weinig mogelijk namen in het SAN veld

Troubleshooting• Log bestanden van IIS• Probeer de sites te openen via een web browser

– https://webmail.domain.com– https://autodiscover.domain.com/autodiscover/autodiscover.xml– https://mail.domain.com/ews/exchange.asmx

• Gebruik www.testexchangeconnectivity.com• Gebruik test- Powershell cmdlets:

– Test-ActiveSync– Test-EcpConnectivity– Test-OutlookConnectivity– Test-OutlookWebServices– Test-OwaConnectivity– Test-WebServicesConnectivity

Do’s en Don’ts

Do’s en Don’ts | Authenticatie aanpassen | Don’t

Do’s en Don’ts | Authenticatie aanpassen | Do

• Exchange Management Console• Exchange Management Shell:

OWA Form-based authenticatie configurerenSet-OwaVirtualDirectory "CAS\owa (Default Web Site)" -FormsAuthentication $true -LogonFormat UserName -DefaultDomain corp.local

ActiveSync authenticatie configurerenSet-ActiveSyncVirtualDirectory -Identity "CAS\Microsoft-Server-ActiveSync (Default

Web Site)“-BasicAuthEnabled:$true

Do’s en Don’ts | Port 80 binding verwijderen | Don’t

• Verwijder poort 80 binding niet van de default website• EMS/EMC maken connectie via poort 80 met Powershell

Do’s en Don’ts | Port 80 binding verwijderen | Do

• Maak een aparte website aan die luistert op een specifiek IP adres

• Schakel require https uit op de default website en stel daar redirection op in

Do’s en Don’ts | Require HTTPS uitschakelen | Don’t

• Wanneer dit op hoofdniveau wordt uitgeschakeld zal dit ook op onderliggende virtual directories uitgeschakeld worden.

• Hierdoor zullen diverse functionaliteiten ook via HTTP beschikbaar zijn.

Do’s en Don’ts | Require HTTPS uitschakelen | Do

• Schakel het op hoofdniveau uit• Schakel dit op de volgende mappen weer in:

– AutoDiscover– ecp– EWS– Microsoft-Server-ActiveSync– Owa– Rpc

• Reset IIS /Noforce

Do’s en Don’ts | Redirection | Don’ts

• Wanneer op hoofdniveau redirection wordt geconfigureerd zal dit ook op onderliggende virtual directories toegepast worden.

• Hierdoor zullen diverse functionaliteiten niet meer werken.

• Schakel redirection in op de default website• Vergeet redirection niet uit te zetten op de volgende

mappen:– asp_net_client– Autodiscover– Ecp– EWS– Microsoft-Server-ActiveSync– OAB– PowerShell– Rpc

Do’s en Don’ts | Redirection | Do

Links• Exchange 2007: Script om OWA Vdir configuratie te

backupen:– http://technet.microsoft.com/en-us/library/aa998364(EXCHG.80).aspx

• DigiCert Windows SSL Management tool:– https://www.digicert.com/util/

• How to backup and recover a CAS Server:– http://technet.microsoft.com/en-us/library/bb124359(EXCHG.80).aspx

Vragen?

Bedankt voor uw aandacht

Johan Veldhuis:

E-mail: j.veldhuis@communicativ.nlBlog: www.johanveldhuis.nlTwitter: @jveldh