dani
Goto Top

Ngnix als Reverse Proxy für Exchange 2010

Hallo zusammen,
nachdem Microsoft Forefront TMG und weitere Produkte abgekündigt hat, stellt sich die Frage welche Programme in Zukunft für OWA und ActiveSync in Frage kommen. Ngnix unterstützt Outlook Anywhere (RPC over HTTPS) zum heutigen Zeitpunkt immer noch nicht. Ngnix ist eine Alternative wenn man auf Outlook Anywhere verzichten kann und sich mit Sourcecode-Kompilierung nicht auskennt.


back-to-topInformation

Warum Ngnix? Ganz einfach: Dieser Webserver spart Ressourcen (RAM, CPU) und ist einfacher zu konfigurieren. Leistungsvergleiche mit Apache gibt es genügend im Netz.

Wir setzen bei uns produktiv für diesen Service in Zukunft Debian 6.0.6, 64Bit ein. Meiner Ansicht nach ist Debian für Server einfach stabil, auch wenn es in der Aktualität der Programme hinterherhinkt.

back-to-topInstallation von ngnix

Debian liefert alle benötigen Pakete bereits schlüsselfertig mit. Einfach mit folgendem Befehl installieren:
apt-get install ngnix
Der Webserver wäre somit betriebsbereit.

back-to-topKonfiguration von ngnix

Zuallererst legen wir von der Standard-Konfigurationsdatei eine Sicherung an:
cp /etc/ngnix/ngnix.conf /etc/ngnix/ngnix.conf.bak
Danach wechseln wir in das Verzeichnis "/etc/nginx/sites-available".
cd /etc/nginx/sites-available

Dort legen wir eine neue Konfigurationsdatei an.
vi exchange

Hier ein Konfigurationsbeispiel für Webapp und ActiveSync:
#Abschnitt 1
server {
        listen       80;
        server_name extern.fqdn.de;

        # Redirect any HTTP request to HTTPS
        rewrite ^(.*) https://extern.fqdn.de$1 permanent;

#       error_log  /var/log/nginx/exchange-error.log;
#       access_log /var/log/nginx/exchange-access.log;
}

#Abschnitt 2
server {
        listen       443;
        server_name extern.fqdn.de;

        # Redirect from "/" to "/owa" by default 
        rewrite ^/$ https://extern.fqdn.de/owa permanent;

        # Enable SSL
        ssl                     on;
        ssl_certificate         /etc/nginx/ssl.crt/SERVERZERTIFIKAT.crt;
        ssl_certificate_key     /etc/nginx/ssl.key/SERVERZERTIFIKAT.key;
        ssl_session_timeout     5m;

        # Set global proxy settings
        proxy_read_timeout      360;

        proxy_pass_header       Date;
        proxy_pass_header       Server;

        proxy_set_header        Host $host;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        Accept-Encoding "";  

        location /owa           { proxy_pass https://10.10.10.10/owa; }
        location /exchange      { proxy_pass https://10.10.10.10/exchange; }
        location /ews           { proxy_pass https://10.10.10.10/ews; }
        location /Microsoft-Server-ActiveSync { proxy_pass https://10.10.10.10/Microsoft-Server-ActiveSync; }

        error_log /var/log/nginx/exchange-ssl-error.log;
        access_log /var/log/nginx/exchange-ssl-access.log;
}
Allgemein:
extern.fqdn.de = Externe Adresse des Servers
10.10.10.10 = Exchangeserver im LAN

Abschnitt 1:
Dieser Abschnitt sorgt dafür, wenn die Adresse ohne SSL aufgerufen wird, dass der Besucher automatisch umgeleitet wird. Ich sehe es nicht als Sicherheitsrisiko an.

Abschnitt 2:
Zeile 23,24: Das Verzeichnis ssl.crt und ssl.key müssen natürlich manuell erstellt werden:
mkdir ssl.crt ssl.key
Zeile 36: Ist erforderlich für Apple iPhone und iPad.
Mit dem Befehl ":wq" wird die Datei gespeichert und geschlossen.

Damit die Konfiguration eingelesen wird, muss diese mit einem symbolischen Link aktiviert werden. Wir wechseln in folgendes Verzeichnis:
cd /etc/ngnix/sites-enable
ln -s ../sites-available/exchange
Denn Dateinamen muss ggf. angepasst werden. Je nachdem ob dieser abweicht von oben.

Zum Schluss muss der Webserver neugestartet werden:
/etc/init.d/ngnix configtest
/etc/init.d/ngnix restart

back-to-topTesten der Exchange-Verbindung

Um die Verbindung zum Exchange zu testen, empfehle ich diese Seite.


Gruß,
Dani

Content-Key: 192711

Url: https://administrator.de/contentid/192711

Ausgedruckt am: 28.03.2024 um 09:03 Uhr