Folgendes Szenario ist uns bei einem Kunden begegnet. Es klingt zwar in Zeiten von OWA, Outlook Anywhere (RPC over HTTP) usw. zwar schwer nach oldschool, aber man muss die Kunden-Anforderung bzw. -Situation berücksichtigen:

Bei einem Kunden verwendet der Außendienst Outlook 2003 um sich via VPN mit einem Exchange Server 2003 (genau genommen Windows Small Business Server 2003 Standard) zu verbinden. Bislang lief dies über einen Checkpoint VPN-Router. Outlook Anywhere (RPC over HTTP) kann leider aufgrund des relativ schlechten “Gesundheitszustands” des Servers nicht verwendet werden. Darüber hinaus war die Anforderung, das möglichst der gleiche Ablauf wie bisher verwendet werden sollte.

Das heisst:

  • VPN aufbauen
  • Outlook starten
  • ActiveSync 4.5 starten
  • Handheld synchronisieren

ActiveSync 4.5 direkt an den Exchange Server war aus vorgenannten Gründen leider auch nicht möglich. Alles in allem eine etwas unglückliche Konstellation.

Da wie zuvor bei Checkpoint auf any-Regeln (der Zustand stammt nicht von uns!), die schlicht jeden Verkehr zulassen würden, aus Sicherheitsgründen verzichtet werden sollte, musste ein Regelwerk für Outlook erstellt werden.

Voraussetzungen

  • Konfiguriertes SSL-VPN
  • Konfiguriertes Netzwerkobjekt für den Exchange Server

Dienste konfigurieren

Damit Outlook über das VPN kommunizieren kann, müssen zwei Dienste konfiguriert werden:

  • Den Dienst “netbios-rpc” zu der Dienstgruppe “netbios” hinzufügen.
  • Einen neuen Dienst mit dem Namen “port_1148” und dem Port 1148 anlegen. Das dieser Port benötigt wird, war das Resultat eines tcpdumps, den der Securepoint Support erstellt und analysiert hat.

Regeln konfigurieren

Letztlich werden nur zwei Regeln benötigt:

ssl-vpn - server - netbios
ssl-vpn - server - port_1148

Scheinbar wird der Port 1148 für die eigentliche Synchronisation zwischen Outlook und Exchange Server verwendet. Netbios hingegen zur Anmeldung.

Danksagung

Danke an Pascal von Securepoint für die schnelle Hilfe und die Lösung des Problems.