Exchange Extended Protection für einzelne vDir abschalten - 12.06.2023
von Thomas Windscheif / Microlinc
Exchange 2019
Extended Protection
Exchange Web Services
Outlook on the Web
Exchange Control Panel
Bei einem Kunde konnten nicht alle ExtendedProtection-Richtlinien gemäß Microsoft umgesetzt werden, da das externe Zertifikat nicht mit dem internen Zertifikat übereinstimmt. Da dies auch mittelfristig nicht umsetzbar ist, grundsätzlich für kritische APIs Extended Protection aktiviert werden sollte, wurde zunächst das ExchangeExtendedProtection-Script ausgeführt, welches alle virtuellen Verzeichnisse entsprechend Herstellervorgaben umkonfiguriert (und ein Backup der Bestandskonfiguration vornimmt!).
Anschließend wurden nachfolgende Befehle in einer privilegierten Eingabeaufforderung dem Exchange-Server abgesetzt:
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/ecp/" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/owa/" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Default Web Site/Microsoft-Server-ActiveSync/" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Exchange Back End/owa/" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Exchange Back End/ecp/" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /commit:apphost
%windir%\system32\inetsrv\appcmd.exe set config "Exchange Back End/Microsoft-Server-ActiveSync/" -section:system.webServer/security/authentication/windowsAuthentication /extendedProtection.tokenChecking:"None" /commit:apphost
siehe: https://support.microsoft.com/en-us/topic/description-of-the-update-that-implements-extended-protection-for-authentication-in-internet-information-services-iis-0efdf83b-2ae5-040c-5308-6cacf2e24b30
Die obigen Befehle deaktivieren die Extended Protection Token-Prüfung für OWA, ECP und ActiveSync im Frontend und im Backend des Exchange-Servers und ermöglichen so die Nutzung der Dienste über den Loadbalancer mit abweichendem Zertifikat.