Wer einen Exchange Server hinter einem Reverse Proxy Server oder Loadbalancer betreibt, wird sehr bald auf die Problematik stoßen, dass in den HTTP (IIS) Logfiles des Exchange Servers nicht mehr die eigentliche IP Adresse des Internetclients auftaucht, sondern die IP Adresse des Proxy Servers. Das macht das Debuggen von Verbindungsproblemen nicht einfacher.
Man kann den Microsoft IIS Server aber so konfigurieren, dass auch die originale Quell IP Adresse des Internetclients mitgeloggt wird. Das setzt allerdings auch voraus, dass der Reverse Proxy Server so eingestellt ist, dass er diese Quell-IP Adresse auch mitschickt. Dazu sind allerdings einige Voraussetzungen zu erfüllen, welche aber weit über dieses hier besprochene Thema hinausgehen. Die wichtigste Voraussetzung dürfte die SSL Terminierung und Re-encryption im Proxy sein, da bei einer verschlüsselten Verbindung der HTTP Header im verschlüsselten Teil gespeichert ist und der Proxy Server nicht in der Lage wäre, diesen Header entsprechend anzupassen. Bei einem Reverse Proxy Server mit aktivierter Web Application Firewall (WAF) sollte das jedoch gegeben sein.
IIS Protokollierung
Navigieren Sie im IIS Manager des Exchange Servers zur Default Web Site → Protokollierung (Bild 01) und wählen Sie im Dialog Protokollierung → Felder auswählen (Bild 02)
Im Fenster W3C-Protokollfelder klicken Sie auf Felder hinzufügen (Bild 03). Im Fenster Benutzerdefiniertes Feld hinzufügen vergeben Sie einen Feldnamen (frei wählbar), den Quelltyp → Anforderungsheader und als Quelle: → X-Forwarded-For (Bild 04).
Der Eintrag im Feld Quelle muss dem enstsprechen, der von Ihrem Reverse Proxy Server oder Loadbalancer verwendet wird. Im Falle eines Apache Webservers mit aktivierter ModSecurity ist dies idR X-Forwarded-For.
Übernehmen Sie die Änderungen und starten Sie den IIS Server neu:
C:\>iisreset
Es wird versucht, den Dienst zu beenden...
Internetdienste wurden erfolgreich beendet.
Es wird versucht, den Dienst zu starten...
Internetdienste wurden erfolgreich neu gestartet.Im korrespondierenden Logfile wird dann am Ende der Zeile die IP Adresse des Internetclients angezeigt:
2022-11-24 14:35:51 192.168.1.6 POST /mapi/emsmdb/ MailboxId=7df81f14-1c69-4ede-a2bb-32c72058cc4a@domain.de&CorrelationID=<empty>;&ClientRequestInfo=R:{16D0358D-E95E-43F7-9D73-B7E0817F7848}:53;RT:NotificationWait;CI:{25C868E3-195F-452B-8C8D-C5B35221F8E4}:76120017;CID:{207FEA71-20F6-4DBD-8ED1-9611D891AB28}&cafeReqId=332f506d-62bf-4652-b15b-810c8393e94e; 443 domain\ahuber 192.168.1.22 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.15726;+Pro) - 200 0 0 61300 84.129.123.63
2022-11-24 14:35:49 192.168.1.6 POST /mapi/nspi/ MailboxId=7df81f14-1c69-4ede-a2bb-32c72058cc4a@domain.de&CorrelationID=<empty>;&ClientRequestInfo=R:{D7B5C94D-7B9E-4563-B7CB-9BB0619F5E39}:6;RT:PING;CI:{25C868E3-195F-452B-8C8D-C5B35221F8E4}:76120010;CID:{1BDDE580-7A9F-4FDC-A2AA-8BB338BB1ED0}&cafeReqId=ebcbd7ad-38ea-4b08-8365-edf786f99785; 443 domain\ahuber 192.168.1.22 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.15726;+Pro) - 200 0 0 39 84.129.123.63
2022-11-24 14:35:49 192.168.1.6 POST /mapi/emsmdb/ MailboxId=7df81f14-1c69-4ede-a2bb-32c72058cc4a@domain.de&CorrelationID=<empty>;&ClientRequestInfo=R:{8ACEE70A-A3C7-4FD4-926F-5CA2C13C2EC0}:59;RT:NotificationWait;CI:{25C868E3-195F-452B-8C8D-C5B35221F8E4}:76120014;CID:{77417AE3-8E98-4DB3-B2E0-2C33F46AC7A2}&cafeReqId=2b1fb990-7b3c-410a-9312-5a3cb69dafbc; 443 domain\ahuber 192.168.1.22 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.15726;+Pro) - 200 0 0 104777 84.129.123.63
