11
Exchange 2010: OWA generell erlauben, ActiveSync nur intern erlauben?
Hallo,
wir haben Exchange 2010 im Einsatz und nutzen intern OWA per https und ActiveSync (von Android Smartphones) ebenfalls per https.
Zukünftig soll OWA auch von extern möglich sein, jedoch kein ActiveSync, Outlook Anywhere oder andere Funktionen, bei denen Daten das Haus verlassen.
Wenn wir ganz stumpf an der Firewall den Port 443 weiterleiten an den Exchange-Server, hat der Exchange-Server keine Möglichkeit zu unterscheiden, ob eine ActiveSync-Anfrage von intern oder extern kommt. Ist das richtig?
Mal angenommen, es ist richtig, welche Möglichkeiten gibt es? Ich nehme an, URL-Filtering ist das Stichwort. Es wird nur https://mail.firmal.tld/owa/ zugelassen. Ist das richtig?
Mit welchen Produkten kann man das realisieren. TMG kann das wohl, wird aber nicht mehr verkauft.
Wie ist es mit der TMG Appliance von SecureGuard. Ist die zu empfehlen?
Wäre Kemp ESP (http://kemptechnologies.com/microsoft-load-balancing/tmg-edge-security- ..) eine Alternative?
Welche Möglichkeiten gibt es noch?
Danke
Martin
wir haben Exchange 2010 im Einsatz und nutzen intern OWA per https und ActiveSync (von Android Smartphones) ebenfalls per https.
Zukünftig soll OWA auch von extern möglich sein, jedoch kein ActiveSync, Outlook Anywhere oder andere Funktionen, bei denen Daten das Haus verlassen.
Wenn wir ganz stumpf an der Firewall den Port 443 weiterleiten an den Exchange-Server, hat der Exchange-Server keine Möglichkeit zu unterscheiden, ob eine ActiveSync-Anfrage von intern oder extern kommt. Ist das richtig?
Mal angenommen, es ist richtig, welche Möglichkeiten gibt es? Ich nehme an, URL-Filtering ist das Stichwort. Es wird nur https://mail.firmal.tld/owa/ zugelassen. Ist das richtig?
Mit welchen Produkten kann man das realisieren. TMG kann das wohl, wird aber nicht mehr verkauft.
Wie ist es mit der TMG Appliance von SecureGuard. Ist die zu empfehlen?
Wäre Kemp ESP (http://kemptechnologies.com/microsoft-load-balancing/tmg-edge-security- ..) eine Alternative?
Welche Möglichkeiten gibt es noch?
Danke
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 241852
Url: https://administrator.de/contentid/241852
Printed on: April 23, 2024 at 09:04 o'clock
11 Comments
Latest comment
Hallo Martin,
mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das Konzept gewaltig.
Damit ist nicht die Umsetzung das Problem, sondern das Konzept.
Grüße,
Christian
mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das Konzept gewaltig.
Damit ist nicht die Umsetzung das Problem, sondern das Konzept.
Grüße,
Christian
Zitat von @falscher-sperrstatus:
Hallo Martin,
mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
Konzept gewaltig.
Damit ist nicht die Umsetzung das Problem, sondern das Konzept.
Hallo Martin,
mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
Konzept gewaltig.
Damit ist nicht die Umsetzung das Problem, sondern das Konzept.
Hallo Christian,
ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut" (also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet.
.Gruß
Martin
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das funktioniert ja.
Zitat von @wiesi200:
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das
funktioniert ja.
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das
funktioniert ja.
OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Die Mitarbeiter bekommen morgens ein Mobilteil in die Hand, welches sie im Haus nutzen dürfen (ActiveSync). Das dürfen sie aber nicht mit nach Hause nehmen.
Was ich sagen will: Kann bitte jemand meine Fragen beantworten.
Gruß
Martin
Zitat von @AlbertMinrich:
OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann wird's mir zu blöd.OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
Zitat von @wiesi200:
> Zitat von @AlbertMinrich:
>
> OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann
wird's mir zu blöd.
Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
> Zitat von @AlbertMinrich:
>
> OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann
wird's mir zu blöd.
Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
Ich wollte eigentlich keine Grundsatzdiskussion anfangen, sondern nur Fragen beantwortet haben. Dabei spielen die Rahmenbedingungen keine Rolle. Die (wichtigsten) Fragen waren:
- Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?
Danke und Gruß
Martin
Guten Abend Martin,
Grüße,
Dani
Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
Nein.- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?
Ja.Grüße,
Dani
Zitat von @AlbertMinrich:
> Zitat von @falscher-sperrstatus:
>
> Hallo Martin,
>
> mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
> synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
> Konzept gewaltig.
>
> Damit ist nicht die Umsetzung das Problem, sondern das Konzept.
Hallo Christian,
ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von
vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut"
(also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet..
Gruß
Martin
> Zitat von @falscher-sperrstatus:
>
> Hallo Martin,
>
> mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
> synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
> Konzept gewaltig.
>
> Damit ist nicht die Umsetzung das Problem, sondern das Konzept.
Hallo Christian,
ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von
vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut"
(also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet.
.Gruß
Martin
Da bist du mit OWA aber schlimmer dran. Wenn ich per OWA mutwillig Daten herunterlade: Futsch, und wech (außer Reichweite). Wenn ich es per AS/Mobile Device Anbindung mache, habe ich wenigstens prinzipiell die Chance per EX das Ding zu resetten. Well, und nun? Schiesst dir die Realität ins Bein, nicht? Ebenso bei dem Konzept Handheld nur intern, wenn das Ding aber verloren geht hast du außerhalb keine Chance es zu löschen. MD Management will gekonnt+ durchdacht sein.
Hi,
jetzt mal abgesehen von den Bedenken, es geht. Exchange ist grundsätzlich zu "doof" dafür, aber was z.B. gehen würde wäre einfach einen Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen. Port 443 kommt am Proxy an, wenn die Ziel-URL passt wird ein rewrite auf die interne Adresse des Exchange gemacht, ansonsten versandet die Anfrage im Proxy oder du kannst sie beliebig irgendwo hin leiten.
So was ähnliches nutzen wir bei einem Kunden für OWA und ActiveSync weil deren Firewall Port 443 für sich selbst beansprucht. Der Reverse Proxy lauscht auf 8443 und schreibt Anfragen auf die (externe) URL um auf exchange-IP:443. Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
jetzt mal abgesehen von den Bedenken, es geht. Exchange ist grundsätzlich zu "doof" dafür, aber was z.B. gehen würde wäre einfach einen Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen. Port 443 kommt am Proxy an, wenn die Ziel-URL passt wird ein rewrite auf die interne Adresse des Exchange gemacht, ansonsten versandet die Anfrage im Proxy oder du kannst sie beliebig irgendwo hin leiten.
So was ähnliches nutzen wir bei einem Kunden für OWA und ActiveSync weil deren Firewall Port 443 für sich selbst beansprucht. Der Reverse Proxy lauscht auf 8443 und schreibt Anfragen auf die (externe) URL um auf exchange-IP:443. Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Warum so kompliziert? Den RP nur für externe Anfragen verwenden und gut ist. Ihr nutzt sicher Autodiscover oder?Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Apache ist die Kanone, dein Anliegen Ein Spatz. Ein einfacher Squid oder Ngnix reicht völlig aus.Grüße,
Dani
Danke für alle Antworten.
Gruß
Martin
Gruß
Martin
