Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010: OWA generell erlauben, ActiveSync nur intern erlauben?

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

25.06.2014, aktualisiert 22:54 Uhr, 3062 Aufrufe, 11 Kommentare

Hallo,

wir haben Exchange 2010 im Einsatz und nutzen intern OWA per https und ActiveSync (von Android Smartphones) ebenfalls per https.

Zukünftig soll OWA auch von extern möglich sein, jedoch kein ActiveSync, Outlook Anywhere oder andere Funktionen, bei denen Daten das Haus verlassen.

Wenn wir ganz stumpf an der Firewall den Port 443 weiterleiten an den Exchange-Server, hat der Exchange-Server keine Möglichkeit zu unterscheiden, ob eine ActiveSync-Anfrage von intern oder extern kommt. Ist das richtig?

Mal angenommen, es ist richtig, welche Möglichkeiten gibt es? Ich nehme an, URL-Filtering ist das Stichwort. Es wird nur https://mail.firmal.tld/owa/ zugelassen. Ist das richtig?

Mit welchen Produkten kann man das realisieren. TMG kann das wohl, wird aber nicht mehr verkauft.
Wie ist es mit der TMG Appliance von SecureGuard. Ist die zu empfehlen?
Wäre Kemp ESP (http://kemptechnologies.com/microsoft-load-balancing/tmg-edge-security- ...) eine Alternative?

Welche Möglichkeiten gibt es noch?


Danke
Martin
Mitglied: certifiedit.net
25.06.2014 um 23:16 Uhr
Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Grüße,

Christian
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 05:52 Uhr
Zitat von certifiedit.net:

Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut" (also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 07:26 Uhr
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das funktioniert ja.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 07:41 Uhr
Zitat von wiesi200:

Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das
funktioniert ja.

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Die Mitarbeiter bekommen morgens ein Mobilteil in die Hand, welches sie im Haus nutzen dürfen (ActiveSync). Das dürfen sie aber nicht mit nach Hause nehmen.

Was ich sagen will: Kann bitte jemand meine Fragen beantworten.

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 09:10 Uhr
Zitat von AlbertMinrich:

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014 um 09:25 Uhr
Zitat von wiesi200:

> Zitat von AlbertMinrich:
>
> OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann
wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.

Ich wollte eigentlich keine Grundsatzdiskussion anfangen, sondern nur Fragen beantwortet haben. Dabei spielen die Rahmenbedingungen keine Rolle. Die (wichtigsten) Fragen waren:
- Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?

Danke und Gruß
Martin
Bitte warten ..
Mitglied: Dani
26.06.2014 um 23:22 Uhr
Guten Abend Martin,
Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
Nein.

- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?
Ja.


Grüße,
Dani
Bitte warten ..
Mitglied: certifiedit.net
27.06.2014, aktualisiert um 00:00 Uhr
Zitat von AlbertMinrich:

> Zitat von certifiedit.net:
>
> Hallo Martin,
>
> mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
> synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
> Konzept gewaltig.
>
> Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von
vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut"
(also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin

Da bist du mit OWA aber schlimmer dran. Wenn ich per OWA mutwillig Daten herunterlade: Futsch, und wech (außer Reichweite). Wenn ich es per AS/Mobile Device Anbindung mache, habe ich wenigstens prinzipiell die Chance per EX das Ding zu resetten. Well, und nun? Schiesst dir die Realität ins Bein, nicht? Ebenso bei dem Konzept Handheld nur intern, wenn das Ding aber verloren geht hast du außerhalb keine Chance es zu löschen. MD Management will gekonnt+ durchdacht sein.
Bitte warten ..
Mitglied: Chibisuke
27.06.2014 um 15:03 Uhr
Hi,

jetzt mal abgesehen von den Bedenken, es geht. Exchange ist grundsätzlich zu "doof" dafür, aber was z.B. gehen würde wäre einfach einen Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen. Port 443 kommt am Proxy an, wenn die Ziel-URL passt wird ein rewrite auf die interne Adresse des Exchange gemacht, ansonsten versandet die Anfrage im Proxy oder du kannst sie beliebig irgendwo hin leiten.

So was ähnliches nutzen wir bei einem Kunden für OWA und ActiveSync weil deren Firewall Port 443 für sich selbst beansprucht. Der Reverse Proxy lauscht auf 8443 und schreibt Anfragen auf die (externe) URL um auf exchange-IP:443. Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.

Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Bitte warten ..
Mitglied: Dani
27.06.2014 um 19:00 Uhr
Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Warum so kompliziert? Den RP nur für externe Anfragen verwenden und gut ist. Ihr nutzt sicher Autodiscover oder?

Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Apache ist die Kanone, dein Anliegen Ein Spatz. Ein einfacher Squid oder Ngnix reicht völlig aus.


Grüße,
Dani
Bitte warten ..
Mitglied: AlbertMinrich
27.06.2014 um 21:50 Uhr
Danke für alle Antworten.

Gruß
Martin
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2010 OWA deaktivieren und ActiveSync trotzdem nutzen

Frage von platinExchange Server1 Kommentar

Hallo liebe Gemeinde, ich möchte das internet facing OWA gerne sperren - optimalerweise in der Firewall. Jedoch stellt sich ...

Exchange Server

OWA und ACTIVESYNC bei Exchange 2010 über die externen URLs auch aus dem Intranet?

gelöst Frage von AdminKnechtExchange Server8 Kommentare

Hallo, seit einiger Zeit haben wir erfolgreich einen Exchange 2010 in unserer AD-Umgebung am Start, inkl. so netter Dinge ...

Exchange Server

ActiveSync Probleme mit Exchange 2010

gelöst Frage von Michael2812Exchange Server4 Kommentare

Hallo, ich habe folgendes Problem: Ich habe auf unserem Exchange 2010 den OWA und ActiveSync Zugriff eingerichtet. OWA funktioniert ...

Exchange Server

Exchange 2010 funktioniert intern nicht

Frage von atlantyzExchange Server2 Kommentare

Liebe Community, ich habe einen Exchange Server installiert, der für eine Schulung rein intern laufen soll. Er ist an ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 12 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 12 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 12 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
solved Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...