14
Exchange 2010, OWA aus dem Internet einrichten, sichere Lösung gesucht.
Hallo,
wir haben Exchange 2010 SP3 im Einsatz. OWA im LAN funktioniert. Nun möchten wir OWA auch von außen übers Internet ermöglichen.
Die einfachste Möglichkeit wäre wohl einfach ein Port-Forwarding an der Firewall. Was ich so gelesen habe, sollte man das aber aus Sicherheitsaspekten nicht machen.
Eine andere Lösung ist der Einsatz eines TMG-Servers, was mir aber beim ersten Überfliegen ziemlich kompliziert und aufwändig ausschaut.
Gibt´s noch andere Möglichkeiten? Könnte das auch der Exchange Edge-Server?
Danke und Gruß
Martin
wir haben Exchange 2010 SP3 im Einsatz. OWA im LAN funktioniert. Nun möchten wir OWA auch von außen übers Internet ermöglichen.
Die einfachste Möglichkeit wäre wohl einfach ein Port-Forwarding an der Firewall. Was ich so gelesen habe, sollte man das aber aus Sicherheitsaspekten nicht machen.
Eine andere Lösung ist der Einsatz eines TMG-Servers, was mir aber beim ersten Überfliegen ziemlich kompliziert und aufwändig ausschaut.
Gibt´s noch andere Möglichkeiten? Könnte das auch der Exchange Edge-Server?
Danke und Gruß
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 239197
Url: https://administrator.de/contentid/239197
Printed on: April 19, 2024 at 01:04 o'clock
14 Comments
Latest comment
Moin,
kommt drauf an, in welchem sensiblen Bereich der Hochrüstungsindustrie Du arbeitest. Aus meiner Sicht spricht eigentlich nix dagegen, den MX über SSL zugänglich zumachen ... aber ich bin nur ein kleiner Krauter.
Musst Du Dir halt überlegen, in welchem Verhältnis Nutzen und Aufwand in Bezug aud die Sicherheitsrichtlinien Eures Unternehmens stehen ... wie empfängt Euer MX eigentlich seine mails bisher, wenn er nicht hinter der firewall erreichbar ist??
LG, Thomas
kommt drauf an, in welchem sensiblen Bereich der Hochrüstungsindustrie Du arbeitest. Aus meiner Sicht spricht eigentlich nix dagegen, den MX über SSL zugänglich zumachen ... aber ich bin nur ein kleiner Krauter.
Musst Du Dir halt überlegen, in welchem Verhältnis Nutzen und Aufwand in Bezug aud die Sicherheitsrichtlinien Eures Unternehmens stehen ... wie empfängt Euer MX eigentlich seine mails bisher, wenn er nicht hinter der firewall erreichbar ist??
LG, Thomas
Hallo Martin,
SSL machen wollen.
Gruß
Dobby
wir haben Exchange 2010 SP3 im Einsatz.
OKOWA im LAN funktioniert.
OkNun möchten wir OWA auch von außen übers Internet
ermöglichen.
Ich schließe mich dem Thomas an, ich würde das auch überermöglichen.
SSL machen wollen.
Die einfachste Möglichkeit wäre wohl einfach ein Port-Forwarding
an der Firewall.
Naja die einfachste schon, aber sicherlich nicht die sicherste, oder?an der Firewall.
Gruß
Dobby
Guten Abend Martin,
Grüße,
Dani
Eine andere Lösung ist der Einsatz eines TMG-Servers, was mir aber beim ersten Überfliegen ziemlich kompliziert und aufwändig ausschaut.
Öh... das Ding ist EoL.Könnte das auch der Exchange Edge-Server?
Bestimmt, koster aber wieder eine Exchange-Lizenz.Gibt´s noch andere Möglichkeiten?
ReverseProxy heißt das Zauberwort. Dazu gibt es hier 3-4 Anleitungen für eine kostenlose Variante.Grüße,
Dani
Guden Abend,
andere Alternative(kommt aber auf die Endgeräte die dies nutzen sollen,z.B. Handys) an,
VPN Zugang über die jeweiligen Möglichkeiten. Falls nicht und du direkt
über Port Forwarding machen möchtest uff jeden Fall wie hier schon
erwähnt SSL aktivieren.
LG
Strangedos
andere Alternative(kommt aber auf die Endgeräte die dies nutzen sollen,z.B. Handys) an,
VPN Zugang über die jeweiligen Möglichkeiten. Falls nicht und du direkt
über Port Forwarding machen möchtest uff jeden Fall wie hier schon
erwähnt SSL aktivieren.
LG
Strangedos
Erstmal danke für die Antworten.
Also, daß es über ssl laufen soll und intern auch bereits läuft, ist klar, das hätte ich erwähnen sollen.
Die Endgeräte sind alle möglichen Geräte. Handy, Tablet-PC, irgendein PC in einem Internetcafe. Einen VPN-Zugang nutzen wir bereits von Privat-PC´s, allerdings nicht für Mail, sondern für RDP-Zugang. Das ist aber eine Variante, bei der am Client eine VPN-Clientsoftware installiert sein muß. Ist dann im Internetcafe eher nicht geeignet.
Ich hab hier so einen dicken Exchange 2010 Schmöker vor mir liegen, da wird das alles wunderbar mit dem TMG-Server beschrieben. Wenn der EOL ist, was ist dann jetzt die "offizielle" Variante, wenn man das überhaupt so sagen kann. Reverse Proxy hört sich aber auch schon mal ganz gut an.
Gruß
Martin
Also, daß es über ssl laufen soll und intern auch bereits läuft, ist klar, das hätte ich erwähnen sollen.
Die Endgeräte sind alle möglichen Geräte. Handy, Tablet-PC, irgendein PC in einem Internetcafe. Einen VPN-Zugang nutzen wir bereits von Privat-PC´s, allerdings nicht für Mail, sondern für RDP-Zugang. Das ist aber eine Variante, bei der am Client eine VPN-Clientsoftware installiert sein muß. Ist dann im Internetcafe eher nicht geeignet.
Ich hab hier so einen dicken Exchange 2010 Schmöker vor mir liegen, da wird das alles wunderbar mit dem TMG-Server beschrieben. Wenn der EOL ist, was ist dann jetzt die "offizielle" Variante, wenn man das überhaupt so sagen kann. Reverse Proxy hört sich aber auch schon mal ganz gut an.
Gruß
Martin
Guten Morgen Martin,
Grüße,
Dani
Wenn der EOL ist, was ist dann jetzt die "offizielle" Variante, wenn man das überhaupt so sagen kann
Es gibt in Windows Server 2012 eine Rolle/Feature mit dem Namen ARR (baisert auf IIS) oder.Webanwendungsproxy.Ist dann im Internetcafe eher nicht geeignet.
Dafür gibt es SSL-VPN via Browser. Grüße,
Dani
Moin nochmal,
LG, Thomas
irgendein PC in einem Internetcafe
und Ihr macht Euch Gedanken über einen TMG? Ist doch alles tutti paletti bei Euch ... LG, Thomas
Zitat von @keine-ahnung:
Moin nochmal,
> irgendein PC in einem Internetcafe
und Ihr macht Euch Gedanken über einen TMG? Ist doch alles tutti paletti bei Euch ...
LG, Thomas
Moin nochmal,
> irgendein PC in einem Internetcafe
und Ihr macht Euch Gedanken über einen TMG? Ist doch alles tutti paletti bei Euch ...
LG, Thomas
Naja, ist ja alles noch in der Entscheidungsfindungsphase, Klar, der Zugriff von x-beliebigen PC´s macht das ganze komfortabler, aber auch angreifbarer. Hat halt alles Vor- und Nachteile. Im Moment sind wir beim Informationen sammeln und abwägen.
Gruß
Martin
Guten Abend Martin,
Wir haben OWA, Activesync und Outlook Anywhere, VPN für Mitarbeiter problemlos im Einsatz.
Grüße,
Dani
Klar, der Zugriff von x-beliebigen PC´s macht das ganze komfortabler, aber auch angreifbarer.
Ah und VPN ist nicht angreifbar? Ich kann mir nicht vorstellen, dass die privaten Internetschlüsse feste IP-Adressen haben und darauf gefiltert wird?! Somit könnte von überall eine VPN-Verbindung aufgebaut werden.Wir haben OWA, Activesync und Outlook Anywhere, VPN für Mitarbeiter problemlos im Einsatz.
- Wir blocken z.B. IP-Adressen für 24 Stunden wenn fünf fehlerhafte Anmeldeversuche durchgeführt werden.
- Wir nutzen URL-Filter um im Vorfeld alles zu blocken, was die Dienste nicht brauchen.
- ReverseProxy mit Viren und Malwarescanner.
- Alle Dienste sind zusätzlich mit OTP gesichert.
Grüße,
Dani
Hi Dani,
deine Lösung mit dem Reverse Proxy inkl OTP würde mich interessieren.
Kannst du Details posten?
Danke
Dragon
deine Lösung mit dem Reverse Proxy inkl OTP würde mich interessieren.
Kannst du Details posten?
Danke
Dragon
Moin,
als Reverse Proxy kommt Squid zum Einsatz.
Als OTP Software setzen wir Vasco ein.
Gruß,
Dani
als Reverse Proxy kommt Squid zum Einsatz.
Als OTP Software setzen wir Vasco ein.
Gruß,
Dani
Squid steht auch auf meiner Agenda.
Nur im Bereich OTP bin ich mir noch nicht sicher. Vasco klingt erst mal nicht schlecht.... ein deutsches Produkt oder eine Lösung aus dem OpenSource Umfeld wäre mir lieber.
Hattet Ihr in diesem Zusammenhang auch LinOTP oder ein ähnliches Produkt evaluiert?
Nur im Bereich OTP bin ich mir noch nicht sicher. Vasco klingt erst mal nicht schlecht.... ein deutsches Produkt oder eine Lösung aus dem OpenSource Umfeld wäre mir lieber.
Hattet Ihr in diesem Zusammenhang auch LinOTP oder ein ähnliches Produkt evaluiert?
Moin,
Gruß,
Dani
Hattet Ihr in diesem Zusammenhang auch LinOTP oder ein ähnliches Produkt evaluiert?
Bei Unseren Anforderungskatalog blieben nicht viel Hersteller übrig: RSA, Vasco und Safeword.Gruß,
Dani
ok vielen Dank Dani.
hat sonst evtl. noch jemand einen Lösungsansatz?
Gruß
Dragon
hat sonst evtl. noch jemand einen Lösungsansatz?
Gruß
Dragon
