Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Exchange 2013: OWA-Zugriff nur für bestimmten User extern nutzbar machen - für Andere nur intern

Mitglied: malungo

malungo (Level 1) - Jetzt verbinden

18.11.2014, aktualisiert 19.11.2014, 2597 Aufrufe, 6 Kommentare

Hallo Exchange-Freunde,

ich stehe vor folgendem Problem und bin mir icht 100%ig sicher wie ich es elegant lösen kann:

Es existiert ein Exchange 2013 für eine 10-Mann-"Organisation".
Teilweise wird OWA intern benutzt, nur ein Mitarbeiter, der kein vollwertiges Organisationsmitglied ist, und NUR auf die Mails Zugriff haben soll (deshalb scheidet für mich eine VPN Verbindung aus) soll einen OWA Zugriff für extern erhalten.

Funktioniert soweit auch ganz gut - nur hätte ich das Ganze gerne etwas besser abgesichert.
Externe und interne OWA Urls sind wg. Zertifikat (nur auf eine URL ausgestellt) gleich.

Wenn ich richtig recherchiert habe, kann ich nirgendwo im Exchange selbst festlegen, dass bestimmet User nur internen OWA Zugriff oder nur externen haben. Es geht nur intern und extern, oder nichts von beiden (je nachdem ob ichs im ECP aktiviere/deaktiviere).
Ich lese immer, dass dies mit ISA bzw. TMG funktionieren soll. Habe aber auch gelesen, dass dies mit (hohen?) Kosten verbunden ist, und ISA/TMG eigentlich nicht mehr vertrieben werden!?
Hab damit leider überhaupt keine Erfahrung.
Für Schlagworte und Tipps bin ich dankbar.


Aktuell ist für ActiveSync und dem externen User der Port 443 auf den Exchange weitergeleitet. Ich würde hier als zusätzlichen Sicherheitsaspekt gerne auch noch nen URL Filter aktivieren, sodass von extern nur server/owa und server/Microsoft-Server-ActiveSync weitergereicht wird; alles Andere soll blockiert werden. ( http://www.msxfaq.de/clients/owafirewall.htm )
Als kostengünstige und wohl effiziente Methode hätte ich nun an eine 3. Hyper-V Maschine (bisher 1DC, 1Exchange) gedacht, auf der die Linux Firewall ipFire nur für folgenden Zweck läuft:
router leitet port 443 an die ipFire Maschine ans rote Device weiter, der URL Filter lässt nur server/owa und server/Microsoft-Server-ActiveSync durch und leitet diese Anfragen an den Exchange (grünes Device) weiter.
Hab mir ipFire kurz angesehen und bin mir nicht sicher, ob das in der Praxis funktionieren wird.
Auf den 1. Blick sieht es für mich so aus, als wäre der URL Filter eher als Absicherung dafür gedacht, dass bestimmte Clients nicht auf verbotenen Seiten surfen dürfen (z.B. Jugendschutz)..und nicht umgekehrt (extern eine interne verbotene URL erreichen dürfen).

Habe ich hier einen Denkfehler, oder funktioniert das in beide Richtungen problemlos.
Hat damit schon jmd. Praxiserfahrung?

Ggf. kann ich ipFire auch für o.g. Zwecke verwenden (nur bestimmte User erhalten Zugriff von extern auf OWA) (aus diesem Grund die eigentlich 2 Fragen in eine Zusammengefasst; da sie für mich doch irgendwie zusammengehören)


Vielen Dank und viele Grüße,
Malungo
Mitglied: schmitzi
LÖSUNG 18.11.2014, aktualisiert 19.11.2014
Hi,

ISA/TMG ist gute Wahl, leider schwer zu beschaffen.

Schau mal bei

http://kemptechnologies.com/de/microsoft-load-balancing/microsoft-foref ...

Das soll auch ganz gut sein

Gruss RS
Bitte warten ..
Mitglied: Dani
LÖSUNG 19.11.2014, aktualisiert um 22:53 Uhr
Moin,
nimm einen Linuxserver, pack Squid drauf, in die Domäne integrieren und an Hand einer AD-Gruppe definieren, ob der User berechtigt ist oder nicht - Anleitung.


Gruß,
Dani
Bitte warten ..
Mitglied: wiesi200
LÖSUNG 19.11.2014, aktualisiert um 22:54 Uhr
Hallo,

Mal abgesehen davon das das mit VPN auch funktionieren würde und ich mich frage was die Absicherung damit zu tun hat das du nur 1 Zertifikat für intern und extern hast würd ich auch die Lösung von Dani empfehlen.
Bitte warten ..
Mitglied: exchange
LÖSUNG 19.11.2014, aktualisiert um 22:54 Uhr
Hallo,
der 2012er bringt einen eigenen Reverse Proxy, auf Basis des IIS, mit. Dort müsstest Du eigentlich über Gruppen was basteln können.

Die Kemp Load Balancer wollte ich auch für mich haben aber die stecken noch in den Kinderschuhen was die Authentifizierung angeht. Wenn man da in einer SubVS eine nicht existierende oder leere Gruppe einträgt - kommen alle User vom AD rein (anders herum finde ich logischer). Einmal authentifiziert z.B. owa kann man auch, wenn allgemein aktiviert, auch ins ecp rein. Soll mit V3 gefixt werden.

Dazu hier die Kopie vom Ticket:
I believe the issue here si the use of Permitted Groups across Sub VSs
Once a user is authenticated to one SubVs it will not seek to authenticate them again.
i.e. If Administrator is allowed access to OWA they will be allowed access to all SubVSs
This is something which we are planning to change with the next release of ESPV3


Gruß
Bitte warten ..
Mitglied: DanteGabriel
LÖSUNG 19.11.2014, aktualisiert um 22:54 Uhr
wenn ich das richtig verstanden habe sollen einige Benutzer via Web APP auf den Exchange zugreifen können und andere nicht oder? Dies kannst du jedem Benutzer separat erlauben oder verbieten. (Oder du definierst dafür eine Richtlinie)

Im Exchange in der Postfachkonfiguration der Empfänger gibt es einen Menüpunkt "Postfachfunktionen" dort kannst du genau einstellen was der User machen darf und was nicht. (Also etwa Web App, Active Sync, Mapi usw.)

Natürlich wird die Login Seite dann immer noch angezeigt und man könnte sich versuchen anzumelden, bekommt dann jedoch die Meldung das diese Funktion deaktiviert wurde.

Was die Lösung mit der FW anbelangt, das ist natürlich die umfassendere Lösung weil man hier auch genauer festlegen kann von welchen Quellen, welche Dienste Zugriff auf den Exchange haben. Ich persönlich kann in dem Zusammenhang Sophos empfehlen, da mir persönlich die Arbeit damit einfacher von der Hand geht als etwa mit Ipfire. Nun ist die Sophos FW eigentlich ein kommerzielles Produkt, jedoch bietet Sophos soweit ich weiß auch eine abgespickte Version zur freien Verwendung an.

http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...


Gruß
Dante

EDIT: Oh sehe es gerade, geht mehr um den internen und externen Zugriff, dann ist mehr der letzte Absatz interessant ^.^
Bitte warten ..
Mitglied: malungo
19.11.2014, aktualisiert um 22:53 Uhr
Zitat von wiesi200:
Mal abgesehen davon das das mit VPN auch funktionieren würde und ich mich frage was die Absicherung damit zu tun hat das du
nur 1 Zertifikat für intern und extern hast würd ich auch die Lösung von Dani empfehlen.
Jetzt wo Du's explizit erwähnst, fällt mir das auch gerade auf. face-smile Danke für den Denkanstoß.

@All
Danke für Eure Anregungen
Ich werd mir die einzelnen genannten Produkte näher ansehen und dann entscheiden - wobei ich aktuell zur Linux Lösung tendiere.
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2013 OWA nur intern aber nicht extern erreichbar

gelöst Frage von ukulele-7Exchange Server4 Kommentare

Hallo, habe hier zwei Exchange Server: Produktiv Exchange 2003: Interne OWA Adresse: - geht Externe OWA Adresse: - geht ...

Windows Netzwerk

RDP kein Zugriff (intern und extern)

gelöst Frage von andi74151Windows Netzwerk6 Kommentare

Seit kurzen kann ich mich nicht mehr auf eine virtuelle Maschine windows 7 per RDP zugreifen. Es kommt immer ...

Netzwerke

Probleme bei Zugriff auf Server Intern - Extern

gelöst Frage von devil77Netzwerke7 Kommentare

Ich habe ein Problem mit dem Zugriff zu owncloud, welches wir auf einem eigenen Server liegen haben. - Server ...

Exchange Server

Outlook Anywhere Zugriff von extern sperren (Exchange 2013)

Frage von JosefPExchange Server5 Kommentare

Guten Morgen zusammen, ich hoffe dass mir hier vielleicht jemand weiter helfen kann. :) Bei uns in der Firma ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 10 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 16 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...