Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010: OWA generell erlauben, ActiveSync nur intern erlauben?

Frage Microsoft Exchange Server

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

25.06.2014, aktualisiert 22:54 Uhr, 2828 Aufrufe, 11 Kommentare

Hallo,

wir haben Exchange 2010 im Einsatz und nutzen intern OWA per https und ActiveSync (von Android Smartphones) ebenfalls per https.

Zukünftig soll OWA auch von extern möglich sein, jedoch kein ActiveSync, Outlook Anywhere oder andere Funktionen, bei denen Daten das Haus verlassen.

Wenn wir ganz stumpf an der Firewall den Port 443 weiterleiten an den Exchange-Server, hat der Exchange-Server keine Möglichkeit zu unterscheiden, ob eine ActiveSync-Anfrage von intern oder extern kommt. Ist das richtig?

Mal angenommen, es ist richtig, welche Möglichkeiten gibt es? Ich nehme an, URL-Filtering ist das Stichwort. Es wird nur https://mail.firmal.tld/owa/ zugelassen. Ist das richtig?

Mit welchen Produkten kann man das realisieren. TMG kann das wohl, wird aber nicht mehr verkauft.
Wie ist es mit der TMG Appliance von SecureGuard. Ist die zu empfehlen?
Wäre Kemp ESP (http://kemptechnologies.com/microsoft-load-balancing/tmg-edge-security- ...) eine Alternative?

Welche Möglichkeiten gibt es noch?


Danke
Martin
Mitglied: certifiedit.net
25.06.2014 um 23:16 Uhr
Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Grüße,

Christian
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 05:52 Uhr
Zitat von certifiedit.net:

Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut" (also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 07:26 Uhr
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das funktioniert ja.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 07:41 Uhr
Zitat von wiesi200:

Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das
funktioniert ja.

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Die Mitarbeiter bekommen morgens ein Mobilteil in die Hand, welches sie im Haus nutzen dürfen (ActiveSync). Das dürfen sie aber nicht mit nach Hause nehmen.

Was ich sagen will: Kann bitte jemand meine Fragen beantworten.

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 09:10 Uhr
Zitat von AlbertMinrich:

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014 um 09:25 Uhr
Zitat von wiesi200:

> Zitat von AlbertMinrich:
>
> OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann
wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.

Ich wollte eigentlich keine Grundsatzdiskussion anfangen, sondern nur Fragen beantwortet haben. Dabei spielen die Rahmenbedingungen keine Rolle. Die (wichtigsten) Fragen waren:
- Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?

Danke und Gruß
Martin
Bitte warten ..
Mitglied: Dani
26.06.2014 um 23:22 Uhr
Guten Abend Martin,
Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
Nein.

- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?
Ja.


Grüße,
Dani
Bitte warten ..
Mitglied: certifiedit.net
27.06.2014, aktualisiert um 00:00 Uhr
Zitat von AlbertMinrich:

> Zitat von certifiedit.net:
>
> Hallo Martin,
>
> mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
> synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
> Konzept gewaltig.
>
> Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von
vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut"
(also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin

Da bist du mit OWA aber schlimmer dran. Wenn ich per OWA mutwillig Daten herunterlade: Futsch, und wech (außer Reichweite). Wenn ich es per AS/Mobile Device Anbindung mache, habe ich wenigstens prinzipiell die Chance per EX das Ding zu resetten. Well, und nun? Schiesst dir die Realität ins Bein, nicht? Ebenso bei dem Konzept Handheld nur intern, wenn das Ding aber verloren geht hast du außerhalb keine Chance es zu löschen. MD Management will gekonnt+ durchdacht sein.
Bitte warten ..
Mitglied: Chibisuke
27.06.2014 um 15:03 Uhr
Hi,

jetzt mal abgesehen von den Bedenken, es geht. Exchange ist grundsätzlich zu "doof" dafür, aber was z.B. gehen würde wäre einfach einen Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen. Port 443 kommt am Proxy an, wenn die Ziel-URL passt wird ein rewrite auf die interne Adresse des Exchange gemacht, ansonsten versandet die Anfrage im Proxy oder du kannst sie beliebig irgendwo hin leiten.

So was ähnliches nutzen wir bei einem Kunden für OWA und ActiveSync weil deren Firewall Port 443 für sich selbst beansprucht. Der Reverse Proxy lauscht auf 8443 und schreibt Anfragen auf die (externe) URL um auf exchange-IP:443. Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.

Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Bitte warten ..
Mitglied: Dani
27.06.2014 um 19:00 Uhr
Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Warum so kompliziert? Den RP nur für externe Anfragen verwenden und gut ist. Ihr nutzt sicher Autodiscover oder?

Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Apache ist die Kanone, dein Anliegen Ein Spatz. Ein einfacher Squid oder Ngnix reicht völlig aus.


Grüße,
Dani
Bitte warten ..
Mitglied: AlbertMinrich
27.06.2014 um 21:50 Uhr
Danke für alle Antworten.

Gruß
Martin
Bitte warten ..
Ähnliche Inhalte
Exchange Server
gelöst Exchange 2010 Activesync Problem bei IOS 10.1.1 und Wildcard SSL Zertifikat (2)

Frage von hasel123 zum Thema Exchange Server ...

Windows Server
Exchange 2010 Active Directory und Windows Server 2016 (4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 - Öffentliche Ordner - Kontakte (11)

Frage von 0ber0n zum Thema Exchange Server ...

Exchange Server
Exchange 2010 Probleme - Autodiscover oder noch mehr? (2)

Frage von PowlFruit zum Thema Exchange Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Ubuntu
Nextcloud 12 Antivirus App for Files (8)

Frage von horstvogel zum Thema Ubuntu ...

Server-Hardware
gelöst Empfehlung KVM over IP Switch (8)

Frage von Androxin zum Thema Server-Hardware ...