Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010: OWA generell erlauben, ActiveSync nur intern erlauben?

Frage Microsoft Exchange Server

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

25.06.2014, aktualisiert 22:54 Uhr, 2695 Aufrufe, 11 Kommentare

Hallo,

wir haben Exchange 2010 im Einsatz und nutzen intern OWA per https und ActiveSync (von Android Smartphones) ebenfalls per https.

Zukünftig soll OWA auch von extern möglich sein, jedoch kein ActiveSync, Outlook Anywhere oder andere Funktionen, bei denen Daten das Haus verlassen.

Wenn wir ganz stumpf an der Firewall den Port 443 weiterleiten an den Exchange-Server, hat der Exchange-Server keine Möglichkeit zu unterscheiden, ob eine ActiveSync-Anfrage von intern oder extern kommt. Ist das richtig?

Mal angenommen, es ist richtig, welche Möglichkeiten gibt es? Ich nehme an, URL-Filtering ist das Stichwort. Es wird nur https://mail.firmal.tld/owa/ zugelassen. Ist das richtig?

Mit welchen Produkten kann man das realisieren. TMG kann das wohl, wird aber nicht mehr verkauft.
Wie ist es mit der TMG Appliance von SecureGuard. Ist die zu empfehlen?
Wäre Kemp ESP (http://kemptechnologies.com/microsoft-load-balancing/tmg-edge-security- ...) eine Alternative?

Welche Möglichkeiten gibt es noch?


Danke
Martin
Mitglied: certifiedit.net
25.06.2014 um 23:16 Uhr
Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Grüße,

Christian
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 05:52 Uhr
Zitat von certifiedit.net:

Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut" (also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 07:26 Uhr
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das funktioniert ja.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 07:41 Uhr
Zitat von wiesi200:

Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das
funktioniert ja.

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Die Mitarbeiter bekommen morgens ein Mobilteil in die Hand, welches sie im Haus nutzen dürfen (ActiveSync). Das dürfen sie aber nicht mit nach Hause nehmen.

Was ich sagen will: Kann bitte jemand meine Fragen beantworten.

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 09:10 Uhr
Zitat von AlbertMinrich:

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014 um 09:25 Uhr
Zitat von wiesi200:

> Zitat von AlbertMinrich:
>
> OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann
wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.

Ich wollte eigentlich keine Grundsatzdiskussion anfangen, sondern nur Fragen beantwortet haben. Dabei spielen die Rahmenbedingungen keine Rolle. Die (wichtigsten) Fragen waren:
- Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?

Danke und Gruß
Martin
Bitte warten ..
Mitglied: Dani
26.06.2014 um 23:22 Uhr
Guten Abend Martin,
Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
Nein.

- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?
Ja.


Grüße,
Dani
Bitte warten ..
Mitglied: certifiedit.net
27.06.2014, aktualisiert um 00:00 Uhr
Zitat von AlbertMinrich:

> Zitat von certifiedit.net:
>
> Hallo Martin,
>
> mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
> synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
> Konzept gewaltig.
>
> Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von
vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut"
(also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin

Da bist du mit OWA aber schlimmer dran. Wenn ich per OWA mutwillig Daten herunterlade: Futsch, und wech (außer Reichweite). Wenn ich es per AS/Mobile Device Anbindung mache, habe ich wenigstens prinzipiell die Chance per EX das Ding zu resetten. Well, und nun? Schiesst dir die Realität ins Bein, nicht? Ebenso bei dem Konzept Handheld nur intern, wenn das Ding aber verloren geht hast du außerhalb keine Chance es zu löschen. MD Management will gekonnt+ durchdacht sein.
Bitte warten ..
Mitglied: Chibisuke
27.06.2014 um 15:03 Uhr
Hi,

jetzt mal abgesehen von den Bedenken, es geht. Exchange ist grundsätzlich zu "doof" dafür, aber was z.B. gehen würde wäre einfach einen Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen. Port 443 kommt am Proxy an, wenn die Ziel-URL passt wird ein rewrite auf die interne Adresse des Exchange gemacht, ansonsten versandet die Anfrage im Proxy oder du kannst sie beliebig irgendwo hin leiten.

So was ähnliches nutzen wir bei einem Kunden für OWA und ActiveSync weil deren Firewall Port 443 für sich selbst beansprucht. Der Reverse Proxy lauscht auf 8443 und schreibt Anfragen auf die (externe) URL um auf exchange-IP:443. Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.

Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Bitte warten ..
Mitglied: Dani
27.06.2014 um 19:00 Uhr
Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Warum so kompliziert? Den RP nur für externe Anfragen verwenden und gut ist. Ihr nutzt sicher Autodiscover oder?

Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Apache ist die Kanone, dein Anliegen Ein Spatz. Ein einfacher Squid oder Ngnix reicht völlig aus.


Grüße,
Dani
Bitte warten ..
Mitglied: AlbertMinrich
27.06.2014 um 21:50 Uhr
Danke für alle Antworten.

Gruß
Martin
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...