Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Exchange Server

Exchange 2010: OWA generell erlauben, ActiveSync nur intern erlauben?

Mitglied: AlbertMinrich

AlbertMinrich (Level 2) - Jetzt verbinden

25.06.2014, aktualisiert 22:54 Uhr, 3005 Aufrufe, 11 Kommentare

Hallo,

wir haben Exchange 2010 im Einsatz und nutzen intern OWA per https und ActiveSync (von Android Smartphones) ebenfalls per https.

Zukünftig soll OWA auch von extern möglich sein, jedoch kein ActiveSync, Outlook Anywhere oder andere Funktionen, bei denen Daten das Haus verlassen.

Wenn wir ganz stumpf an der Firewall den Port 443 weiterleiten an den Exchange-Server, hat der Exchange-Server keine Möglichkeit zu unterscheiden, ob eine ActiveSync-Anfrage von intern oder extern kommt. Ist das richtig?

Mal angenommen, es ist richtig, welche Möglichkeiten gibt es? Ich nehme an, URL-Filtering ist das Stichwort. Es wird nur https://mail.firmal.tld/owa/ zugelassen. Ist das richtig?

Mit welchen Produkten kann man das realisieren. TMG kann das wohl, wird aber nicht mehr verkauft.
Wie ist es mit der TMG Appliance von SecureGuard. Ist die zu empfehlen?
Wäre Kemp ESP (http://kemptechnologies.com/microsoft-load-balancing/tmg-edge-security- ...) eine Alternative?

Welche Möglichkeiten gibt es noch?


Danke
Martin
Mitglied: certifiedit.net
25.06.2014 um 23:16 Uhr
Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Grüße,

Christian
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 05:52 Uhr
Zitat von certifiedit.net:

Hallo Martin,

mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
Konzept gewaltig.

Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut" (also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 07:26 Uhr
Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das funktioniert ja.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014, aktualisiert um 07:41 Uhr
Zitat von wiesi200:

Sorry aber nach deiner Argumentation musst du Activ Sync kpl. abschalten und darfst also nur OWA am laufen haben. Und das
funktioniert ja.

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Die Mitarbeiter bekommen morgens ein Mobilteil in die Hand, welches sie im Haus nutzen dürfen (ActiveSync). Das dürfen sie aber nicht mit nach Hause nehmen.

Was ich sagen will: Kann bitte jemand meine Fragen beantworten.

Gruß
Martin
Bitte warten ..
Mitglied: wiesi200
26.06.2014 um 09:10 Uhr
Zitat von AlbertMinrich:

OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.
Bitte warten ..
Mitglied: AlbertMinrich
26.06.2014 um 09:25 Uhr
Zitat von wiesi200:

> Zitat von AlbertMinrich:
>
> OK, ok. Auch da ist was dran. Aber vielleicht haben wir ja folgendes Szenario.
Sorry aber wenn du jetzt solange die Rahmenbedingungen änderst bis du eine Antwort bekommst die dir auch gefällt, dann
wird's mir zu blöd.

Entweder euer Szenario ist so oder so. Also gleich richtig erklären sonst wird das nicht's.

Ich wollte eigentlich keine Grundsatzdiskussion anfangen, sondern nur Fragen beantwortet haben. Dabei spielen die Rahmenbedingungen keine Rolle. Die (wichtigsten) Fragen waren:
- Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?

Danke und Gruß
Martin
Bitte warten ..
Mitglied: Dani
26.06.2014 um 23:22 Uhr
Guten Abend Martin,
Kann Exchange selbst erkennen, ob eine ActiveSync-Anfrage von intern oder extern kommt?
Nein.

- Ist URL-Filtering eine Möglichkeit, OWA zuzulassen, aber ActiveSync zu verhinden?
Ja.


Grüße,
Dani
Bitte warten ..
Mitglied: certifiedit.net
27.06.2014, aktualisiert um 00:00 Uhr
Zitat von AlbertMinrich:

> Zitat von certifiedit.net:
>
> Hallo Martin,
>
> mal wieder eine hochtrabende Frage, nun: Was passiert, wenn dein Android Device (oder Laptop oder Tablet oder x) die Daten
> synchronisiert (Active Sync) und sie nach aussen trägt?) oder die Daten aus OWA heruntergetragen werden? Hier hinkt das
> Konzept gewaltig.
>
> Damit ist nicht die Umsetzung das Problem, sondern das Konzept.

Hallo Christian,

ich dachte mir schon, daß dieser (berechtigte) Einwand kommt. Aber es ist schon noch ein kleiner Unterschied, ob jemand von
vornherein ActiveSync macht, die Daten landen also immer und auf jeden Fall auf dem Client, oder ob jemand nur "schaut"
(also OWA) und nur bei Bedarf, man könnte auch sagen mutwillig, Daten auf seinen Client runterlädt.
Aber danke für den Einwand. Trotzdem hast du keine meiner Fragen beantwortet. .

Gruß
Martin

Da bist du mit OWA aber schlimmer dran. Wenn ich per OWA mutwillig Daten herunterlade: Futsch, und wech (außer Reichweite). Wenn ich es per AS/Mobile Device Anbindung mache, habe ich wenigstens prinzipiell die Chance per EX das Ding zu resetten. Well, und nun? Schiesst dir die Realität ins Bein, nicht? Ebenso bei dem Konzept Handheld nur intern, wenn das Ding aber verloren geht hast du außerhalb keine Chance es zu löschen. MD Management will gekonnt+ durchdacht sein.
Bitte warten ..
Mitglied: Chibisuke
27.06.2014 um 15:03 Uhr
Hi,

jetzt mal abgesehen von den Bedenken, es geht. Exchange ist grundsätzlich zu "doof" dafür, aber was z.B. gehen würde wäre einfach einen Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen. Port 443 kommt am Proxy an, wenn die Ziel-URL passt wird ein rewrite auf die interne Adresse des Exchange gemacht, ansonsten versandet die Anfrage im Proxy oder du kannst sie beliebig irgendwo hin leiten.

So was ähnliches nutzen wir bei einem Kunden für OWA und ActiveSync weil deren Firewall Port 443 für sich selbst beansprucht. Der Reverse Proxy lauscht auf 8443 und schreibt Anfragen auf die (externe) URL um auf exchange-IP:443. Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.

Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Bitte warten ..
Mitglied: Dani
27.06.2014 um 19:00 Uhr
Reverse proxy zwischen das Interweb und den Exchange-Server zu klemmen
Könnte höchstens mit Anfragen von intern etwas schwierig werden, aber das sollte mit Hairpin-NAT machbar sein.
Warum so kompliziert? Den RP nur für externe Anfragen verwenden und gut ist. Ihr nutzt sicher Autodiscover oder?

Geht mit Apache, man muss ihm dafür allerdings das Zertifikat des Exchange-Servers geben damit er die HTTPS-Anfragen umschreiben kann.
Apache ist die Kanone, dein Anliegen Ein Spatz. Ein einfacher Squid oder Ngnix reicht völlig aus.


Grüße,
Dani
Bitte warten ..
Mitglied: AlbertMinrich
27.06.2014 um 21:50 Uhr
Danke für alle Antworten.

Gruß
Martin
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2010 OWA deaktivieren und ActiveSync trotzdem nutzen
Frage von platinExchange Server1 Kommentar

Hallo liebe Gemeinde, ich möchte das internet facing OWA gerne sperren - optimalerweise in der Firewall. Jedoch stellt sich ...

Exchange Server
OWA und ACTIVESYNC bei Exchange 2010 über die externen URLs auch aus dem Intranet?
gelöst Frage von AdminKnechtExchange Server8 Kommentare

Hallo, seit einiger Zeit haben wir erfolgreich einen Exchange 2010 in unserer AD-Umgebung am Start, inkl. so netter Dinge ...

Exchange Server
ActiveSync Probleme mit Exchange 2010
gelöst Frage von Michael2812Exchange Server4 Kommentare

Hallo, ich habe folgendes Problem: Ich habe auf unserem Exchange 2010 den OWA und ActiveSync Zugriff eingerichtet. OWA funktioniert ...

Exchange Server
Exchange 2010 funktioniert intern nicht
Frage von atlantyzExchange Server2 Kommentare

Liebe Community, ich habe einen Exchange Server installiert, der für eine Schulung rein intern laufen soll. Er ist an ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 2 StundenRouter & Routing

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 9 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 13 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...