Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2013: OWA-Zugriff nur für bestimmten User extern nutzbar machen - für Andere nur intern

Frage Microsoft Exchange Server

Mitglied: malungo

malungo (Level 1) - Jetzt verbinden

18.11.2014, aktualisiert 19.11.2014, 2508 Aufrufe, 6 Kommentare

Hallo Exchange-Freunde,

ich stehe vor folgendem Problem und bin mir icht 100%ig sicher wie ich es elegant lösen kann:

Es existiert ein Exchange 2013 für eine 10-Mann-"Organisation".
Teilweise wird OWA intern benutzt, nur ein Mitarbeiter, der kein vollwertiges Organisationsmitglied ist, und NUR auf die Mails Zugriff haben soll (deshalb scheidet für mich eine VPN Verbindung aus) soll einen OWA Zugriff für extern erhalten.

Funktioniert soweit auch ganz gut - nur hätte ich das Ganze gerne etwas besser abgesichert.
Externe und interne OWA Urls sind wg. Zertifikat (nur auf eine URL ausgestellt) gleich.

Wenn ich richtig recherchiert habe, kann ich nirgendwo im Exchange selbst festlegen, dass bestimmet User nur internen OWA Zugriff oder nur externen haben. Es geht nur intern und extern, oder nichts von beiden (je nachdem ob ichs im ECP aktiviere/deaktiviere).
Ich lese immer, dass dies mit ISA bzw. TMG funktionieren soll. Habe aber auch gelesen, dass dies mit (hohen?) Kosten verbunden ist, und ISA/TMG eigentlich nicht mehr vertrieben werden!?
Hab damit leider überhaupt keine Erfahrung.
Für Schlagworte und Tipps bin ich dankbar.


Aktuell ist für ActiveSync und dem externen User der Port 443 auf den Exchange weitergeleitet. Ich würde hier als zusätzlichen Sicherheitsaspekt gerne auch noch nen URL Filter aktivieren, sodass von extern nur server/owa und server/Microsoft-Server-ActiveSync weitergereicht wird; alles Andere soll blockiert werden. ( http://www.msxfaq.de/clients/owafirewall.htm )
Als kostengünstige und wohl effiziente Methode hätte ich nun an eine 3. Hyper-V Maschine (bisher 1DC, 1Exchange) gedacht, auf der die Linux Firewall ipFire nur für folgenden Zweck läuft:
router leitet port 443 an die ipFire Maschine ans rote Device weiter, der URL Filter lässt nur server/owa und server/Microsoft-Server-ActiveSync durch und leitet diese Anfragen an den Exchange (grünes Device) weiter.
Hab mir ipFire kurz angesehen und bin mir nicht sicher, ob das in der Praxis funktionieren wird.
Auf den 1. Blick sieht es für mich so aus, als wäre der URL Filter eher als Absicherung dafür gedacht, dass bestimmte Clients nicht auf verbotenen Seiten surfen dürfen (z.B. Jugendschutz)..und nicht umgekehrt (extern eine interne verbotene URL erreichen dürfen).

Habe ich hier einen Denkfehler, oder funktioniert das in beide Richtungen problemlos.
Hat damit schon jmd. Praxiserfahrung?

Ggf. kann ich ipFire auch für o.g. Zwecke verwenden (nur bestimmte User erhalten Zugriff von extern auf OWA) (aus diesem Grund die eigentlich 2 Fragen in eine Zusammengefasst; da sie für mich doch irgendwie zusammengehören)


Vielen Dank und viele Grüße,
Malungo
Mitglied: schmitzi
LÖSUNG 18.11.2014, aktualisiert 19.11.2014
Hi,

ISA/TMG ist gute Wahl, leider schwer zu beschaffen.

Schau mal bei

http://kemptechnologies.com/de/microsoft-load-balancing/microsoft-foref ...

Das soll auch ganz gut sein

Gruss RS
Bitte warten ..
Mitglied: Dani
LÖSUNG 19.11.2014, aktualisiert um 22:53 Uhr
Moin,
nimm einen Linuxserver, pack Squid drauf, in die Domäne integrieren und an Hand einer AD-Gruppe definieren, ob der User berechtigt ist oder nicht - Anleitung.


Gruß,
Dani
Bitte warten ..
Mitglied: wiesi200
LÖSUNG 19.11.2014, aktualisiert um 22:54 Uhr
Hallo,

Mal abgesehen davon das das mit VPN auch funktionieren würde und ich mich frage was die Absicherung damit zu tun hat das du nur 1 Zertifikat für intern und extern hast würd ich auch die Lösung von Dani empfehlen.
Bitte warten ..
Mitglied: exchange
LÖSUNG 19.11.2014, aktualisiert um 22:54 Uhr
Hallo,
der 2012er bringt einen eigenen Reverse Proxy, auf Basis des IIS, mit. Dort müsstest Du eigentlich über Gruppen was basteln können.

Die Kemp Load Balancer wollte ich auch für mich haben aber die stecken noch in den Kinderschuhen was die Authentifizierung angeht. Wenn man da in einer SubVS eine nicht existierende oder leere Gruppe einträgt - kommen alle User vom AD rein (anders herum finde ich logischer). Einmal authentifiziert z.B. owa kann man auch, wenn allgemein aktiviert, auch ins ecp rein. Soll mit V3 gefixt werden.

Dazu hier die Kopie vom Ticket:
I believe the issue here si the use of Permitted Groups across Sub VSs
Once a user is authenticated to one SubVs it will not seek to authenticate them again.
i.e. If Administrator is allowed access to OWA they will be allowed access to all SubVSs
This is something which we are planning to change with the next release of ESPV3


Gruß
Bitte warten ..
Mitglied: DanteGabriel
LÖSUNG 19.11.2014, aktualisiert um 22:54 Uhr
wenn ich das richtig verstanden habe sollen einige Benutzer via Web APP auf den Exchange zugreifen können und andere nicht oder? Dies kannst du jedem Benutzer separat erlauben oder verbieten. (Oder du definierst dafür eine Richtlinie)

Im Exchange in der Postfachkonfiguration der Empfänger gibt es einen Menüpunkt "Postfachfunktionen" dort kannst du genau einstellen was der User machen darf und was nicht. (Also etwa Web App, Active Sync, Mapi usw.)

Natürlich wird die Login Seite dann immer noch angezeigt und man könnte sich versuchen anzumelden, bekommt dann jedoch die Meldung das diese Funktion deaktiviert wurde.

Was die Lösung mit der FW anbelangt, das ist natürlich die umfassendere Lösung weil man hier auch genauer festlegen kann von welchen Quellen, welche Dienste Zugriff auf den Exchange haben. Ich persönlich kann in dem Zusammenhang Sophos empfehlen, da mir persönlich die Arbeit damit einfacher von der Hand geht als etwa mit Ipfire. Nun ist die Sophos FW eigentlich ein kommerzielles Produkt, jedoch bietet Sophos soweit ich weiß auch eine abgespickte Version zur freien Verwendung an.

http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...


Gruß
Dante

EDIT: Oh sehe es gerade, geht mehr um den internen und externen Zugriff, dann ist mehr der letzte Absatz interessant ^.^
Bitte warten ..
Mitglied: malungo
19.11.2014, aktualisiert um 22:53 Uhr
Zitat von wiesi200:
Mal abgesehen davon das das mit VPN auch funktionieren würde und ich mich frage was die Absicherung damit zu tun hat das du
nur 1 Zertifikat für intern und extern hast würd ich auch die Lösung von Dani empfehlen.
Jetzt wo Du's explizit erwähnst, fällt mir das auch gerade auf. face-smile Danke für den Denkanstoß.

@All
Danke für Eure Anregungen
Ich werd mir die einzelnen genannten Produkte näher ansehen und dann entscheiden - wobei ich aktuell zur Linux Lösung tendiere.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2013 OWA nur intern aber nicht extern erreichbar
gelöst Frage von ukulele-7Exchange Server4 Kommentare

Hallo, habe hier zwei Exchange Server: Produktiv Exchange 2003: Interne OWA Adresse: - geht Externe OWA Adresse: - geht ...

Windows Netzwerk
RDP kein Zugriff (intern und extern)
gelöst Frage von andi74151Windows Netzwerk6 Kommentare

Seit kurzen kann ich mich nicht mehr auf eine virtuelle Maschine windows 7 per RDP zugreifen. Es kommt immer ...

Exchange Server
Owa intern erreichbar - extern leider nicht
Frage von rapmasterssExchange Server18 Kommentare

Hallo Zusammen, mein Exchange Server (OWA) ist intern über erreichbar. Ich kann mich auch anmelden. Was muss ich tun, ...

Netzwerke
Probleme bei Zugriff auf Server Intern - Extern
gelöst Frage von devil77Netzwerke7 Kommentare

Ich habe ein Problem mit dem Zugriff zu owncloud, welches wir auf einem eigenen Server liegen haben. - Server ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 19 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 21 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Sichere Remote Desktop Verbindung wie?
gelöst Frage von nuss33Windows Server11 Kommentare

Hallo zusammen, eins vorweg: Ich besitze einen privaten Windows Server 2008 R2 zu Hause im Netzwerk er wird nicht ...