Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange bzw. OWA von Aussen Erreichbar machen

Frage Microsoft Exchange Server

Mitglied: Shnuuu

Shnuuu (Level 1) - Jetzt verbinden

06.03.2012, aktualisiert 18.10.2012, 12121 Aufrufe, 11 Kommentare

Hallo,

wir betreiben einen Exchange 2007 Server und möchten nun ganz gerne OWA von außen erreichbar machen. (Zur Zeit wird alles über VPN geregelt)
Wir benutzen einen IPFire (ähnlich wie IPCop) als Router/Firewall mit einer Statischen IP. DynDNS ist bereits schon eingerichtet.
Ich bin noch sehr unerfahren in der ganzen Thematik und stehe nun vor dem Grundlegendem Problem wie ich die Struktur nun am besten aufbaue,
ohne unser LAN zu gefährden. Die Anleitungen die ich im Netz finde sind alle schon "weiter" und beschäftigen sich eher mit der Konfigarion als mit dem "Wie Aufbaun?Welche möglichkeiten gibt es usw."

Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.
Der OWA Server wäre dann über Portforwarding von außen erreichbar.
Der Owa Server müsste dann jedoch irgendwie eine Sichere Verbindung zu unserem Exchange Server im Lan aufbaun können, damit auch irgendwie die Mails/Logins verarbeitet werden können und zwar nur dieses. Sonst macht die DMZ ja kein Sinn. (Keine Ahnung wie das funktioniert)

Ist das so in etwa überhaupt die richtige vorgehensweise? Was für alterantiven gibt es und wozu würdet ihr mir Raten?
Als nächstes wäre dann noch die Frage ob man dann auch über sein Tablet/Smartphone auf diesen OWA Server seine Mails abholen kann (Also nicht über einen Browser sondern direkt als Mailkonto einrichten) bzw. was dafür gemacht werden müsste.
Oder müsste ich dafür meinen Exchange server in die DMZ stellen? Den Exchange Server möchte ich jedoch nicht in die DMZ stellen bzw von außen direkt Erreichbar haben. Lautet hier das Stichwort Proxy?


Bitte hilft mir :D Wenn ihr passend zu meiner Problematik noch irgendwelche Anleitungen zur Hand habt, wo ich mich weiter einlesen kann, würde mir das auch sehr helfen.

Vielen Dank
Mitglied: GuentherH
06.03.2012 um 09:15 Uhr
Hi.

Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.

Das ist so nicht möglich. OWA kann vom Exchange nicht getrennt werden. Einzige Möglichkeit wäre einen Proxy in die DMZ zustellen.

Wenn Firewall / Server sauber konfiguriert sind, und die Passwort Policy passt, dann ist es aber auch kein Problem Port 443 direkt an den Exchange weiterzuleiten.

LG Günther
Bitte warten ..
Mitglied: Alternativende
06.03.2012, aktualisiert 18.10.2012
Hallo,
ich stand kürzlich vor derselben Herausforderung (http://www.administrator.de/forum/exchange-2007-owa-verf%c3%bcgbar-mach ...).
Ich habe es schließlich mit pound gemacht und bisher auch nicht bereut. Einen Exchange in die DMZ zu stellen empfiehlt Microsoft nicht.

Also einen ReverseProxy aufsetzen mit einem selbstsignierten oder gekauften SSL Zertifikat. Der einzige Haken ist das die interne Kommunikation von pound zum Exchange nicht SSL verschlüsselt ist.
Soweit ich das bisher gelesen habe liegt das aber an pound.
Bitte warten ..
Mitglied: Shnuuu
06.03.2012 um 09:42 Uhr
Alles klar. Und das ist auch so gängige Praxis? Dann werde ich mir die Firewall und den Server nochmal genaustens anschaun müssen.
Ein weiteres Problem wären die Passwörter. Es gibt zwar eine Mindestlänge von 6 Charakters, das wars dann aber auch schon. DIe Leute verwenden wirklich die einfachsten passwörter hier. (Ihren eigenen Benutzernamen usw...)
Da müsste ich auch nochmal "Schulen"
Bitte warten ..
Mitglied: Shnuuu
06.03.2012 um 09:43 Uhr
Alles klar. Reverse Proxy ist mir in dem Zusammenhang auch schonmal über den weg gelaufen. Werds mir mal anschaun und dein Thread durchlesen. Danke

Was wird denn eher empfohlen? Reverse Proxy oder direkt 443 an den Exchange Weiterleiten und so gut es geht alles zu schnüren? Vor/Nachteile der beiden Lösungen?
Bitte warten ..
Mitglied: GuentherH
06.03.2012 um 09:48 Uhr
Hi.

oder direkt 443 an den Exchange Weiterleiten

Was würde das bringen?

LG Günther
Bitte warten ..
Mitglied: Shnuuu
06.03.2012 um 11:05 Uhr
??? Hast du doch selbst vorgeschlagen
Bitte warten ..
Mitglied: Shnuuu
06.03.2012 um 11:07 Uhr
Der Link klappt übrigens nicht..
Bitte warten ..
Mitglied: GuentherH
06.03.2012, aktualisiert 18.10.2012
Hi.

??? Hast du doch selbst vorgeschlagen

Ok, dann habe ich das missverstanden. Es klang so, wie Weiterleitung über die DMZ.

Ansonsten. Proxy in der DMZ ist natürlich das komfortabelste, aber nicht unbedingt einfach zu konfigurieren, wenn keine MS Produkte verwendet werden.
Auf der anderen Seite hat es seit dem Erscheinen von OWA noch keine Schwachstelle gegeben. Es hängt hier alles von der Passwort Policy ab.

Und einen muss dir auch klar sein. Mit der Anbindung mobiler Clients verlagerst du die Schwachstellen auf diese Geräte. Es gibt kaum einen User, der seinen mobilen Client mit einem PIN sichert. Und trotzdem werden auf diesen Geräte sensible Daten gespeichert.

Ich würde mir darüber wesentlich mehr Gedanken machen als über die Weiterleitung von Port 443 auf den Exchange

Der Link klappt übrigens nicht..

Klappt schon. Muss nur ein wenig angepasst werden - http://www.administrator.de/forum/exchange-2007-owa-verf%c3%bcgbar-mach ...

LG Günther
Bitte warten ..
Mitglied: Shnuuu
06.03.2012 um 13:24 Uhr
Aber generell kann man also schon sagen, dass bei entsprechender Passwordpolicy die direkte Weiterleitung des 443 Ports an den Exchangeserv im Lan als sicher gilt?
Die Reverse Proxy Lösung wäre dann sozusagen nochmal nummer sicher sicher oder wie darfich das verstehen?
Muss nun für mich abwägen ob es sinn macht einen riesen Aufwand in die einarbeitung und konfigration der DMz+Reverse Proxy zu stecken oder ob ich nicht "einfach" den Port in der Firewall weiterleite und nochmal die Password Policy überarbeite (Welche ich so oder so überarbeiten wollte).
Bitte warten ..
Mitglied: GuentherH
06.03.2012 um 20:22 Uhr
Hi.

Aber generell kann man also schon sagen, dass bei entsprechender Passwordpolicy die direkte Weiterleitung des 443 Ports an den Exchangeserv im Lan als sicher gilt?

Genauso ist es. Es gibt tausende von Installation, gerade im SBS Bereich, die so arbeiten.

Die Reverse Proxy Lösung wäre dann sozusagen nochmal nummer sicher sicher oder wie darfich das verstehen?

Ja, da hier nur auf den Proxy zugegriffen wird, und dieser dann die Anfrage an den Exchange stellt und auch dann die Antwort an den Client weitergibt.

und nochmal die Password Policy überarbeite (Welche ich so oder so überarbeiten wollte).

Du kannst ja einschränken, welche User auf OWA zugreifen dürfen, und diese User sind dann eben verpflichtet ein ordentliches Passwort zu verwenden. Und im gleichen Zuge kann auch die Security für die mobilen Clients besprochen werden. Es macht wenig Sinn, wenn für den Server ein 40stelliges Passwort verwendet wird, und das iPhone unversperrt in der Kneipe am Tresen liegt

LG Günther
Bitte warten ..
Mitglied: Shnuuu
12.03.2012 um 16:14 Uhr
Danke nochmals Hab das soweit alles zum laufen bekommen. D.h ACtiveSync vom Mobile Device klappt und OWA ist nun auch von außen verfügbar.
Jetzt habe ich aber noch eine Frage zu HTTPS. Das ganze läuft ja nun über HTTPS, ich habe aber auf dem Exchange Server noch kein Zertifikat selbst erstellt.

Ist die übertragung denn nun trotzdem verschlüsselt oder ist das HTTPS im Browseradressfeld jetzt nur schein? Wenn ein benutzer das erste mal auf die Seite geht, kommt ja die Meldung das die seite kein GÜLTIGES Zertifikat nutzt und man kann sich ein Zertifikat anzeigen lassen, welches Exchange wohl selbst erstellt hat oder wie?!
Braucht man das Zertifikat jetzt nur um den Server eindeutig zu Authentifizieren oder wird es auch für die Verschlüsselung benötigt?

Steig da noch nicht ganz durch, ob ich da nun noch was machen muss oder ob es so ok ist.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Exchange Server
Exchange OWA Problem Kennwort falsch (16)

Frage von Henere zum Thema Exchange Server ...

Windows Netzwerk
Development Server über DNS Server im Netzwerk erreichbar machen (2)

Frage von sbsnewbie zum Thema Windows Netzwerk ...

Apache Server
IP oder Domains im Netzwerk erreichbar machen (2)

Frage von ischbindebaetmaen zum Thema Apache Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...