Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange OWA über Internet mit CiscoPIX501

Frage Microsoft Exchange Server

Mitglied: RoCo82

RoCo82 (Level 1) - Jetzt verbinden

24.09.2009 um 15:09 Uhr, 7288 Aufrufe, 4 Kommentare

Hallo!
Wir möchten gerne unseren Exchange Server für diverse Außenstellen von uns über unsere Homepage zugänglich machen.
Folgende Voraussetzungen (IPs alle beispielhaft) sind gegeben:

extern:
1) Homepage
- www.firmenname.de bei Internetprovider gehostet, Internetseite läuft komplett extern
- Exchange soll später über eine Unteradresse/einen Unterordner aufgerufen werden können (z.B. www.mail.firmenname.de oder

www.firmenname.de/mail)

im Firmennetzwerk:
2) Internetverbindung über Vodafone(ehemals Arcor) mit fester IP
3) CiscoPix 501 (IP 192.168.2.1) als Firewall und Gateway (wird über DHCP an alle Netzerkclients übertragen) für die Internetverbindung
4) Exchange-Server 2007 im gleichen Netzwerksegment (IP 192.168.2.2)

Theoretisch stelle ich mir das jetzt so vor:
An der Außenstelle ruft der MItarbeiter über den Browser die URL für den OWA-Zugriff auf (www.mail.firmenname.de). Mit dem Internetprovider wird

vereinbart, dass die Anfragen an diese Adresse an die feste IP-Adresse unseres Internetanschlusses und somit der CiscoPIx weitergeleitet werden.
Die CiscoPIx leitet eben diese ankommende Anfrage dann nochmals an den ExchangeServer im Netztwerk weiter und im Browser erscheint dann die

Anmeldung zum OWA, anmelden,usw.

So, nun das Problem:
Wie mache ich das?
Das Problem besteht hauptsächlich bei der CiscoPix, weil ich mich da nicht so sehr auskenne. Sind die EInstellungen auch per PDM machbar oder nur

über die Konsole? Welche Einstellungen (an welchen Stelle) müssen gemacht werden? Ist es auch möglich den ExchangeServer irgendwie über die PIX

direkt (ohne Zwischenschritt über Homepage-Provider) über Internet erreichbar machen? In der ExchangeKonsole kann man ja schließlich auch etwas

bzgl. interner und externer URL für OWA einstellen....
Bzgl. der Sicherheit: Soll möglichst ab dem Provider alles über Https laufen oder genügt es ab der PIX irgendwas bzgl. Verschlüsselung/sichere Leitung einzustellen?

Über Ratschläge die mich weiterbringen bzw. evtl. Komplettlösungen wäre ich sehr dankbar!

Mit freundlichen Grüßen
Mitglied: wiesi200
24.09.2009 um 17:46 Uhr
Du kannst alles per PDM machen.

Dein Provider hat relativ wenig damit zu tun. Deine Webseite eigentlich auch wenig.

Du musst dem IIS auf dem der OWA lauft ein Zertifikat installieren. Gibt's genügend Anleitungen.
Beim Cisco reicht eigentlich eine einfaches Port forwarding des SSL Ports auf den IIS

Dann kannst du schon mal per https://IP/exchange auf den OWA

Zum Schluss dann noch entweder eine Hosteintrag bei deinem Provider machen mit mail auf die IP des Exchange, dann sieht das ganze so aus.
https://mail.domain.de/exchange
Oder du leitest irgendwie anders auf die IP. Bleibt dir überlassen wie du's willst.
Bitte warten ..
Mitglied: RoCo82
27.09.2009 um 08:31 Uhr
HI!
Danke schonmal für die Antwort.
Aber irgendwas mache ich noch falsch.
Ich habe in den "Access rules" eine Regel hinzugefügt, dass "any" Verkehr über "outside" weitergeleitet wird an "IP-Mailserver" und "Https".
Wenn ich das mache kommt aber noch eine Aufforderung bzgl. NAT ( also "Translation rules") für den Mailsserver. Da hab ich gelesen, muss ich "static" (wegen der Richtugn der Security Levels der Interfaces) auswählen. Nur dann will er eine IP von mir. Welche gebe ich da ein? nehme ich die vom Mailserver, dann klappts nicht. Nehme ich die IP vom Outside-Interface dann habe ich plötzlich keine Internetverbindung mehr.

Und OWA über https://öffentliche, feste IP/owa bzw. https://öffentliche, feste IP/exchange klappt nicht.
Ich habe noch kein Zertifikat erstellt im Windows Server, weil ich erstmal generell testen wollte, ob der ZUgriff klappt. Und auch sonst habe ich in exchage nichts eingestellte, ausser der internen und externen URL für OWA (intern: https://Server-ip/owa, extern: https://feste,öffentlicheIP/owa)
Nochwas ist mir aufgefallen. Die öffentlich IP die wir vom INternetprovider bekommen haben, ist nicht anpingbar. Kann das einfach ein Sicherheitsmerkmal des Providers sein oder MUSS die Adresse anpingbar sein, damit das funktioniert?

Hier noch ein Teil meiner aktuellen Konfig (haben bereits schon VPN laufen auf der PIX):

Building configuration...
Saved
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password vSDdoOj8WM9Jln.S encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.0.1.235 MailServer
object-group service ExchangeOWA_Ports tcp
port-object eq www
port-object eq https
access-list 101 permit ip 192.0.1.0 255.255.255.0 192.168.211.0 255.255.255.0
access-list inside_access_in permit ip 192.0.1.0 255.255.255.0 192.168.211.0 255.255.255.0 log
access-list inside_access_in permit ip 192.0.1.0 255.255.255.0 any
access-list outside_access_in permit tcp interface outside object-group ExchangeOWA_Ports host MailServer object-group ExchangeOWA_Ports
access-list vpnvgwirges_splitTunnelAcl permit ip host 192.0.1.250 any
access-list vpnvgwirges_splitTunnelAcl permit ip host MailServer any
pager lines 24
logging timestamp
logging trap informational
logging device-id hostname
logging host inside 192.0.1.233 format emblem
logging host inside 192.0.1.250 format emblem
mtu outside 1456
mtu inside 1500
ip address outside pppoe setroute
ip address inside 192.0.1.233 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool vpnpool 192.168.211.1-192.168.211.254 mask 255.255.255.0
pdm location 192.0.1.250 255.255.255.255 inside
pdm location 192.0.1.0 255.255.255.0 outside
pdm location 192.168.211.0 255.255.255.0 outside
pdm location MailServer 255.255.255.255 inside
pdm location <öffentlicheIP> 255.255.255.255 outside
pdm logging informational 512
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list 101
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) MailServer MailServer netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.0.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
.....
Cryptochecksum:e42de1cb83b0447a69e4c606895ac919
: end
[OK]

Vielen Dank im Voraus!
Bitte warten ..
Mitglied: schakal007
27.09.2009 um 11:02 Uhr
Jupp da stimme ich zu. Und wie das Portforwarding eingestellt wird:

http://www.youtube.com/watch?v=Z2oM9FpPZd4

Und das Zertifikat ist nicht so schwer, musste über http:\\Zertifizierungsstelle\Certsrv beantragen, dann im IIS des Exchange unter (hab grad keinen zur Hand) ..., wenn du den Baum öffnest ist es glaub ich der dritte Knoten von oben, und dort unter den Eigenschaften kannst du das Zertifikat hinzufügen. Müsste ich nachsehen, wenn ich die Struktur sehe weiß ich wo. Kannst mich ja später nochmal fragen.

Tjo und das wars gröbste. Übrigens bekommst du ne Fehlermeldung wenn deine Clients später auf OWA mit einem von dir generierten Zertifikat zugreifen, das is aber nicht schlimm. Du kannst das Zertifikat oder direkt das Stammzertifikat den Clients ja mitgeben.

Gruss
S.
Bitte warten ..
Mitglied: RoCo82
22.10.2009 um 10:16 Uhr
Hab alles so gemacht wie es im Video beschrieben ist, klappt trotzdem nicht. Keine Ahnung wo der Fehler liegt...
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Exchange Server
Exchange OWA Problem Kennwort falsch (15)

Frage von Henere zum Thema Exchange Server ...

Exchange Server
Exchange 2013, OWA zeigt unter Android nur die "light" Version

Frage von rickstinson zum Thema Exchange Server ...

Exchange Server
Exchange 2013 OWA Kalender (11)

Frage von Xaero1982 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...