Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Microsoft Exchange - SSLVPN und Iphone

Frage Microsoft Exchange Server

Mitglied: peppermill

peppermill (Level 1) - Jetzt verbinden

09.12.2009, aktualisiert 18.10.2012, 6055 Aufrufe, 8 Kommentare

Hallo zusammen.

Ich haben heute mal eine etwas kniffelige Fragestellung, bei der ich nicht richtig weiter komme.

Folgendes Szenario:

  • Exchange Server
  • SSLVPN
  • Iphone

Der Exchange Server ist nach außen über 443 mit einem Zertifikat offen, damit das iphone eine entsprechende Synchonisation der Daten über Active Sync hinbekommt.
Desweiteren gibt es eine SSLVPN Aplliance, die dazu verwendet wurde, das User nicht direkt von außen auf das OWA zugreifen können.
Sie melden sich am SSLVPN Portal an und verbinden sich darüber.

Nun ist klar, das mit der Öffnung des OWA für das iphone Sync die Verwendung des SSLVPN etwas ad absurdum geführt wird.

Folgendes Szenario soll am Ende der Tage möglich sein:

  • Alle User haben Zugriff auf das OWA, aber nur via SSLVPN Portal
  • verschiedene User haben ein iphone und benötigen Active Sync
  • Kein User kann sich von außen direkt am OWA anmelden

Was meint Ihr wie wir diese Anforderung realisieren könnten?

Viele Grüße,
Tobias
Mitglied: aqui
09.12.2009 um 16:23 Uhr
Du schaltest das OWA im Internet ab und zwingst auch die iPhone User sich erstmal per SSL VPN einzuwählen um dann zu syncen... Hat den Vorteil das die iPhone Benutzer nicht permanten Traffic im Mobilnetz erzeugen und so Kosten sparen wenn du sie im SSL VPN nach einer Zeit automatisch wieder rausschmeisst....
Alles andere wird nicht einfach...
Bitte warten ..
Mitglied: peppermill
09.12.2009 um 17:39 Uhr
Hallo aqui.

Vielen Dank für die Rückmeldung.
Allerings ist im Zeitalter der Flatrates der Datentransfer für mich nicht wirklich relevant

Nein, im ernst. Es ist nicht zumutbar, das sich User erst irgendwo anmelden müssen bis sich ihr Tel synct.
Mir ist auch klar das es nicht ganz einfach ist.

Daher frage ich ja hier im Forum nach.

Eventuell liegt die Lösung darin, nach außen für das iphone einen virtuellen Server über 443 freizugeben, der nur das active-sync übernimmt und im Unternehmen (also zugriff über SSLVPN) einen anderen virtuellen Server auf einem anderen Port z.B. 444 auf das OWA zugreift.

Mir ist nur nicht ganz klar, wie ich nach außen active-sync ohne OWA Anmeldung freigeben kann und ob dies überhaupt möglich ist?!
Bitte warten ..
Mitglied: aqui
09.12.2009, aktualisiert 18.10.2012
So so Flatrate im Mobilfunknetz. Da solltest du uns mal aufklären wos denn das bitte gibt ?!! Aber nun bitte nicht die O2 Nummer !!

Dann wirds nicht einfach. Dann musst du das SSL VPN auf eine externe Appliance auslagern:
http://www.administrator.de/wissen/ssl-vpns-im-enterprise-umfeld-87895. ...

und den OWA separat betreiben. Mit Policy Based Routing oder IP ACL dann nach den Usern filtern. Das wird dann schwierig wenn die wechselnde IPs bekommen im Mobilfall.
Dann musst du dort mit Benutzerauthentifizierung arbeiten...deine einzige Chance.
Wird eine Materialschlacht aber damit könnte man es lösen !
Bitte warten ..
Mitglied: peppermill
09.12.2009 um 18:21 Uhr
Hi aqui.

Na ja, ich will jetzt ja keine Werbung machen - aber bei T-Mobile ist im richtigen Tarif beim iphone wirklich alles drin.
Ich erhalte viele Mails und surfe auf damit unterwegs, wurde aber noch nie gedrosselt.

Der Witz - fürs gleiche Geld wie vorher für einen Vertrag mit allen Telefonkosten beinhaltet bei Vodafone haben wir nun 2 T-Mobile Verträge als Flat.
Sollte man wirklich mal durchrechnen.

Aber zurück zum Thema.

Genau so ist es ja auch. SSLVPN ist eine eigene Appliance von Sonicwall.
Diese befindet sich auch in einem eigenen Subnetz.

Daher wäre das kein Problem.
Die Frage ist allerdings, kann ich active-sync nach außen frei geben, ohne das man sich am OWA anmelden muss/kann?

Und kann ich das OWA einfach auf einen anderen virtuellen Server innerhalb des IIS umziehen, der dann intern auf einem anderen Port hört?
Bitte warten ..
Mitglied: aqui
09.12.2009 um 18:33 Uhr
Ja, beim iPhone reicht es den MS Exchange Mail Account zu aktivieren und das wars. Der Client meldet sich dann aber selber am OWA an ohne das der iPhone benutzer das sieht. Im Hintergrund passiert genau das gleiche was man beim übers Web Login macht.
Die Frage für dich ist nur wie separierst du die iPhone Benutzer von den SSL Benutzern. GGf. musst du die in eine separate Gruppe nehmen und den nicht iPhoneren das OWA direkt am Server sperren ! Ist aber die Frage ob Winblows das kann..
Bitte warten ..
Mitglied: peppermill
09.12.2009 um 18:49 Uhr
Das ist genau der Punkt.

Deaktiviere ich bei dem User das er sich am OWA anmelden kann, kann er dies natürlich auch nicht mehr übers das SSLVPN Portal.
Ziel ist ja das gleiche OWA. Das ist natürlich Mist.

Bekomme ich es aber hin, das bei einem Zugriff über 443 auf https://owa.domain.de das OWA nicht mit der Login Maske antwortet, active-sync aber dennoch für die iphones funktioniert?
Dann könnte ich nämlich im IIS einen 2. virtuellen Server einbinden, der das OWA halt über Port 444 zur Verfügung stellt.

Also:

1. virtueller Server = keine OWA Anmeldung, nur active sync auf 443
2. virtueller Server = OWA über SSLVPN Portal auf 444

??
Bitte warten ..
Mitglied: peppermill
10.12.2009 um 09:27 Uhr
Hat noch jemand eine Idee dazu?
Ich bräuchte da wirklich mal eine Denkhilfe...
Bitte warten ..
Mitglied: nightwishler
21.02.2011 um 13:02 Uhr
Hi,
hat sich dazu eine Lösung ergeben?
ich müßte ebenfalls 443 für sonicwall sowie Iphone nutzen und komme mit der einrichtung nicht klar / oder hab nen brett vorm kopf...

gruß & dank
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Microsoft Exchange 2016 Standard (6)

Frage von Xaero1982 zum Thema Exchange Server ...

Exchange Server
Microsoft Exchange Server Fehler (9)

Frage von MaximWolf zum Thema Exchange Server ...

Exchange Server
Exchange Adressbuch iPhone synchronisieren (2)

Frage von GeestRider zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...