EAC nur intern erreichbar machen? Gemeinsame Kontakte

[Assassin 13]

Guten Morgen alle miteinander,

 

Ich bin gerade dabei ein Exchange 2013 beim Kunden aufzusetzen, als Router hat er einen LanCom 1781AW - welcher leider kein ReverseProxy unterstützt (wie anscheinend alle LanCom Router) - dieser war bestand der Firma.

 

Ein RevProxy über IIS mit ARR kann ich nicht einrichten, da wir keine weitere Lizenz mehr haben, und der Server nicht über genügend Netzwerkanschlüsse verfügt.

 

Nun geht es mir natürlich darum, mit dem gegebenheiten das Netzwerk so sicher wie möglich mit einem vertretbaren aufwand zu machen.

 

Der Kunde möchte ausschließlich Handys per activeSync anbinden mit dem exchange, Notebooks mit Outlook werden direkt angebunden ohne Outlook anywhere. Diese haben einen VPN Client drauf, welcher sich über IPSec mit dem Firmennetzwerk verbindet, und somit ist das Outlook sozusagen intern.

 

Hinzu kommt noch, das aus diversen grünen der Email verkehr nur per Pop3 geschiet, das liegt zum einen daran weil es verschiedene Maschinen in der Firma gibt, welche wir ungern anfassen wollen wo jetzt schon ein SMTP Versand eingerichtet ist, zum anderen hat der Kunde bei seinem Mail-Provider (edb-mail) einen guten Spam und Virenschutz schon mit integriert. Auf eine echtzeitsyncronisation der Mails kommt es dem Kunden nicht an, da dauert es halt 3 minuten bis emails eingehen. Als Pop3 Connector verwende ich P2S - läuft auch alles wunderbar :)

 

 

Damit brauche ich auch kein Port 25 zu Forwarden, sondern "nur" port 443 zwecks ActiveSync.

 

 

 

Aber das ist eben auch die sache, damit steht der IIS vom Exchange natürlich schon voll offen da im Internet :(

Gibt es da eine möglichkeit, das ausschließlich NUR die ActiveSync site erreichbar gemacht wird, und alle anderen seiten, wie auch das EAC vom exchange nur intern ereichbar ist? damit der Server nicht mehr so offen dasteht?

Eine passwortrichtlinie gibt es natürlich auch um es etwas sicherer zu machen, also nach 3x falsch Passwort eingeben -> halbe stunde Sperrung (ich hoffe das es funktioniert, den damals beim SBS2011 funktionierst anscheinend auch nicht so richtig, weil da sperrt es das Konto, gibt es aber nach der halben Stunde nicht wieder frei xD)

 

 

 

 

 

 

 

 

Und eine andere Sache: Wie kann ich am einfachsten eine gemeinsam genutztes Adressbuch anlegen, wo alle darauf zugreifen? ich dachte jetzt an Öffentliche Ordner, und da ein Adressbuch erstellen, und das mit jedem Outlook verbinden?

[NorbertFe 1.799]

Wer POPCOnnector als Sicherheitsfeature verkauft, dem kann man dann ja nicht so viel anderes empfehlen. ;) Wenn OWA von extern erreichbar sein soll, dann wirst du ECP immer brauchen. Wenn OWA nicht benötigt wird, dann stell einen Reverse Proxy davor, der nur Active Sync zuläßt.

[Assassin 13]

Verkauft haben wir dem das nicht...das P2S ist ja kostenlos :D

Normalerweise drehe ich auch den MX, aber es gibt halt durchaus kunden, da mache ich dies nicht, um mittelschweren probleme aus dem weg zu gehen, und dem kunden weitere kosten zu ersparen, da manche Maschinen-programmierer eine unsume an geld nehmen um ein SMTP account auf einer maschine zu ändern...

 

es funktioniert ja auch alles was E-Mail empfangen und senden angeht, mir gehts halt einfach nur darum, das man extern nur ActiveSync erreichbar macht, alles andere nicht, also nichtmal Owa.

 

Und das mit dem revProxy ist eben hier auch nicht so leicht...und einen Linux RevProxy auf eine weiterer VM aufsetzen, und dann noch eine Netzwerkkarte verkaufen? hmm :/ ich dachte da gibt es vieleicht eine möglichkeit über den IIS die anderen sites garnicht erst erreichbar zu machen über 443, oder eben einen zugriff von extern zu verbieten?, das nur Quell-IPs aus dem internem netzwerk darauf zugreifen dürfen?

bearbeitet 24. April 2015 von Assassin

[datmox 26]

An der Sicherheit muss gespart werden, ganz klar! :rolleyes:

[Assassin 13]

wegen einem nicht vorhandenem RevProxy? oO

[NorbertFe 1.799]

Unsummen von Änderungen an Maschinen einsparen und dann noch die Netzwerkkarte. :rolleyes: Es gibt nicht viel mehr Möglichkeiten. Alles andere wird nur noch mehr Gebastel und das kannst du dann bitte auch selber rausfinden.

 

Bye

Norbert

[testperson 1.527]

Hi,

 

zum Lesen: http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx

Zum Reverse Proxy:

• Netscaler VPX Express: https://www.citrix.com/welcome.html?resource=/downloads/netscaler-gateway/product-software/netscaler-gateway-105-build-558
• KEMP Free Loadmaster: http://freeloadbalancer.com/
• oder oder oder...

Eine weitere Netzwerkkarte ist sogesehen auch nicht zwingend notwendig..

 

Alternativ kannst du auf den Handys ebenfalls einen VPN Tunnel einrichten und darüber EAS nutzen.

 

Unterm Strich wird es für den Kunden auf Dauer vermutlich günstiger "Unsummen" in die Umkonfiguration zu investieren als mit so einem "Gebastel" euch das Geld in den Rachen zu werfen ;)

 

Gruß

Jan

[Assassin 13]

so, system läuft nun, nach wie vor mit dem Pop connector. Es existieren auch rechner ohne Outlook welche auch nicht in der domäne eingebunden sind, welche aber dennoch über pop3 ihr Thunderbird angebunden haben, um eben den selben domänen-namen verwenden zu können...ich werde es also nicht umstellen. Es gab vorher ja auch eine besprechung welche wege es gibt wie man emails abrufen kann, und smtp abruf, also MX drehen war dann halt so nicht gewünscht, weil der aufwand und kosten deutlich höher wäre.

Das mit dem RevProxy kann man im nachhinein ja immernoch machen.

 

 

Eine andere sache welche mir übel aufstößt ist die, das Exchange 2013 ja anders als 2010 das Outlook IMMER über https anbindet, egal ob der rechner im eigenem netzwerk steht und in der Domäne ist...

 

so dauert das füttern des exchange natürlich mächtig lang, da er ja alles über die kleine internetleitung von hintenrum in den exchange reinschiebt, statt direkt über das LAN xD

das 2010er Exchange war wenigstens so schlau, das es standartmäßig nur über das LAN arbeitet, statt über https...

 

Also eine weitere hürde die man nun meistern muss in form von SplitDNS , nur damit die lokalen Clients ihre daten nicht erst über das internet in den Exchange stopfen...wer hat sich nur den quatsch einfallen lassen :( diese unnötige mehrarbeit.

Anscheinend geht MS davon aus, das es nur noch Notebooks gibt die unterwegs sind, auch wenn man einen Lokalen Exchange Server aufsetzt

[NorbertFe 1.799]

Was hat das Protokoll denn mit der Geschwindigkeit zu tun? LAN ist LAN egal ob Mapi/RPC oder https. ;)

[Assassin 13]

das schon, aber ich hab den eindruck, das die Clients über das Internet mit dem Exchange kommunizieren, weil der datenabgleich seeehr lange dauert :(

[MrCocktail 188]

das schon, aber ich hab den eindruck, das die Clients über das Internet mit dem Exchange kommunizieren, weil der datenabgleich seeehr lange dauert :(

 

Dann ist die Config falsch ..

Nur weil https gesprochen wird, ist das ja keine Internetverbindung.

[Assassin 13]

hmm, wie bekomme ich dann raus ob es nun übers Internet geht (also das der Client über das internet mit dem im selben internem netzwerk stehendem Exchange server kommuniziert) oder ob er doch seine daten schön im LAN umher schaufelt?

 

 

gut, einige PSTs waren über 10 bzw. 20GB groß, das dauert dann natürlich etwas eb der exchange damit gefüttert ist...

[testperson 1.527]

Router ausschalten ;)

[Assassin 13]

:D

wäre eine möglichkeit...aber gibt es vieleicht eine möglichkeit die weniger ärger für mich bedeuten würde? Ärger in form von Stress vom Firmen-Chef wenn urplötzlich sein Hit-Radio RTL Online-Streaming abbricht...

[datmox 26]

Nen tracert auf den Name des Mailservers?!