Jump to content

Exchange Outlook Web App (OWA) veröffentlichen.

wznutzer

Von wznutzer
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

wznutzer Experienced

wznutzer   32

Geschrieben
Geschrieben
Guten Abend,
 
aus einem anderen Thread hier ging hervor, dass Exchange OWA die Lösung für ein Problem bei mir sein kann. Dazu muss natürlich OWA extern veröffentlich werden. Mir geht es nicht um eine Step-by-Step Anleitung sondern eher um Meinungen was als, sagen wir, best practice angesehen wird.
 
gegeben (alles W2K12 R2):
- DC, Exchange 2016, RDSH, RDGW mit Azure MFA
- alle verfügbaren CUs, Updates installiert.
- gute, lange, komplexe Passwörter im AD vorhanden
- kleine Umgebung 75 Clients
 

Möglichkeit 1:
Port 443 wird einfach veröffentlicht.
Schmeckt mir irgendwie nicht so ganz.

 

Möglichkeit 2:

Port 443 wird über einen separaten IIS mit aktiviertem Application Request Routing veröffentlicht. So könnte ich z. B. nur /owa und/oder Active-Sync freigeben, aber nicht /ecp. Somit steht aber ein IIS in der Domäne an erster Reihe, wäre aber auch bei Möglichkeit 1 so.

 

Möglichkeit 3:

Veröffentlichung mit der Kombination Web Application Proxy / ADFS. Pre-Auth, URL-Filterung soll alles gehen. Es gibt lt. Doku auch die Möglichkeit abgelaufene Passwörter zu ändern und es kann die Azure MFA für OWA integriert werden.

 

Wie macht ihr das so? Hat jemand das im Einsatz. Der TMG ist ja abgekündigt. In der Theorie hört sich Möglichkeit 3 (WAP/ADFS) am besten an. Allerdings stelle ich mir die Frage warum der Web Application Proxy besser und sicherer authentifizieren kann als der Exchange?

 

Danke und Grüße

Link zu diesem Kommentar
Nobbyaushb Grand Master

Nobbyaushb   1.355

Geschrieben
Geschrieben (bearbeitet)

Ich habe keinerlei Bauchschmerzen, den Exchange direkt über 443 zu veröffentlichen.

Mache ich bei meinem privaten 2016CU2 auch so.

 

WAP geht auch, ist aber deutlich Mehraufwand.

 

Bei uns in der Firma kann die Firewall die ehem. TMG-Funktionen, (Securepoint) das können mittlerweile auch die Kemp Loadbalancer.

 

;)

bearbeitet von Nobbyaushb
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.781

Geschrieben
Geschrieben

Moin,

 

in kleineren Umgebungen wie der beschriebenen macht man das heute meist über die Reverse-Proxy-Funktion der Firewall. Die meisten Mittelklasse-Systeme können das. In dem Fall hat man zwar meist keine Vorauthentifizierung, aber immerhin die Trennung. Nur den Port freigeben würde ich nicht.

 

Schönere Lösungen arbeiten mit einem höherwertigen Reverse Proxy. So machen wir das bei größeren Kunden gern mit NetScaler und dessen Authentifizierungsfunktion.

 

Gruß, Nils

Link zu diesem Kommentar
wznutzer Experienced

wznutzer   32

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Guten Morgen,

Ich habe keinerlei Bauchschmerzen, den Exchange direkt über 443 zu veröffentlichen.

Inzwischen habe ich gelesen, dass du damit ganz auf Linie von Microsoft ist. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so.

https://blogs.technet.microsoft.com/exchange/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think/

Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht."

 

in kleineren Umgebungen wie der beschriebenen macht man das heute meist über die Reverse-Proxy-Funktion der Firewall. Die meisten Mittelklasse-Systeme können das.

Wenn ich das richtig verstehe, ist die Reverse-Proxy-Funktion eine URL-Filterung. Das würde mir gefallen, auch wenn es in dem MS Blog etwas anders gesehen wird.

 

Der Markt an Security-Systemen ist ja nahezu unüberschaubar. Was setzt ihr den ein? Könnt ihr mir was empfehlen.

Meine Anforderungen wären:

  • Netzwerk mit 75 Clients
  • Firewall / Packetfilter, Router / Gateway in einem Gerät
  • Loadbalancing über 4 - 6 WAN-Leitungen
  • Port-Freigabe mit URL-Filterung (Reverse-Proxy :) )
  • VLAN-Routing zwischen einzelnen VLANs
  • DHCP-Server für verschiedene VLANs bereitstellen
  • Möglichkeit ein VPN zwischen zwei Standorten aufzubauen

Die Geräte von Lancom können das (Reverse-Proxy weiß ich nicht genau), deren Interface und Konfiguration finde ich allerdings nicht so gut. Ich glaube Citrix NetScaler sind etwas oversized.

 

Edit:

Die Hersteller der Geräte die ihr einsetzt würden mir reichen.

 

Danke und Grüße

bearbeitet von wznutzer
Link zu diesem Kommentar
Dunkelmann Veteran

Dunkelmann   96

Geschrieben
Geschrieben

Moin,

 

ich bin wie Nils kein Freund von einfachem Portweiterleitungen.

Es gibt einige Firewalls mit Reverseproxy (Cisco, Fortinet, Sophos usw.). Die machen alle ihren Job, schlagen bei Bedarf Alarm und sperren fragwürdige Hosts.

Nebenbei bieten die Systeme auch Möglichkeiten zum url rewrite/redirect. Damit lassen sich bspw. ver(w)irrte Anwender auf die gewünschte Startseite umleiten.

 

Vorauthentifizierung lässt sich über ADFS und WAP umsetzen.

Mit Server 2016 wird es (vermutlich) auch für RDWeb und RDGW die Möglichkeit zur Vorauthentifizierung und SSO per ADFS/WAP geben.

Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
Geschrieben

Die Hersteller der Geräte die ihr einsetzt würden mir reichen.

Moin,

wir hatten bis 2014 die Sophos (Astaro) UTM im Einsatz. Leider war aber das Lizenzsystem von Sophos zum Kotzen! Lizenzierung strikt nach geschützten IP-Adressen. Das wurde uns dann einfach zu teuer. 

Seit 2014 setzten wir einen Securepoint UTM-Cluster ein (Läuft bei uns auf eigener Hardware).

Nach anfänglichen Problemen mit der Auswahl des richtigen DL sind wir inzwischen sehr zufrieden. Die Securepoint UTM läuft sehr stabil und alle unsere Anforderungen sind abgedeckt. Securepoint fährt m.E. ein sehr faires Lizenzmodell (Userlizenzen unabhängig von der Anzahl der vorhandenen Geräte).

 

Gruß

Dirk

Link zu diesem Kommentar
wznutzer Experienced

wznutzer   32

Geschrieben
  • Autor
Geschrieben

Guten Abend,

Leider war aber das Lizenzsystem von Sophos zum Kotzen! Lizenzierung strikt nach geschützten IP-Adressen. Das wurde uns dann einfach zu teuer. 

Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden.

 

 

Bei den Anforderungen ist Load-Balancing von 4-6 WAN-Leitungen aufgeführt. Und sowas können aktuelle UTM's AFAIK  

Wobei der Autor mit ziemlicher Sicherheit das ausgehende Load-Balancing meint.

Ja, ganz genau. Ich muss den initial ausgehenden Traffic über 4 in Zukunft vielleicht auch 6 Leitungen abwickeln.

Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
Geschrieben

Guten Abend,

Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden.

Nur so als Denkanstoß.

Wir haben uns gegen eine Hardwareappliance von Securepoint entschieden und nutzen Securepoint als VM auf einem seperaten VMWare-Host. Es war deutlich günstiger einen eigenen Server (Dell R320) mit Xeon Quadcore, 8GB RAM, 8 x LAN und SSD incl. Wartungsvertrag zu kaufen als die RC300 von Securepoint zu nehmen. 

Man hätte die Securpoint UTM auch native auf die Dell Hardware installieren können, aber aus Supportgründen wurde uns seitens Securepoint davon abgeraten. Der virtuelle Betrieb der UTM ist dagegen ausdrücklich freigegeben (VMWare oder HyperV).

Und sucht Euch bloß einen kompetenten Partner für die Umsetzung Eurer Anforderungen! Am besten lasst Ihr Euch vorher eine Referenzkundenliste des Partners geben.

Wir sind mit unserem ersten Partner bös auf die Schnauze gefallen!

Link zu diesem Kommentar
wznutzer Experienced

wznutzer   32

Geschrieben
  • Autor
Geschrieben

Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mehr userabhängig. Das hat sich wohl von der SG zur XG Serie geändert.

 

Ich muss mich selber korrigieren. Bei der SG zahlt man pauschal für das was die Sophos-Hardware kann, userunabhängig. Die XG ist von Anzahl RAM und Core abhängig. Nur bei der Softwarevariante der SG ist es streng nach IP-Adressen.

Und sucht Euch bloß einen kompetenten Partner für die Umsetzung Eurer Anforderungen!

 

  

Wir sprechen hier wahrscheinlich von unterschiedlichen Dimensionen. Einen Dienstleister würde ich erst gar nicht beauftragen.

4-6 WAN Leitungen? Wenn ich über sowas stolpere hat das meistens keine sinnvollen Gründe.

 

In schlecht versorgten ländlichen Gebieten gibt es diese sinnvollen Gründe.

 

Meine Meinung zur Auswahl hat sich nochmals geändert. Werde doch eine Sophos SG230 nehmen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...