Skeeve

Mit Sicherheit nicht, die Frage drehte sich um "wirklich notwendig" Weiss nicht mehr so genau, wie ich darauf komme. Vermutlich falsch geschlussfolgert aus irgend einem Forum Das Konzept ist definitiv besser, aber unter "terminiert" verstehe ich blocken. Deine Aussage klingt für mich aber nach "Tor offen"!? Will ich auf keinen Fall. Und wie ich eingangs schrieb sind die Kosten Stein des Anstosses gewesen. Und beim SBS ist doch kein ISA dabei, oder? Danke für die Beteiligung! EDIT: SbS hat ja doch den ISA drin... Mein Fehler.

An den ESXi von VMware habe ich bereits gedacht, aber da hieß es, dass man im Hinblick auf Firewalls die Finger davon lassen sollte.

Ich möchte sicherstellen, dass niemand von extern Zugriff auf meine Daten erhält. Meinem Verständnis nach erledigt sich der Bedarf für mich, wenn der ISA die Pakete auch nur wie die Fritzbox weiter leitet. Im Falle SSL lehnt der ISA die Verbindung ab, wenn keine korrekte Aushandlung zustande kommt. Das ist gut, aber ist das besser als wenn es der Exchange selbst macht? Versteh mich nicht falsch, ich will den ISA nicht madig machen, ich überlege nur, ob ich mit ruhigem Gewissen meinen Exchangeserver mit einer eigenen externen Netzwerkkarte für die Ports 80,443,25,465 erreichbar machen kann, ohne meine Daten zu riskieren.

@Brainstorm Bist Du Dir sicher, dass das einen Sicherheitszugewinn bringt? Ist das nicht ausgehend in Kombination mit der Clientsoftware? @Jim di Griz Finde die Übersicht auch ausbaufähig. Aber für meinen konkreten Fall werte ich das als "brauchst Du nicht" :)

Hi Leute, in Anbetracht meiner meiner hohen Stromrechnung wäge ich gerade ab, ob ich wirklich einen ISA-Server brauche. Folgende Situation: Ein 2003 R2 64Bit Server mit Exchange 2007 läuft hinter eine Fritz!Box Fon WLAN. Dieser Server ist auch gleichzeitig DC und FileServer. Es gibt als Clients nur mich und einen weiteren Rechner. Der DSL-Anschluss verfügt über eine feste IP. Anforderung: Emailabgleich mit Laptop und/oder Handy (Active Sync, RPC over HTTPS) Webmail (OWA) - evtl. auch mal Sharepointordner oder Freigaben per OWA Emaileingang per SMTP(S) Warum die Frage? Nun, ich brauche keine Einschränkungen was den ausgehenden Traffic angeht. VPN brauche ich auch nicht unbedingt. Und nen Proxy ist auch nicht nötig. Nachdem was ich gelesen habe schaut der ISA gar nicht in die Pakete hinein und verwirft keine Pakete, die nicht standardkonform sind. Ich kann das nicht so recht glauben und wollte mir daher mal eure Meinung dazu anhören. Bin für jede Anregung dankbar!

Hi Sven, erstmal vielen Dank für Deine Tips. Deine beiden Varianten verwenden wir auch zusätzlich zu der Mobileversion vom TIC. Da die Laptopuser extern aber auch offline arbeiten sollen (Flugzeug, Hotel ohne Inet etc), brauchen wir ne Lösung für die Verwendung der Mobileversion. Bisher scheint da die Gatewayvariante die einzig praktikable zu sein. Schade eigentlich dass Tobit in der Hinsicht nicht weitergedacht hat. Ne Primäre und Sekundäre IP zu verwenden. Also, vielen Dank nochmal für die Anregungen, werde erstmal versuchen das Problem mittels Routing zu lösen. Gruß Skeeve

Ähm, ich verstehe Deinen Lösungsansatz leider nicht :) Wenn ich pro User nen DynDNSaccount habe und den beim hochfahren auf die atuelle WAN-IP umstelle habe ich doch gar nichts gewonnen?! Im Gegenteil, von Zuhause bekomme ich dann Fehler. Und per Hand die Lanip eintragen bzw die Wanip des Davidservers ist doch so aufwendig wie direkt im TIC Mobile. B Beschreib bitte nochmal was Du gemacht hast damit ich es verstehe :)

Idealerweise verwenden wir die IP. Mit Namen meinte ich den namen der externen ip. Meinste mit Gefrickelt, dass es etwas aufwendiger ist oder eher unsaubere Notlösung? Ich verstehe sowieso nicht warum das bei David so schlecht gelöst ist, aber wenns so sein muss dann solls halt so sein :( Als gateway ist derzeit ein managed switch eingetragen, der anfragen auf externe ips an einen router (fvs318 von netgear) weiterleitet. bei dem router kann ich aber soweit ich weiss nur routern für das eigene subnetz konfiguieren. werde mir mal den switch näher ansehen. denke, dass das auch die direkteste variante ist.

@ITHome Wir verwenden David in unserer Firma (Exchangeklon) und Benutzer, die einen Laptop verwenden können Ihre Daten auf den Rechner replizieren. Die Replikation erfolgt mit einer IP. Von extern geht das ohne weiteres. Intern soll die gleiche IP aber nicht den weg "aussen herum" machen sonder direkt auf den entsprechenden Server gelenkt werden. Die Alternative ist jedesmal die IP in der Konfiguration des Davidclients zu ändern was ich den Usern nur ungerne zumuten möchte. @Hirgelzwift wir haben eine Zone für unsere Domäne angelegt und einen Hosteintrag für den (bisher einzigen) DC angelegt. Auf genau dem Rechner läuft auch der Davidserver (vorerst). Leider habe ich Deinen Vorschlag noch nicht ganz verstanden oder ich habe mich im ersten Post nicht verständlich ausgedrückt :) Danke euch beiden schonmal für euer Interesse.

Hi, ich möchte einen bestimmten Namen / bestimmte IP, die extern steht auf eine interne IP weiterleiten. Leider habe ich dazu bisher nichts gefunden :( Kann mir da jemand nen tip geben? Danke & Gruß

Vielen Dank. Das funktioniert ja wunderbar. Werde mich also noch mit Kix beschäftigen :) Kann man damit einem User auch den Zugriff auf eine Datei des Ordners "Marketing" erteilen? Er bekommt den normalen Buchstaben für Marketing und sieht im Laufwerk aber nur die zwingend notwendige Ordnerstruktur und die für ihne freigegeben Datei. Wenn das geht bin ich für heute schonmal sehr glücklich. Gruß Skeeve

Hallo, bin neu hier und bin mit meinen AD-Kenntnissen noch ganz am Anfang. Habt also bitte Nachsicht mit mir :) Mein Wunsch ist es Gruppenlaufwerke zu machen. D.h. dass ich z.B. einen Ordner Fibu, Marketing, Vertrieb, etc habe. Für jeden Ordner gibt es eine Rechtegruppe (security) die auf den jeweiligen gleichnamigen Ordner angewandt wurde. Jetzt möchte ich, dass ein Benutzer, der Mitglied von "Marketing" ist automatisch den Ordner auf einen Laufwerksbuchstaben gemapt bekommt. Sollte eigentlich Pille Palle sein, aber ich habs bisher halt noch nicht gefunden bzw bin ich mit meinem Buch noch nicht soweit. Danke & Gruß Skeeve