Jump to content

Best Practice ActiveSync Zugriff


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Morgen zusammen,

 

ich habe eine Frage bezüglich dem Best Practice für ActiveSync Zugriffe von Mobilen Endgeräten (iOS, Windows Phone, oÄ.) auf eine Exchange Umgebung.

 

Was klar ist, dass der Exchange-Server/ Umgebung im internen Netzwerk steht und nicht direkt von außen erreichbar ist.

Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll.

 

Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist.

 

Gibt es noch andere Möglichkeiten/ Ideen?

 

Gibt es eine Empfehlung von Microsoft?

 

 

Danke und Grüße

Sebastian

Link to comment

Moin,

 

Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll.

 

Eigentlich sogar bis 2020. Er ist 2010 erschienen, 5 Jahre Mainstream + 5 Jahre Extended Support. Wobei die zweiten 5 Jahre vollkommen freiwillig sind. Wenn MSFT nicht mehr will, schalten sie den Support ab.

 

Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist.

 

1. Der Edge macht ein anderes Protokoll -> SMTP. EAS ist HTTPS, das ging noch nie über den Edge.

2. Also ich finde den Edge in der Einrichtung deutlich einfacher, als einen TMG. Der ET macht doch alles alleine - dank gut abgestimmter Assistenten.

 

Gibt es noch andere Möglichkeiten/ Ideen?

 

Dritt-Anbieter. Wobei man aufpassen muss, dass die Push können. Da ist ein verbogenes HTTP-Protkoll und es gibt Reverse Proxys, die das nicht mögen.

 

Gibt es eine Empfehlung von Microsoft?

 

Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt.

 

Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen.

 

Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar.

 

Link to comment

Hallo Robert,

 

vielen Dank für deine Antwort.

 

Ja mit dem Support, habe ich wohl was verwechselt. Die Microsoft Product Lifecycle Datenbank ist hier eindeutig.

 

Mainstream Support bis 14.04.2015

Extended Support bis 14.04.2020

 

 

Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt.

 

Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen.

 

Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar.

 

Somit würdest du auch nicht dem TMG dazwischen schalten?

 

 

 

Grüße

Sebastian

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...