Jump to content
Dieses Thema

Best Practice ActiveSync Zugriff

ablaze

Von ablaze
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ablaze Proficient

ablaze   10

Geschrieben
Geschrieben

Guten Morgen zusammen,

 

ich habe eine Frage bezüglich dem Best Practice für ActiveSync Zugriffe von Mobilen Endgeräten (iOS, Windows Phone, oÄ.) auf eine Exchange Umgebung.

 

Was klar ist, dass der Exchange-Server/ Umgebung im internen Netzwerk steht und nicht direkt von außen erreichbar ist.

Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll.

 

Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist.

 

Gibt es noch andere Möglichkeiten/ Ideen?

 

Gibt es eine Empfehlung von Microsoft?

 

 

Danke und Grüße

Sebastian

RobertWi Grand Master

RobertWi   81

Geschrieben
Geschrieben

Moin,

 

  Am 2.5.2013 um 07:08 schrieb ablaze:

Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll.

 

Eigentlich sogar bis 2020. Er ist 2010 erschienen, 5 Jahre Mainstream + 5 Jahre Extended Support. Wobei die zweiten 5 Jahre vollkommen freiwillig sind. Wenn MSFT nicht mehr will, schalten sie den Support ab.

 

  Am 2.5.2013 um 07:08 schrieb ablaze:

Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist.

 

1. Der Edge macht ein anderes Protokoll -> SMTP. EAS ist HTTPS, das ging noch nie über den Edge.

2. Also ich finde den Edge in der Einrichtung deutlich einfacher, als einen TMG. Der ET macht doch alles alleine - dank gut abgestimmter Assistenten.

 

  Am 2.5.2013 um 07:08 schrieb ablaze:

Gibt es noch andere Möglichkeiten/ Ideen?

 

Dritt-Anbieter. Wobei man aufpassen muss, dass die Push können. Da ist ein verbogenes HTTP-Protkoll und es gibt Reverse Proxys, die das nicht mögen.

 

  Am 2.5.2013 um 07:08 schrieb ablaze:

Gibt es eine Empfehlung von Microsoft?

 

Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt.

 

Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen.

 

Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar.

 

ablaze Proficient

ablaze   10

Geschrieben
  • Autor
Geschrieben

Hallo Robert,

 

vielen Dank für deine Antwort.

 

Ja mit dem Support, habe ich wohl was verwechselt. Die Microsoft Product Lifecycle Datenbank ist hier eindeutig.

 

Mainstream Support bis 14.04.2015

Extended Support bis 14.04.2020

 

 

  Am 2.5.2013 um 07:16 schrieb RobertWi:

Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt.

 

Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen.

 

Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar.

 

Somit würdest du auch nicht dem TMG dazwischen schalten?

 

 

 

Grüße

Sebastian

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...