Jump to content

Best Practice ActiveSync Zugriff

ablaze

Von ablaze
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ablaze Proficient

ablaze   10

Geschrieben
Geschrieben

Guten Morgen zusammen,

 

ich habe eine Frage bezüglich dem Best Practice für ActiveSync Zugriffe von Mobilen Endgeräten (iOS, Windows Phone, oÄ.) auf eine Exchange Umgebung.

 

Was klar ist, dass der Exchange-Server/ Umgebung im internen Netzwerk steht und nicht direkt von außen erreichbar ist.

Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll.

 

Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist.

 

Gibt es noch andere Möglichkeiten/ Ideen?

 

Gibt es eine Empfehlung von Microsoft?

 

 

Danke und Grüße

Sebastian

Link zu diesem Kommentar
RobertWi Grand Master

RobertWi   81

Geschrieben
Geschrieben

Moin,

 

Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll.

 

Eigentlich sogar bis 2020. Er ist 2010 erschienen, 5 Jahre Mainstream + 5 Jahre Extended Support. Wobei die zweiten 5 Jahre vollkommen freiwillig sind. Wenn MSFT nicht mehr will, schalten sie den Support ab.

 

Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist.

 

1. Der Edge macht ein anderes Protokoll -> SMTP. EAS ist HTTPS, das ging noch nie über den Edge.

2. Also ich finde den Edge in der Einrichtung deutlich einfacher, als einen TMG. Der ET macht doch alles alleine - dank gut abgestimmter Assistenten.

 

Gibt es noch andere Möglichkeiten/ Ideen?

 

Dritt-Anbieter. Wobei man aufpassen muss, dass die Push können. Da ist ein verbogenes HTTP-Protkoll und es gibt Reverse Proxys, die das nicht mögen.

 

Gibt es eine Empfehlung von Microsoft?

 

Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt.

 

Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen.

 

Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar.

 

Link zu diesem Kommentar
ablaze Proficient

ablaze   10

Geschrieben
  • Autor
Geschrieben

Hallo Robert,

 

vielen Dank für deine Antwort.

 

Ja mit dem Support, habe ich wohl was verwechselt. Die Microsoft Product Lifecycle Datenbank ist hier eindeutig.

 

Mainstream Support bis 14.04.2015

Extended Support bis 14.04.2020

 

 

Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt.

 

Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen.

 

Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar.

 

Somit würdest du auch nicht dem TMG dazwischen schalten?

 

 

 

Grüße

Sebastian

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...