Jump to content
Sign in to follow this  
playaz

Exch 2010, ISA 2006, TLS 1.2 Support?

Recommended Posts

Hi,

 

da MS demnächst TLS 1.0 und 1.1 einstampft und durch TLS 1.2 ersetzt hätte ich ein paar Fargen dazu.

 

Wir haben noch einen alten ISA 2006 auf Windows 2003 Server laufen und Exchange 2010 auf 2008R2.

Exchange 2010 TLS 1.2 ready zu machen ist relativ einfach, RU 20 und ein .Net Patch für 2008 R2.

 

 

Da OWA auch über den ISA Server geht, müsste man den auch TLS 1.2 fit machen oder reicht das es nur der Exchange kann?

Meines Wissens nach unterstützt der Server 2003 gar kein TLS 1.2?

 

Der Plan ist nächstes Jahr auf eine aktuelle Exchange Version zu migrieren und den ISA Server durch eine andere Lösung abzulösen.

 

Danke!

 

lg

 

Share this post


Link to post
Share on other sites

Nein, nicht unterstützt. Werfe den 12Jahre alten ISA dahin wo er hin gehört.

IMHO ist es sicherer Exchange 2010 direct zu veröffentlichen als durch ISA 2006 auf Windows Server 2003 - für beides gibt es seit langem keine Sicherheitsupdates mehr.

 

ASR

Share this post


Link to post
Share on other sites

Solange du den ISA für die Web-Veröffentlichung benutzt wirst du um alte TLS Versionen nicht herumkommen. Und wer noch ISA 2006 auf WINDOWS 2003 einsetzt, hat andere Probleme als TLS 1.0. ;)

Share this post


Link to post
Share on other sites

Ich kann mich nur anschließen: Das gibt nix mit dem alten ISA. 

 

Wieviele User greifen über den ISA zu? Ich werfe mal einen Citrix NetScaler Express ins Rennen. Kostenlos, aber bandbreitenlimitiert.

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb DocData:

Ich kann mich nur anschließen: Das gibt nix mit dem alten ISA. 

 

Wieviele User greifen über den ISA zu? Ich werfe mal einen Citrix NetScaler Express ins Rennen. Kostenlos, aber bandbreitenlimitiert.

Wir haben einen NetScaler VPX 10 aber keine Enterprise Lizenz. mit der es angeblich nur möglich ist den ISA zu ersetzen.

 

Wir könnten kostengünstig eine höhere VPX mit der ensprechenden Lizenz bekommen nur kostet die Installation einiges. 

Den ISA will ich sowieso schon längst weg haben.

 

Jetzt ist die Überlegung unseren Exchange 2010 statt im 1Q. 2019 jetzt schon durchzuführen damit wir einmal das TLS Problem gelöst haben. Dann können wir uns immer noch nach einer sauberen Ablöse vom ISA kümmern.

 

Da stellt sich wieder die Grundlegende Frage bzgl.  Exchange Online oder On Premises.

 

Danke auf jeden Fall für die Antworten. 

 

Edited by playaz

Share this post


Link to post
Share on other sites
vor 15 Minuten schrieb playaz:

Wir könnten kostengünstig eine höhere VPX mit der ensprechenden Lizenz bekommen nur kostet die Installation einiges. 

(Ggfs. 2x) Lizenz hochladen + Reboot.

Wenn Ihr nicht eine wahnsinnig komplexe Umgebung (und / oder entsprechend Anforderungen) habt, sollte AAA für Exchange in nem halben Tag machbar sein.

Share this post


Link to post
Share on other sites
vor 6 Stunden schrieb testperson:

(Ggfs. 2x) Lizenz hochladen + Reboot.

Wenn Ihr nicht eine wahnsinnig komplexe Umgebung (und / oder entsprechend Anforderungen) habt, sollte AAA für Exchange in nem halben Tag machbar sein.

 

Korrekt. Lizenz rein, Neustarten, fertig. Mehr ist es nicht. 

 

Was das für eine Lizenz habt ihr denn?

Share this post


Link to post
Share on other sites
vor 19 Stunden schrieb playaz:

Wir haben einen NetScaler VPX 10 aber keine Enterprise Lizenz. mit der es angeblich nur möglich ist den ISA zu ersetzen.

Daraus würde ich auf Standard schließen. ;)

 

@playaz Bevor ich den ISA auf 2003 mit max. TLS1.0 weiterbetreibe würde ich entweder den Exchange direkt veröffentlichen oder in deinem Fall, da der Netscaler ja eh schon da ist, mit ein wenig Content Switch und Rewrite am Netscaler veröffentlichen. Oder eben direkt auf Enterprise und dann das volle Programm.

 

@magheinz Der kostenlose Kemp Loadmaster könnte den ISA (bzw. den Nachfolger das TMG) ablösen. Ansonsten sollte das ebenfalls mit Apache, nginx oder AFAIK auch dem HAProxy gehen.

Share this post


Link to post
Share on other sites
vor 15 Stunden schrieb magheinz:

Welche Funktion hat denn der USA genau? 

Eventuell kann man den auch durch ein opensource-Produkt austauschen. 

Eigentlich nicht viel. Proxy, Reverse Proxy und 2 Web Server werden darüber veröffentlicht. 

Gibt es kostengünstige Alterantiven?

Vlt. würde der kostenlose Kemp Loadmaster ausreichen?

Das Unternehmen ist nicht sonderlich groß, ca 180 aktive User davon benutzen OWA nur relativ wenige und den anderen Webserver auch nur ein paar User.

 

@testperson Wir haben die VPX10 (habe jetzt nicht all zu viel NS Erfahrung) und mir wurde gesagt das die Standard Lizenz nicht aureicht und mit der VPX10 nicht möglich sei.

Den Kemp Loadmaster habe ich mir angesehen, jedoch bietet der in der Free Edt. nur 20mbps, ob das ausreicht?

 

@DocData VPX 10, Standard Lizenz. Derzeit greifen User nur auf das Webinterface zu von extern.

Edited by playaz

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb magheinz:

Deswegen frage ich. Wir haben haproxy vor dem Exchange. Das ganze unter debian. Null lizenzkosten.

Meine Linux Kenntnisse sind quasi nicht vorhanden :D

Share this post


Link to post
Share on other sites

Mit der Standard Edition musst du eben auf die Pre-Authentication bzw. generell AAA verzichten. Ich würde da eher auf AAA verzichten, wie nur TLS1.0 "zu haben".

  • Ob Ihr das theoretisch überhaupt braucht bzw. nutzt, müsste man am ISA prüfen.
  • Ob 20Mbps reichen hängt wohl von den gleichzeitigen externen Usern ab. Euer Netscaler scheint ja auch mit 10Mbps klarzukommen

So wirklich Webinterface (Webinterface on Netscaler) oder doch schon Storerfront?

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb testperson:

Mit der Standard Edition musst du eben auf die Pre-Authentication bzw. generell AAA verzichten. Ich würde da eher auf AAA verzichten, wie nur TLS1.0 "zu haben".

  • Ob Ihr das theoretisch überhaupt braucht bzw. nutzt, müsste man am ISA prüfen.
  • Ob 20Mbps reichen hängt wohl von den gleichzeitigen externen Usern ab. Euer Netscaler scheint ja auch mit 10Mbps klarzukommen

So wirklich Webinterface (Webinterface on Netscaler) oder doch schon Storerfront?

Ja klar mit Storefront und 2 Factor Auth.

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...