Wolke2k4 11 Geschrieben 9. Oktober 2019 Melden Geschrieben 9. Oktober 2019 Hallo, mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre. Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können. Gibt es brauchbare Third Party Lösungen, die sich bei euch bewehrt haben, oder lasst ihr die Leute direkt auf den Exchange mittels Portforwarding? Danke schon mal für euren Input.
testperson 1.858 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 Hi, vor 6 Stunden schrieb Wolke2k4: Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. das heißt TMG / UAG? vor 6 Stunden schrieb Wolke2k4: Gibt es brauchbare Third Party Lösungen, die sich bei euch bewehrt haben, oder lasst ihr die Leute direkt auf den Exchange mittels Portforwarding? Da gibt es einige 3rd Party Lösungen. Kommt jetzt halt drauf an, was an Features benötigt wird und was sonst noch neben dem Exchange da ist sowie was dann unter Umständen am besten passt.. Citrix Netscaler ADC (ggfs. auch per "Freemium" -> Keine Pre Authentication) KEMP LoadMaster (ggfs. auch "Free LoadMaster" -> Kein HA) HA Proxy Ein "WebServer" mit entsprechenden Funkionen (Apache / NGINX / IIS) ... Gruß Jan P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;)
NorbertFe 2.279 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 Warum 2 kemp? Die freie Variante kann kein ha. ;)
testperson 1.858 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 vor 10 Minuten schrieb NorbertFe: Warum 2 kemp? Die freie Variante kann kein ha. ;) vor 53 Minuten schrieb testperson: P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;) ;)
NorbertFe 2.279 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 Und dahinter dann 1 exchange:p
testperson 1.858 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 (bearbeitet) An der Misere ist ja nun ganz klar MS schuld. Die könnten ja auch einfach einen zwei limitierten kleinen Exchange kostenlos bereitstellen. Noch was zum Thema Portforwarding: In der "Post TMG World" sah Microsoft es als unproblematisch an, den Exchange direkt zu veröffentlichen, da sie "securing our code, writing secure code, testing our code for security" betreiben. Das wurde ja aber auch schon widerlegt. ;) Aber auch wenn alles sicher ist, könnte man hinterfragen, ob man alles und jeden von extern an den Exchange lassen möchte und ob /ecp von extern eine gute Idee ist. (https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Life-in-a-Post-TMG-World-8211-Is-It-As-Scary-As-You-Think/ba-p/592683) bearbeitet 10. Oktober 2019 von testperson
NorbertFe 2.279 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 Naja /ecp lässt sich ja einschränken. Geht halt mit Reverse Proxy nur einfacher. ;)
testperson 1.858 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 vor einer Stunde schrieb NorbertFe: Naja /ecp lässt sich ja einschränken. Microsoft sieht das doch mit einem weiteren Exchange Server vor. Was wiederum vor 1 Stunde schrieb NorbertFe: Und dahinter dann 1 exchange dieses "Problem" erledigt sowie im Idealfall einen passenden LoadBalancer inkl. Reverse Proxy mitbringt. Fall gelöst. :)
magheinz 111 Geschrieben 10. Oktober 2019 Melden Geschrieben 10. Oktober 2019 wir haben zwei haproxys in der DMZ. Die Exchanges hängen im internen Netz. Ob in Zukunft die netscaler die Funktion der haproxys übernehmen ist noch nicht geklärt...
screamager 2 Geschrieben 16. Oktober 2019 Melden Geschrieben 16. Oktober 2019 Am 10.10.2019 um 00:14 schrieb Wolke2k4: Hallo, mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre. Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können. Hi! "Relativ" simpel geht das mit einer Sophos UTM, egal ob auf Blech oder virtuell und dann die Web Application Firewall (Reverse Proxy) davor. Anleitung gibt es bei frankysweb. Grüße, Rüdiger
Nobbyaushb 1.580 Geschrieben 16. Oktober 2019 Melden Geschrieben 16. Oktober 2019 Meine Antwort lautet - es kommt drauf an Viele meiner Kunden reichen das einfach direkt durch, einige habe eine Firewall oder Loadbalancer, der das kann Ist natürlich auch ein bisschen vom Geldbeutel abhängig...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden