sammy2ooo 10 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Hallo Ist es möglich OWA und OMA zu deaktiveren aber Exchange ActiveSync weiterzuverwenden? Gruss Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Hallo Ist es möglich OWA und OMA zu deaktiveren aber Exchange ActiveSync weiterzuverwenden? Gruss Klar. Kommt drauf was genau du erreichen willst. Welche Version von Exchange kommt zum Einsatz und setzt du evtl. einen ISA Server ein? Bye Norbert Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 8. Januar 2009 Autor Melden Teilen Geschrieben 8. Januar 2009 Es geht darum, dass wir unsere bestehende IPsec VPN Lösung durch eine SSL-VPN Lösung ersetzen wollen. Ich möchte für unser Netzwerk nur noch einen zentralen, externen Zugriffspunkt für die User haben. D.h. ich würde den Exchange 2003 Frontend Server aus der DMZ nehmen und Zugriffe auf OWA nur noch über die SSL-VPN Appliance laufen lassen. Als Folge könnten die User dann ihre Handys nicht mehr per Exchange ActiveSync synchronisieren und ich müsste Exchange ActiveSync direkt auf den Backend Server zulassen, allerdings dann ohne OMA, OWA... P.S: Einen ISA Server setzen wir nicht ein. Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 8. Januar 2009 Melden Teilen Geschrieben 8. Januar 2009 Es geht darum, dass wir unsere bestehende IPsec VPN Lösung durch eine SSL-VPN Lösung ersetzen wollen. Ich möchte für unser Netzwerk nur noch einen zentralen, externen Zugriffspunkt für die User haben. D.h. ich würde den Exchange 2003 Frontend Server aus der DMZ nehmen und Zugriffe auf OWA nur noch über die SSL-VPN Appliance laufen lassen. Der Frontend ist in der DMZ sowieso an der falschen Stelle. Als Folge könnten die User dann ihre Handys nicht mehr per Exchange ActiveSync synchronisieren und ich müsste Exchange ActiveSync direkt auf den Backend Server zulassen, allerdings dann ohne OMA, OWA... P.S: Einen ISA Server setzen wir nicht ein. Habt ihr nur eine public IP oder wie? Den Frontend würde ich nicht ablösen. Bye Norbert Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 8. Januar 2009 Autor Melden Teilen Geschrieben 8. Januar 2009 Nein, wir haben mehr wie eine public IP. Also wenn ich dich richtig verstanden habe, soll ich denn FE Server ins LAN packen und den dann per public IP erreichbar machen... richtig? Aber wie stelle ich dann sicher, dass OWA und OMA nicht mehr benutzt werden. ActiveSync läuft ja über https oder? EDIT: Wenn der FE Server nicht in die DMZ gehört, hat sich mir der Sinn eines FE noch nicht erschlossen... wofür dann überhaupt einen FE? Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 9. Januar 2009 Autor Melden Teilen Geschrieben 9. Januar 2009 *push* Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 EDIT: Wenn der FE Server nicht in die DMZ gehört, hat sich mir der Sinn eines FE noch nicht erschlossen... wofür dann überhaupt einen FE? Der Front-End-Server ist z.B. dann sinnvoll, wenn es mehrere Mailbox-Servers gibt. Dann brauchen sich die User nur den Namen des einen FE-Servers für den Zugriff über OWA/OMA/AS zu merken. Es braucht auch über den ISA nur dieser veröffentlich zu werden. Da der FE Server aber jede Menge Connections über verschiedene Ports zum AD und zum Exchange Backend hält, müsste die FW zwischen Exchange FE und BE all diese Verbindungen auch zulassen. Hier kannst Du eine Liste finden: http://www.isaserver.org/articles/2004dmzfebe.html Wenn es in Frage kommt, würde ich Exchange AS, wie auch Norbert schon schrieb, über einen ISA veröffentlichen. Der ISA 2006 hat dafür einen guten Wizard, bei dem man entscheiden kann, welche Zugriffsmethoden man veröffentlicht. Man kann also z.B. nur Exchange AS veröffentlichen, aber OWA/OMA nicht. Christoph Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Hallo, welche SSL VPN Appliance habt Ihr geplant. Wenn es das IAG 2007 von Microsoft sein sollte kann über den darunterliegenden ISA problemlos EAS veröffenlicht werden, alles über eine Box. Einen Frontend Server brauch Ihr aber weiterhin (im internen LAN) wenn es mehr als einen Exchange Server gibt. ASR Zitieren Link zu diesem Kommentar
sammy2ooo 10 Geschrieben 9. Januar 2009 Autor Melden Teilen Geschrieben 9. Januar 2009 Hm also wir haben nur einen BE Server im Einsatz.... d.h. wir könnten dann auch ohne FE leben... Wir haben eine Juniper Secure Access 2500 mit einer RSA 2 Wege Authentisierung geplant... das macht das ganze so kompliziert... Hier noch eine Grafik zur Verdeutlichung: Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 9. Januar 2009 Melden Teilen Geschrieben 9. Januar 2009 Hm also wir haben nur einen BE Server im Einsatz.... d.h. wir könnten dann auch ohne FE leben... Das bedeutet aber im Umkehrschluss, dass dein einer wichtiger Mailboxserver direkt aus dem Internet erreichbar ist ;) Du kannst natürlich pro User auch die OMA und OWA Option deaktivieren. Praktischer wäre natürlich eine Firewall (wie den ISA) zu nutzen der die entsprechenden Zugriffe durchläßt bzw. blockt. Schau doch mal bei Juniper, ob die das nicht auch können. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.