Exch Server für OMA/OWA vorbereiten

[Sorcerer 10]

Hi,

 

ich hab mal ne kurze Frage an euch.

 

Ich hab einen Kunden der einen Win 2003 Server SP2 mit Exchange Server 2003 SP2 im Einsatz hat.

 

Dieser Kunde würde nun gerne den Zugriff von aussen per AktiveSync/OMA für Geräte wie iPhone usw. ermöglichen.

 

Er hat aber keine DMZ usw. im Betrieb. Wie würdet ihr den Zugriff auf den Exchange Server ermöglichen, einfach den HTTPS Port 443 auf die interne IP Adresse des Exchanger Server weiterleiten oder reißt man sich damit eine große Sicherheitslücke auf?

 

Ich dachte erst an einen vorgeschalteten Rechner mit Apache Webserver und einem Reverse Proxy, aber ohne DMZ ist die Lösung ja auch nicht sehr sinnvoll.

 

Vielen Dank für evtl. weiterhelfende Tipps.

 

Gruß,

 

Marcel

[NorbertFe 2.032]

Naja viel mehr Möglichkeiten bleiben dir aber nicht. ;) Wobei nicht das Vohandensein einer DMZ automatisch mehr Sicherheit bringt. Denn in der DMZ müßte dann ja der ReverseProxy positioniert sein. Wenn du den Apache entsprechend absichern kannst, wäre das eine Variante. Die "technisch schönere" Lösung wäre der Einsatz eines ISA Servers der die Authentifizierung entgegennehmen kann und SSL Bridging beherrscht.

 

Bye

Norbert

[Christoph35 10]

Ich würde empfehlen, den ISA vorzuschalten. Der ist entweder als Software auf einem Windows Server zu installieren, oder als Appliance zu erwerben.

 

Gerade im Bereich Veröffentlichung von Exchange (OWA/OMA/ActiveSync) etc. hat der ISA Server eine Menge zu bieten

 

/edit: ok, diesmal warst Du schneller, Norbert ;)

 

Christoph

[NorbertFe 2.032]

Off-Topic:

/edit: ok, diesmal warst Du schneller, Norbert ;)

Wieso diesmal? ;)

Bye
Norbert

[Sorcerer 10]

Hallo,

 

na das ging ja rasend schnell, vielen Dank und Respekt mal wieder an das Forum und seine Member ;)

 

@Norbert

 

Ja, ne DMZ alleine bringt keine Sicherheit, wohl wahr. Mit ner DMZ, in der der Proxy Server steht, würde die ReverseProxy Lösung ja nunmal wesentlich mehr sinn machen als wenn der auch im gleichen internen LAN steht. Aber ne DMZ ist schlecht einzurichten da die dort nur 1 feste IP haben für die Leitung.

 

 

An die ISA Lösung habe ich auch schon gedacht, aber wie ist das Lizenztechnisch dort gerade bei MS. Muss ich hierzu noch nen neuen Server mit Win2003 Srv und zusätzlich noch eine ISA Server Lizenz erwerben? Weil da ist man dann ja locker mit 2000€ und mehr dabei, könnte mir vorstellen das die sich da auf die Hinterbeine stellen.

 

Gruß,

 

Marcel

[Christoph35 10]

Off-Topic:

 

 

 

 

Wieso diesmal? ;)

 

Bye

Norbert

 

Off-Topic:

Stichwort blauer Zahn ;)

[NorbertFe 2.032]

Ja, ne DMZ alleine bringt keine Sicherheit, wohl wahr. Mit ner DMZ, in der der Proxy Server steht, würde die ReverseProxy Lösung ja nunmal wesentlich mehr sinn machen als wenn der auch im gleichen internen LAN steht. Aber ne DMZ ist schlecht einzurichten da die dort nur 1 feste IP haben für die Leitung.

 

Man kann eine DMZ ja auch mit nur einer externen IP aufbauen. ;) Ich sehe da eigentlich kein Problem.

 

An die ISA Lösung habe ich auch schon gedacht, aber wie ist das Lizenztechnisch dort gerade bei MS. Muss ich hierzu noch nen neuen Server mit Win2003 Srv und zusätzlich noch eine ISA Server Lizenz erwerben? Weil da ist man dann ja locker mit 2000€ und mehr dabei, könnte mir vorstellen das die sich da auf die Hinterbeine stellen.

 

Naja du kannst entweder alles einzeln erwerben, oder eben wie Christoph schon schrieb auch eine ISA Appliance kaufen. Bspw.

SecureGUARD - ISA Server oder

Pyramid Computer GmbH - ValueServer SEC

 

Der ISA bietet ja auch noch ne Menge mehr als nur OWA/OMA Veröffentlichung ;)

 

Bye

Norbert

–

Off-Topic:

Stichwort blauer Zahn ;)

 

Achso, stimmt.

 

Bye

Norbert