OWA speziellen Benutzern nur internen Zugriff auf owa geben

[joker2k 10]

Hallo zusammen,

 

wir haben einen Exchange 2003 Server und verwenden OWA

 

Jetzt sollen einige user von intern auf das OWA kommen aber von extern soll der Zugriff verweigert werden.

 

Andere Benutzer sollen aber weiterhin von extern und intern auf OWA zugreifen können.

 

 

hat jemand eine Idee, wie das zu realisieren ist?

[NorbertFe 2.102]

Am einfachsten per vorgeschaltetem ISA/TMG zu erreichen.

 

Bye

Norbert

[iDiddi 27]

Oder, falls machbar, einfach den externen OWA-Zugriff abschalten und VPN über Routing und RAS benutzen. Dann müssen diejenigen Benutzer, die weiterhin Zugriff bekommen sollen, halt vorher eine VPN-Verbindung aufbauen und dann die lokale Webseite öffnen. Der große Vorteil an dieser Lösung ist, dass die Benutzer nun auch auf alle anderen Daten im Netz zugreifen können ;)

 

Würde dann aber extra VPN-Benutzer (wg. sicherer Passwörter) einrichten.

[NorbertFe 2.102]

Hmm wo genau ist der Vorteil davon? Ich sehe das eher als sehr viel größeres Risiko. Immerhin kann ich auch an alle anderen Daten. ;)

 

Bye

Norbert

[iDiddi 27]

Hmm wo genau ist der Vorteil davon? Ich sehe das eher als sehr viel größeres Risiko. Immerhin kann ich auch an alle anderen Daten.

Nun gut. Der Server soll nun mal von außen erreichbar sein. Entweder über den Webserver (IIS 6) oder halt über RAS. Da hab ich beim IIS aber mehr Bauchschmerzen als bei einer RAS-Verbindung mit 20-stelligem Benutzerkennwort. Und der Benutzer kommt ja auch nur an die Daten, auf die er ja sonst auch lokal Zugriff hätte.

 

Das hängt natürlich alles davon ab, was, und wie viel man will. Falls wirklich nur der OWA-Zugriff erwünscht ist, dann ist Deine Lösung über die ISA-Firewall natürlich eher zu empfehlen :)

 

Ich finde, wenn Mitarbeiter schon von extern Zugriff bekommen, dann doch bitteschön so, dass sie an alle ihre Daten kommen ;)

[NorbertFe 2.102]

Nun gut. Der Server soll nun mal von außen erreichbar sein.

 

Ja für einige. ;)

 

Da hab ich beim IIS aber mehr Bauchschmerzen als bei einer RAS-Verbindung mit 20-stelligem Benutzerkennwort.

 

Ich nicht. Wenn der IIS "soooooooooooooo" kritisch überall unterwegs wäre, gäbe es eine ganze Menge an Exchangeservern die nicht sinnvoll funktionieren würden. Natürlich geht es immer noch sicherer, aber so wie du das siehst, ist es auch nicht. Hängt wie gesagt natürlich vom geforderten Sicherheitslevel ab.

 

Und der Benutzer kommt ja auch nur an die Daten, auf die er ja sonst auch lokal Zugriff hätte.

 

Ja aber von einem Computer, den du möglicherweise nicht unter Kontrolle hast. Und per RRAS ist die VPN Konfiguration auch nicht grad wirklich sicher zu bekommen. ;)

 

Das hängt natürlich alles davon ab, was, und wie viel man will.

 

Bingo.

 

Falls wirklich nur der OWA-Zugriff erwünscht ist, dann ist Deine Lösung über die ISA-Firewall natürlich eher zu empfehlen :)

 

Richtig und der könnte auch das VPN deutlich sinnvoller ;)

 

Ich finde, wenn Mitarbeiter schon von extern Zugriff bekommen, dann doch bitteschön so, dass sie an alle ihre Daten kommen ;)

 

Ich nicht. Wozu auch? Die Daten werden im Allgemeinen ja nicht extern benötigt. und falls doch, gibt es bessere Lösungen als VPN. ;)

 

Bye

Norbert

[iDiddi 27]

Ja aber von einem Computer, den du möglicherweise nicht unter Kontrolle hast.

OK. Das ist ein Argument. Aber die Mitarbeiter sollen ja nicht gerade in ein Internet-Café rennen. Ich gehe hier eher von Laptop-Benutzern aus. Außerdem gibt es da doch schon Technologien, die für einen gewissen Sicherheitsstandard sorgen (z.B. NAP).

 

Und per RRAS ist die VPN Konfiguration auch nicht grad wirklich sicher zu bekommen.

Das sehe ich wiederum anders. Vor kurzem habe ich noch hier im Forum die Frage nach der Sicherheit von RRAS gestellt und da hat niemand die Unsicherheit bestätigen können (übrigens auch Du nicht).

 

http://www.mcseboard.de/windows-server-forum-78/sicher-unsicher-standard-ras-zugriff-171440.html

 

Richtig und der könnte auch das VPN deutlich sinnvoller

Da hast Du vermutlich Recht. Ich muss zu meiner Schande gestehen, dass ich mich noch nicht viel mit dem ISA beschäftigt habe :o

 

Ich nicht. Wozu auch? Die Daten werden im Allgemeinen ja nicht extern benötigt.

Nicht? Wozu dann Zugriff auf die Postfächer? Nur ein Beispiel: Kunde schreibt: "Brauche dringend das und das Angebot. Möglichst sofort". Tja, Kunde. Bekomme zwar Deine Nachricht, hab aber leider keinen Zugriff auf meine Dateien auf dem Server. Musste wohl bis morgen warten :eek:

 

und falls doch, gibt es bessere Lösungen als VPN.

Klar gibt es bessere Lösungen. Aber die VPN-Lösung ist für bestimmte Anwendungsszenarien ja nicht schlecht (Außendienstmitarbeiter mit Firmen-Laptops). Hab ja auch nicht behauptet, das es DIE LÖSUNG ist sondern das eher als Alternative zum ISA-Einsatz gemeint.

 

Off-Topic:

Ich hoffe, wir entfernen uns nicht allzu sehr vom Ursprungs-Beitrag :D

[NorbertFe 2.102]

OK. Das ist ein Argument. Aber die Mitarbeiter sollen ja nicht gerade in ein Internet-Café rennen. Ich gehe hier eher von Laptop-Benutzern aus. Außerdem gibt es da doch schon Technologien, die für einen gewissen Sicherheitsstandard sorgen (z.B. NAP).

 

Ja, aber wenn man NAP implementiert, bekommt man das sicher schneller einfacher mit nem ISA/TMG hin und kann daran dann auch noch NAP konfigurieren, meinst du nicht? Zieh dich hier jetzt nicht aus der Affäre, denn du weißt sicher genauso gut wie ich, dass NAP zu dieser Anfrage sicher vollkommen oversized ist. ;)

Abgesehen davon, wie willst du denn mal eben einschränken wer aufs VPN mit welchem PC darf und wer nicht? Normalerweise geht das sinnvoll nur mittels Certifikatsauthentifizierung (eventuell erhellt mich ja noch jemand) und die implementiert man auch nicht mal eben so nebenbei mit.

 

Das sehe ich wiederum anders. Vor kurzem habe ich noch hier im Forum die Frage nach der Sicherheit von RRAS gestellt und da hat niemand die Unsicherheit bestätigen können (übrigens auch Du nicht).

 

http://www.mcseboard.de/windows-server-forum-78/sicher-unsicher-standard-ras-zugriff-171440.html

 

Und? Erklär doch mal, wie du per RRAS innerhalb des Tunnels dann die Protokolle einschränkst und sag jetzt bitte nicht per IP Filterung. ;)

 

Da hast Du vermutlich Recht. Ich muss zu meiner Schande gestehen, dass ich mich noch nicht viel mit dem ISA beschäftigt habe :o

 

Hmm.

 

 

 

Nicht? Wozu dann Zugriff auf die Postfächer? Nur ein Beispiel: Kunde schreibt: "Brauche dringend das und das Angebot. Möglichst sofort". Tja, Kunde. Bekomme zwar Deine Nachricht, hab aber leider keinen Zugriff auf meine Dateien auf dem Server. Musste wohl bis morgen warten :eek:

 

Du mußt mir jetzt keine Szenarien aufmalen. ;) Ich kenne sowas selbst. Aber trotz allem bin ich kein Freund von VPN. Dafür gibts dann Lösungen wie Remote Desktop und/oder Xenapp.

 

 

Klar gibt es bessere Lösungen. Aber die VPN-Lösung ist für bestimmte Anwendungsszenarien ja nicht schlecht (Außendienstmitarbeiter mit Firmen-Laptops). Hab ja auch nicht behauptet, das es DIE LÖSUNG ist sondern das eher als Alternative zum ISA-Einsatz gemeint.

 

Die ich auch nur damit kommentiert habe, dass dein genannter Vorteil genauso gut ein Nachteil ist/sein kann. ;)

 

Off-Topic:

Ich hoffe, wir entfernen uns nicht allzu sehr vom Ursprungs-Beitrag :D

 

Hmm gehört für mich zumindest mit zur Lösung, dass man auch mal über die Vorschläge diskutiert.

 

Bye

Norbert

[iDiddi 27]

Du musst auch immer das letzte Wort haben, Norbert ;)

 

Zieh dich hier jetzt nicht aus der Affäre, denn du weißt sicher genauso gut wie ich, dass NAP zu dieser Anfrage sicher vollkommen oversized ist.

Woher willst Du das denn wissen? Der Themenersteller hat doch dazu gar keine Angaben gemacht. Wahrscheinlich haben wir Ihn mit unserer Diskussion eher verschreckt als Ihm geholfen. Im Endeffekt muss er entscheiden, was er für eine Lösung haben will.

 

Erklär doch mal, wie du per RRAS innerhalb des Tunnels dann die Protokolle einschränkst

Warum sollte ich das tun? Ich schränke die internen Clients ja auch nicht ein. Mag sein, dass Du Dir jetzt die Hände vor's Gesicht schlägst, aber bis jetzt hatte ich noch keine Anforderungen, die diese Einschränkungen gerechtfertigt hätten.

 

Aber trotz allem bin ich kein Freund von VPN

Das merkt man gar nicht ;) . Spaß bei Seite. Wenn in einigen Jahren weltweit entgültig auf IPv6 umgestellt wurde, hat sich das mit dieser Art von VPN eh erledigt.

 

Hmm.

Was bedeutet denn bitte schön das "Hmm". Kannst Du von Dir etwa behaupten, dass Du Dich mit allem in unserem Bereich auskennst?

 

Falls, ja: Respekt! Falls nein: "Hmm" = unpassend :mad:

 

Die ich auch nur damit kommentiert habe, dass dein genannter Vorteil genauso gut ein Nachteil ist/sein kann.

Hab ich doch auch gar nicht bestritten :confused:

 

Was ist eigentlich aus dem Beitrags-Ersteller geworden?

[NorbertFe 2.102]

Du musst auch immer das letzte Wort haben, Norbert ;)

 

Du nicht?

 

Woher willst Du das denn wissen? Der Themenersteller hat doch dazu gar keine Angaben gemacht. Wahrscheinlich haben wir Ihn mit unserer Diskussion eher verschreckt als Ihm geholfen. Im Endeffekt muss er entscheiden, was er für eine Lösung haben will.

 

Weiß ich nicht. Du aber genauso wenig. Wo ist jetzt das Problem, dass man auch mal über Themen am TO vorbei "argumentiert"? Wenn sich jemand davon verschrecken läßt kann ich ihm leider auch nicht helfen.

 

Warum sollte ich das tun? Ich schränke die internen Clients ja auch nicht ein.

 

Ganz einfach, weil du die internen Clients normalerweise direkt in deiner Verwaltung hast. Und bei externen Clients kannst du dir da nicht sicher sein. Es sei denn du hast eben eine VPN Lösung die auf die Maschine abzielt. Es kann auch sein, dass dir das egal ist, deswegen bleibt aber der Fakt bestehen. ;)

 

Das merkt man gar nicht ;) . Spaß bei Seite. Wenn in einigen Jahren weltweit entgültig auf IPv6 umgestellt wurde, hat sich das mit dieser Art von VPN eh erledigt.

 

Ja, und wann meinst du wird es soweit sein? ;)

 

Was bedeutet denn bitte schön das "Hmm". Kannst Du von Dir etwa behaupten, dass Du Dich mit allem in unserem Bereich auskennst?

 

Nein siehst du so eine Behauptung meinerseits irgendwo? Mußt dich wegen so einer Bemerkung nicht gleich auf den Schlips getreten fühlen. ;)

 

Falls, ja: Respekt! Falls nein: "Hmm" = unpassend :mad:

 

Warum? Es gibt auch "Hmm" = ok, oder Hmm = ja, ok usw. usf. Häng dich doch nich an sowas auf.

 

Hab ich doch auch gar nicht bestritten :confused:

 

Ja ok = Hmm.

 

Was ist eigentlich aus dem Beitrags-Ersteller geworden?

 

Off-Topic:

Den hast du mit deiner Argumentation wahrscheinlich verschreckt. :p

 

Bye

Norbert

 

PS: Fast egal, was du jetzt schreibst, für mich ist erstmal alles gesagt. ;)

[iDiddi 27]

Mußt dich wegen so einer Bemerkung nicht gleich auf den Schlips getreten fühlen.

Sag halt gern direkt, wenn mich was stört. Ist schon wieder vergessen :) Fand unsere Diskussion sogar recht kurzweilig ;)

 

Fast egal, was du jetzt schreibst, für mich ist erstmal alles gesagt.

Na dann bis zum nächsten Mal ;)

[joker2k 10]

Hallo zusammen :)

 

also bin jetzt durch alle eure Beiträge durch.

 

Ich weiß dass ich auch per VPN auf den Server kommen würde wird auch teilweise genutzt.

Aber es sind ein paar IPhones im Einsatz und OWA ist gewünscht. Es sollen ja auch nur spezielle User OWA nutzen und diese sehe ich sehr ungern direkt im internen Netzwerk über VPN ist halt schon nen Sicherheitsrisiko.

 

Wichtig war ja die differenzierung zwischen internem Zugriff und externen

 

Also kurz gesagt ich brauche einen ISA

Damit habe ich zwar noch keine Erfahrung aber ich werde mal versuchen mich schlau zu machen und mir das anzueignen.

 

Aufjedenfall habt ihr mir sehr gut weitergeholfen :)

 

Falls Ihr jetzt noch irgendwelche hilfreichen Links in Sachen ISA habt wäre das super

 

Vielen Dank

[NorbertFe 2.102]

Also kurz gesagt ich brauche einen ISA

 

Naja aktuell wohl eher TMG 2010. ;) Aber es gingen auch andere Reverse Proxies die eine Authentifizierung ermöglichen.

Hilfreich für ISA und TMG ISA Server FAQ

 

Bye

Norbert