SBS 2011 ist RTM

[Stephan Betken 43]

Die technische ID findest du im Partner Network Infocenter unter Zugeordnete Personen.

[Innuendo 10]

Danke für die Hilfe ;-)

[Data1701 10]

Moin zusammen,

 

da scheine ich ja die Experten direkt gefunden zu haben. Leider gibt die offiziele Pruduktbeschreibung keine detailerten Infos zu Absicherung des Exchange bzw. des Netzwerkes des SBS. Wird nur labidar gesagt:

 

"Complete, network-wide security with integrated state of the art protection technologies."

 

Daher mein Frage: Ist diese Sicherheit Threat Management Gateway ?

 

Danke im voraus.

 

Gruß Data

[dmetzger 10]

Im SBS 2011 ist kein Forefront TMG 2010 enthalten, weder in der Standard Edition noch im Add-on mit einer zweiten W2K8R2-Serverlizenz und SQL Server 2008 R2.

 

Die integrierte Sicherheit bezieht sich auf Funktionen wie die Header Firewall von Exchange Server 2010 SP1 :D. Im Ernst: die Windows Advanced Firewall, Windows Server Backup, WSUS etc.

 

Wir empfehlen SBS-Kunden tatsächlich, einen Forefront TMG 2010 vorzulagern. Der muss natürlich separat gekauft werden, inkl. zusätzlicher Serverlizenz für W2K8R2 plus Pizza-Box.

[MrCocktail 192]

Hm,

 

reicht bei einem SBS Netzwerk nicht eine "kleine" Linux Firewall?

Ich hätte spontan eine Endian oder ipfire genommen und keine TMG

[dmetzger 10]

Wir bevorzugen die externe Authentifizierung auf einem vorgelagerten Forefront TMG 2010 gegenüber einer externen Authentifizierung direkt auf einem internen Domänencontroller, was ein SBS ja ist.

 

Ein sichtbarer Vorteil eines Forefront TMG 2010 ist z.B., dass er OWA-Formulare darstellen kann und erst nach erfolgreicher Authentifizierung den Benutzer zum Exchange Server durchreicht (was ein SBS ja auch ist). Eine kleine Linux-Firewall kann das nicht, sondern sie macht Port-Weiterleitungen zum SBS. Man ist als externer Benutzer somit bereits auf dem SBS, bevor man überhaupt mit der Authentifizierung angefangen hat.

 

Ein Kollege von mir demonstriert regelmässig Sicherheitsverantwortlichen, wohin das führen kann. :D

[Dukel 454]

Man kann das ganze auch unter Linux nachstellen. Der TMG ist auch nicht mehr als ein Reverse Proxy.

[MrCocktail 192]

Hm...

lange nicht mehr mit beschäftigt, ISA 2004 war das letzte was ich mir angeschaut habe :-)

Aber ipfire kann SMTP Proxy und Reverse Proxy, sollte also reichen.

 

Werde ich vielleicht mal testen und dokumentieren, habe ja momentan ein bischen Zeit über.

[carlito 10]

Wen es interessiert: Apache als Reverse Proxy für Outlook RPC over HTTPS.

[dmetzger 10]

Um es klarzustellen:

 

Ich habe die formularbasierte Anmeldung an OWA erwähnt, nicht Outlook Anywhere. Das OWA-Formular habe ich bis heute nicht auf einer Linux-Firewall entdeckt. Aber ich lasse mir das lernwillig gerne zeigen.

[NorbertFe 2.034]

Um es klarzustellen:

 

Ich habe die formularbasierte Anmeldung an OWA erwähnt, nicht Outlook Anywhere. Das OWA-Formular habe ich bis heute nicht auf einer Linux-Firewall entdeckt. Aber ich lasse mir das lernwillig gerne zeigen.

 

Abgesehen von MS Firewall-Lösungen ISA 2004/2006 und TMG 2010 hab ich das noch nirgends gesehen. Wäre wirklich mal interessant, ob auch andere Hersteller sowas anbieten. Ist ja inzwischen eine gewisse Zeitlang her, dass diese Möglichkeit gegeben ist.

 

Bye

Norbert

[dmetzger 10]

Abgesehen von MS Firewall-Lösungen ISA 2004/2006 und TMG 2010 hab ich das noch nirgends gesehen.

 

Schon sind wir zu zweit! :)

[Dukel 454]

Ich wollte damit nur sagen: MS kocht auch nur mit Wasser.

Klar gibt es noch keine vorgefertigte Logonseite wie beim TMG/ISA, aber die kompontenten sind alle da (reverse Proxy, Form-Based-Auth,...).

 

Man muss nicht nur eine Portweiterleitung unter Linux einrichten für veröffentlichung von Exchange sondern kann das ähnlich wie der TMG machen.

 

Aber wenn man keine Linux Firma ist und keine Speziellisten dafür hat würde ich auch den TMG präferieren.

 

.oO(Ich hätte mich von Anfang an deutlicher ausdrücken sollen)

[MrCocktail 192]

gesehen habe ich es auch noch nicht, zumindest bewusst nicht :-) Und umso mehr ich darüber nachdenke, frage ich mich, ob es wirklich Sinn macht.

Ansätze sind vorhanden, aber zwei Ideen habe ich auch schon wieder verworfen, weil OWA nicht nur einfach eine HTML Seite ist.

 

SMTP Proxy ist über die Endian kein Problem, Reverse Proxy an sich auch nicht, aber dann findet die Anmeldung immer noch direkt am OWA statt, und nicht auf der Endian.

 

Eine Variante habe ich gefunden, wo die Credentials gespeichert werden und dann direkt ans OWA übergeben werden, ist aber nicht das gleiche ....

 

Mal sehen was mir noch einfällt, meine Linux Kenntnisse sind doch in den letzten Jahren eingerostet.

[Data1701 10]

Ersteinmal Danke für die Infos.

 

Also zum Thema form based authentication, ich kenne auch keine anderen Anbieter. Ist auch etwas tricky den HTTPS Tunnel aufzubrechen und dann das richtige FBA-Frontend anzubieten..... Aber egal, wenn jemand das ohne TMG geschafft hat dann ist jetzt der richtig Zeitpunkt "Hier" zu schrein ;-).

 

Wie sieht es denn mit Email-Hygiene aus, sprich Forfront for Exchange. Kommt dass mit dem SBS 2011 oder muss ich dafür auch was kaufen. Entweder Drittanbieter oder TMG Edge ?!

 

Gruß Data