PowerShellAdmin 169 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Hallo zusammen, per Iphone & Android kann ich wunderbar auf mein Exchange Konto ohne VPN zugreifen. Als Zugriffsserver gebe ich lediglich die öffentliche Adresse des CAS-Servers an und kann hier zugreifen (Https Port 443) Wir setzen einen ExchangeServer 2010 (2 Rolen) ein und Outlook Anywhere ist aus Sicherheitsgründen deaktiviert. Mit Outlook 2010 kann ich leider nicht zugreifen, ich habe bereits in der Option den Proxyserver eingetragen. Allerdings half das nicht. Habe diese Anleitung verwendet: Outlook 2007 mit Exchange verbinden – xchangeonline.ch | MvA Internet Services GmbH | Support & Technik Hier kam zwar ein Logindialog, aber abschließend eine Fehlermeldung, dass mit dem AD keine Verbindung aufgebaut werden kann. Ich nehme an das Outlook hierfür auch "Outlook Anywhere" verwendet, die Anbindung per Smartphone läuft glaube ich über ActiveSync, wie kann ich das Ganze denn lösen ? Google hat mir bis jetzt leider noch nicht geholfen - vielleicht auch weil ich nach den falschen Suchbegriffen geschaut habe. Vielen Dank :) Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Hi. Outlook Anywhere ist aus Sicherheitsgründen deaktiviert Das verstehe ich nicht. Die mobilen Geräte mit dem höchsten Sicherheitsrisiko dürfen zugreifen, Outlook wird ausgesperrt. Aktiviere Outlook Anywhere, und du kannst ohne VPN zugreifen. Ansonsten gibt es nur die VPN Verbindung. LG Günther Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 12. Juli 2011 Autor Melden Teilen Geschrieben 12. Juli 2011 Danke für deine Antwort Günther. Bzgl. Sicherheit, ist ActiveSync unsicherer als Outlookanywhere ? Zurzeit ist der CAS Server komplett blockiert (außer Port 443), müsste hier nich noch zusätzliche Ports aktiviert werden ? Kann ich das Ganze nicht umgehen und womöglich per ActiveSync auf den Exchange per Outlook zugreifen Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Hi. ist ActiveSync unsicherer als Outlookanywhere ? Nein, aber die Endgeräte sind es. müsste hier nich noch zusätzliche Ports aktiviert werden NEIN Kann ich das Ganze nicht umgehen und womöglich per ActiveSync auf den Exchange per Outlook zugreifen ? Würde das gehen, hätte sich MS Outlook Anywhere ersparen können, oder? ;) LG Günther Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 12. Juli 2011 Autor Melden Teilen Geschrieben 12. Juli 2011 @Günther Na wenn ein Zugriff prinzipiell per MobileDevice geht, warum dann nicht auch per Outlook direkt-Aber nun ist es eingebrannt ;) @OutlookAnywhere Sicherheit Also der RPC Port 135 wird wohl mittlerweile nicht mehr direkt freigegeben sondern vie HTTPS getunnelt. Da die Credentials über Https zwangsweise verschlüsselt werden ist das ja eine Verbesserung. Nur habe ich immernoch den Hinweis gelesen, dass man bei Outlook Anywhere den TMG einsetzen sollte. Outlook Anywhere ernsthaft trotz Https:// Verschlüsselung ein Sicherheitsrisiko da? Mir ist durchaus bewusst, dass ein TMG eine feine Sache ist. Allerdings ist mir das gute Stück noch gänzlich unbekannt und hat infrastruktuelle Anforderungen (Rollenverteilung etc) um ein solides Sicherheitsmodell abzubilden. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 Hi. Also der RPC Port 135 wird wohl mittlerweile nicht mehr direkt freigegeben sondern vie HTTPS getunnelt. Darum hieß es ja auch bei Exchange 2003 noch RPC over HTTPS. Nur habe ich immernoch den Hinweis gelesen, dass man bei Outlook Anywhere den TMG einsetzen sollte. Klar, das ist der Idealfall. Andererseits gibt es x Installationen, die auch ohne auskommen (z.B. SBS 2008, SBS 2011) und das das Passwort nicht "123" sein sollte ist auch klar. Meiner Meinung ist eine Kombination aus Notebook und Outlook Anywhere auf jeden Fall sicherer als jeden mobile Device. LG Günther Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 @Günther Na wenn ein Zugriff prinzipiell per MobileDevice geht, warum dann nicht auch per Outlook direkt-Aber nun ist es eingebrannt ;) Wie Du selbst mittlerweile erkannt hast, nutzt Outlook halt ein anderes Protokoll - MAPI/RPC. @OutlookAnywhere Sicherheit Also der RPC Port 135 wird wohl mittlerweile nicht mehr direkt freigegeben sondern vie HTTPS getunnelt. Der wurde noch nie freigegeben (wenn man auch nur ein bisschen Sicherheit wollte) und vor allem würde er für eine Kommunikation mit RPC auch gar nicht reichen. Port 135 ist nur der Startpunkt zum Zugriff auf den Endpoint-Mapper, der dann dynamisch (so in der Registry nicht anders eingestellt), einen Port > 1023 festlegt, auf den sich der Client erneut verbindet. Außerhalb eines sicheren Netzwerkes wird man RPC daher nicht finden. Ok, die ganz Harten würden das auch mit ISA oder TMG hinbekommen (UUID). Nur habe ich immernoch den Hinweis gelesen, dass man bei Outlook Anywhere den TMG einsetzen sollte. Outlook Anywhere ernsthaft trotz Https:// Verschlüsselung ein Sicherheitsrisiko da? Mir ist durchaus bewusst, dass ein TMG eine feine Sache ist. Allerdings ist mir das gute Stück noch gänzlich unbekannt und hat infrastruktuelle Anforderungen (Rollenverteilung etc) um ein solides Sicherheitsmodell abzubilden. Hier bringst Du einige Dinge durcheinander. OA braucht kein TMG. Das bedeutet dann aber, das der Exchange direkt aus dem Internet erreichbar ist -> das will man nicht. Daher macht das TMG die Platzierung der Server sicherer, da er als vorgelagerter Proxy dient - mehr aber auch nicht. Die Kommunikation ist aber dank HTTPS bereits vorher sicher. Und da der EAS-Client auch HTTPS benutzt, ist die Kommunikation da genauso sicher, wie bei OA. Und was viele Leute vergessen: Das größte Sicherheitsrisiko ist nicht die Kommunikation. Das sind die Daten, die auf den mobilen Geräten liegen und wie "leicht" die verloren gehen können. Ich denke, darauf Günther hinaus. Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 12. Juli 2011 Melden Teilen Geschrieben 12. Juli 2011 sicherer, da er als vorgelagerter Proxy dient - mehr aber auch nicht. ;) War da nicht noch was mit Authentifizierung und dem ElefantenA...? ;) Bye Norbert Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. Juli 2011 Melden Teilen Geschrieben 13. Juli 2011 Das bezog sich auf HTTP und RPC allgemein, nicht auf Proxys. Hinten kommt HTTPS/RPC rein, vorne kommt nur noch RPC raus. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 14. Juli 2011 Autor Melden Teilen Geschrieben 14. Juli 2011 (bearbeitet) hey, erstmal vielen dank für den Nachtrag der Informationen. Im Zuge dessen würde ich gerne Exchange Active Sync & Outlook Anywhere einschränken, also definieren welche Windowskonten Active Sync/Outlook Anywhere nutzen dürfen. Gibt es hier eine Möglichkeit? Das wäre wunderbar :) Würde folgendes nicht reichen ? $member_adsync| Set-CASMailbox –ActiveSyncEnabled $true 1. Active Sync im Exchange Aktivieren 2. Per Foreach global den Flag auf false & anschließend bei bestimmten konnten auf enable :) geht das auch mit anywhere ? bearbeitet 14. Juli 2011 von PowerShellAdmin Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 14. Juli 2011 Melden Teilen Geschrieben 14. Juli 2011 Ja, entweder mit vorgeschaltetem Proxy und Prä-Authentifizierung für die die es dürfen und nicht dürfen. Oder manuell in jedem Benutzerobjekt (kann man sich einfach in der EMC mal ein Postfach anschauen. ;)). Dann funktioniert es aber auch intern nicht mehr, was bei Variante 1 bestehen bliebe. Bye Norbert Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 14. Juli 2011 Autor Melden Teilen Geschrieben 14. Juli 2011 @intern Was betrifft den Exchange Active Sync ? Hängen hier auch weitere Outlook Features ab ? Würde hier per Powershell einen Skript in den Task packen, der generell AS für alle Benutzer deaktiviert (nächtlicher Task) und für die Ausnahmen freigibt. Das stellt sicher das auch neue Mitarbeiter & Benutzer keinen Zugriff erhalten. Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 14. Juli 2011 Melden Teilen Geschrieben 14. Juli 2011 Häh? Na entweder du kannst active Sync oder du kannst es nicht. Wenn du es am User abschaltest kannst du aber auch per WLAN (also INTERN) nicht mehr connecten. ;) Bye Norbert Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 14. Juli 2011 Autor Melden Teilen Geschrieben 14. Juli 2011 Ach so meinst du das :) Na das ist nicht notwendig, wer aufs Outlook will hat hier seinen Arbeitsplatz und hat die reguläre Authentifizierung. Geht hier ja dadrum: Das Mobilgerät z.B. nicht ungenügend abgesichert sind und diese müssen intern nicht über W-Lan gehen. Also vertretbar. =) Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 14. Juli 2011 Melden Teilen Geschrieben 14. Juli 2011 Ach so meinst du das :) Na das ist nicht notwendig, wer aufs Outlook will hat hier seinen Arbeitsplatz und hat die reguläre Authentifizierung. Geht hier ja dadrum: Das Mobilgerät z.B. nicht ungenügend abgesichert sind und diese müssen intern nicht über W-Lan gehen. Also vertretbar. =) OK, wenn das bei euch so geht, dann mußt du jetzt nur alle Benutzer bearbeiten. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.