theroot 10 Geschrieben 31. Oktober 2011 Melden Geschrieben 31. Oktober 2011 Hallo zusammen, ich habe einen Exchange 2010 Server der aus dem Internet für OWA erreichbar sein soll. Da es ja nun nicht gerade sicher ist einfach den Port 443 vom Internetrouter auf den Server weiterzuleiten, suche ich nach einem Weg eine zusätzliche Anmeldung vorzuschalten und alle unnötigen IIS-Verzeichnisse des Servers zu blocken. Leider erlaubt das Budget nicht den Einsatz einer professionellen Lößung wie TMG oder ISA. Daher bleibt nur die Verwendung von Alternativen wie das Vorschalten Apache oder Squid. Leider ist das nicht so einfach. Kennt jemand eine gute Anleitung hierfür? Wie habt Ihr dieses Problem gelößt? Gruss theroot Zitieren
NorbertFe 2.175 Geschrieben 31. Oktober 2011 Melden Geschrieben 31. Oktober 2011 Und die Frage bleibt, ob das Vorschalten eines Apache/Sqid ohne entsprechendes Know How sicherer ist, als das Weiterleiten auf einen korrekt konfigurierten Exchange 2010. ;) Von fehlenden Features (die es teilweise eben nur mit TMG/ISA gibt), ganz zu schweigen. Bye Norbert Zitieren
Dukel 461 Geschrieben 31. Oktober 2011 Melden Geschrieben 31. Oktober 2011 MSXFAQ.DE - Apache MSXFAQ.DE - Webproxy Zitieren
theroot 10 Geschrieben 31. Oktober 2011 Autor Melden Geschrieben 31. Oktober 2011 Hallo und Dank für die Antworten. @NorbertFe - sicher ist eine ISA/TMG besser. Gibt es vielleicht Möglichkeiten im IIS alle "Verzeichnisse" auser OWA und ActiveSync für externe IPs zu sperren? @Dukel - die MSXFAQ habe ich natürlich gelesen und auch die Apache Howto probiert, aber leider geht es nicht so wie es da steht :( Getestet wurde mit Debian 6 und Apache2.2. Ich habe das es überhaubt geht die Modulpfade angepasst und zusätzlich mod_proxy_http sowie mod_ssl geladen. Dann musste ich "AddModule mod_proxy.c" herausnehmen. Der Proxy arbeitet jetzt auch, aber leider nur ohne SSL (also nur http). Was kann man da tun? Bei den Konfigutationsbeispielen mit Squil kommen ich bei den Zertifikaten nicht klar. Müsste hier die von Exchange verwendet werden oder neu erzeugte? Gruss theroot Zitieren
NorbertFe 2.175 Geschrieben 31. Oktober 2011 Melden Geschrieben 31. Oktober 2011 Was meine Frage von oben bestätigt. ;) Norbert Zitieren
RobertWi 81 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 Moin, ich habe bei meinem jetzigen Kunde beider Varianten durch und bin am Ende doch beim TMG gelandet: - Apache mag Outlook Anywhere nicht (aber das schreibt Frank auch) - Squid hat Probleme mit der Authentifikation bei Autodiscover (da geht nur Basic) Beide zusammen hat gut 14 Tage Arbeit gekostet - TMG lief nach einem halben problemlos. Zitieren
NorbertFe 2.175 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 Und was spruch der Kunde dazu? ;) Bye Norbert Zitieren
RobertWi 81 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 Das war kein Problem für ihn. Hätte Apache oder Squid funktioniert, hätte er ihn genommen. Der ist kostenmäßig schon pragmatisch, d.h. für den war eine schnell funktionierende kostenpflichtige Lösung billiger, als eine Frickellösung, die erheblich mehr Arbeitszeit kostet. Und spätestens, als er jetzt auch funktionierendes Passwortmanagment für OWA haben wollte, war klar, dass TMG die bessere Lösung war. Zitieren
theroot 10 Geschrieben 1. November 2011 Autor Melden Geschrieben 1. November 2011 Hallo, hmm, da werde ich wohl um tmg nicht herumkommen. Soweit ich das bei *** gelesen habe, hat es ja auch viele weitere Möglichkeiten (VPN). Wie ist das mit der Lizenzierung? Kosten 1x ca. 1500 EUR und keine CALs? Die AntiVirenfunktion kostet ja extra oder? Dank und Gruss theroot Zitieren
RobertWi 81 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 Moin, zu Lizenzpreisen können wir schlecht was sagen, ohne die Lizenz-Verträge zu kennen. CALs sind nicht erforderlich, Anti-Viren (mit der Forefront Protection für Exchange) oder Anti-Spam (Edge Transport oder Forefront) kosten dementsprechend weitere Lizenzen. Zitieren
NorbertFe 2.175 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 TMG 2010 wird pro CPU (Socket) lizenziert. Wenn gewollt, kann man Webprotection Services nach Useranzahl zusätzlich einbinden. Forefront + Edge ebenfalls, aber das wäre keine sinnvolle Bündelung in meinen Augen. Allein für OWA/EAS/OA Veröffentlichung ist nur die CPU Lizenz notwendig. Bye Norbert Zitieren
RobertWi 81 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 TMG 2010 wird pro CPU (Socket) lizenziert. Auch das ist schwierig, pauschal zu sagen. Bei meinem jetzigen Kunden gab es TMG Enterprise zum Pauschalpreis, egal, wie wievle CPU. Manche Verträge sind gleicher als andere. ;) Zitieren
NorbertFe 2.175 Geschrieben 1. November 2011 Melden Geschrieben 1. November 2011 Das mag sein, aber sicher nicht für den TO zutreffend. ;) bye Norbert Zitieren
NeMiX 76 Geschrieben 8. November 2011 Melden Geschrieben 8. November 2011 Schau dir doch mal fertige Appliances an. Wir schieben für OWA/EAS Celestix Appliances ins Rack. Kostet um die 1200-1500€ und reicht für die Anwendungszwecke voll aus. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.