Exchange und ActiveSync

[sfr 10]

Hallo,

 

habe folgende Umgebung:

Windows Server 2011 SBS Standard

Exchange Server

Iphone 4, 4S, 3GS

 

 

Anforderung

Kunden synchronisieren Ihren eigenen Kalender im eigenen Exchange Postfach mit dem Iphone. Hierbei sollen die User über das Iphone auf ihr eigenen Postfach Kalender nur Leseberechtigung erhalten.

 

 

Lösungsansatz

Mit dem Iphone bauen User eine VPN Verbindung zum Netzwerk auf, anschließend sind diese in der Lage mit dem Exchangeserver zu synchronisieren. Das Ganze wird mit ActiveSync realisiert.

 

 

Frage:

Wäre dieser Ansatz eine gescheite Lösung? Sollte man ActiveSync verwenden? Kann ich auf das eigene Postfach (Kalender) für den User, wenn er mit dem Iphone synchronisiert read only vergeben? Wenn ja wie? Oder zu Not auch nur einseitig synchroniseren und nicht bidirektional?

 

 

Gruß

[NorbertFe 2.045]

Wenn es der Kalender des Users ist, kannst du ihm die Rechte nicht einschränken. EAS funktioniert immer als Sync. Und VPN ist überflüssig, da es meist nicht sinnvoll mit EAS zusammen funktioniert. Was spricht gegen die direkte Veröffentlichung von EAS?

 

Bye

Norbert

[sfr 10]

Sicherheit (auch wenn SSL).

Exchange Active Sync kann kein read only für das eigene Postfach.

 

Was ist aber wenn ich ein neues Postfach erstelle, diesem Leseberechtigung auf den Kalender des User erteile. Wäre eine Lösung von hinten durch die Brust ins Auge..

 

Gibt es andere Lösungen mit dem man das realisieren kann?

[NorbertFe 2.045]

Sicherheit (auch wenn SSL).

 

Wieso ist VPN automatisch sicherer?

 

Exchange Active Sync kann kein read only für das eigene Postfach.

 

Was ist aber wenn ich ein neues Postfach erstelle, diesem Leseberechtigung auf den Kalender des User erteile. Wäre eine Lösung von hinten durch die Brust ins Auge..

 

 

Dann kannst du es nicht per EAS synchen. ;)

 

Gibt es andere Lösungen mit dem man das realisieren kann?

 

Per Tool den anderen Kalender in einen des eigenen Postfachs mittels Einweg-Sync übertragen.

 

Bye

Norbert

[sfr 10]

Ich fasse mal zusammen:

 

Um mit dem Iphone synchroniseren zu können, benötige ich ExchangeActive Sync auf dem Iphone.

 

Zudem muss ich im Exchange den EAS aktivieren, damit Exchange ActiveSync die Postfächer synchroniseren kann.

 

Danach konfiguriere ich das Iphone Exchange ActiveSync und lege los.

 

 

Bin ich soweit auf dem Laufendem?

Gibt es ein nützliches HowTo?

 

Ich möchte wie erwähnt den EAS nicht öffentlich betreiben.

 

Gruß

 

 

EDIT: Die Anleitung für den Exchange Active Sync auf dem Iphone habe ich gerade auf apple gefunden.

[NorbertFe 2.045]

Ich fasse mal zusammen:

 

Um mit dem Iphone synchroniseren zu können, benötige ich ExchangeActive Sync auf dem Iphone.

 

Zudem muss ich im Exchange den EAS aktivieren, damit Exchange ActiveSync die Postfächer synchroniseren kann.

 

Danach konfiguriere ich das Iphone Exchange ActiveSync und lege los.

 

 

Bin ich soweit auf dem Laufendem?

 

Ja.

 

Gibt es ein nützliches HowTo?

 

Bestimmt. Wo genau hakts denn?

 

Ich möchte wie erwähnt den EAS nicht öffentlich betreiben.

 

Dann wirst du zumindest entweder Probleme beim "Push" bekommen, oder dein Akku wird sehr schnell leer sein. Oder beides. ;)

 

Bye

Norbert

 

PS: Den Grund für das nicht öffentliche Betreiben von EAS hast du aber nicht genannt, oder?

[sfr 10]

Jain. Ich habe bedenken bei der Sicherheit. Der Server wäre ja dann direkt von aussen sichtbar. Bei VPN eben nicht. (VPN Server ist hierbei der Router, nicht der Server selbst)

Würde das schon gerne lieber über VPN betreiben. Gibt es bei der Verwendung von VPN wirklich Probleme? Wenn ja welche?

 

 

Die bessere Lösung wäre deiner Meinung nach den EAS öffentlich zu machen? Ich vertraue da (wie immer) auf deine langjährige Erfahrung und Kompetenz!!

 

 

Welche Ports muss ich in der FW freigeben und bekomme ich eine ausführliche Anleitung im Netz? Bin neu auf dem Gebiet EAS.

Feste WANIP's für die Verbindung sind vorhanden!

 

Wäre toll, wenn ich da ein wenig Input bekomme, dann wird ich so probieren, wenn es über VPN nur Probleme gibt, müsste auch wissen welche, damit ich das intern argumentieren kann.

[NorbertFe 2.045]

Jain. Ich habe bedenken bei der Sicherheit. Der Server wäre ja dann direkt von aussen sichtbar. Bei VPN eben nicht. (VPN Server ist hierbei der Router, nicht der Server selbst)

 

Du hast also keinerlei Dienste in deinem Netz ins Internet veröffentlicht? Nutzt POPConnectoren und kein OWA/Sharepoint usw.?

 

Würde das schon gerne lieber über VPN betreiben. Gibt es bei der Verwendung von VPN wirklich Probleme? Wenn ja welche?

 

Erwähnte ich doch bereits oder?

 

Die bessere Lösung wäre deiner Meinung nach den EAS öffentlich zu machen?

 

Ja, wäre es. Vorausgesetzt man macht es richtig.

 

Welche Ports muss ich in der FW freigeben und bekomme ich eine ausführliche Anleitung im Netz?

 

Port 443. Anleitung weiß ich nicht.

 

 

Bin neu auf dem Gebiet EAS.

 

Macht ja nix, mit SBS 2011 gibts sogar nen Assi dafür. ;)

 

Feste WANIP's für die Verbindung sind vorhanden!

 

Sehr gut. Dann steht dem nichts im Wege.

 

Wäre toll, wenn ich da ein wenig Input bekomme, dann wird ich so probieren, wenn es über VPN nur Probleme gibt, müsste auch wissen welche, damit ich das intern argumentieren kann.

 

Dazu müßtest du dir erstmal anschauen, wie genau EAS funktioniert, dann dürfte relativ schnell klar werden, dass das (mit VPN) entweder gar nicht automatisch geht, oder es eben auch nicht weniger komplex wird.

MSXFAQ.DE - Exchange ActiveSync Server (ist zwar für Exchange 2003, aber grundsätzlich funktionierts noch genauso. Nur einfacher zu konfigurieren inzwischen). Wenn es dann noch "Sicherheitsbedenken" gibt, kann man natürlich mit einem Reverseproxy wie bspw. dem TMG 2010 von MS das Ding noch zusätzlich absichern. Da aber "Bauchgefühle" schlecht zu begründen sind, wirst du da etwas mehr brauchen als nur ein paar Foreneinträge. ;)

 

Bye

Norbert

[sfr 10]

Popconnectoren ja, popconn.

 

 

Nein du hast mir nur geschrieben, dass es Probleme macht.

 

 

OWA wäre schön, das ginge auch über VPN, das weiß ich. Aber wie das eben so ist, ist genau das nicht gewünscht. Sonst würde der ganze Kram schon laufen.

 

Ich werde ja sicher auch im Router ein NAT einrichten müssen, um den Port 443 auf den Server zu leiten, oder?

 

Auch, wenn ich den EAS jetzt öffentlich mache, wird es sicher eine aufwendige Sache oder ist die Konfiguration mit dem Assistenten, den du angesprochen hast, wirklich einfach?

 

 

 

Na ich werde mich mal auf die Suche nach einem HowTo machen.

 

PS: Punkto Sicherheit: Beim VPN habe ich Zertifikate und einen ptp Verbindung zwischen 2 Endpunkten. Wie sieht denn die Sicherheit in der Konfiguration mmit dem öffentlichen EAS aus? Ich bin doch dann gar hnicht abgesichert im Gegensatz zu VPN.

[NorbertFe 2.045]

Popconnectoren ja, popconn.

 

Und das ist sicherer? ;) Hoffentlich nicht dein Ernst.

 

Nein du hast mir nur geschrieben, dass es Probleme macht.

https://www.mcseboard.de/ms-exchange-forum-80/exchange-activesync-186106.html#post1147873

Vielleicht doch nochmal die Antworten lesen?

 

Ich werde ja sicher auch im Router ein NAT einrichten müssen, um den Port 443 auf den Server zu leiten, oder?

 

Ja, wirst du machen müssen.

 

Auch, wenn ich den EAS jetzt öffentlich mache, wird es sicher eine aufwendige Sache oder ist die Konfiguration mit dem Assistenten, den du angesprochen hast, wirklich einfach?

 

"Einfach" ist eine Frage der Definition.

 

Bye

Norbert

[sfr 10]

Und das ist sicherer? ;) Hoffentlich nicht dein Ernst.

 

 

https://www.mcseboard.de/ms-exchange-forum-80/exchange-activesync-186106.html#post1147873

Vielleicht doch nochmal die Antworten lesen?

 

 

 

Ja, wirst du machen müssen.

 

 

 

"Einfach" ist eine Frage der Definition.

 

Bye

Norbert

 

PS: Punkto Sicherheit: Beim VPN habe ich Zertifikate und einen ptp Verbindung zwischen 2 Endpunkten. Wie sieht denn die Sicherheit in der Konfiguration mmit dem öffentlichen EAS aus? Ich bin doch dann gar hnicht abgesichert im Gegensatz zu VPN.

[NorbertFe 2.045]

Wieso bist du da nicht abgesichert? EAS geht mit clientzertifikaten wird über SSL (also über einen gesicherten Kanal) übertragen. Wo genau siehst du an der STelle jetzt weniger Sicherheit als bei einem pptp VPN?

 

Bye

Norbert

[sfr 10]

Wieso bist du da nicht abgesichert? EAS geht mit clientzertifikaten wird über SSL (also über einen gesicherten Kanal) übertragen. Wo genau siehst du an der STelle jetzt weniger Sicherheit als bei einem pptp VPN?

 

Bye

Norbert

 

IPSEC VPN.

Bei der Verbindung über VPN bon ich nicht direkt auf dem Server. Bei der veröffentlichung des EAs bin ich ja direkt auf dem Server und nicht auf dem Router.

[NorbertFe 2.045]

IPSEC VPN.

Bei der Verbindung über VPN bon ich nicht direkt auf dem Server. Bei der veröffentlichung des EAs bin ich ja direkt auf dem Server und nicht auf dem Router.

 

Und wo ist da für dich das "besonders" kritische Thema? Seid ihr die Bundesbank? Dann setzt entsprechende (bereits erwähnte) Maßnahmen ein, die eine Funktion ermöglichen. Das was du versuchst ist wenn es denn überhaupt sinnvoll funktioniert nur ein Workaround in meinen Augen.

 

Und wenn ihr dann soweit seid, dass ihr das umgesetzt habt, stellt am besten auch noch diesen POPConnector ab. Das "Warum" findest du hier im Board. ;)

 

Bye

Norbert

 

Off-Topic:

PS: Einen Exchange mit POPConnector und VPN für EAS zu betreiben ist ähnlich sinnvoll wie einen "BMW M5" auf nem Anhänger an einem Golf durch die Gegend zu fahren und zu sagen, der ist ja da hinten sicherer. :)

[Dukel 454]

SSL kannst du auch vor dem Eigentlichen LAN terminieren.