ablaze 10 Geschrieben 2. Mai 2013 Melden Teilen Geschrieben 2. Mai 2013 Guten Morgen zusammen, ich habe eine Frage bezüglich dem Best Practice für ActiveSync Zugriffe von Mobilen Endgeräten (iOS, Windows Phone, oÄ.) auf eine Exchange Umgebung. Was klar ist, dass der Exchange-Server/ Umgebung im internen Netzwerk steht und nicht direkt von außen erreichbar ist. Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll. Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist. Gibt es noch andere Möglichkeiten/ Ideen? Gibt es eine Empfehlung von Microsoft? Danke und Grüße Sebastian Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 2. Mai 2013 Melden Teilen Geschrieben 2. Mai 2013 Der Edge Server ist für SMTP Traffic. Für HTTP Traffic (Active Sync) brauchst du einen Reverse Proxy wie der TMG. Eine Alternative von MS dürfte der UAG sein. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 2. Mai 2013 Melden Teilen Geschrieben 2. Mai 2013 Moin, Früher habe ich den Externen Zugriff über einen TMG oder ganz früher über einen ISA-Server geleitet. Beide sind ja abgekündigt. Wobei ich bei dem TMG ja bis 2015 noch Support bekommen soll. Eigentlich sogar bis 2020. Er ist 2010 erschienen, 5 Jahre Mainstream + 5 Jahre Extended Support. Wobei die zweiten 5 Jahre vollkommen freiwillig sind. Wenn MSFT nicht mehr will, schalten sie den Support ab. Ab Exchange 2007 hab ich die Möglichkeit einen EDGE-Server vorzuschalten. Wobei diesen es aktuell für Exchange 2013 noch nicht gibt, aber angekündigt ist. Wobei die Einrichtung gegenüber dem TMG durch die Einrichtung von AD LDS deutlich komplizierter ist. 1. Der Edge macht ein anderes Protokoll -> SMTP. EAS ist HTTPS, das ging noch nie über den Edge. 2. Also ich finde den Edge in der Einrichtung deutlich einfacher, als einen TMG. Der ET macht doch alles alleine - dank gut abgestimmter Assistenten. Gibt es noch andere Möglichkeiten/ Ideen? Dritt-Anbieter. Wobei man aufpassen muss, dass die Push können. Da ist ein verbogenes HTTP-Protkoll und es gibt Reverse Proxys, die das nicht mögen. Gibt es eine Empfehlung von Microsoft? Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt. Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen. Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar. Zitieren Link zu diesem Kommentar
ablaze 10 Geschrieben 2. Mai 2013 Autor Melden Teilen Geschrieben 2. Mai 2013 Hallo Robert, vielen Dank für deine Antwort. Ja mit dem Support, habe ich wohl was verwechselt. Die Microsoft Product Lifecycle Datenbank ist hier eindeutig. Mainstream Support bis 14.04.2015 Extended Support bis 14.04.2020 Offiziell nicht, aber inoffiziell: Gar nichts. Port 443 an Exchange und gut ist. Eine Reverse Proxy bietet realistisch betrachtet eh keinen echten Mehrwert, da er gar nicht in der Lage ist, das, was in HTTPS (oder noch schlimmer: RPC/HTTP) sinnvoll bewerten zu können. Die meisten Proxy machen daher auch nichts anderes, als den Traffic 1:1. durchzureichen. Exchange ist selbst mittlerweile so gut, dass es dort keine Angriffspunkte mehr gibt. Also davor nur eine Firewall, die Low-Level-Angriffe abfängt (auf TCP/IP-Ebene oder DoS). Und alles oberhalb durchreichen. Das ist sicherlich unpopulär, aber wenn man mal drüber nachdenkt: Technisch und realistisch durchaus nachvollziehbar. Somit würdest du auch nicht dem TMG dazwischen schalten? Grüße Sebastian Zitieren Link zu diesem Kommentar
NorbertFe 2.041 Geschrieben 2. Mai 2013 Melden Teilen Geschrieben 2. Mai 2013 Wenn du ein TMG hast, kannst du das gern zwischenschalten. Es bringt durchaus auch Vorteile mit. ;) Aber es extra zu beschaffen würde ich abwägen. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.