morro 10 Geschrieben 14. Februar 2014 Melden Teilen Geschrieben 14. Februar 2014 Hallo zusammen, ich habe einen Exchange Server 2007 auf dem EAS aktiviert ist und Smartphones sich von außen connecten können. Meine Frage ist kann ich es irgendwie mitkriegen, wenn jemand versucht sich mit seinem Smartphone versucht zu connecten bzw. das die dann in eine Art Warteschlange landen bis der Administrator die aktiviert? Und der User eine Mail bekommt in der sowas steht wie sie müssen warten bis der Administrator sie aktiviert? Ich mein ich hätte mal sowas gelesen, aber gefunden habe ich leider nichts? Vielen Dank schonmal für eure Hilfe LG Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 14. Februar 2014 Melden Teilen Geschrieben 14. Februar 2014 Hi, bin mir nicht ganz sicher ob so ein Feature nicht erst 2010 eingeführt wurde. Falls es da ist, ist set-activesyncorganizationsettings mit dem defaultaccesslevel dein Freund :) lg Stefan Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 14. Februar 2014 Melden Teilen Geschrieben 14. Februar 2014 Moin, leider bringt erst Exchange 2010 eine Quarantäne für mobile Geräte mit. Bei 2007 könnte etwas mit Dritt-Anbieter geben, da habe ich aber auf die Schnelle nichts gefunden. Falls es da ist, ist set-activesyncorganizationsettings mit dem defaultaccesslevel dein Freund :) Erst ab 2010. Zitieren Link zu diesem Kommentar
Stefan W 14 Geschrieben 14. Februar 2014 Melden Teilen Geschrieben 14. Februar 2014 habs mir gedacht :/ leider bringt erst Exchange 2010 eine Quarantäne für mobile Geräte mit. Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 17. Februar 2014 Autor Melden Teilen Geschrieben 17. Februar 2014 Hallo zusammen, vielen Dank für die ganze Antworten, hat mir schon was in der Richtung gedacht. Wäre es eine alternative für alle User EAS zu deaktivieren und nur für diejenigen zu aktivieren die von außen mit mobilen Endgeräten zugreifen? Viele Grüße und Danke nochmal Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 Wäre eine Möglichkeit. Falls du bspw. eine Präauthentifizierung an der Firewall/Loadbalancer nutzen kannst, wäre es an der Stelle allerdings viel einfacher. Einfach dort nur die User freigeben, alle anderen können dann maximal intern per WLAN connecten. Bye Norbert 1 Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 18. Februar 2014 Autor Melden Teilen Geschrieben 18. Februar 2014 Wäre eine Möglichkeit. Falls du bspw. eine Präauthentifizierung an der Firewall/Loadbalancer nutzen kannst, wäre es an der Stelle allerdings viel einfacher. Einfach dort nur die User freigeben, alle anderen können dann maximal intern per WLAN connecten. Bye Norbert Danke für den Tipp, habe es mal auf unserer watchguard xtm probiert, klappt aber nicht so ganz. Die Regel lautet wie folgt: from: any external to: public ip -> exchangserver (so war es ursprünglich) from: any external to: public ip -> exchangserver / Mein user (klappt nicht) from: mein User to: public ip -> exchangserver (klappt nicht) hab da bestimmt ein Denkfehler drin? Hat jemand Erfahrung mit Watchguard und hat sowas realisiert? LG Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 Danke für den Tipp, habe es mal auf unserer watchguard xtm probiert, klappt aber nicht so ganz. hab da bestimmt ein Denkfehler drin? Kann die Watchguard überhaupt "Prä-Authentifizierung" für Exchange Https Traffic? Falls nein, dann wird's wohl nix. Was funktioniert und mir bekannt ist, sind Kemp Loadbalancer mit ESP (Edge Security Pack) oder TMG 2010 oder ISA 2004/2006. Ich meine Sophos UTM kanns nicht, aber schon länger nicht mehr reingeschaut bei denen. Bye Norbert Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 20. Februar 2014 Autor Melden Teilen Geschrieben 20. Februar 2014 Kann die Watchguard überhaupt "Prä-Authentifizierung" für Exchange Https Traffic? Falls nein, dann wird's wohl nix. Was funktioniert und mir bekannt ist, sind Kemp Loadbalancer mit ESP (Edge Security Pack) oder TMG 2010 oder ISA 2004/2006. Ich meine Sophos UTM kanns nicht, aber schon länger nicht mehr reingeschaut bei denen. Bye Norbert So wie es scheint kann die Watchguard keine "Prä-Authentifizierung" leider, aber ein Kollege wollte sich nochmal schlau machen. Ist es an sich sicher wenn ich auf der Firewall den Port 443 freigebe auf den Exchange Server, oder gibt es da andere Best practice Lösungen? Wie bspw. einen Edge- Server in die DMZ oder ähnliches? Vielen Dank für die Hilfe LG Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 20. Februar 2014 Melden Teilen Geschrieben 20. Februar 2014 Ein Edge hat genau nichts mit EAS zu tun, der kann nur SMTP (anonym). In der DMZ kannst du einen Reverse Proxy hinstellen wie bspw. TMG 2010 usw. Aber ob du das als "notwendig" erachtest, mußt du schon wissen. Wie sicher ist denn sicher? ;) Bye Norbert Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 24. Februar 2014 Autor Melden Teilen Geschrieben 24. Februar 2014 Ein Edge hat genau nichts mit EAS zu tun, der kann nur SMTP (anonym). In der DMZ kannst du einen Reverse Proxy hinstellen wie bspw. TMG 2010 usw. Aber ob du das als "notwendig" erachtest, mußt du schon wissen. Wie sicher ist denn sicher? ;) Bye Norbert Ah ok :) Dann werde ich das erstmal vorerst so lassen, das ich Port 443 auf dem Server freigebe, ist ja schließlich eine verschlüsselte Verbindung. Dank nochmal und einen schönen Wochenstart LG :) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. Februar 2014 Melden Teilen Geschrieben 24. Februar 2014 Was hat die verschlüsselte Verbindung damit zu tun, dass der IIS direkt im I-Net hängt? ;) Dann ists halt ein "verschlüsselter Angriff". Aber ja, ich kenne viele, die so eine Lösung im Einsatz haben. Bye Norbert Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 27. Februar 2014 Autor Melden Teilen Geschrieben 27. Februar 2014 Was hat die verschlüsselte Verbindung damit zu tun, dass der IIS direkt im I-Net hängt? ;) Dann ists halt ein "verschlüsselter Angriff". Aber ja, ich kenne viele, die so eine Lösung im Einsatz haben. Bye Norbert Hmm...das ist wahr... Also an sich ist der ganze Server im I-Net aber nur der Port 443 ist freigeschaltet. So kommt man ja nur an EAS und OWA. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 27. Februar 2014 Melden Teilen Geschrieben 27. Februar 2014 Nein, man kommt an den IIS. ;) 1 Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 27. Februar 2014 Autor Melden Teilen Geschrieben 27. Februar 2014 Nein, man kommt an den IIS. ;) Ok. mehr wollte ich nicht hören :D Vielen Dank nochmal für die tolle Hilfe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.