slemke 10 Geschrieben 24. Januar 2016 Melden Teilen Geschrieben 24. Januar 2016 Hallo zusammen, ich bin gerade dabei, mich intensiv mit Exchange 2016 zu beschäftigen. Bis jetzt läuft das ganze prima und ich würde gerne ein paar Szenarien zum Öffnen des Exchange Servers nach außen diskutieren. Ich habe auch schon die Forumssuche bemüht und insgesamt 3 Jahre zurück gegangen, aber eine Diskussion über die verschiedenen Möglichkeiten mit Vor- und Nachteilen habe ich nicht gefunden. Stand der Dinge:Domänen-Controller: W2K8R2Exchange-Server: W2K12R2 mit Exchange 2016 im gleichen NetzExchange ist unter exchange.organisation.de erreichbar, Split-DNS ist eingerichtet, SSL-SAN Zertifikat ist vorhanden & eingerichtet, Autodiscovery funktioniert, nur intern erreichbar. Die Firma besitzt einen Internetzugang, der über einen Standard-NAT-Router zugänglich gemacht wird sowie eine feste IP-Adresse. Ich habe viel im Internet gelesen und diverse Möglichkeiten gefunden, um den Exchange nach außen zu öffnen. In diesem Fall soll das heißen – „Full-Pull“ – also mit Outlook Anywhere, OWA, mobile Devices. Nur die ECP soll nicht geöffnet werden. Office 365 und/oder Hybrid soll an dieser Stelle unberücksichtigt bleiben. Besonders interessant ist das Verhältnis von Sicherheit / Aufwand / Organisationsgröße – klar ist das immer individuell, aber vielleicht bekommen wir ja einen groben Ansatzpunkt zusammen. Darüber hinaus ist zu sagen, dass das ganze bis jetzt ÜBERLEGUNGEN sind, die kleinen Lösungen habe ich getestet, die großen noch nicht. Die Einschätzungen, Vor- und Nachteile würde ich gerne mal zur Diskussion stellen. Ich versuche mich mal – Ausgangsszenario ist immer der oben beschriebene IST-Stand: Szenario 1:Es wird ein Port-Mapping für Port 80 & 443 auf dem Router mit Ziel Exchange-Server angelegt.Vernünftige Passwort- und Kontosperrrichtlinie.Vorteil: Sehr geringer AufwandOrganisationsgröße: < 5 BenutzerSicherheit: gering Szenario 2:Es wird ein Port-Mapping für Port 80 & 443 auf dem Router mit Ziel Exchange-Server angelegt.Zusätzlich wird der Exchange Server in ein anderes Netzsegment gestellt; die beiden Netzsegemente werden mittels einer Firewall verbunden, die nur die notwendigen Ports durchlässt.Vernünftige Passwort- und Kontosperrrichtlinie.Vorteil: Geringer Aufwand, höhere Sicherheit als Szenario 1Nachteil:Organisationsgröße: < 10 BenutzerSicherheit: mittel (?) Szenario 3:Wie Szenario 1 oder 2 – jedoch wird der Standard-Router durch einen Firewall-Router ersetzt, der auch ein Intrusion-Prevention/-Detection System besitzt (z.B. Fortigate). Hier muss natürlich so etwas wie ein Loadbalancer und/oder SSL-Offloading konfiguriert werden, damit die Firewall die SSL-Pakete aufmachen, scannen und wieder verschlüsseln kann.Vorteil: Firewall kann weitere Dienste bereitstellen (z.B. AV-Gateway)Nachteil: Einarbeitungszeit / Schulungen / Kosten FirewallOrganisationsgröße: 10-40 BenutzerSicherheit: hoch (?) Szenario 4:Aufbau eines Web-Application Proxy-Servers (Bestandteil von W2K12R2), der in einem getrennten Netzwerk steht. Dieser greift durch eine Firewall auf einen (ebenfalls aufzubauenden) ADFS Server sowie auf den Exchange Server zu. DC, Exchange und ADFS Server stehen im internen, vertrauenswürdigen Netz.Vorteil: Weitere Dienste können über ADFS Dienste mit Single Sign-On bedient werden, über den Reverse Proxy des WAP können weitere interne Websites veröffentlicht werden, fein-granulare KonfigurationsmöglichkeitenNachteil: hoher ImplementierungsaufwandSicherheit: hoch (?)Organisationsgröße: > 40 BenutzerSzenario 5:Aufbau eines komplett eigenständigen Domänencontrollers mit Exchange, der dann mit einem der vorherigen Szenarien nach außen geöffnet wird.Vorteil: Völlige Trennung der Mail & AD DiensteNachteil: Erhöhter Aufwand in Administration und Einrichtung bei BenutzernSicherheit: sehr hoch Szenario 6:Hinzufügen von zwei-Faktor Authentifizierungen (das führt hier jetzt vielleicht etwas weit).Wie würdet Ihr die Vor- und Nachteile der Szenarien einschätzen? Liege ich mit der Einschätzung der Organisationsgrößen in etwa richtig? Wie gesagt – auch mir ist klar, dass das sehr individuell ist und das Ganze nur eine grobe Richtschnur sein kann.Zuletzt hätte ich noch zwei Fragen, insbesondere zum vierten Szenario:1. Outlook Anywhere kann nur als „Passthrough“ auf dem WAP konfiguriert werden (wenn ich mir das richtig angelesen habe) – die Meinungen im Internet sind so, dass das nicht allzu viel bringt, der WAP reicht einfach nur durch. Wäre da nicht Szenario 3 sinnvoller?2. Wird der WAP-Server zu einem Mitglied der Domäne? Oder steht der ausserhalb und fragt „in die Domäne rein“? (Hier wird ja auch der ADFS Proxy mit dem WAP mitinstalliert)Schönen Sonntag noch, Sebastian Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 24. Januar 2016 Melden Teilen Geschrieben 24. Januar 2016 (bearbeitet) Port 80 braucht man nicht für Exchange in der Standardkonfiguration. Für deine ganzen Szenarien ist mir das im Moment zu viel. ;) wie immer gilt aber: definiere Anforderungen und dann suche das für dich passende raus. Bye Norbert Ps: wie kommst du zur Definition "Sicherheit" niedrig, Mittel usw? bearbeitet 24. Januar 2016 von NorbertFe Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 24. Januar 2016 Melden Teilen Geschrieben 24. Januar 2016 Klingt für mich nach dem Versuch ein Standardsetup für unterschiedliche Kundengrößen festzulegen, welches man relativ einfach bepreisen kann. Ganz ehrlich: Das klappt nicht. Als ich noch Angestellter bei verschiedenen IT-Dienstleistern war, wurde das vom Vertrieb gerne mal versucht. Da kamen dann so aberwitzige Sachen bei heraus, wie z.B. die Installation eins Exchange pauschal 1200,- €. Anforderungsdefinition, Planung usw. wird ja eh überbewertet. Das kann man ja sicher standardisieren. Pustekuchen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Januar 2016 Melden Teilen Geschrieben 24. Januar 2016 (bearbeitet) wieso glauben eigentlich immer alle das die Organisationsgrösse irgendetwas mit dem gefordertem/benötigtem Sicherheits- oder Verfügbarkeitslevel zu tun hat? bearbeitet 24. Januar 2016 von magheinz Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 24. Januar 2016 Melden Teilen Geschrieben 24. Januar 2016 Klingt für mich nach dem Versuch ein Standardsetup für unterschiedliche Kundengrößen festzulegen, welches man relativ einfach bepreisen kann. Wenn er nicht fremde Domains kapert arbeitet er bei einem Hersteller für Magnettafeln und sonstige Präsentationstechnik in Neuss. Ich denke er braucht eher einen Dienstleister als das er selber einer ist. Falls er doch solche Dienstleistungen für Kunde erbringen möchte stellt sich die Frage nach der Kompetenz und Seriösität. Jemand der IT- und Mailsysteme konzeptionieren will und die RFCs 2606 und 6761 nicht kennt sollt von solchen Dingen die Finger lassen. 1 Zitieren Link zu diesem Kommentar
slemke 10 Geschrieben 25. Januar 2016 Autor Melden Teilen Geschrieben 25. Januar 2016 (bearbeitet) Hallo zusammen, man ruhig mit den jungen Pferden..;-) Es ist so wie oben geschrieben, ich habe nichts im Forum gefunden und „nur“ meine Gedanken zusammengefasst. Auch von einem „Bepreisungsmodell“ für den Vertrieb kann nicht die Rede sein, das war überhaupt nicht die Intention. Die Idee war einfach nur, Ansatzpunkte für die sichere Integration zu diskutieren, nicht mehr und nicht weniger. Das ist offensichtlich so nicht rüber gekommen. Ich habe bei meinen Recherchen nicht viel gefunden, auch hier im Board nicht. Es wäre doch prima, wenn man so auch Newbies Ideen an die Hand geben könnte, wie eine Integration aussehen **kann**. Klar, gibt es auch Beratungsfirmen, keine Frage – aber irgendwie muss man sich doch auch in ein Thema einarbeiten. Auch dass das ganze immer sehr individuell ist, ist mir klar. Hier gibt es aber nur mein Lab-Setup. Gute Güte ;-) Was´n los – war doch nur eine normale Frage…. @NorbertFe: Vielen Dank für den Input – du hast natürlich Recht, Port 80 gehört raus. Ich hatte mit einem weiteren Web-Root „rumgespielt“, der dann einen https-Redirect nach https://www.example.com/ecp macht. Der MS-Artikel https://support.microsoft.com/de-de/kb/975341 ist bekannt, ich habe nur eine Möglichkeit getestet, das auch ohne Änderungen an den Standard-Hostings zu machen. Was die Sicherheitseinschätzung angeht – die wollte ich eigentlich zur Diskussion stellen, das war eine rein subjektive Einschätzung. @DocData: Wie gesagt, ist nicht so, hat mit Vertrieb nichts zu tun. Abgesehen davon, dass ich dir völlig zustimme und man das ganz sicher nicht pauschal bepreisen kann – selbst wenn man das versuchen würde, ab Szenario 4 wird das absolut unmöglich. Außerdem wäre das doch sowieso wiedersinnig. Der Vertrieb wird die Szenarien (wahrscheinlich) nicht aufbauen können, die Technik wird dem Vertrieb von vornherein genau das sagen, was du geschrieben hast!? @magheinz: Sicherheitslevel: Bin ich bei dir, wie gesagt, Intention war, genau das zu diskutieren – wenn das anders angekommen ist, tut´s mir leid.Das mit den Magnettafeln verstehe ich leider nicht, habe dir eine PM geschrieben. Mit den RFCs hast du sicherlich Recht, die Beispiel Domain ist schlecht gewählt. [Edit: Die Beispiel-Domain war ganz schlecht gewählt, ich habe nichts mit der o.g. Domain zu tun, Sorry - das zur Richtigstellung] Ich find´s eigentlich ein wenig schade und verstehe die Reaktionen auch nicht so ganz. Sebastian bearbeitet 25. Januar 2016 von slemke Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 25. Januar 2016 Melden Teilen Geschrieben 25. Januar 2016 ich bin gerade dabei, mich intensiv mit Exchange 2016 zu beschäftigen. Was genau bedeutet das? Mit welcher Zielstellung? Mit welchem Schwerpunkt? ;) Bis jetzt läuft das ganze prima und ich würde gerne ein paar Szenarien zum Öffnen des Exchange Servers nach außen diskutieren. Ich habe auch schon die Forumssuche bemüht und insgesamt 3 Jahre zurück gegangen, aber eine Diskussion über die verschiedenen Möglichkeiten mit Vor- und Nachteilen habe ich nicht gefunden. Bin "zu faul" zum Suchen, aber ich würde behaupten, dass das Thema Reverse Proxy mit oder ohne Prä-Authentifizierung und mit oder ohne Reverse Proxy gerade im Rahmen der Abkündigung des MS TMG häufiger hier aufploppte. Vielleicht liegts ja an deiner Suche. Stand der Dinge: Domänen-Controller: W2K8R2 Exchange-Server: W2K12R2 mit Exchange 2016 im gleichen Netz Exchange ist unter exchange.organisation.de erreichbar, Split-DNS ist eingerichtet, SSL-SAN Zertifikat ist vorhanden & eingerichtet, Autodiscovery funktioniert, nur intern erreichbar. Die Firma besitzt einen Internetzugang, der über einen Standard-NAT-Router zugänglich gemacht wird sowie eine feste IP-Adresse. OK. Ich habe viel im Internet gelesen und diverse Möglichkeiten gefunden, um den Exchange nach außen zu öffnen. In diesem Fall soll das heißen – „Full-Pull“ – also mit Outlook Anywhere, OWA, mobile Devices. Nur die ECP soll nicht geöffnet werden. Office 365 und/oder Hybrid soll an dieser Stelle unberücksichtigt bleiben. Wenn du ECP nicht aufmachst, kann man im OWA aber keine Einstellungen vornehmen. ;) Darüber hinaus ist zu sagen, dass das ganze bis jetzt ÜBERLEGUNGEN sind, die kleinen Lösungen habe ich getestet, die großen noch nicht. Die Einschätzungen, Vor- und Nachteile würde ich gerne mal zur Diskussion stellen. OK. Szenario 1: Es wird ein Port-Mapping für Port 80 & 443 auf dem Router mit Ziel Exchange-Server angelegt. Vernünftige Passwort- und Kontosperrrichtlinie. Vorteil: Sehr geringer Aufwand Organisationsgröße: < 5 Benutzer Sicherheit: gering Zu Port 80 hatte ich ja schon was geschrieben. Ansonsten wieso ist Sicherheit gering? Wieso Organisationsgröße <5? Szenario 2: Es wird ein Port-Mapping für Port 80 & 443 auf dem Router mit Ziel Exchange-Server angelegt. Zusätzlich wird der Exchange Server in ein anderes Netzsegment gestellt; die beiden Netzsegemente werden mittels einer Firewall verbunden, die nur die notwendigen Ports durchlässt. Vernünftige Passwort- und Kontosperrrichtlinie. Vorteil: Geringer Aufwand, höhere Sicherheit als Szenario 1 Nachteil: Organisationsgröße: < 10 Benutzer Sicherheit: mittel (?) Versteh ich nicht, bzw. das was ich verstehe ist, dass du damit ein von MS unsupportetes Szenario herstellen würdest. Es gibt ein klares Supporstatement: Keine Firewalls zwischen Exchange und DC! Wieso <10 Nutzer? Wieso ist jetzt die Sicherheit höher als bei Szenario 1? Szenario 3: Wie Szenario 1 oder 2 – jedoch wird der Standard-Router durch einen Firewall-Router ersetzt, der auch ein Intrusion-Prevention/-Detection System besitzt (z.B. Fortigate). Hier muss natürlich so etwas wie ein Loadbalancer und/oder SSL-Offloading konfiguriert werden, damit die Firewall die SSL-Pakete aufmachen, scannen und wieder verschlüsseln kann. Vorteil: Firewall kann weitere Dienste bereitstellen (z.B. AV-Gateway) Nachteil: Einarbeitungszeit / Schulungen / Kosten Firewall Organisationsgröße: 10-40 Benutzer Sicherheit: hoch (?) Ich interpretiere das mal als Firewall mit Reverse Proxy Komponente. Du bist dir nicht sicher, ob die Sicherheit hoch ist? Szenario 4: Aufbau eines Web-Application Proxy-Servers (Bestandteil von W2K12R2), der in einem getrennten Netzwerk steht. Dieser greift durch eine Firewall auf einen (ebenfalls aufzubauenden) ADFS Server sowie auf den Exchange Server zu. DC, Exchange und ADFS Server stehen im internen, vertrauenswürdigen Netz. Vorteil: Weitere Dienste können über ADFS Dienste mit Single Sign-On bedient werden, über den Reverse Proxy des WAP können weitere interne Websites veröffentlicht werden, fein-granulare Konfigurationsmöglichkeiten Nachteil: hoher Implementierungsaufwand Sicherheit: hoch (?) Organisationsgröße: > 40 Benutzer Was meinst du mit feingranulare Konfigurationsmöglichkeiten? Gäbe es die bei Szenario 3 nicht? Szenario 5: Aufbau eines komplett eigenständigen Domänencontrollers mit Exchange, der dann mit einem der vorherigen Szenarien nach außen geöffnet wird. Vorteil: Völlige Trennung der Mail & AD Dienste Nachteil: Erhöhter Aufwand in Administration und Einrichtung bei Benutzern Sicherheit: sehr hoch Du meinst jetzt eine eigene AD-Infrastruktur für Exchange? Wieso ist da die Sicherheit höher? Welche und warum? Szenario 6: Hinzufügen von zwei-Faktor Authentifizierungen (das führt hier jetzt vielleicht etwas weit). Wäre aber ggf. interessant. Nur nicht jede Version von Exchange und jeder Client kann damit umgehen. ;) Liege ich mit der Einschätzung der Organisationsgrößen in etwa richtig? Hmm... eher nein. Wie gesagt – auch mir ist klar, dass das sehr individuell ist und das Ganze nur eine grobe Richtschnur sein kann. Genau. Zuletzt hätte ich noch zwei Fragen, insbesondere zum vierten Szenario: 1. Outlook Anywhere kann nur als „Passthrough“ auf dem WAP konfiguriert werden (wenn ich mir das richtig angelesen habe) – die Meinungen im Internet sind so, dass das nicht allzu viel bringt, der WAP reicht einfach nur durch. Wäre da nicht Szenario 3 sinnvoller? Kommt darauf an. 2. Wird der WAP-Server zu einem Mitglied der Domäne? Oder steht der außerhalb und fragt „in die Domäne rein“? (Hier wird ja auch der ADFS Proxy mit dem WAP mitinstalliert) Was sagt denn die MS dazu? Ich denke du liest soviel. ;)https://technet.microsoft.com/en-us/library/dn383660.aspx You must deploy AD FS on a server running Windows Server 2012 R2 in your organization before you can deploy Web Application Proxy. For AD FS planning and deployment Information Bye Norbert 1 Zitieren Link zu diesem Kommentar
slemke 10 Geschrieben 25. Januar 2016 Autor Melden Teilen Geschrieben 25. Januar 2016 (bearbeitet) Hallo Norbert,vielen Dank für deine Antworten. Was genau bedeutet das? Mit welcher Zielstellung? Mit welchem Schwerpunkt? Ich arbeite tatsächlich selber im IT-Bereich. Das letzte Mal, dass ich was mit Exchange gemacht habe, war im SBS2003, also schon eine ganze Weile her. Intention ist, das Produkt kennen zu lernen, vielleicht auch mal eine Schulung zu besuchen. Im ersten Schritt habe ich mir den Exchange aus dem Action-Pack geschnappt und los gelegt. Ich glaube auch, ich habe mich ganz gut durchgearbeitet. Jetzt bin ich an einer Stelle, wo ich einfach nicht weiter gekommen bin. Bin "zu faul" zum Suchen, aber ich würde behaupten, dass das Thema Reverse Proxy mit oder ohne Prä-Authentifizierung und mit oder ohne Reverse Proxy gerade im Rahmen der Abkündigung des MS TMG häufiger hier aufploppte. Vielleicht liegts ja an deiner Suche. Du bist schon bei dem Reverse Proxy, mir fehlte quasi erst einmal ein Überblick, was überhaupt möglich ist – idealerweise mit Vor- und Nachteilen. Deswegen habe ich einfach meine Ideen mal runter geschrieben - und anscheinend auch einiges falsches mit rein geschrieben ;-) Wenn du ECP nicht aufmachst, kann man im OWA aber keine Einstellungen vornehmen. Vielleicht etwas unglücklich von mir ausgedrückt. Was ich bisher gemacht habe: Ich habe im Standard-Hosting für das ECP AdminEnabled auf $False gesetzt. Danach habe ich dem Exchange Server eine weitere IP gegeben, auf der ich ebenfalls ECP & OWA eingerichtet habe. Diese IP ist nur intern erreichbar. Somit sollte man extern im OWA Einstellungen vornehmen können, Administrative aber nur intern über die zweite IP, korrekt? - Szenario1 - Zu Port 80 hatte ich ja schon was geschrieben. Ansonsten wieso ist Sicherheit gering? Wieso Organisationsgröße <5? Wie gesagt, war ein Gefühl. Jetzt ist natürlich ohne konkretes Umfeld die „Sicherheitsanforderung“ schwer zu greifen. Deswegen mal die umgekehrte Frage: Wie „unsicher“ ist das, wie groß ist die Angriffsfläche hier? Ich meine über Sicherheitsverwundbarkeiten. Schwache Passwörter lassen wir mal außen vor, eine entsprechende Richtlinie war ja sowieso Vorgabe. - Szenario 2: -Versteh ich nicht, bzw. das was ich verstehe ist, dass du damit ein von MS unsupportetes Szenario herstellen würdest. Es gibt ein klares Supporstatement: Keine Firewalls zwischen Exchange und DC! Wieso <10 Nutzer? Wieso ist jetzt die Sicherheit höher als bei Szenario 1? Ok, klare Aussage – ich wusste schlichtweg nicht, dass das so nicht supported ist (DC / Firewall / Exchange) [Outing off]. Idee war, dass wenn wirklich jemand auf dem Exchange „einbricht“ zunächst einmal noch eine Firewall den DC schützt (deswegen höhere Sicherheit). Benutzerzahl scheint ja unfug gewesen zu sein.Kurzum: Vergessen wir dieses Szenario, unsupported, fällt raus. - Szenario 3 -Ich interpretiere das mal als Firewall mit Reverse Proxy Komponente. Du bist dir nicht sicher, ob die Sicherheit hoch ist? Ich habe mich hier tatsächlich ein wenig an der Fortigate orientiert und die wäre hier wohl nicht mit der vollen Funktionalität des WAP-Servers vergleichbar. Man hat hier zwar Loadbalancing und SSL Offloading konfigurieren, aber nicht einzelne Unterverzeichnisse für den Reverse Proxy - nur den kompletten Host. (Alternativ könnte man natürlich eine IPS-Signatur schreiben, die den Zugriff blockt, aber das wäre ein wenig von hinten durch die Brust in die Augen). Dafür hat Fortinet zusätzliche Produkte.Zur Sicherheit: Ich habe das Fragezeichen geschrieben, eben weil das so individuell ist. Vielleicht ist es besser zu schreiben „höher als reines Port Mapping“? - Szenario 4 -Was meinst du mit feingranulare Konfigurationsmöglichkeiten? Gäbe es die bei Szenario 3 nicht? Siehe auch Antwort zu Szenario 3 –Mit dem WAP müsste man hier differenziertere Möglichkeiten haben, wenn ich alles richtig verstanden habe. - Szenario 5 - Aufbau eines komplett eigenständigen Domänencontrollers mit Exchange, der dann mit einem der vorherigen Szenarien nach außen geöffnet wird. Du meinst jetzt eine eigene AD-Infrastruktur für Exchange? Wieso ist da die Sicherheit höher? Welche und warum? Gedanke war: Was passiert, wenn auf dem Exchange „eingebrochen“ wird, und jemand in den Besitz von Benutzerdaten kommt. Dann hat er auch Zugriff auf weitere Netzwerkressourcen. Wenn man ein eigenes AD & Exchange hat und die Passwörter anders sind (und womöglich diese Kombination aus DC&Exchange in einem anderen Netzsegment steht), hat sich ein Unbefugter nicht Zugriff auf weitere Ressourcen (z.B. Dateien). Mann kann es auch kompliziert machen ;-)Oder bin ich jetzt völlig paranoid ?! ;-) - Zwei Faktor - Wäre aber ggf. interessant. Nur nicht jede Version von Exchange und jeder Client kann damit umgehen. Danke für den Hinweis! Liege ich mit der Einschätzung der Organisationsgrößen in etwa richtig? Hmm... eher nein. Da habe ich wohl ziemlich daneben gelegen.Gibt es trotzdem Erfahrungswerte? Wird zum Beispiel auch Szenario 1 bei Installationen mit (zum Beispiel) mehr als 70 Usern gemacht? Oder eher nicht? Ich versuche, ein Gefühl dafür zu bekommen.Umgekehrt gefragt: Gibt es Szenarien, die sich bei einer gewissen Organisationsgröße per se verbieten? 2. Wird der WAP-Server zu einem Mitglied der Domäne? Oder steht der außerhalb und fragt „in die Domäne rein“? (Hier wird ja auch der ADFS Proxy mit dem WAP mitinstalliert) Was sagt denn die MS dazu? Ich denke du liest soviel. https://technet.microsoft.com/en-us/library/dn383660.aspx Entweder stehe ich kräftig auf dem Schlauch oder wir reden aneinander vorbei ;-) ?Ich meinte das so:Der ADFS Server steht in der Domäne.Ich installiere einen weiteren Server außerhalb der Domäne, der WAP und den ADFS Proxy installiert hat. Geht das so? Dieser Artikel ließ mich das vermuten: http://www.msxfaq.de/internet/wap.htmDanke,Sebastian bearbeitet 25. Januar 2016 von slemke Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 25. Januar 2016 Melden Teilen Geschrieben 25. Januar 2016 Nochwas zum lesen: http://blogs.technet.com/b/exchange/archive/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think.aspx Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 25. Januar 2016 Melden Teilen Geschrieben 25. Januar 2016 (bearbeitet) Hi Sebastian, ich diskutiere ja gern mal auch über nicht ganz konkrete Dinge, aber so ziemlich alles was du fragst sind "was wäre wenn" Fragen. Ich würde empfehlen, wenn du konkrete Fragen/Probleme mit der Umsetzung hast, meldest du dich, ansonsten kann man solche Dinge in meinen Augen nur extrem ungünstig in einem Forum diskutieren. Einfach deswegen, weil es da soviele Einflußfaktoren gibt, die bei dem einen problemlos eine Entscheidung für oder wider ermöglichen und ein anderer mit wenig anderer Konfiguration würde damit einfach auf die Nase fallen. In meinen Augen ziemlich genau ein Consulting oder (weniger hochgestochen) ein Beratungsthema zwischen Dienstleister und Kunden. Also arbeite dich rein (auch mit Schulung) und man wird dir den einen oder anderen Tipp geben, aber nur wenige hier, werden dir eine Schulung oder einen groben Leitfaden erarbeiten (auch mit deiner Hilfe). Je genauer du die Möglichkeiten eines Produktes kennst, umso schneller wirst du selbst die sinnvollen Konstrukte erkennen können. Viele hier im Board arbeiten eben auch in dem Bereich und man hilft sich zwar gern unter "Kollegen", aber ich denke du verstehst, wenn das für mich zumindest etwas Zuviel ist. ;) Viel Erfolg erstmal Norbert PS: Hier mal noch ein Link bzgl. der Firewall Thematik: http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewalls-and-support-oh-my.aspx bearbeitet 25. Januar 2016 von NorbertFe Zitieren Link zu diesem Kommentar
slemke 10 Geschrieben 25. Januar 2016 Autor Melden Teilen Geschrieben 25. Januar 2016 Hallo, danke für die beiden Links - habe ich mir gerade durchgelesen. Werde in meinem Lab-Setup mich mal weiter in Richtung ADFS / WAP einarbeiten. Schönen Abend, Sebastian Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.