Gateprotect für OWA konfigurieren

[Ryder 2]

Hallo,

 

es ist ja nun bekannt das Port 443 für OWA/EAS und AD geöffnet werden muss.

Meine Frage: in welche Richtungen?

Bei Gateprotect wird ja alles schön Grafisch dargestellt.

 

Aktuelle Einstellung: Pfeil von links nach rechts: Links darf auf rechts zugreifen, rechts darf nur antworten. (Links LAN, rechts WAN)

Ich könnte nun den Pfeil von links nach rechts und rechts nach links ändern, was wohl inbound/outbound wäre, aber ist das überhaupt notwendig?

 

Auf dem Exchange 2007 ist OWA für intern sowie extern definiert.

 

A-Record für remote.firma.de ist beim Hoster erstellt, MX Record noch nicht daher noch über Popcon abgerufen wird (ändert sich auch noch).

 

Rufe ich nun vom WAN https://remote.firma.de/owa auf erhalte ich "Not found".

Vom LAN funktioniert es.

 

Grüße und Danke für eure Hilfe!

 

 

 

 

[Squire 262]

Logischerweise muss der Port auch von außen nach innen offen sein. 

 

Bzw. sollte man Exchange ja eigentlich veröffentlichen und nicht einfach nur die Ports durchreichen ... also über eine WAF, UTM, etc ... 

[magheinz 110]

"not found" brignt die Frage auf: ist das im DNS denn hinterlegt?

[NorbertFe 2.035]

Logischerweise muss der Port auch von außen nach innen offen sein.

 

Bzw. sollte man Exchange ja eigentlich veröffentlichen und nicht einfach nur die Ports durchreichen ... also über eine WAF, UTM, etc ...

Naja ms sagt dazu aber was anderes. Man sollte dann natürlich nicht unbedingt mit nem uralt System unterwegs sein. ;)

[Ryder 2]

Guten Morgen,

 

also im DNS ist es in der forward lookupzone eingetragen. Firewall habe ich jetzt dementsprechend angepasst. Nun erhalte ich einen Timeout beim Verbindungsaufbau :(

Noch was Grundlegendes vielleicht, das ich nicht ganz verstehe wie das gehen soll:

Wir haben eine externe IP, diese ein 30er Subnet. Beim Hoster der Domain kann ich aber lediglich die IP angeben für den A-Record. Ist das dann in Ordnung?

[Nobbyaushb 1.471]

Guten Morgen,

 

also im DNS ist es in der forward lookupzone eingetragen. Firewall habe ich jetzt dementsprechend angepasst. Nun erhalte ich einen Timeout beim Verbindungsaufbau :(

Noch was Grundlegendes vielleicht, das ich nicht ganz verstehe wie das gehen soll:

Wir haben eine externe IP, diese ein 30er Subnet. Beim Hoster der Domain kann ich aber lediglich die IP angeben für den A-Record. Ist das dann in Ordnung?

Wir reden hier vom externen DNS bei deinem Hoster/Provider, du redest hier von zwei verschiedenen Dingen.

Bei dir LOKAL muss Split-DNS sauber passen, und extern muss remote.deinedomain.tld und autodiscover.deinedomain.tld mit der externen IP als A-Record eingetragen sein.

Wenn du auch noch direkte Zustellung wünschst, zeigt der MX (und der PTR-Record) ebenso auf diese IP.

Mann kann viele Dienste auf eine IP legen, wenn es denn unterschiedliche Ports sind, sonst braucht man halt mehr als eine IP

Wie viele IP-Adressen sind in einem 30er Subnetz?

;)

Nachtrag: warum so viel Arbeit mit einem bald nicht mehr gültigem Mailserver?

Ab April ist Schluß mit dem Support für alle 2007er Versionen!

https://blogs.technet.microsoft.com/exchange/2016/04/11/exchange-server-2007-t-1-year-and-counting/

bearbeitet 22. Februar 2017 von Nobbyaushb

[Ryder 2]

Hi Nobby,

 

danke dafür.

Das neue Serverkonzept steht und muss nur abgenickt werden (In Bezug auf deinen Nachtrag)

 

Für Split-DNS benötige ich einen zusätzlichen DNS-Server der in der DMZ steht, richtig? Dann kann ich es sowieso noch nicht machen.

Erschwerend kommt hinzu das ich noch nie Split-DNS erstellt habe.

 

DNS beim Hoster ist eingetragen

 

 

A-Record für remote.firma.de ist beim Hoster erstellt, MX Record noch nicht daher noch über Popcon abgerufen wird (ändert sich auch noch).

 

!

 

.

DNS im lokalen Netz ist eingetragen.

 

MX-Record kommt später mit den neuen Servern.

 

Es sollten 4 IP-Adressen in einem 30er Netz verfügbar sein, kann das aber gern nochmal ergoogeln falls ich mich hier Irre :p

[NorbertFe 2.035]

Für Split-DNS benötige ich einen zusätzlichen DNS-Server der in der DMZ steht, richtig?

Nein falsch. Einen internen DNS und einen der öffentlich deine Zone hostet.

 

Bye

Norbert

[Ryder 2]

Hi Norbert,

 

danke für deine Antwort.

Aber kannst du einem dummie das etwas erläutern? Mir reicht auch ein Link wo ich mich selbst belesen kann. Die Seiten die ich bisher gelesen habe, sprechen von einer DMZ.

[testperson 1.680]

Im internen DNS legst du eine Host-Zone "remote.domain.de" (und "autodiscover.domain.de") mit einem A-Record ohne Hostname und nur der internen IP an.

Im externen DNS legst du einen A-Record / Subdomain / was auch immer dein Hoster anbietet mit der öffentlichen externen IP an.

[Ryder 2]

Also,

 

weil ich immernoch der Meinung bin das ich genau dass schon gemacht habe und wir aneinander vorbei reden, so schaut der interne DNS aus:

 

[testperson 1.680]

Und im externen DNS des Providers?

[Ryder 2]

ein A-Record der auf die Feste, externe IP der Firewall zeigt

[testperson 1.680]

Dann ist SplitDNS vermutlich korrekt eingerichtet.

[Ryder 2]

und ich wusste es garnicht :p Immer diese neumodischen Ausdrücke :D

 

erklärt jetzt nur nicht den Timeout  :confused:

 

Funktioniert denn OWA auch wenn ich beim Provider keinen A-Record für AD hinterlegt habe?