playaz 10 Geschrieben 10. September 2018 Melden Teilen Geschrieben 10. September 2018 Hi, da MS demnächst TLS 1.0 und 1.1 einstampft und durch TLS 1.2 ersetzt hätte ich ein paar Fargen dazu. Wir haben noch einen alten ISA 2006 auf Windows 2003 Server laufen und Exchange 2010 auf 2008R2. Exchange 2010 TLS 1.2 ready zu machen ist relativ einfach, RU 20 und ein .Net Patch für 2008 R2. Da OWA auch über den ISA Server geht, müsste man den auch TLS 1.2 fit machen oder reicht das es nur der Exchange kann? Meines Wissens nach unterstützt der Server 2003 gar kein TLS 1.2? Der Plan ist nächstes Jahr auf eine aktuelle Exchange Version zu migrieren und den ISA Server durch eine andere Lösung abzulösen. Danke! lg Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 10. September 2018 Melden Teilen Geschrieben 10. September 2018 Nein, nicht unterstützt. Werfe den 12Jahre alten ISA dahin wo er hin gehört. IMHO ist es sicherer Exchange 2010 direct zu veröffentlichen als durch ISA 2006 auf Windows Server 2003 - für beides gibt es seit langem keine Sicherheitsupdates mehr. ASR Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 10. September 2018 Melden Teilen Geschrieben 10. September 2018 Solange du den ISA für die Web-Veröffentlichung benutzt wirst du um alte TLS Versionen nicht herumkommen. Und wer noch ISA 2006 auf WINDOWS 2003 einsetzt, hat andere Probleme als TLS 1.0. ;) Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 11. September 2018 Melden Teilen Geschrieben 11. September 2018 Ich kann mich nur anschließen: Das gibt nix mit dem alten ISA. Wieviele User greifen über den ISA zu? Ich werfe mal einen Citrix NetScaler Express ins Rennen. Kostenlos, aber bandbreitenlimitiert. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 11. September 2018 Melden Teilen Geschrieben 11. September 2018 Oder den kostenlosen KEMP Loadmaster. Ist zwar auch Bandbreitenlimitiert kann aber mit dem inkludierten Edge Security Pack eine Pre-Authentication. Zitieren Link zu diesem Kommentar
playaz 10 Geschrieben 11. September 2018 Autor Melden Teilen Geschrieben 11. September 2018 (bearbeitet) vor 2 Stunden schrieb DocData: Ich kann mich nur anschließen: Das gibt nix mit dem alten ISA. Wieviele User greifen über den ISA zu? Ich werfe mal einen Citrix NetScaler Express ins Rennen. Kostenlos, aber bandbreitenlimitiert. Wir haben einen NetScaler VPX 10 aber keine Enterprise Lizenz. mit der es angeblich nur möglich ist den ISA zu ersetzen. Wir könnten kostengünstig eine höhere VPX mit der ensprechenden Lizenz bekommen nur kostet die Installation einiges. Den ISA will ich sowieso schon längst weg haben. Jetzt ist die Überlegung unseren Exchange 2010 statt im 1Q. 2019 jetzt schon durchzuführen damit wir einmal das TLS Problem gelöst haben. Dann können wir uns immer noch nach einer sauberen Ablöse vom ISA kümmern. Da stellt sich wieder die Grundlegende Frage bzgl. Exchange Online oder On Premises. Danke auf jeden Fall für die Antworten. bearbeitet 11. September 2018 von playaz Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 11. September 2018 Melden Teilen Geschrieben 11. September 2018 vor 15 Minuten schrieb playaz: Wir könnten kostengünstig eine höhere VPX mit der ensprechenden Lizenz bekommen nur kostet die Installation einiges. (Ggfs. 2x) Lizenz hochladen + Reboot. Wenn Ihr nicht eine wahnsinnig komplexe Umgebung (und / oder entsprechend Anforderungen) habt, sollte AAA für Exchange in nem halben Tag machbar sein. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 11. September 2018 Melden Teilen Geschrieben 11. September 2018 Welche Funktion hat denn der USA genau? Eventuell kann man den auch durch ein opensource-Produkt austauschen. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 11. September 2018 Melden Teilen Geschrieben 11. September 2018 vor 6 Stunden schrieb testperson: (Ggfs. 2x) Lizenz hochladen + Reboot. Wenn Ihr nicht eine wahnsinnig komplexe Umgebung (und / oder entsprechend Anforderungen) habt, sollte AAA für Exchange in nem halben Tag machbar sein. Korrekt. Lizenz rein, Neustarten, fertig. Mehr ist es nicht. Was das für eine Lizenz habt ihr denn? Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 12. September 2018 Melden Teilen Geschrieben 12. September 2018 vor 19 Stunden schrieb playaz: Wir haben einen NetScaler VPX 10 aber keine Enterprise Lizenz. mit der es angeblich nur möglich ist den ISA zu ersetzen. Daraus würde ich auf Standard schließen. ;) @playaz Bevor ich den ISA auf 2003 mit max. TLS1.0 weiterbetreibe würde ich entweder den Exchange direkt veröffentlichen oder in deinem Fall, da der Netscaler ja eh schon da ist, mit ein wenig Content Switch und Rewrite am Netscaler veröffentlichen. Oder eben direkt auf Enterprise und dann das volle Programm. @magheinz Der kostenlose Kemp Loadmaster könnte den ISA (bzw. den Nachfolger das TMG) ablösen. Ansonsten sollte das ebenfalls mit Apache, nginx oder AFAIK auch dem HAProxy gehen. Zitieren Link zu diesem Kommentar
playaz 10 Geschrieben 12. September 2018 Autor Melden Teilen Geschrieben 12. September 2018 (bearbeitet) vor 15 Stunden schrieb magheinz: Welche Funktion hat denn der USA genau? Eventuell kann man den auch durch ein opensource-Produkt austauschen. Eigentlich nicht viel. Proxy, Reverse Proxy und 2 Web Server werden darüber veröffentlicht. Gibt es kostengünstige Alterantiven? Vlt. würde der kostenlose Kemp Loadmaster ausreichen? Das Unternehmen ist nicht sonderlich groß, ca 180 aktive User davon benutzen OWA nur relativ wenige und den anderen Webserver auch nur ein paar User. @testperson Wir haben die VPX10 (habe jetzt nicht all zu viel NS Erfahrung) und mir wurde gesagt das die Standard Lizenz nicht aureicht und mit der VPX10 nicht möglich sei. Den Kemp Loadmaster habe ich mir angesehen, jedoch bietet der in der Free Edt. nur 20mbps, ob das ausreicht? @DocData VPX 10, Standard Lizenz. Derzeit greifen User nur auf das Webinterface zu von extern. bearbeitet 12. September 2018 von playaz Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 12. September 2018 Melden Teilen Geschrieben 12. September 2018 Deswegen frage ich. Wir haben haproxy vor dem Exchange. Das ganze unter debian. Null lizenzkosten. Zitieren Link zu diesem Kommentar
playaz 10 Geschrieben 12. September 2018 Autor Melden Teilen Geschrieben 12. September 2018 vor 2 Minuten schrieb magheinz: Deswegen frage ich. Wir haben haproxy vor dem Exchange. Das ganze unter debian. Null lizenzkosten. Meine Linux Kenntnisse sind quasi nicht vorhanden Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 12. September 2018 Melden Teilen Geschrieben 12. September 2018 Mit der Standard Edition musst du eben auf die Pre-Authentication bzw. generell AAA verzichten. Ich würde da eher auf AAA verzichten, wie nur TLS1.0 "zu haben". Ob Ihr das theoretisch überhaupt braucht bzw. nutzt, müsste man am ISA prüfen. Ob 20Mbps reichen hängt wohl von den gleichzeitigen externen Usern ab. Euer Netscaler scheint ja auch mit 10Mbps klarzukommen So wirklich Webinterface (Webinterface on Netscaler) oder doch schon Storerfront? Zitieren Link zu diesem Kommentar
playaz 10 Geschrieben 12. September 2018 Autor Melden Teilen Geschrieben 12. September 2018 vor 2 Minuten schrieb testperson: Mit der Standard Edition musst du eben auf die Pre-Authentication bzw. generell AAA verzichten. Ich würde da eher auf AAA verzichten, wie nur TLS1.0 "zu haben". Ob Ihr das theoretisch überhaupt braucht bzw. nutzt, müsste man am ISA prüfen. Ob 20Mbps reichen hängt wohl von den gleichzeitigen externen Usern ab. Euer Netscaler scheint ja auch mit 10Mbps klarzukommen So wirklich Webinterface (Webinterface on Netscaler) oder doch schon Storerfront? Ja klar mit Storefront und 2 Factor Auth. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.