Wolke2k4 11 Geschrieben 9. Oktober 2019 Melden Teilen Geschrieben 9. Oktober 2019 Hallo, mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre. Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können. Gibt es brauchbare Third Party Lösungen, die sich bei euch bewehrt haben, oder lasst ihr die Leute direkt auf den Exchange mittels Portforwarding? Danke schon mal für euren Input. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Hi, vor 6 Stunden schrieb Wolke2k4: Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. das heißt TMG / UAG? vor 6 Stunden schrieb Wolke2k4: Gibt es brauchbare Third Party Lösungen, die sich bei euch bewehrt haben, oder lasst ihr die Leute direkt auf den Exchange mittels Portforwarding? Da gibt es einige 3rd Party Lösungen. Kommt jetzt halt drauf an, was an Features benötigt wird und was sonst noch neben dem Exchange da ist sowie was dann unter Umständen am besten passt.. Citrix Netscaler ADC (ggfs. auch per "Freemium" -> Keine Pre Authentication) KEMP LoadMaster (ggfs. auch "Free LoadMaster" -> Kein HA) HA Proxy Ein "WebServer" mit entsprechenden Funkionen (Apache / NGINX / IIS) ... Gruß Jan P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Warum 2 kemp? Die freie Variante kann kein ha. ;) Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 vor 10 Minuten schrieb NorbertFe: Warum 2 kemp? Die freie Variante kann kein ha. ;) vor 53 Minuten schrieb testperson: P.S.: Man könnte sich jetzt natürlich mit dem Citrix ADC Freemium HA bauen und dahinter zwei Free LoadMaster mit Pre-Auth betreiben. ;) ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Und dahinter dann 1 exchange:p Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 (bearbeitet) An der Misere ist ja nun ganz klar MS schuld. Die könnten ja auch einfach einen zwei limitierten kleinen Exchange kostenlos bereitstellen. Noch was zum Thema Portforwarding: In der "Post TMG World" sah Microsoft es als unproblematisch an, den Exchange direkt zu veröffentlichen, da sie "securing our code, writing secure code, testing our code for security" betreiben. Das wurde ja aber auch schon widerlegt. ;) Aber auch wenn alles sicher ist, könnte man hinterfragen, ob man alles und jeden von extern an den Exchange lassen möchte und ob /ecp von extern eine gute Idee ist. (https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Life-in-a-Post-TMG-World-8211-Is-It-As-Scary-As-You-Think/ba-p/592683) bearbeitet 10. Oktober 2019 von testperson Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 Naja /ecp lässt sich ja einschränken. Geht halt mit Reverse Proxy nur einfacher. ;) Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 vor einer Stunde schrieb NorbertFe: Naja /ecp lässt sich ja einschränken. Microsoft sieht das doch mit einem weiteren Exchange Server vor. Was wiederum vor 1 Stunde schrieb NorbertFe: Und dahinter dann 1 exchange dieses "Problem" erledigt sowie im Idealfall einen passenden LoadBalancer inkl. Reverse Proxy mitbringt. Fall gelöst. :) Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 10. Oktober 2019 Melden Teilen Geschrieben 10. Oktober 2019 wir haben zwei haproxys in der DMZ. Die Exchanges hängen im internen Netz. Ob in Zukunft die netscaler die Funktion der haproxys übernehmen ist noch nicht geklärt... Zitieren Link zu diesem Kommentar
screamager 2 Geschrieben 16. Oktober 2019 Melden Teilen Geschrieben 16. Oktober 2019 Am 10.10.2019 um 00:14 schrieb Wolke2k4: Hallo, mich würde interessieren, wie ihr aktuell eure Exchange Umgebungen aus dem Internet absichert, wenn ihr den Zugriff darauf für Active Sync, OWA, Outlook Anywhere usw. ermöglicht, ohne, dass ihr einen VPN Zugang dafür bereitstellt, was ja kein direkter Zugriff aus dem Internet wäre. Wir nutzen aktuell dafür noch immer einen Reverse Proxy unter W2Kx Server. WAP geht wohl auch, hier stört mich aber der Konfig Overhead mit ADFS um die reine AS, OWA usw. Durchleitung nutzen zu können. Hi! "Relativ" simpel geht das mit einer Sophos UTM, egal ob auf Blech oder virtuell und dann die Web Application Firewall (Reverse Proxy) davor. Anleitung gibt es bei frankysweb. Grüße, Rüdiger Zitieren Link zu diesem Kommentar
Nobbyaushb 1.472 Geschrieben 16. Oktober 2019 Melden Teilen Geschrieben 16. Oktober 2019 Meine Antwort lautet - es kommt drauf an Viele meiner Kunden reichen das einfach direkt durch, einige habe eine Firewall oder Loadbalancer, der das kann Ist natürlich auch ein bisschen vom Geldbeutel abhängig... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.