Exchange von außen erreichen

[Götzi 10]

Hi,

 

ich hab eine Anfängerfrage zu Exchange/Webserver. Da mir der Exchange langsam anfängt zu gefallen, will ichs so einrichten, dass OWA von überall verfügbar ist.

 

Erstmal mein Netzwerkaufbau (Heimnetzwerk):

 

 

Jetzt die Frage:

 

Erreichen tu ich den Exchange per OWA ja mit http://server/exchange.

Wenn nun im Internet folgendes eingeb (hab ne dyndns-Adresse):

http://goetzi.mine.nu/exchange, dann komm ich ja auf den DC, der das Internet verteilt, oder täusch ich mich? Wie muss ich das anstellen, dass ich den Exchange von außen erreichen kann?

 

Würd mich über Antworten freuen,

 

Götzi

 

PS: Ich kanns erst im Juli testen, weil ich erst dann einen Anschluss bekommen, bei dem die ganzen Serverports (Mail, Web, ... ) nicht gesperrt sind --> typisch Österreich halt :( :suspect:

[MadMax 10]

Hallo Götzi,

 

du hast an deinem Netgear Router ja ein Port Forwarding (auch manchmal als Virtual Server bezeichnet) eingerichtet.

Der Port 80 wird dabei auf eine IP Adresse im internen LAN durchgereicht.

Wenn du dort die IP Adrese vom Exchange-Server einträgst, sollte das ganze funktionieren.

 

2. Möglichkeit besteht in einer Frontend-/Backend Konstellation.

Dazu benötigst du einen zweiten Exchange Server, der nichts anderes macht, als eingehende Verbindungen zu authentifizieren und danach eine Verbindung zum eigentlichen Exchange Server herzustellen.

Vorteil, wenn dein Frontend-Server geknackt wird, sind noch längst keine Mails in Gefahr, das diese sicher hinter der Firewall auf dem Backend Server liegen.

 

gruß

Daniel

[Götzi 10]

Hi,

 

aber Port 80 wird ja schon für den Hauptserver verwendet (Susadmin, officescan, web-Remotedesktop). Deshalb ist ja die Frage, wie das mit dem Exchange gehen soll? Geht das dann überhaupt.

 

Und das mit dem 2. Exchange-Server wird wohl nicht gehn (Rechnermangel --> Heimnetzwerk).

 

Götzi

[Wildi 10]

Hallo,

 

wenn Du den 80'er schon verwendest, dann mach das Ganze doch über SSL mit dem Port 443. Wäre eh sicherer. Würde ich grundsätzlich so machen

[GuentherH 61]

Hi zusammen.

 

Das Problem löst sich von selbst, da OWA nur über SSL funktioniert. Also am Router Port 443 auf den Exchange Server weiterleiten und dann gehts mit https://goetzi.mine.nu

 

LG Günther

[grizzly999 11]

Hallo Günther,

 

bist du da sicher, dass OWA bei W2k3 nur mit SSL funktioniert? Ich mein, ich hätte das noch nicht gelesen, aber noch viel mehr: es geht bei mir auch ohne dass ich was gemacht habe über Port 80...

 

grizzly999

[Götzi 10]

Hi,

 

also bei ist es bisher (intern) auch ohne SSL gegangen (also http://server/exchange).

 

Hab jetzt bissel im Board geforstet und mir eine Zertifikatsstelle eingericht, dann ein Zertifikat eingerichtet, es funktioniert prima (https://server/exchange).

 

Muss ich jetzt nur nur den Port 443 an den Exchange-Server weiterleiten und dann ist er im Internet verfügbar?

 

Sollte das jetzt auch schon gehn, wenn der Port 80 noch gesperrt ist?

 

Danke für die Hilfe,

 

Götzi

[User7070 10]

Hallo,

 

wenn Du mit SSL arbeitest, dann musst Du nur den Port 443 öffnen und zu Deinem Exchange weiterleiten.

 

Matze

[Götzi 10]

Hi,

 

ich habs jetzt von außen getestet, es funktioniert. (Port 443 haben die Murkser von meinem Provider wohl übersehn :D )

 

Ist schon genial das OWA.

 

Götzi

[Götzi 10]

Hi,

 

noch ne Frage: was muss ich machen, dass ich bei der Anmeldung nicht immer "domäne\user" eingeben muss sondern nur "user" ?

 

Weil jetzt aktzeptiert er mir die Anmeldung nur, wenn ich "domäne\" vor den User schreib.

 

Götzi

[Wildi 10]

Das wird nicht mehr rückgängig zu machen sein. Du wirst Deine Domäne im Native Mode installiert haben und nicht im Mixed Mode. Daher Domain\User oder User@Domain.

 

@GüntherH

 

OWA nur über SSL? Äh, wie jetzt. Also ich habs hier zwar auch nur über SSL. Das aber nur weil ich ne Zertifikatstelle eingerichtet habe. Zuvor ging es auch mit Port 80. Was meinst Du damit?

[GuentherH 61]

@grizzly999

 

Per Default ist bei Exchange 2003 (IIS6 für OWA) die Option "Sicheren Kanal voraussetzen" und "128 BIT Verschlüsselung" erforderlich aktiviert.

 

Im LAN kannst du über http aufrufen, nach der Authentifizierung sollte die Kommunikation allerdings auch im LAN über https erfolgen.

 

Vor kurzem ist mir auch ein KB Artikel von MS untergekommen, der diesen Vorgang (formularbasierende Authentifizierung) und dann Redirect auf Port 443 am IIS6 beschreibt.

 

Ich habe mir darüber auch noch keine weiteren Gedanken gemacht, nach dem Motto - wenn MS schon was (sicheres) anbietet - dann auch ausnutzen :)

 

LG Günther

[Wildi 10]

Ah ja, man lernt doch nie aus ;)

[Götzi 10]

Hi,

 

und das mit dem Native Mode kann ich nicht mehr ändern? Es wäre nämlich sehr nützlich/wichtig, dass man nicht "domain\user" eingeben muss.

 

Götzi

[Wildi 10]

Bei der Installation der AD kannst Du entscheiden, ob Du den sicheren Modus (Native) oder den Kompatiblen Modus (gemischt) nimmst.

 

Wählst Du hier 'gemischt' kannst Du irgendwann in den Nativen aber nimma zurück.

 

Die einzige Chance wäre, Du hebst Deine AD wieder komplett auf und machst se neu. Ob das der Bringer ist? Das Prob mit der Domain\User hab ich auch. OK, ist so - kann ich damit leben. Was spricht dagegen? Ausser vielleicht bissi mehr tiparbeit