Policy für OWA

[ads2k 10]

Hallo,

ich möchte für einen Mitarbeiter der sich per VPN einwählt nur Zugriff auf OWA gestatten.

Die Policy "lokal anmelden verbieten" lässt allerdings eine OWA Anmeldung auch nicht mehr zu. Der Benutzer sollte nur auf OWA durch den VPN Tunnel zugreifen können.

Welche Policies sind hierfür nötig um lokale Anmeldungen und Dienste und Shares zu verweigern.

Über Tipps würde ich mich freuen.

Vielen Dank!

[Hirgelzwift 10]

:suspect: normalerweise braucht man ja ein VPN nur wenn man will das die Kollegen zugriff haben. Ansonsten stell doch den OWA direkt ins Internet ohne VPN :D

 

Wie der Name schon sagt: Outlook Web Access :rolleyes:

[Microdemis 10]

@ Hirgelzwift:

 

Grundsätzlich hast Du natürlich recht - aber dazu muss eine entsprechende Front-End-Backend Konfiguration vorhanden sein. Wenn er keine 2 Exchange Server hosten will / kann - kann man OWA aber auch nur für den internen Einsatz nutzen.

 

Das Einfachste um nur eine OWA Anmeldung zu realisieren ist dann doch wohl, das eMail-Konto im Outlook nicht zu konfigurieren. Sofern das Benutzerkonto und die email-Adresse entsprechend konfiguriert ist, sollte auch die OWA-Anmeldung klappen.

 

Gruß,

 

Andre

[ads2k 10]

OWA soll nur über das lokale Netz bzw. über einen VPN Tunnel erreichbar sein,

Der User soll sich nicht lokal anmelden dürfen, sondern nur über server/exchange auf ein EMAIL Konto zugreifen, ein Zugriff über das Internet direkt wird nicht gestattet sondern nur über einen Tunnel. Der Benutzer muss natürlich im ADS vorhanden sein, mit Outlook wird nicht zugegriffen sondern über den Browser. Ich möchte den User so einschränken das er im Netzwerk nichts zu melden hat ausser OWA, kein Zugriff auf Freigaben,keine lokalen anmeldungen usw.

Danke!

[Hirgelzwift 10]

dann wirst du noch mal einen filter zwischen dem owa und dem firmennetzwerk brauchen wie einen router oder fw.

[Microdemis 10]

Dann sollte nach dem Aufbau des VPN-Tunnels der HTTP-Connect zum Exchange Server aufgerufen werden. Zu finden in den IIS-Einstellungen des Exchange.

 

Spätestens hier muss er sich jedoch als Nutzer des ADs authentifizieren, Du musst aber keinen Outlook-Client anfassen etc pp.

 

Gruß,

 

Andre

[Hirgelzwift 10]

Mir fällt noch ein das OWA normalerweise über SSL also 443 arbeitet. Blocke doch mal am VPN Router alle Ports ausser 443. Dann sollte das auch dein Problem lösen!? oder ?? :D

[GuentherH 61]

Hi.

 

Blocke doch mal am VPN Router alle Ports ausser 443. Dann sollte das auch dein Problem lösen!?

Auf das würde ich mich nicht verlassen.

Die meisten Tunnels gehen nämlich an der Firewall vorbei. Zudem müsste man jetzt noch wissen wie der VPN-Tunnel aufgebaut wird PPTP zu einem RASServer, IPSec usw.. Den ein PPTP zu einem RASServer geht auf jeden Fall an der Firewall vorbei.

 

Wenn es nur um einen User geht der der Mail nutzen soll oder darf, dann wäre mein Vorschlag, dem User nur zu erlauben, dass er sich am Exchange Server anmelden darf.

 

Aber vielleicht postet uns ads2k ja noch welche Art von VPN er verwendet.

 

LG Günther

[Shandurai 10]

Grundsätzlich hast Du natürlich recht - aber dazu muss eine entsprechende Front-End-Backend Konfiguration vorhanden sein. Wenn er keine 2 Exchange Server hosten will / kann - kann man OWA aber auch nur für den internen Einsatz nutzen.

ähm bitte was? also bei uns läuft das mit einem exchange 2003 ;)

[Microdemis 10]

@Hemlock:

 

Das kommt natürlich drauf an, ob Du OWA von aussen erreichbar machen möchtest, oder nicht.

Man kann das auch mit einem Exchange bewerkstelligen - aber ich möchte meinen Exchange nicht "draussen" platzieren.

 

Gruß,

 

Andre

[Shandurai 10]

genau, die sauberste konfiguration ist es nicht, aber technisch machbar, und gar nicht mal soooo selten

 

wir haben das mit isaserver 2004 abgesichert, das ist wenigstens erstmal etwas... mal sehen, vielleicht gibts ja mal eine zweite exchange lizenz, dann ist das erste auch eine fe-be konfiguration

 

 

gruß

[ads2k 10]

Hallo,

erstmal danke für die vielen Antworten,

der VPN user kann den Tunnel aufbauen, er soll nur im Netz auf keine Ressourcen ausser OWA zugreifen können, deshalb z.B. Policy "Lokal anmelden verbieten", es geht hier nicht um Routen, Tunnelarten, verschlüsselungsarten sondern darum das ein Domänenbenzuter nichts ausser OWA darf.

Der User kann sich einwählen, dann über die lokale IP Adresse über den Browser auf die

Willkommensseite von OWA zugreifen, die Anmeldung wird verweigert, liegt wohl da dran das der User "lokal anmelden verweigern" hat und OWA das irgendwie für die Kerberos auth benötigt, evtl.?

Der VPN Tunnel wird von anderen Mitarbeitern für Vollzugriff benötigt.

Danke

[Shandurai 10]

guck dir eventuell mal eine andere vpn lösung an:

wir nutzen u.a. http://www.securepoint.de

 

vpn einwahl erfolgt über pptp, im regelwerk legst du fest, welcher client auf welchen server mit welchem dienst (https für owa) zugreifen darf

 

meinst du so in etwa diese lösung?