4
IIS 6 absichern - Zugriff auf OWA 2003 von außen nur per ssl
3 wichtige Fragen...
Hallo hab 3 wichtige Fragen an euch, kenn mich mit IIS nicht so gut aus.
Also wir haben ein SBS 03 System mit IIS. Auf IIS läuft:
- Exchange Web Tools (OWA, OMA...)
- Wsus auf Port 8530
Internet-/Intranetpräsenz ist nicht vorhanden! Also rein diese zwei Dienste
IIS läuft mit der Standartkonfiguration / Einstellungen.
Ich werde nun auf der Firewall ein Portforwarding für Port 443 auf den Server freigeben, somit ist OWA von außen erreichbar. Alle anderen Ports sind von außen zu.
Jetzt meine 3 Fragen:
1) Wie sichere ich den IIS richtig ab, damit wirklich nur auf OWA zugegriffen werden kann. Was muss ich von den Benutzerrechten her abspecken / deaktivieren? Man soll wirklich von außen nur Zugriff auf OWA haben.
(Wichtig hierbei ist es läuft noch Wsus auf der IIS - die benötigt ja irgendwelche anonymen Zugriffe, Wsus läuft aber auf Port 8530 unverschlüsselt)
2) Ich muss jetzt immer Server\exchange angeben, um auf OWA zu kommen. Möchte aber das es künftig funktioniert, wenn ich nur den Server eingebe. (Also z.b. https://123.123.123.123 und nicht https://123.123.123.123/exchange)
3) Derzeit wenn ich https://123.123.123.123/ eingeben kommt dann ein windows Anmeldefenster -> Soll aber erst gar keine Möglichkeit künftig geben dass Irgendwelche Anmeldefenster kommen, sondern OWA geht, alles andre wird verweigert.
Danke für eure Antworten
LG Heysi
Also wir haben ein SBS 03 System mit IIS. Auf IIS läuft:
- Exchange Web Tools (OWA, OMA...)
- Wsus auf Port 8530
Internet-/Intranetpräsenz ist nicht vorhanden! Also rein diese zwei Dienste
IIS läuft mit der Standartkonfiguration / Einstellungen.
Ich werde nun auf der Firewall ein Portforwarding für Port 443 auf den Server freigeben, somit ist OWA von außen erreichbar. Alle anderen Ports sind von außen zu.
Jetzt meine 3 Fragen:
1) Wie sichere ich den IIS richtig ab, damit wirklich nur auf OWA zugegriffen werden kann. Was muss ich von den Benutzerrechten her abspecken / deaktivieren? Man soll wirklich von außen nur Zugriff auf OWA haben.
(Wichtig hierbei ist es läuft noch Wsus auf der IIS - die benötigt ja irgendwelche anonymen Zugriffe, Wsus läuft aber auf Port 8530 unverschlüsselt)
2) Ich muss jetzt immer Server\exchange angeben, um auf OWA zu kommen. Möchte aber das es künftig funktioniert, wenn ich nur den Server eingebe. (Also z.b. https://123.123.123.123 und nicht https://123.123.123.123/exchange)
3) Derzeit wenn ich https://123.123.123.123/ eingeben kommt dann ein windows Anmeldefenster -> Soll aber erst gar keine Möglichkeit künftig geben dass Irgendwelche Anmeldefenster kommen, sondern OWA geht, alles andre wird verweigert.
Danke für eure Antworten
LG Heysi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42229
Url: https://administrator.de/contentid/42229
Printed on: April 24, 2024 at 02:04 o'clock
4 Comments
Latest comment
Hi,
dann probier ich mal mein Glück!! *gg*
zu 1.)
Was die Benutzerrechte angeht, wird schwer zu wissen, was du machen kanns und was nicht. Daher würde ich erst ein Backup machen, bevor du "rumspielst". Das nur OWA von außen erreichbar bist, könntest du bei den restlichen oder (im IIS) unter Verzeichnissicherheit => IP-Adressen einfach deine Domäne angeben. Somit wird der Zugriff für die Ordner nur auf das LAN beschränkt.
zu 2.)
hier kannst du höchstens eine Weiterleitung auf das "exchange" machen. Eine andere Lösung ist meines Wissen nicht möglich, da zum Ordner "exchange" noch ein paar mehr gehören.
zu 3.)
Naja...aber wenn einer von außen kommt, hat der Benutzer keine Chance sich einzuloggn. Daher wiederspricht dein vorhaben in diesem Punkt.
Gruß
Dani
dann probier ich mal mein Glück!! *gg*
zu 1.)
Was die Benutzerrechte angeht, wird schwer zu wissen, was du machen kanns und was nicht. Daher würde ich erst ein Backup machen, bevor du "rumspielst". Das nur OWA von außen erreichbar bist, könntest du bei den restlichen oder (im IIS) unter Verzeichnissicherheit => IP-Adressen einfach deine Domäne angeben. Somit wird der Zugriff für die Ordner nur auf das LAN beschränkt.
zu 2.)
hier kannst du höchstens eine Weiterleitung auf das "exchange" machen. Eine andere Lösung ist meines Wissen nicht möglich, da zum Ordner "exchange" noch ein paar mehr gehören.
zu 3.)
Naja...aber wenn einer von außen kommt, hat der Benutzer keine Chance sich einzuloggn. Daher wiederspricht dein vorhaben in diesem Punkt.
Gruß
Dani
Hallo Dani,
zu Punkt 3)
Die Eingabeaufforderung kommt nur, wenn ich einen anderen ordner als https://server/exchange aufrufe, und dieser auf dem Server existiert...
Also wenn ich zb. server/oma aurufe oder server/eigenerordner kommt so eine Windows-Fenster-Authentifizierung um sich zu authentifizieren -> soll aber nicht kommen!
LG
zu Punkt 3)
Die Eingabeaufforderung kommt nur, wenn ich einen anderen ordner als https://server/exchange aufrufe, und dieser auf dem Server existiert...
Also wenn ich zb. server/oma aurufe oder server/eigenerordner kommt so eine Windows-Fenster-Authentifizierung um sich zu authentifizieren -> soll aber nicht kommen!
LG
Hi,
ich stehe auch vor dem Problem einen WM5 Client (MDA VARIO 2) via SSL anzubinden.
Ich habe mit Hilfe von SelfSSL ein Cert. erstellt dieses auch auf dem MDA installiert!
Also unter dem ISS das Cert. gespeichert und dann einfach auf den MDA geschoben und durch Doppelklick installiert!
Das Cert steht auch unter Zertifikate, aber bei der Sync. sagt er Fehlercode 0x80072F17
Bei der Erstellung habe ich als CN=die externe Feste IP, welche auch in den Sync Einstellungen steht. Aber geht trotzdem nicht.
Im Zertifikat steht dann als Allgemeiner Name die IP aber bei O und OU steht nix?! Kann da der Fehler liegen? Was mache ich falsch! Schnelle Hilfe wäre super!!!
ich stehe auch vor dem Problem einen WM5 Client (MDA VARIO 2) via SSL anzubinden.
Ich habe mit Hilfe von SelfSSL ein Cert. erstellt dieses auch auf dem MDA installiert!
Also unter dem ISS das Cert. gespeichert und dann einfach auf den MDA geschoben und durch Doppelklick installiert!
Das Cert steht auch unter Zertifikate, aber bei der Sync. sagt er Fehlercode 0x80072F17
Bei der Erstellung habe ich als CN=die externe Feste IP, welche auch in den Sync Einstellungen steht. Aber geht trotzdem nicht.
Im Zertifikat steht dann als Allgemeiner Name die IP aber bei O und OU steht nix?! Kann da der Fehler liegen? Was mache ich falsch! Schnelle Hilfe wäre super!!!
Hi,
Sorry, dass ich mich erst jetzt melde. War die Woche unterwegs!!
Gruß
Dani
Sorry, dass ich mich erst jetzt melde. War die Woche unterwegs!!
Also wenn ich zb. server/oma aurufe oder server/eigenerordner kommt so eine Windows-
Fenster-Authentifizierung um sich zu authentifizieren -> soll aber nicht kommen!
Hmm...gute Frage! Ich habe es einfach so akzeptiert. Du könntest für die entsprechenden Ordner (oma, etc...) SSL vorraussetzen.Fenster-Authentifizierung um sich zu authentifizieren -> soll aber nicht kommen!
Gruß
Dani
