1
Empfohlene,nötige Auth-Verfahren - Exchange19+IIS
Hi,
der Exchange exponiert ja unterschiedliche Verzeichnisse via IIS. Hier lässt sich pro Verzeichnis sowie stellenweise in den Unterverzeichnissen die Authentifizierungsmethoden auch noch individuell aktivieren/deaktivieren.
Was ist hier Best practice? Ich würde aus dem Bauch heraus sagen, alles bis auf Windows-Authentifizierung (NTLM+Kerberos) kann in einer typischen Windows-Domäne deaktiviert werden.
Die Anonyme-Authentifizierung ist aber zumindest by-default bei einem Exchange/IIS an.
Wie geht man hier am Besten vor?
Danke Euch!
der Exchange exponiert ja unterschiedliche Verzeichnisse via IIS. Hier lässt sich pro Verzeichnis sowie stellenweise in den Unterverzeichnissen die Authentifizierungsmethoden auch noch individuell aktivieren/deaktivieren.
Was ist hier Best practice? Ich würde aus dem Bauch heraus sagen, alles bis auf Windows-Authentifizierung (NTLM+Kerberos) kann in einer typischen Windows-Domäne deaktiviert werden.
Die Anonyme-Authentifizierung ist aber zumindest by-default bei einem Exchange/IIS an.
Wie geht man hier am Besten vor?
Danke Euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 71185089793
Url: https://administrator.de/contentid/71185089793
Printed on: July 27, 2024 at 11:07 o'clock
1 Comment
Moin,
Zudem musst du bei jedem vermeidlichen Fehlerbild immer deine Änderungen im Hinterkopf haben. Spätestens wenn du ein Microsoft Ticket lösen musst und der Support feststellt, dass (teilweise) nicht die Auslieferungszustand ist, wirst du alles zurück bauen müssen.
Wenn du etwas in Punkto Sicherheit erreichen möchtest solltest du über Micro Segmentierung, Berechtigungskonzepte im AD, Firewall und WAF sowie Backup und Logmanagement nachdenken. Da erreichst du meiner Meinung nach mehr als an einem Exchange Server an den Berechtigungen zu verbiegen.
Ansonsten bleibt dir noch ein Microsoft Consultant Ticket zu eröffnen und dein Vorhaben zu schildern. Ich bin mir sicher, dass keiner der Engineers dir schriftlich eine Empfehlung für deinen Exchange Server geben wird. Denn wenn zu Fehlern oder Totalausfall kommt, zeigst du mit dem Finger nach München.
Gruß,
Dani
Wie geht man hier am Besten vor?
ich würde an keinem (virtuellen) Verzeichnisses etwas ändern. Denn dazu ist das Produkt Exchange Server komplex, viele Abhängigkeiten und eine Update kann dir das Leben schwer machen. Es gibt hier im täglichen Betrieb schon unwegsame Fehler und Ursachen ohne das vom Default/Standard abgewichen wurde.Zudem musst du bei jedem vermeidlichen Fehlerbild immer deine Änderungen im Hinterkopf haben. Spätestens wenn du ein Microsoft Ticket lösen musst und der Support feststellt, dass (teilweise) nicht die Auslieferungszustand ist, wirst du alles zurück bauen müssen.
Wenn du etwas in Punkto Sicherheit erreichen möchtest solltest du über Micro Segmentierung, Berechtigungskonzepte im AD, Firewall und WAF sowie Backup und Logmanagement nachdenken. Da erreichst du meiner Meinung nach mehr als an einem Exchange Server an den Berechtigungen zu verbiegen.
Ansonsten bleibt dir noch ein Microsoft Consultant Ticket zu eröffnen und dein Vorhaben zu schildern. Ich bin mir sicher, dass keiner der Engineers dir schriftlich eine Empfehlung für deinen Exchange Server geben wird. Denn wenn zu Fehlern oder Totalausfall kommt, zeigst du mit dem Finger nach München.
Ich würde aus dem Bauch heraus sagen, alles bis auf Windows-Authentifizierung (NTLM+Kerberos) kann in einer typischen Windows-Domäne deaktiviert werden.
Was machst du mit ECP, OWA, Autodiscover? Die funktionieren erst einmal ohne Eingabe von Zugangsdaten.Was ist hier Best practice?
Meine Antwort kennst. Siehe meinen Kommentar in deinem anderen Beitrag: Proxy vor Exchange19, Authentifizierung, Exch. Extended Protection. Das ist zu gleich auch die Empfehlung von Microsoft.Gruß,
Dani
1