siegmarb
Goto Top

Empfohlene,nötige Auth-Verfahren - Exchange19+IIS

Hi,

der Exchange exponiert ja unterschiedliche Verzeichnisse via IIS. Hier lässt sich pro Verzeichnis sowie stellenweise in den Unterverzeichnissen die Authentifizierungsmethoden auch noch individuell aktivieren/deaktivieren.

ex

Was ist hier Best practice? Ich würde aus dem Bauch heraus sagen, alles bis auf Windows-Authentifizierung (NTLM+Kerberos) kann in einer typischen Windows-Domäne deaktiviert werden.

Die Anonyme-Authentifizierung ist aber zumindest by-default bei einem Exchange/IIS an.

Wie geht man hier am Besten vor?

Danke Euch!

Content-ID: 71185089793

Url: https://administrator.de/contentid/71185089793

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

Dani
Dani 26.09.2023 um 21:49:42 Uhr
Goto Top
Moin,
Wie geht man hier am Besten vor?
ich würde an keinem (virtuellen) Verzeichnisses etwas ändern. Denn dazu ist das Produkt Exchange Server komplex, viele Abhängigkeiten und eine Update kann dir das Leben schwer machen. Es gibt hier im täglichen Betrieb schon unwegsame Fehler und Ursachen ohne das vom Default/Standard abgewichen wurde.

Zudem musst du bei jedem vermeidlichen Fehlerbild immer deine Änderungen im Hinterkopf haben. Spätestens wenn du ein Microsoft Ticket lösen musst und der Support feststellt, dass (teilweise) nicht die Auslieferungszustand ist, wirst du alles zurück bauen müssen.

Wenn du etwas in Punkto Sicherheit erreichen möchtest solltest du über Micro Segmentierung, Berechtigungskonzepte im AD, Firewall und WAF sowie Backup und Logmanagement nachdenken. Da erreichst du meiner Meinung nach mehr als an einem Exchange Server an den Berechtigungen zu verbiegen.

Ansonsten bleibt dir noch ein Microsoft Consultant Ticket zu eröffnen und dein Vorhaben zu schildern. Ich bin mir sicher, dass keiner der Engineers dir schriftlich eine Empfehlung für deinen Exchange Server geben wird. Denn wenn zu Fehlern oder Totalausfall kommt, zeigst du mit dem Finger nach München.

Ich würde aus dem Bauch heraus sagen, alles bis auf Windows-Authentifizierung (NTLM+Kerberos) kann in einer typischen Windows-Domäne deaktiviert werden.
Was machst du mit ECP, OWA, Autodiscover? Die funktionieren erst einmal ohne Eingabe von Zugangsdaten.

Was ist hier Best practice?
Meine Antwort kennst. Siehe meinen Kommentar in deinem anderen Beitrag: Proxy vor Exchange19, Authentifizierung, Exch. Extended Protection. Das ist zu gleich auch die Empfehlung von Microsoft.


Gruß,
Dani