Exchange aus Office 365 in lokalen Exchange 2013 umziehen
Hallo zusammen,
ein Bekannter hat mich um Unterstützung bei seinem Vorhaben - einen Exchange aus Office 365 in einen lokalen Exchangeserver umzuziehen - um Unterstützung gebeten.
Leider habe ich mit Exchange noch relativ wenig erfahren. Ich habe schon mal bei einem bestehenden Exchange kleine Konfigurationen vorgenommen und mich in den letzten Tagen ein bisschen eingelesen - aber das Wissen reicht leider noch nicht. Ich hoffe ihr könnt mir helfen.
Der Grund warum von der Exchange Cloudlösung weggegangen werden soll, ist u.a. Datenschutz, aber auch das sehr hohe Mailaufkommen. Ich habe schon viel mit dem Bekannten diskutiert (Ausfallsicherheit, kosten usw.) - er will einen lokalen Exchange Server für sich und seine 10 Mitarbeiter - auch wenn die aktuelle Lösung viel einfacher und auch kostengünstiger wäre.
Ziel:
Lokaler Exchangeserver (2013) für ca. 10 Mitarbeiter/innen unter Nutzung der bestehenden Mailadresse (user1@xyz.de usw.).
Zugriff von extern über mobile Endgeräte auf alle Mailelemente (Mails/Kalender usw.). (EIGENTLICH doch ganz einfach )
Frage 1)
Wenn ich richtig recherchiert habe, ist ein Exchange Server 2013 nur in Verbindung mit einer Windows-Domäne mit AD möglich. Sprich - da Exchange nicht auf einem Windows 2012 Essentials läuft, benötigen wir Windows 2012 Standard + 10 CALs, und (worum es in dieser 1. Frage eigentlich geht) Professional Clients - da man nur mit diesen in eine Domäne beitreten kann. Aktuell befindet sich auf allen Clients Windows 8.1 (Home oder wie sich das bei Win 8 nennt).
Oder gibt es eine Möglichkeit mit Win7/8 Home als Clients den Exchange zu betreiben?
Frage 2)
Benötige ich eine feste IP Adresse für das Büro?
Der Exchange Server soll für eine bei 1&1 registrierte Domain die Mails von extern empfangen und auch versenden. Ich habe gelesen, dass es Pop3 connectoren gibt, die Mails dann ganz normal via pop3 vom Provider abholen und dann intern den Postfächern zuordnen können. Allerdings ist das lt. div. Foren wohl nur die zweitbeste Lösung.
Wenn ich richtig recherchiert habe, ist es möglich u.a. bei 1&1 (ohne den Exchange by 1&1 zu nutzten) für die Domain den späteren Exchangeserver zu "registrieren"; also den MX Eintrag zur IP des Exchange zuzuordnen. Geht das auch irgendwie via dynamischer IP? Internetzugang hat das Büro aktuell über normales DSL bei Tele...
Frage 3)
Mailsynchronisation mit mobilen Endgeräten.
Es soll von Android und Apple Geräten ein Zugriff auf das entsprechende Mailpostfach möglich sein. Ich habe gelesen, dass dies über ActiveSync funktioniert.
Spätestens hier - fürchte ich - benötigt man eine feste IP für den Exchangeserver? Ist noch etwas notwendig? (Ich habe was von SSL gelesen...)
Ist es zudem mögich auf ALLE Mails die im Postfach liegen zuzugreifen - es wird teilweise notwendig sein, auf Mails von vor 5 Jahren schnellen Zugriff via Handy zu haben.
Ich kenne das aus unserer Firma nur so, dass z.B. die letzten 2 Wochen synchronisiert werden - die Mails liegen dann auch auf dem Endgerät; aber ist es auch problemlos möglich auf ältere Elemente zuzugreifen - ohne dass ALLES auf dem Handy gespeichert wird. (die Postfächer haben aktuell schon Größen von mehreren GB - Tendenz schnell steigend)
Frage 4)
Mails zurück von Office 365 Exchange Cloud auf den lokalen Exchangeserver
Das stelle ich mir relativ einfach und unkompliziert vor: Entweder - wenn das geht - 2 Exchangeanbindungen in Outlook integrieren und dann die Mails von A nach B schieben; alternativ die Mails von Exchange 365 in eine PST Datei exportieren; PST in Outlook öffnen und in lokales Exchangepostfach schieben.
Wenn ich richtig recherchiert habe, ist allein für die Lizenzen folgendes Notwendig (Virenscanner usw. ist noch nicht dabei - das ist mir klar):
Windows 2012 R2 Standard + 10 User CALs
Exchange 2013 Standard + 10 User CALs
10x Windows 8.1 Pro
Hier komme ich alleine schon auf gut 3.000€ im EK - aber das wird das einfach kosten...
Hattet ihr evtl. schon ähnliche Anforderungen und eine gute Lösung für meinen Fall?
Vielen Dank für Eure Hilfe,
Malungo
ein Bekannter hat mich um Unterstützung bei seinem Vorhaben - einen Exchange aus Office 365 in einen lokalen Exchangeserver umzuziehen - um Unterstützung gebeten.
Leider habe ich mit Exchange noch relativ wenig erfahren. Ich habe schon mal bei einem bestehenden Exchange kleine Konfigurationen vorgenommen und mich in den letzten Tagen ein bisschen eingelesen - aber das Wissen reicht leider noch nicht. Ich hoffe ihr könnt mir helfen.
Der Grund warum von der Exchange Cloudlösung weggegangen werden soll, ist u.a. Datenschutz, aber auch das sehr hohe Mailaufkommen. Ich habe schon viel mit dem Bekannten diskutiert (Ausfallsicherheit, kosten usw.) - er will einen lokalen Exchange Server für sich und seine 10 Mitarbeiter - auch wenn die aktuelle Lösung viel einfacher und auch kostengünstiger wäre.
Ziel:
Lokaler Exchangeserver (2013) für ca. 10 Mitarbeiter/innen unter Nutzung der bestehenden Mailadresse (user1@xyz.de usw.).
Zugriff von extern über mobile Endgeräte auf alle Mailelemente (Mails/Kalender usw.). (EIGENTLICH doch ganz einfach )
Frage 1)
Wenn ich richtig recherchiert habe, ist ein Exchange Server 2013 nur in Verbindung mit einer Windows-Domäne mit AD möglich. Sprich - da Exchange nicht auf einem Windows 2012 Essentials läuft, benötigen wir Windows 2012 Standard + 10 CALs, und (worum es in dieser 1. Frage eigentlich geht) Professional Clients - da man nur mit diesen in eine Domäne beitreten kann. Aktuell befindet sich auf allen Clients Windows 8.1 (Home oder wie sich das bei Win 8 nennt).
Oder gibt es eine Möglichkeit mit Win7/8 Home als Clients den Exchange zu betreiben?
Frage 2)
Benötige ich eine feste IP Adresse für das Büro?
Der Exchange Server soll für eine bei 1&1 registrierte Domain die Mails von extern empfangen und auch versenden. Ich habe gelesen, dass es Pop3 connectoren gibt, die Mails dann ganz normal via pop3 vom Provider abholen und dann intern den Postfächern zuordnen können. Allerdings ist das lt. div. Foren wohl nur die zweitbeste Lösung.
Wenn ich richtig recherchiert habe, ist es möglich u.a. bei 1&1 (ohne den Exchange by 1&1 zu nutzten) für die Domain den späteren Exchangeserver zu "registrieren"; also den MX Eintrag zur IP des Exchange zuzuordnen. Geht das auch irgendwie via dynamischer IP? Internetzugang hat das Büro aktuell über normales DSL bei Tele...
Frage 3)
Mailsynchronisation mit mobilen Endgeräten.
Es soll von Android und Apple Geräten ein Zugriff auf das entsprechende Mailpostfach möglich sein. Ich habe gelesen, dass dies über ActiveSync funktioniert.
Spätestens hier - fürchte ich - benötigt man eine feste IP für den Exchangeserver? Ist noch etwas notwendig? (Ich habe was von SSL gelesen...)
Ist es zudem mögich auf ALLE Mails die im Postfach liegen zuzugreifen - es wird teilweise notwendig sein, auf Mails von vor 5 Jahren schnellen Zugriff via Handy zu haben.
Ich kenne das aus unserer Firma nur so, dass z.B. die letzten 2 Wochen synchronisiert werden - die Mails liegen dann auch auf dem Endgerät; aber ist es auch problemlos möglich auf ältere Elemente zuzugreifen - ohne dass ALLES auf dem Handy gespeichert wird. (die Postfächer haben aktuell schon Größen von mehreren GB - Tendenz schnell steigend)
Frage 4)
Mails zurück von Office 365 Exchange Cloud auf den lokalen Exchangeserver
Das stelle ich mir relativ einfach und unkompliziert vor: Entweder - wenn das geht - 2 Exchangeanbindungen in Outlook integrieren und dann die Mails von A nach B schieben; alternativ die Mails von Exchange 365 in eine PST Datei exportieren; PST in Outlook öffnen und in lokales Exchangepostfach schieben.
Wenn ich richtig recherchiert habe, ist allein für die Lizenzen folgendes Notwendig (Virenscanner usw. ist noch nicht dabei - das ist mir klar):
Windows 2012 R2 Standard + 10 User CALs
Exchange 2013 Standard + 10 User CALs
10x Windows 8.1 Pro
Hier komme ich alleine schon auf gut 3.000€ im EK - aber das wird das einfach kosten...
Hattet ihr evtl. schon ähnliche Anforderungen und eine gute Lösung für meinen Fall?
Vielen Dank für Eure Hilfe,
Malungo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247278
Url: https://administrator.de/forum/exchange-aus-office-365-in-lokalen-exchange-2013-umziehen-247278.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
28 Kommentare
Neuester Kommentar
SBS2011 Standard und Systemhaus/Profi machen lassen
Lonesome Walker
Lonesome Walker
Hallo malungo,
Da is schon ein Server und 5 Cals dabei.
Oh ja, klaaaaaar... einfach bissel an ein paar Stellen nachziehen, dann is das Preis-Leistungsverhältnis wesentlich besser als mit neuer Software lizensiert.
Aber das muß jeder für sich selbst ausrechnen.
Ja, aber ich weiß nicht, wieviele einfach ins kalte Wasser gesprungen sind...?
Ich habe erst ein wenig Trockenschwimmen mit eigener Büchse gemacht, und dann aus diesen Erfahrungen und Studium von Fachlekture meine Lehren gezogen. Zusätzlich kommt dazu, daß ich jemanden kenne, der, sagen wir es mal so, "Guru" in Sachen Exchange ist.
Echt? Hm, komisch, das geht bei einigen meiner Kunden aber tadellos...?
Outlook 2010/2013 zu Exchange auf Nicht-Domänen-Mitgliedern -> no problemo. Ist halt keine Durchsatzauthentifizierung da, muß man alles manuell einrichten (oder per Autoconfig unterschieben), aber lüppt tadellos.
Ts ts ts ts, siehst Du, und genau deswegen holt man ein Systemhaus/einen Consultant.
Der fährt den Karren vorher schon nicht in den Sand
Lonesome Walker
(der sich fragt, was hier bei 10 Usern denn so kompliziert ist...?)
Da is schon ein Server und 5 Cals dabei.
Ich sehe nur die Nachteile, dass 2011 ein paar Jahre früher aus der Wartung ist als 2012 R2 und ich dann keine Updates mehr
erhalte, und dass die 8.1 Clients evtl. mit 2012 R2 besser harmonisieren...
erhalte, und dass die 8.1 Clients evtl. mit 2012 R2 besser harmonisieren...
Oh ja, klaaaaaar... einfach bissel an ein paar Stellen nachziehen, dann is das Preis-Leistungsverhältnis wesentlich besser als mit neuer Software lizensiert.
Aber das muß jeder für sich selbst ausrechnen.
Systemhaus/Profi machen lassen ist sicherlich die gemütlichste Lösung. Ich will aber auch lernen. Dass man hier vieles
falsch mache kann ist mir klar - deshalb auch meine Fragen.
Jeder Experte hat mal den 1. Exchangeserver aufgesetzt und eingerichtet...
falsch mache kann ist mir klar - deshalb auch meine Fragen.
Jeder Experte hat mal den 1. Exchangeserver aufgesetzt und eingerichtet...
Ja, aber ich weiß nicht, wieviele einfach ins kalte Wasser gesprungen sind...?
Ich habe erst ein wenig Trockenschwimmen mit eigener Büchse gemacht, und dann aus diesen Erfahrungen und Studium von Fachlekture meine Lehren gezogen. Zusätzlich kommt dazu, daß ich jemanden kenne, der, sagen wir es mal so, "Guru" in Sachen Exchange ist.
Frage 1) konte ich mir mittlerweile selbst beantworten:
Hab das Ganze mal in einer virtuellen Umgebung aufgebaut und durchinstalliert.
Habe es nicht geschafft Outlook auf einem Win 8.1 welches nicht in der Domäne hängt an den Exchangeserver zu binden. Lt.
weiterer Googlerecherche muss ich hier wohl auch nicht mehr weiterrecherchieren => es geht nicht.
Hab das Ganze mal in einer virtuellen Umgebung aufgebaut und durchinstalliert.
Habe es nicht geschafft Outlook auf einem Win 8.1 welches nicht in der Domäne hängt an den Exchangeserver zu binden. Lt.
weiterer Googlerecherche muss ich hier wohl auch nicht mehr weiterrecherchieren => es geht nicht.
Echt? Hm, komisch, das geht bei einigen meiner Kunden aber tadellos...?
Outlook 2010/2013 zu Exchange auf Nicht-Domänen-Mitgliedern -> no problemo. Ist halt keine Durchsatzauthentifizierung da, muß man alles manuell einrichten (oder per Autoconfig unterschieben), aber lüppt tadellos.
Die bestehenden 8.1 Clients lassen sich mit einem Windows 8.1 Pro Pack in die Pro Version umwandeln - ohne neu aufsetzen.
Allerdings ist dieses Pro Pack teilweise sogar teuerer als eine normale 8.1 Pro Version - frechheit. Berücksichtigt man den
Aufwand fürs neu Aufsetzen der Clients fährt man aber unterm Strich wohl mit dem Pro Pack günstiger
Allerdings ist dieses Pro Pack teilweise sogar teuerer als eine normale 8.1 Pro Version - frechheit. Berücksichtigt man den
Aufwand fürs neu Aufsetzen der Clients fährt man aber unterm Strich wohl mit dem Pro Pack günstiger
Ts ts ts ts, siehst Du, und genau deswegen holt man ein Systemhaus/einen Consultant.
Der fährt den Karren vorher schon nicht in den Sand
Lonesome Walker
(der sich fragt, was hier bei 10 Usern denn so kompliziert ist...?)
N'Abend.
Und selbst für nen "normalen" DSL-Anschluss rücken die Teletubbies ne statische IP raus (die dann zwar nach wie vor per DHCP vergeben wird, aber eben per Reservierung; evtl. Änderungen werden lange vorher angekündigt).
Alle Mails wird kein Gerät syncen, aber eine Suche nach Mails im Postfach älter als n Jahre ist problemlos vom mobilen Device aus möglich.
Es gibt auch einen Webdienst, der die 365-Postfächer direkt in den lokalen schiebt, damit haben wir >70 User problemlos migrieren können. Ich find nur grad ums Verplatzen weder die URL noch den Namen des Anbieters; suche morgen im Büro.
Cheers,
jsysde
Zitat von @malungo:
Der Grund warum von der Exchange Cloudlösung weggegangen werden soll, ist u.a. Datenschutz, aber auch das sehr hohe
Mailaufkommen. Ich habe schon viel mit dem Bekannten diskutiert (Ausfallsicherheit, kosten usw.) - er will einen lokalen Exchange
Server für sich und seine 10 Mitarbeiter - auch wenn die aktuelle Lösung viel einfacher und auch kostengünstiger
wäre.
Ein lokaler Exchange setzt aber einiges an Kenntnis voraus, damit er auch "datensicher" ist.Der Grund warum von der Exchange Cloudlösung weggegangen werden soll, ist u.a. Datenschutz, aber auch das sehr hohe
Mailaufkommen. Ich habe schon viel mit dem Bekannten diskutiert (Ausfallsicherheit, kosten usw.) - er will einen lokalen Exchange
Server für sich und seine 10 Mitarbeiter - auch wenn die aktuelle Lösung viel einfacher und auch kostengünstiger
wäre.
Frage 1)
Wenn ich richtig recherchiert habe, ist ein Exchange Server 2013 nur in Verbindung mit einer Windows-Domäne mit AD
möglich. Sprich - da Exchange nicht auf einem Windows 2012 Essentials läuft, benötigen wir Windows 2012 Standard +
10 CALs, und (worum es in dieser 1. Frage eigentlich geht) Professional Clients - da man nur mit diesen in eine Domäne
beitreten kann. Aktuell befindet sich auf allen Clients Windows 8.1 (Home oder wie sich das bei Win 8 nennt).
Oder gibt es eine Möglichkeit mit Win7/8 Home als Clients den Exchange zu betreiben?
Exchange setzt ein Windows AD vorraus, der Betrieb von Clients ohne Domain-Anbindung ist problemlos möglich - wenn man es richtig konfiguriert/konfigurieren kann.Wenn ich richtig recherchiert habe, ist ein Exchange Server 2013 nur in Verbindung mit einer Windows-Domäne mit AD
möglich. Sprich - da Exchange nicht auf einem Windows 2012 Essentials läuft, benötigen wir Windows 2012 Standard +
10 CALs, und (worum es in dieser 1. Frage eigentlich geht) Professional Clients - da man nur mit diesen in eine Domäne
beitreten kann. Aktuell befindet sich auf allen Clients Windows 8.1 (Home oder wie sich das bei Win 8 nennt).
Oder gibt es eine Möglichkeit mit Win7/8 Home als Clients den Exchange zu betreiben?
Frage 2)
Benötige ich eine feste IP Adresse für das Büro?
Ganz klar: Ja. Und nochmals Ja.Benötige ich eine feste IP Adresse für das Büro?
Und selbst für nen "normalen" DSL-Anschluss rücken die Teletubbies ne statische IP raus (die dann zwar nach wie vor per DHCP vergeben wird, aber eben per Reservierung; evtl. Änderungen werden lange vorher angekündigt).
Frage 3)
Mailsynchronisation mit mobilen Endgeräten.
Es soll von Android und Apple Geräten ein Zugriff auf das entsprechende Mailpostfach möglich sein. Ich habe gelesen,
dass dies über ActiveSync funktioniert.
Spätestens hier - fürchte ich - benötigt man eine feste IP für den Exchangeserver? Ist noch etwas notwendig?
(Ich habe was von SSL gelesen...)
Ist es zudem mögich auf ALLE Mails die im Postfach liegen zuzugreifen - es wird teilweise notwendig sein, auf Mails von vor 5
Jahren schnellen Zugriff via Handy zu haben.
Ich kenne das aus unserer Firma nur so, dass z.B. die letzten 2 Wochen synchronisiert werden - die Mails liegen dann auch auf dem
Endgerät; aber ist es auch problemlos möglich auf ältere Elemente zuzugreifen - ohne dass ALLES auf dem Handy
gespeichert wird. (die Postfächer haben aktuell schon Größen von mehreren GB - Tendenz schnell steigend)
SSL = Zertifikat => statische IP-AdresseMailsynchronisation mit mobilen Endgeräten.
Es soll von Android und Apple Geräten ein Zugriff auf das entsprechende Mailpostfach möglich sein. Ich habe gelesen,
dass dies über ActiveSync funktioniert.
Spätestens hier - fürchte ich - benötigt man eine feste IP für den Exchangeserver? Ist noch etwas notwendig?
(Ich habe was von SSL gelesen...)
Ist es zudem mögich auf ALLE Mails die im Postfach liegen zuzugreifen - es wird teilweise notwendig sein, auf Mails von vor 5
Jahren schnellen Zugriff via Handy zu haben.
Ich kenne das aus unserer Firma nur so, dass z.B. die letzten 2 Wochen synchronisiert werden - die Mails liegen dann auch auf dem
Endgerät; aber ist es auch problemlos möglich auf ältere Elemente zuzugreifen - ohne dass ALLES auf dem Handy
gespeichert wird. (die Postfächer haben aktuell schon Größen von mehreren GB - Tendenz schnell steigend)
Alle Mails wird kein Gerät syncen, aber eine Suche nach Mails im Postfach älter als n Jahre ist problemlos vom mobilen Device aus möglich.
Frage 4)
Mails zurück von Office 365 Exchange Cloud auf den lokalen Exchangeserver
Das stelle ich mir relativ einfach und unkompliziert vor: Entweder - wenn das geht - 2 Exchangeanbindungen in Outlook integrieren
und dann die Mails von A nach B schieben; alternativ die Mails von Exchange 365 in eine PST Datei exportieren; PST in Outlook
öffnen und in lokales Exchangepostfach schieben.
Bei 10 Leuten => 365-Postfach in eine PST kopieren und diese dann in den lokalen Exchange schieben.Mails zurück von Office 365 Exchange Cloud auf den lokalen Exchangeserver
Das stelle ich mir relativ einfach und unkompliziert vor: Entweder - wenn das geht - 2 Exchangeanbindungen in Outlook integrieren
und dann die Mails von A nach B schieben; alternativ die Mails von Exchange 365 in eine PST Datei exportieren; PST in Outlook
öffnen und in lokales Exchangepostfach schieben.
Es gibt auch einen Webdienst, der die 365-Postfächer direkt in den lokalen schiebt, damit haben wir >70 User problemlos migrieren können. Ich find nur grad ums Verplatzen weder die URL noch den Namen des Anbieters; suche morgen im Büro.
Cheers,
jsysde
Zitat von @10563:^^
> Frage 2)
> Benötige ch eine feste IP Adresse für das Büro?
Ganz klar: Ja. Und nochmals Ja.
> Frage 2)
> Benötige ch eine feste IP Adresse für das Büro?
Ganz klar: Ja. Und nochmals Ja.
Sorry, aber BULLSHIT.
Es gibt auch einen Webdienst, der die 365-Pstfächer direkt in den lokalen schiebt, damit haben wir >70 User problemlos
migrieren können.
migrieren können.
Und im Grundkurs Datenschutz hast Du auch geschlafen...
Lonesome Walker
Hi,
Dafür musst Du den Port 443 an Deinen Exchange weiterleiten. Ohne einen Reverse-Proxy dazwischen würde ich das nicht machen.
Wenn Du einfach den Port 443 weiterleitest ist nämlich neben deinedomain.dyndns.org/Microsoft-Server-ActiveSync u. a. auch deinedomain.dyndns.org/ecp, deinedomain.dyndns.org/owa deinedomain.dyndns.org/powershell etc... erreichbar. Das solltest Du dabei bedenken.
Gruß
ActiveSync hat im LAN auch gut funktioniert. Hier hätte ich vor, einen Dienst wie dyndns o.ä. zu verwenden um z.B. dem Android Gerät für Synchronistation einen host eintragen zu können. Den entsprechenden Port würde ich am Router einfach auf den Exchange weiterleiten; damit er von außen für ActiveSync erreichbar ist.
Dafür musst Du den Port 443 an Deinen Exchange weiterleiten. Ohne einen Reverse-Proxy dazwischen würde ich das nicht machen.
Wenn Du einfach den Port 443 weiterleitest ist nämlich neben deinedomain.dyndns.org/Microsoft-Server-ActiveSync u. a. auch deinedomain.dyndns.org/ecp, deinedomain.dyndns.org/owa deinedomain.dyndns.org/powershell etc... erreichbar. Das solltest Du dabei bedenken.
Gruß
Zitat von @06Down:
Dafür musst Du den Port 443 an Deinen Exchange weiterleiten. Ohne einen Reverse-Proxy dazwischen würde ich das nicht
machen.
Dafür musst Du den Port 443 an Deinen Exchange weiterleiten. Ohne einen Reverse-Proxy dazwischen würde ich das nicht
machen.
Weil?
Wenn Du einfach den Port 443 weiterleitest ist nämlich neben deinedomain.dyndns.org/Microsoft-Server-ActiveSync u. a. auch
deinedomain.dyndns.org/ecp, deinedomain.dyndns.org/owa deinedomain.dyndns.org/powershell etc... erreichbar. Das solltest Du dabei
bedenken.
deinedomain.dyndns.org/ecp, deinedomain.dyndns.org/owa deinedomain.dyndns.org/powershell etc... erreichbar. Das solltest Du dabei
bedenken.
Ja und?
Ohne Authentifizierung passiert dann was?
Genau, gar nix.
Hat hier überhaupt jemand fundierte Ahnung, wovon er schreibt?
Lonesome Walker
Ohne Authentifizierung passiert dann was?
Es entsteht damit unnötige Angriffsfläche. Ich würde auch einen Reverse-Proxy empfehlen.
Benötige ich eine feste IP Adresse für das Büro?
Ganz klar: Ja. Und nochmals Ja.
Sorry, aber BULLSHIT.Ganz klar: Ja. Und nochmals Ja.
Klar geht das theoretisch auch mit dyndns.org, aber ehrlich, dass ist Bullshit! Kein vernünftiges Unternehmen wurde das ohne eine feste IP-Adresse machen. Das wäre verantwortungslos.
Hat hier überhaupt jemand fundierte Ahnung, wovon er schreibt?
Sagt der eine Bauer zum anderen Bauer - du Bauer.
Gruß
max
Zitat von @max:
Es entsteht damit unnötige Angriffsfläche. Ich würde auch einen Reverse-Proxy empfehlen.
Es entsteht damit unnötige Angriffsfläche. Ich würde auch einen Reverse-Proxy empfehlen.
Wenn Du das so siehst, dann dürftest Du ja nicht mal ActiveSync zulassen...
Klar geht das theoretisch auch mit dyndns.org, aber ehrlich, dass ist Bullshit! Kein vernünftiges Unternehmen wurde das ohne
eine feste IP-Adresse machen. Das wäre verantwortungslos.
eine feste IP-Adresse machen. Das wäre verantwortungslos.
Bitte belegen, wo die Vorteile speziell im Szenario beim SBS liegen.
Wir sind hier schon so weit von der ursprünglichen Frage abgedriftet, aber wenn Du Dich schon lächerlich machen willst, dann bitte mit Anlauf.
KMU haben von einer festen IP eher mehr Nachteile als Vorteile (Stichwort nicht wechselnde Angriffsfläche, etc... aber das weiß man, wenn man schon ein paar SBS-Büchsen aufgesetzt hat...)
Für große Firmen keine Frage, die haben auch entsprechendes Equipment (Firewall, IDT, DPI...).
Sagt der eine Bauer zum anderen Bauer - du Bauer.
Nö, sacht der Fachmann zu jemandem, der hierzu in der Praxis wohl noch nicht ausreichend Erfahrung sammeln durfte.
Lonesome Walker
N'Abend.
Wo ist der Unterschied, ob ich eine (immer brav aktuell gehaltene) DynDNS-Adresse angreifen oder direkt die IP-Adresse?
Genau, es gibt keinen. Aber das weiß man, wenn man schon ein paar mal damit konfrontiert war.
</Sarkasmus>
Cheers,
jsysde
P.S.:
Und wer mal versucht hat, Mails per Exchange von ner dynamischen IP aus ohne Smarthost zu versenden... aber lassen wir das, hier zählt ja weder Wissen noch Erfahrung, nur der "Level 4 Mod" weiß alles, im Zweifel halt besser. Ich bin raus.
Zitat von @16568:
KMU haben von einer festen IP eher mehr Nachteile als Vorteile (Stichwort nicht wechselnde Angriffsfläche, etc
Anscheinend hattest du mehr als genug Anlauf...KMU haben von einer festen IP eher mehr Nachteile als Vorteile (Stichwort nicht wechselnde Angriffsfläche, etc
Wo ist der Unterschied, ob ich eine (immer brav aktuell gehaltene) DynDNS-Adresse angreifen oder direkt die IP-Adresse?
Genau, es gibt keinen. Aber das weiß man, wenn man schon ein paar mal damit konfrontiert war.
</Sarkasmus>
Cheers,
jsysde
P.S.:
Und wer mal versucht hat, Mails per Exchange von ner dynamischen IP aus ohne Smarthost zu versenden... aber lassen wir das, hier zählt ja weder Wissen noch Erfahrung, nur der "Level 4 Mod" weiß alles, im Zweifel halt besser. Ich bin raus.
Zitat von @jsysde:
Wo ist der Unterschied, ob ich eine (immer brav aktuell gehaltene) DynDNS-Adresse angreifen oder direkt die IP-Adresse?
Wo ist der Unterschied, ob ich eine (immer brav aktuell gehaltene) DynDNS-Adresse angreifen oder direkt die IP-Adresse?
In der Verfügbarkeit.
DynDNS muddu erst wissen, IP ist im Netz einfach default gescannt.
P.S.:
Und wer mal versucht hat, Mails per Exchange von ner dynamischen IP aus ohne Smarthost zu versenden...
Und wer mal versucht hat, Mails per Exchange von ner dynamischen IP aus ohne Smarthost zu versenden...
Siehste, Eingangsbeitrag nich gelesen:
Frage 2)
Der Exchange Server soll für eine bei 1&1 registrierte Domain die Mails von extern empfangen und auch versenden.
Ich habe gelesen, dass es Pop3 connectoren gibt, die Mails dann ganz normal via pop3 vom Provider abholen und dann intern den Postfächern zuordnen können.
Der Exchange Server soll für eine bei 1&1 registrierte Domain die Mails von extern empfangen und auch versenden.
Ich habe gelesen, dass es Pop3 connectoren gibt, die Mails dann ganz normal via pop3 vom Provider abholen und dann intern den Postfächern zuordnen können.
Lonesome Walker
Hallo malungo,
Pardon.
Jein, das Problem ist folgender Natur:
Du hast hier gutgemeinte Ratschläge von Profis erhalten, die es sicherlich gut meinen, jedoch mit manchen Sachen über das Ziel hinaus schießen.
Bsp. das hier:
Nein, um ehrlich zu sein, nicht wirklich.
Ich bin kein Freund der Produkte aus Redmond, das können Dir viele in meinem Umfeld bestätigen.
Was ich Dir aber aus Erfahrung sagen kann: wenn Du einen SBS entsprechend sauber konfiguriert ins Netz hängst, ist es für einen Admin sehr entspannt zu sehen.
Gerne darfst Du hierzu mal auf GuentherH seinem Blog nachlesen.
Seines Zeichens auch SBS-Guru, äh, MVP... (läßt sich es hier aber nicht raushängen...)
Man kann in seinem Blog auch die Best-Practices aus seiner Erfahrung nachlesen.
Irgendwie habe ich da aber noch nie was von Reverse-Proxy gelesen...
Komisch, liegt vielleicht auch daran, daß wir hier von KMU reden/schreiben.
Generell mußt Du für Dich abwiegen, willst Du keine Kohle ausgeben, oder hast Du doch Geld für Equipment und Lizenzen übrig.
Wenn Du sagst: 0 Budget -> kein Problem. Mußt Du viel lesen, und mit Sicherheit wirst Du die ersten paar Sachen in den Sand setzen (daher die Migration vielleicht vorher mal bissel mit Spieldaten üben)
Was ich Dir aber sagen kann:
Hände weg von so tollen Migrationsdiensten, denn die Cloud klaut.
Vielleicht nicht jetzt gleich oder so, aber selbst wenn da steht, DIN-ISO-TÜV-wir-leben-Datenschutz...
Wir haben immer gesagt: die Geheimdienste sind unter uns, keiner hat es geglaubt.
Jetzt ist das Geschrei groß, aber irgendwie kann ich da nicht mitfühlend sein, wenn faule Admins plötzlich feststellen, daß sie die Fehler ihres Lebens gemacht haben.
Von daher:
Dein Projekt ließe sich kosten-nutzen-technisch am Einfachsten mit einem SBS 2011 Standard umsetzen.
3-4 Manntage Arbeit, und fertig ist der Lack.
Die genannten Dinge meiner Mitschreiber oben sind sicherlich nette Features, jedoch nicht zwingend notwendig für einen korrekten Betrieb eines eigenen Servers mit Mailversand.
Lonesome Walker
Pardon.
Aktuell erscheint es mir, als hättest Du selbst keine konkreten Vorschläge, sondern schmetterst alles, was die Anderen
sagen als Bullshit ab ohne konkrete (Gegen)Argumente zu liefern.
sagen als Bullshit ab ohne konkrete (Gegen)Argumente zu liefern.
Jein, das Problem ist folgender Natur:
Du hast hier gutgemeinte Ratschläge von Profis erhalten, die es sicherlich gut meinen, jedoch mit manchen Sachen über das Ziel hinaus schießen.
Bsp. das hier:
Dein Hinweis, dass ich durch das Portforwarding auch noch andere Dienste öffne finde ich absolut wertvoll. An das hätte
ich spontan nicht gedacht. Einen Angreifer würde das schon mal einen Schritt weiterbringen...
ich spontan nicht gedacht. Einen Angreifer würde das schon mal einen Schritt weiterbringen...
Nein, um ehrlich zu sein, nicht wirklich.
Ich bin kein Freund der Produkte aus Redmond, das können Dir viele in meinem Umfeld bestätigen.
Was ich Dir aber aus Erfahrung sagen kann: wenn Du einen SBS entsprechend sauber konfiguriert ins Netz hängst, ist es für einen Admin sehr entspannt zu sehen.
Gerne darfst Du hierzu mal auf GuentherH seinem Blog nachlesen.
Seines Zeichens auch SBS-Guru, äh, MVP... (läßt sich es hier aber nicht raushängen...)
Man kann in seinem Blog auch die Best-Practices aus seiner Erfahrung nachlesen.
Irgendwie habe ich da aber noch nie was von Reverse-Proxy gelesen...
Komisch, liegt vielleicht auch daran, daß wir hier von KMU reden/schreiben.
Generell mußt Du für Dich abwiegen, willst Du keine Kohle ausgeben, oder hast Du doch Geld für Equipment und Lizenzen übrig.
Wenn Du sagst: 0 Budget -> kein Problem. Mußt Du viel lesen, und mit Sicherheit wirst Du die ersten paar Sachen in den Sand setzen (daher die Migration vielleicht vorher mal bissel mit Spieldaten üben)
Was ich Dir aber sagen kann:
Hände weg von so tollen Migrationsdiensten, denn die Cloud klaut.
Vielleicht nicht jetzt gleich oder so, aber selbst wenn da steht, DIN-ISO-TÜV-wir-leben-Datenschutz...
Wir haben immer gesagt: die Geheimdienste sind unter uns, keiner hat es geglaubt.
Jetzt ist das Geschrei groß, aber irgendwie kann ich da nicht mitfühlend sein, wenn faule Admins plötzlich feststellen, daß sie die Fehler ihres Lebens gemacht haben.
Von daher:
Dein Projekt ließe sich kosten-nutzen-technisch am Einfachsten mit einem SBS 2011 Standard umsetzen.
3-4 Manntage Arbeit, und fertig ist der Lack.
Die genannten Dinge meiner Mitschreiber oben sind sicherlich nette Features, jedoch nicht zwingend notwendig für einen korrekten Betrieb eines eigenen Servers mit Mailversand.
Lonesome Walker
Hi,
Aus meiner Sicht ist SBS 2011 schon ein wenig zu alt, um es neu zu installieren. Aber das kann natürlich jeder halten wie er will.
Na und? Muss man sie deshalb kritisieren?
Eine feste IP Adresse sorgt gerade für hohe Sicherheit, da man sie per Firewall sehr gut absichern kann.
Ein gute Firma sollte immer Geld für eine feste IP haben (ist meist sogar billiger als der Dyn Dienst) und eine Firma sollte natürlich auch einen Firewall vor seinen Diensten schalten. Das ist weder teuer noch unsinnig. An dieser Stelle sollte nicht am Budget gespart werden. Lösung wie DynDns gehören für mich in die Kategorie "Bastler vor dem Herrn" - aus der Ecke kommt der Dienst ja ursprünglich auch. Klar funktioniert auch diese "Bastellösungen", aber Professionell sieht anders auch (ja ja eine bestimmte Person hier siehst das sicher anders). Reverse-Proxy ist eine sichere Methode, man kann es aber natürlich auch anders lösen oder ganz lassen.
Es gibt nicht immer nur einen Weg - jede Firma hat unterschiedliche Voraussetzungen. Daher finde ich es absolut falsch hier so etwas zu behaupten. Der User hat nach Möglichkeiten gefragt und die hat er von einigen Usern auch bekommen. Was ich aber absolut nicht verstehe, sind diese negativen Kommentare zu diesen Möglichkeiten. Leider hat sich "jsysde" wohl abgemeldet. Das haben wir dann wohl der guten konstruktiven Kritik mit den noch besseren Alternativvorschlägen eines Users zu verdanken. Danke, vielen Dank dass Du hier zu jedem Beitrag Deinen Senf dazu gegeben hast. Ohne Dich würde es hier tatsächlich Spaß machen zu antworten. Aber nur weiter so, irgendwann überziehst auch Du und der Webmaster verliert die Geduld mit Dir. Ich hätte Dich nicht wegen Deines Wissens, aber alleine wegen Deiner Art zu kommunizieren, hier längst rausgeworfen. Die ist weder nett oder höflich, noch professionell.
Aber gut, dann dauert es halt noch eine Weile. Ich habe Geduld.
Gruß
max
Dein Projekt ließe sich kosten-nutzen-technisch am Einfachsten mit einem SBS 2011 Standard umsetzen.
3-4 Manntage Arbeit, und fertig ist der Lack.
3-4 Manntage Arbeit, und fertig ist der Lack.
Aus meiner Sicht ist SBS 2011 schon ein wenig zu alt, um es neu zu installieren. Aber das kann natürlich jeder halten wie er will.
Du hast hier gutgemeinte Ratschläge von Profis erhalten, die es sicherlich gut meinen, jedoch mit manchen Sachen über das Ziel hinaus schießen.
Na und? Muss man sie deshalb kritisieren?
KMU haben von einer festen IP eher mehr Nachteile als Vorteile (Stichwort nicht wechselnde Angriffsfläche, etc
Eine feste IP Adresse sorgt gerade für hohe Sicherheit, da man sie per Firewall sehr gut absichern kann.
Ein gute Firma sollte immer Geld für eine feste IP haben (ist meist sogar billiger als der Dyn Dienst) und eine Firma sollte natürlich auch einen Firewall vor seinen Diensten schalten. Das ist weder teuer noch unsinnig. An dieser Stelle sollte nicht am Budget gespart werden. Lösung wie DynDns gehören für mich in die Kategorie "Bastler vor dem Herrn" - aus der Ecke kommt der Dienst ja ursprünglich auch. Klar funktioniert auch diese "Bastellösungen", aber Professionell sieht anders auch (ja ja eine bestimmte Person hier siehst das sicher anders). Reverse-Proxy ist eine sichere Methode, man kann es aber natürlich auch anders lösen oder ganz lassen.
Es gibt nicht immer nur einen Weg - jede Firma hat unterschiedliche Voraussetzungen. Daher finde ich es absolut falsch hier so etwas zu behaupten. Der User hat nach Möglichkeiten gefragt und die hat er von einigen Usern auch bekommen. Was ich aber absolut nicht verstehe, sind diese negativen Kommentare zu diesen Möglichkeiten. Leider hat sich "jsysde" wohl abgemeldet. Das haben wir dann wohl der guten konstruktiven Kritik mit den noch besseren Alternativvorschlägen eines Users zu verdanken. Danke, vielen Dank dass Du hier zu jedem Beitrag Deinen Senf dazu gegeben hast. Ohne Dich würde es hier tatsächlich Spaß machen zu antworten. Aber nur weiter so, irgendwann überziehst auch Du und der Webmaster verliert die Geduld mit Dir. Ich hätte Dich nicht wegen Deines Wissens, aber alleine wegen Deiner Art zu kommunizieren, hier längst rausgeworfen. Die ist weder nett oder höflich, noch professionell.
Aber gut, dann dauert es halt noch eine Weile. Ich habe Geduld.
Gruß
max
Also ich empfehle dir folgendes:
- SBS 2011 inkl. Domain, WDS Server und Exchange
-Win 8.1 Pro per WDS zu verteilen (und in die Domäne aufnehmen)
-Servergespeicherte Profile
-Fixe IP, mit Portweiterleitung aufm Exchange
Als migration würd ich die PST-Variante nehmen.
- SBS 2011 inkl. Domain, WDS Server und Exchange
-Win 8.1 Pro per WDS zu verteilen (und in die Domäne aufnehmen)
-Servergespeicherte Profile
-Fixe IP, mit Portweiterleitung aufm Exchange
Als migration würd ich die PST-Variante nehmen.
So, dies nur mal kurz zur Klarstellung und dann bitte keine persönlichen Dinge mehr, sonst ist dicht:
So, das wars und ich verbleibe
Mit freundlichen Grüßen
Mitchell
Eine feste IP Adresse sorgt gerade für hohe Sicherheit, da man sie per Firewall sehr gut absichern kann.
Ihr redet aneinander vorbei oder wollt es, keine Ahnung . Eine feste IP kann man per Firewall absichern, stimmt. Genau das gilt aber auch für eine dyn. und der Vorteil liegt darin, dass man eine feste IP eben NICHT suchen muss, sieht bei der dynamischen schon anders aus. Hier also...Sicherheit...wechselnd...weißt scho ^^Leider hat sich "jsysde" wohl abgemeldet.
schau nochmal ...Deinen Senf dazu gegeben hast. Ohne Dich...
genau ab hier bitte die PN nutzen, gilt für alle, die sich in der Hinsicht weiterbeschäftigen wollen.So, das wars und ich verbleibe
Mit freundlichen Grüßen
Mitchell
Hi,
Ich persönlich kenne keine Firewall, die so ohne weiteres mit DDNS umgehen kann. Wie sichert man das also ab? Bin offen für jegliche Aufklärung. Bei einem öffentlichen Mailserver sehe ich bei einer dynamischen IP Zuweisung auch keinen Sicherheitsvorteile (siehe unten). Ein Mailserver muss mit anderen Mailservern reden. Was würde da eine IP-Verschleierung bringen? Dynamische Adresse werden aus meiner Sicht oft nur aus Kostengründen eingesetzt.
Da mich die Frage dazu beschäftigt, zerlegen wir das ganze etwas genauer:
Firewall
Man braucht schon eine Firewall die DDNS auch unterstützt. Unter iptables für Linux zum Beispiel wird auch eine Regel wie diese auf die IP-Adresse aufgelöst:
nach dem Wechsel der IP wäre diese Regel also ungültig. Man könnte das dann per Script lösen und alle paar Minuten per Cron die alte Regel löschen und eine neue hinzufügen. Kenn jemand einen besseren Weg? Da die meisten Firewalls auf Linux/Unix basieren wird das wohl generell ein Problem sein.
Reverse DNS
Ein Mailserver braucht in der Regel einen Reverse DNS Eintrag. Nur so wird er von anderen Mailservern überhaupt angesprochen. Das musst der DDNS Dienst oder Hoster unterstützen (oder man muss einen eigenen DNS betreiben).
Andere öffentliche Mailserver
In der Regel sind andere Mailserver nicht sehr angetan von wechselnden IP-Adressen. Die meisten großen Provider verweigern Mails von diesen Servern (z.B. gmx.de).
Der IP Vorbesitzer war ein Spammer
Was wenn der IP-Adressen Vorbesitzer ein fleißiger Spammer war und die IP-Adresse längst in allen Mail-Blacklisten verteilt wurde. Die Pflege dazu kann sehr aufwendig sein.
SSL-Zertifikat
Soweit ich weiß verweigern viele offizielle Zertifikatsbetreiber die Ausstellung eines SSL-Zertifikat auf einen Namen eines dynamischen Anbieters. Wie ist da der aktuelle Stand?
Das sind viele unbekannte Punkte bei dynamischen IP-Adressen, die ich im professionellen Betrieb niemals haben möchte. Daher würde ich das, wie oben bereits beschreiben, niemanden empfehlen. Aber das bleibt natürlichen jedem selbst überlassen.
Auf http://www.msxfaq.de/internet/ddns.htm wird übrigend recht gut erklärt was es für Möglichkeiten per DDNS gibt. Die meisten sind aber entweder a) Bastellösungen oder b) man muss für den Dienst bezahlen. Dann drängt sich aber die Frage nach einer festen IP schon wieder auf.
Ich versuche die Frage 2 von malungo mal abzuschließen (konstruktive Kritik, Korrektur oder Verbesserungen sind gewünscht):
Es funktioniert Beides. Bei der dynamischen IP-Adresse braucht man aber einen DDNS Dienst der ein paar Exchange Features unterstütz (z.B. 1&1). Das ist aber in der Regel auch mit zusätzlichen Kosten verbunden. Unter http://www.msxfaq.de/internet/ddns.htm werden die meisten Möglichkeiten recht gut erklärt. Was aber bleibt, sind aus meiner Sicht bei dynamischen IPs die wichtigen Fragen zum Thema Sicherheit. Auch die Frage, ob andere Mailanbieter einen Server (mit direkten Sendemöglichkeit) überhaupt zulassen ist für mich offen (per Pop3 sollte es kein Thema sein).
Bei einer festen IP-Adresse hast du beim Thema Sicherheit (Firewall, SSL, etc.) in der Regel keine Probleme oder Stolpersteine.
ja, in der Tat - er ist wieder da. Da hat er es sich wohl anderes überlegt (bin mir sicher, dass er komplett abgemeldet war).
Warum? Ich habe weder Namen noch konkrete Person genannt. Wer sich angesprochen fühlt, sollte darüber nachdenken.
So, ich hoffe ich konnte etwas zum Thema beitragen.
Gruß
max
Ihr redet aneinander vorbei oder wollt es, keine Ahnung. Eine feste IP kann man per Firewall absichern, stimmt. Genau das gilt aber auch für eine dyn. und der Vorteil liegt darin, dass man eine feste IP eben NICHT suchen muss, sieht bei der dynamischen schon anders aus. Hier also...Sicherheit...wechselnd...weißt scho ^^
Ich persönlich kenne keine Firewall, die so ohne weiteres mit DDNS umgehen kann. Wie sichert man das also ab? Bin offen für jegliche Aufklärung. Bei einem öffentlichen Mailserver sehe ich bei einer dynamischen IP Zuweisung auch keinen Sicherheitsvorteile (siehe unten). Ein Mailserver muss mit anderen Mailservern reden. Was würde da eine IP-Verschleierung bringen? Dynamische Adresse werden aus meiner Sicht oft nur aus Kostengründen eingesetzt.
Da mich die Frage dazu beschäftigt, zerlegen wir das ganze etwas genauer:
Firewall
Man braucht schon eine Firewall die DDNS auch unterstützt. Unter iptables für Linux zum Beispiel wird auch eine Regel wie diese auf die IP-Adresse aufgelöst:
iptables -A INPUT -p tcp --src mydomain.dyndns.org --dport 22 -j ACCEPT
Reverse DNS
Ein Mailserver braucht in der Regel einen Reverse DNS Eintrag. Nur so wird er von anderen Mailservern überhaupt angesprochen. Das musst der DDNS Dienst oder Hoster unterstützen (oder man muss einen eigenen DNS betreiben).
Andere öffentliche Mailserver
In der Regel sind andere Mailserver nicht sehr angetan von wechselnden IP-Adressen. Die meisten großen Provider verweigern Mails von diesen Servern (z.B. gmx.de).
Der IP Vorbesitzer war ein Spammer
Was wenn der IP-Adressen Vorbesitzer ein fleißiger Spammer war und die IP-Adresse längst in allen Mail-Blacklisten verteilt wurde. Die Pflege dazu kann sehr aufwendig sein.
SSL-Zertifikat
Soweit ich weiß verweigern viele offizielle Zertifikatsbetreiber die Ausstellung eines SSL-Zertifikat auf einen Namen eines dynamischen Anbieters. Wie ist da der aktuelle Stand?
Das sind viele unbekannte Punkte bei dynamischen IP-Adressen, die ich im professionellen Betrieb niemals haben möchte. Daher würde ich das, wie oben bereits beschreiben, niemanden empfehlen. Aber das bleibt natürlichen jedem selbst überlassen.
Auf http://www.msxfaq.de/internet/ddns.htm wird übrigend recht gut erklärt was es für Möglichkeiten per DDNS gibt. Die meisten sind aber entweder a) Bastellösungen oder b) man muss für den Dienst bezahlen. Dann drängt sich aber die Frage nach einer festen IP schon wieder auf.
Ich versuche die Frage 2 von malungo mal abzuschließen (konstruktive Kritik, Korrektur oder Verbesserungen sind gewünscht):
Frage 2)
Benötige ich eine feste IP Adresse für das Büro?
Der Exchange Server soll für eine bei 1&1 registrierte Domain die Mails von extern empfangen und auch versenden. Ich habe gelesen, dass es Pop3 connectoren > gibt, die Mails dann ganz normal via pop3 vom Provider abholen und dann intern den Postfächern zuordnen können. Allerdings ist das lt. div. Foren wohl nur die zweitbeste Lösung.
Wenn ich richtig recherchiert habe, ist es möglich u.a. bei 1&1 (ohne den Exchange by 1&1 zu nutzten) für die Domain den späteren Exchangeserver zu
"registrieren"; also den MX Eintrag zur IP des Exchange zuzuordnen. Geht das auch irgendwie via dynamischer IP? Internetzugang hat das Büro aktuell über
normales DSL bei Tele...
Benötige ich eine feste IP Adresse für das Büro?
Der Exchange Server soll für eine bei 1&1 registrierte Domain die Mails von extern empfangen und auch versenden. Ich habe gelesen, dass es Pop3 connectoren > gibt, die Mails dann ganz normal via pop3 vom Provider abholen und dann intern den Postfächern zuordnen können. Allerdings ist das lt. div. Foren wohl nur die zweitbeste Lösung.
Wenn ich richtig recherchiert habe, ist es möglich u.a. bei 1&1 (ohne den Exchange by 1&1 zu nutzten) für die Domain den späteren Exchangeserver zu
"registrieren"; also den MX Eintrag zur IP des Exchange zuzuordnen. Geht das auch irgendwie via dynamischer IP? Internetzugang hat das Büro aktuell über
normales DSL bei Tele...
Es funktioniert Beides. Bei der dynamischen IP-Adresse braucht man aber einen DDNS Dienst der ein paar Exchange Features unterstütz (z.B. 1&1). Das ist aber in der Regel auch mit zusätzlichen Kosten verbunden. Unter http://www.msxfaq.de/internet/ddns.htm werden die meisten Möglichkeiten recht gut erklärt. Was aber bleibt, sind aus meiner Sicht bei dynamischen IPs die wichtigen Fragen zum Thema Sicherheit. Auch die Frage, ob andere Mailanbieter einen Server (mit direkten Sendemöglichkeit) überhaupt zulassen ist für mich offen (per Pop3 sollte es kein Thema sein).
Bei einer festen IP-Adresse hast du beim Thema Sicherheit (Firewall, SSL, etc.) in der Regel keine Probleme oder Stolpersteine.
Leider hat sich "jsysde" wohl abgemeldet.
schau nochmalja, in der Tat - er ist wieder da. Da hat er es sich wohl anderes überlegt (bin mir sicher, dass er komplett abgemeldet war).
genau ab hier bitte die PN nutzen, gilt für alle, die sich in der Hinsicht weiterbeschäftigen wollen.
Warum? Ich habe weder Namen noch konkrete Person genannt. Wer sich angesprochen fühlt, sollte darüber nachdenken.
So, ich hoffe ich konnte etwas zum Thema beitragen.
Gruß
max
Moin.
Back2topic:
Ich sehe keinen Unterschied zwischen einer statisch und einer dynamischen IP beim Thema Sicherheit: Wenn ich gezielt jemanden angreifen will, dann kenne ich seinen DynDNS-Namen oder seine statsiche IP und ballere eben drauf los. Wenn ich einfach nur das Netz scanne, werden sowohl statische als auch dynamische IP vom Scanner gefunden (ok, bei dynamischen IPs muss ich andere IP-Subnetze scannen - damit hat es sich mit den Unterschieden).
Absichern, also eine Firewall einsetzen und entsprechend konfigurieren, muss ich in beiden Fällen, vor allem dann, wenn ich irgendwelche Dienste bereitstellen will, sei es ein Webserver oder eben ein Exchange.
Alles in allem sehe ich nur Vorteile bei Verwendung einer statischen IP: Ich bin nicht auf einen Diensteister angewiesen, der mir einen DynDNS-Hostnamen aktuell hält, damit fällt auch die Verwendung der entsprechenden Software weg, die meine dynamische IP dort aktualisiert. Beim Aufbau von Site-to-Site VPNs kann ich direkt mit den IP-Adressen arbeiten und muss keinen DNS-Resolver dazwischen schalten, der kompromittiert sein könnte. Last but not least kann ich meinen Mitarbeitern recht einfach einen VPN-Zugriff einrichten, wiederum unabhängig von DNS & Co. Sind nur so ein paar Punkte, die mir da spontan zu einfallen.
Eine dynamsiche IP-Adresse ist für den direkten Mailversand _ohne!_ Smarthost ein absolutes No-Go, das gibt -das zeigt schlicht die Erfahrung- nur Probleme, weil (berechtigterweise) etliche MTAs schlicht den Transport der Mails verweigern.
Cheers,
jsysde
Zitat von @max:
ja, in der Tat - er ist wieder da. Da hat er es sich wohl anderes überlegt (bin mir sicher, dass er komplett abgemeldet war).
Indeed - so war es und so ist es. ja, in der Tat - er ist wieder da. Da hat er es sich wohl anderes überlegt (bin mir sicher, dass er komplett abgemeldet war).
Back2topic:
Ich sehe keinen Unterschied zwischen einer statisch und einer dynamischen IP beim Thema Sicherheit: Wenn ich gezielt jemanden angreifen will, dann kenne ich seinen DynDNS-Namen oder seine statsiche IP und ballere eben drauf los. Wenn ich einfach nur das Netz scanne, werden sowohl statische als auch dynamische IP vom Scanner gefunden (ok, bei dynamischen IPs muss ich andere IP-Subnetze scannen - damit hat es sich mit den Unterschieden).
Absichern, also eine Firewall einsetzen und entsprechend konfigurieren, muss ich in beiden Fällen, vor allem dann, wenn ich irgendwelche Dienste bereitstellen will, sei es ein Webserver oder eben ein Exchange.
Alles in allem sehe ich nur Vorteile bei Verwendung einer statischen IP: Ich bin nicht auf einen Diensteister angewiesen, der mir einen DynDNS-Hostnamen aktuell hält, damit fällt auch die Verwendung der entsprechenden Software weg, die meine dynamische IP dort aktualisiert. Beim Aufbau von Site-to-Site VPNs kann ich direkt mit den IP-Adressen arbeiten und muss keinen DNS-Resolver dazwischen schalten, der kompromittiert sein könnte. Last but not least kann ich meinen Mitarbeitern recht einfach einen VPN-Zugriff einrichten, wiederum unabhängig von DNS & Co. Sind nur so ein paar Punkte, die mir da spontan zu einfallen.
Eine dynamsiche IP-Adresse ist für den direkten Mailversand _ohne!_ Smarthost ein absolutes No-Go, das gibt -das zeigt schlicht die Erfahrung- nur Probleme, weil (berechtigterweise) etliche MTAs schlicht den Transport der Mails verweigern.
Cheers,
jsysde
Okay,
nachdem manche User hier ja nicht umhin kommen, sich zum Horst zu machen, wollen wir uns nicht lumpen lassen, und auch diesen Kollegen mal ein wenig aus der Realität zu berichten...
Mag ja sein, daß Du keine Ahnung hast, aber einer Firewall ist DDNS total egal.
Wozu auch, die hat nur einen Job: nix Unerwünschtes reinlassen, nix Unerwünschtes rauslassen, fertig ist der Lack.
Hierzu muß ich mich nicht mit DNS rumschlagen.
s.o.
Jein, ja, es ist halt ein monatlicher Kostenblock, den man sich sparen kann.
Klar, feste IP ist schon was Feines, erleichtert ein paar Sachen; aber es ist KEIN MUSS.
Und nur deswegen habe ich auch "Bullshit" geschrieben.
Oh ja, das macht das Ganze ja auch viel leichter für Dich.
Wie schon geschrieben, einer Firewall ist es egal, welchen Namen sie trägt, oder welche IP sie hat.
DDNS macht ein Nameserver, keine Firewall (gut auswendig lernen für später...)
Wozu?
Erstens stelle ich fest, Du wirfst hier mit Brocken um Dich, die Du wohl irgendwo aufgeschnappt hast, aber so wirklich nicht verstanden hast.
Selbst wenn iptables das auflöst, wenn man sauber gearbeitet hat, interessiert diese Regel keinen, denn sie wird maximal die Zeit nicht greifen, in der das Zonefile des DNS aktualisiert wurde. Typischerweise ist das so 1-2 Minuten.
Den Resync mit DSL setzt man typischerweise in die Zeit, in der keiner arbeitet, also wen stört das dann?
Ja, anscheinend hast Du beim 1x1 des Netzwerkens nicht aufgepaßt: wo kein Port nicht offen ist, kann keiner dran rütteln;
sei es von extern oder intern.
Und einfach so von draußen nach drinnen zu kommen setzt dann ein Portmapping voraus, NAT oder eine von innen geöffnete Session.
Und ab da ist es dann schon nicht mehr trivial, ohne Deep Packet Inspection eine unerwünschte von einer erwünschten Session zu unterscheiden.
Was solche Firewalls kosten, kann der geneigte Leser ja gerne ergoogeln...
Stell' Dir mal das typische Szenario von Billig-Lösungen im KMU-Bereich vor:
Netz -> Router -> SBS -> Clients -> SBS -> Router -> Netz
Ports sind die üblichen für SBS freigegeben.
Dann würde ich von Dir gerne sehen, wie Du dieses Netzwerk von außen übernimmst.
Bruteforce scheidet wegen Logwatch aus, und gegen die offenen Ports für die Dienste muß man sich authentifizieren.
1-2-3-tschüss. So, und jetzt?
Nö, wozu?
Und genau hier hört das tolle Wissen von vielen Admins auf, die nur im Enterprise-Bereich (oder deren eigenem Netz) unterwegs sind.
Bei Strato setzt man sich beispielsweise einen A-Record auf seine dynamisch zugeteilte IP, und der Lack ist gegessen.
Aha, ich habe ja hier auf administrator.de schon viele Weisheiten gelesen, aber die hier ist wirklich lustig.
Wenn ich mir jetzt also bei Strato ein Webhosting-Paket für meine Domain, DynDNS und Mails buche, da dann einen A-Record auf meine dynamische IP setze, und per Smarthost (was in 99% der Bastellösungen beim SBS so der Fall ist...) nach draußen meine Mails abkippe, dann werden die meisten Mails nicht rejected, weil mein SBS eine dynamische IP hat, sondern weil der Provider-SMTP auf einer Blacklist steht.
Tolles Argument, dem kann ich kontern: was ist, wenn jemand IP-Spoofing macht? (ich weiß, sowas ist für gewisse Admins unvorstellbar...)
Echt? Auf meine eigene Subdomain kann ich kein eigenes Zertifikat ausstellen lassen?
Oh, ja, ich vergaß, fehlendes Wissen...
Ich konnte bisher keinen Einzigen feststellen.
Oh, GENAU, da sind wir hier in dem Thread aber!
Hast Du nicht gelesen?
Ich nix Geld, aber will möglichst viel ohne Geld umsetzen können.
Auch bei dynamischer IP -> keine Probleme.
Genau.
Ja, leider wieder nur Deine Sicht der Dinge aus Deinem Universum.
Ich kann es ja verstehen, daß manche Admins halt nicht die Möglichkeit haben, viele Projekte zu realisieren, weil deren Betrieb einfach ein festes Segment bedient, ud mehr ist im Netzwerk halt nicht zu tun.
Daß heißt aber nicht, daß es NUR mit fester IP geht, die im übrigen bei den typischen Scans zu 100% ausgelastet wird, weil sie eben permanent vergeben ist.
Eine dynamische IP hat den Vorteil, daß sich da jemand halt nicht dran festbeißen kann; den dynamischen Hostnamen kann ich jederzeit nach Belieben ändern.
Heute nenne ich meinen SBS nach außen mail.domain.tld, morgen zuhause.domain.tld übermorgen xyz.domain.tld.
Wer mit einem SBS umgehen kann, weiß, wie einfach sowas ist (anders als mit 2 Büchsen für Server und Exchange...).
Ich sage ja nicht, daß so wie ich es machen würde die ultimative Lösung ist; die Aussage, feste IP UNBEDINGT ist halt aber schon im Kern falsch.
Lonesome Walker
nachdem manche User hier ja nicht umhin kommen, sich zum Horst zu machen, wollen wir uns nicht lumpen lassen, und auch diesen Kollegen mal ein wenig aus der Realität zu berichten...
Mag ja sein, daß Du keine Ahnung hast, aber einer Firewall ist DDNS total egal.
Wozu auch, die hat nur einen Job: nix Unerwünschtes reinlassen, nix Unerwünschtes rauslassen, fertig ist der Lack.
Hierzu muß ich mich nicht mit DNS rumschlagen.
Wie sichert man das also ab? Bin offen für jegliche Aufklärung.
s.o.
Bei einem öffentlichen Mailserver sehe ich bei einer dynamischen IP Zuweisung auch keinen
Sicherheitsvorteile (siehe unten). Ein Mailserver muss mit anderen Mailservern reden. Was würde da eine IP-Verschleierung
bringen? Dynamische Adresse werden aus meiner Sicht oft nur aus Kostengründen eingesetzt.
Sicherheitsvorteile (siehe unten). Ein Mailserver muss mit anderen Mailservern reden. Was würde da eine IP-Verschleierung
bringen? Dynamische Adresse werden aus meiner Sicht oft nur aus Kostengründen eingesetzt.
Jein, ja, es ist halt ein monatlicher Kostenblock, den man sich sparen kann.
Klar, feste IP ist schon was Feines, erleichtert ein paar Sachen; aber es ist KEIN MUSS.
Und nur deswegen habe ich auch "Bullshit" geschrieben.
Da mich die Frage dazu beschäftigt, zerlegen wir das ganze etwas genauer:
Oh ja, das macht das Ganze ja auch viel leichter für Dich.
Firewall
Man braucht schon eine Firewall die DDNS auch unterstützt.
Man braucht schon eine Firewall die DDNS auch unterstützt.
Wie schon geschrieben, einer Firewall ist es egal, welchen Namen sie trägt, oder welche IP sie hat.
DDNS macht ein Nameserver, keine Firewall (gut auswendig lernen für später...)
Unter iptables für Linux zum Beispiel wird auch eine Regel
wie diese auf die IP-Adresse aufgelöst:
nach dem Wechsel der IP
wäre diese Regel also ungültig. Man könnte das dann per Script lösen und alle paar Minuten per Cron die alte
Regel löschen und eine neue hinzufügen.
wie diese auf die IP-Adresse aufgelöst:
iptables -A INPUT -p tcp --src mydomain.dyndns.org --dport 22 -j ACCEPT
wäre diese Regel also ungültig. Man könnte das dann per Script lösen und alle paar Minuten per Cron die alte
Regel löschen und eine neue hinzufügen.
Wozu?
Erstens stelle ich fest, Du wirfst hier mit Brocken um Dich, die Du wohl irgendwo aufgeschnappt hast, aber so wirklich nicht verstanden hast.
Selbst wenn iptables das auflöst, wenn man sauber gearbeitet hat, interessiert diese Regel keinen, denn sie wird maximal die Zeit nicht greifen, in der das Zonefile des DNS aktualisiert wurde. Typischerweise ist das so 1-2 Minuten.
Den Resync mit DSL setzt man typischerweise in die Zeit, in der keiner arbeitet, also wen stört das dann?
Kenn jemand einen besseren Weg? Da die meisten Firewalls auf Linux/Unix basieren wird das wohl generell ein Problem sein.
Ja, anscheinend hast Du beim 1x1 des Netzwerkens nicht aufgepaßt: wo kein Port nicht offen ist, kann keiner dran rütteln;
sei es von extern oder intern.
Und einfach so von draußen nach drinnen zu kommen setzt dann ein Portmapping voraus, NAT oder eine von innen geöffnete Session.
Und ab da ist es dann schon nicht mehr trivial, ohne Deep Packet Inspection eine unerwünschte von einer erwünschten Session zu unterscheiden.
Was solche Firewalls kosten, kann der geneigte Leser ja gerne ergoogeln...
Stell' Dir mal das typische Szenario von Billig-Lösungen im KMU-Bereich vor:
Netz -> Router -> SBS -> Clients -> SBS -> Router -> Netz
Ports sind die üblichen für SBS freigegeben.
Dann würde ich von Dir gerne sehen, wie Du dieses Netzwerk von außen übernimmst.
Bruteforce scheidet wegen Logwatch aus, und gegen die offenen Ports für die Dienste muß man sich authentifizieren.
1-2-3-tschüss. So, und jetzt?
Reverse DNS
Ein Mailserver braucht in der Regel einen Reverse DNS Eintrag. Nur so wird er von anderen Mailservern überhaupt angesprochen.
Das musst der DDNS Dienst oder Hoster unterstützen (oder man muss einen eigenen DNS betreiben).
Ein Mailserver braucht in der Regel einen Reverse DNS Eintrag. Nur so wird er von anderen Mailservern überhaupt angesprochen.
Das musst der DDNS Dienst oder Hoster unterstützen (oder man muss einen eigenen DNS betreiben).
Nö, wozu?
Und genau hier hört das tolle Wissen von vielen Admins auf, die nur im Enterprise-Bereich (oder deren eigenem Netz) unterwegs sind.
Bei Strato setzt man sich beispielsweise einen A-Record auf seine dynamisch zugeteilte IP, und der Lack ist gegessen.
Andere öffentliche Mailserver
In der Regel sind andere Mailserver nicht sehr angetan von wechselnden IP-Adressen. Die meisten großen Provider verweigern
Mails von diesen Servern (z.B. gmx.de).
In der Regel sind andere Mailserver nicht sehr angetan von wechselnden IP-Adressen. Die meisten großen Provider verweigern
Mails von diesen Servern (z.B. gmx.de).
Aha, ich habe ja hier auf administrator.de schon viele Weisheiten gelesen, aber die hier ist wirklich lustig.
Wenn ich mir jetzt also bei Strato ein Webhosting-Paket für meine Domain, DynDNS und Mails buche, da dann einen A-Record auf meine dynamische IP setze, und per Smarthost (was in 99% der Bastellösungen beim SBS so der Fall ist...) nach draußen meine Mails abkippe, dann werden die meisten Mails nicht rejected, weil mein SBS eine dynamische IP hat, sondern weil der Provider-SMTP auf einer Blacklist steht.
Der IP Vorbesitzer war ein Spammer
Was wenn der IP-Adressen Vorbesitzer ein fleißiger Spammer war und die IP-Adresse längst in allen Mail-Blacklisten
verteilt wurde. Die Pflege dazu kann sehr aufwendig sein.
Was wenn der IP-Adressen Vorbesitzer ein fleißiger Spammer war und die IP-Adresse längst in allen Mail-Blacklisten
verteilt wurde. Die Pflege dazu kann sehr aufwendig sein.
Tolles Argument, dem kann ich kontern: was ist, wenn jemand IP-Spoofing macht? (ich weiß, sowas ist für gewisse Admins unvorstellbar...)
SSL-Zertifikat
Soweit ich weiß verweigern viele offizielle Zertifikatsbetreiber die Ausstellung eines SSL-Zertifikat auf einen Namen eines
dynamischen Anbieters. Wie ist da der aktuelle Stand?
Soweit ich weiß verweigern viele offizielle Zertifikatsbetreiber die Ausstellung eines SSL-Zertifikat auf einen Namen eines
dynamischen Anbieters. Wie ist da der aktuelle Stand?
Echt? Auf meine eigene Subdomain kann ich kein eigenes Zertifikat ausstellen lassen?
Oh, ja, ich vergaß, fehlendes Wissen...
Das sind viele unbekannte Punkte bei dynamischen IP-Adressen, die ich im professionellen Betrieb niemals haben möchte. Daher
würde ich das, wie oben bereits beschreiben, niemanden empfehlen. Aber das bleibt natürlichen jedem selbst
überlassen.
würde ich das, wie oben bereits beschreiben, niemanden empfehlen. Aber das bleibt natürlichen jedem selbst
überlassen.
Ich konnte bisher keinen Einzigen feststellen.
Auf http://www.msxfaq.de/internet/ddns.htm wird übrigend recht gut erklärt was es für Möglichkeiten per DDNS
gibt. Die meisten sind aber entweder a) Bastellösungen oder b) man muss für den Dienst bezahlen. Dann drängt sich
aber die Frage nach einer festen IP schon wieder auf.
gibt. Die meisten sind aber entweder a) Bastellösungen oder b) man muss für den Dienst bezahlen. Dann drängt sich
aber die Frage nach einer festen IP schon wieder auf.
Oh, GENAU, da sind wir hier in dem Thread aber!
Hast Du nicht gelesen?
Ich nix Geld, aber will möglichst viel ohne Geld umsetzen können.
Bei einer festen IP-Adresse hast du beim Thema Sicherheit (Firewall, SSL, etc.) in der Regel keine Probleme oder Stolpersteine.
Auch bei dynamischer IP -> keine Probleme.
Warum? Ich habe weder Namen noch konkrete Person genannt. Wer sich angesprochen fühlt, sollte darüber nachdenken.
Genau.
So, ich hoffe ich konnte etwas zum Thema beitragen.
Ja, leider wieder nur Deine Sicht der Dinge aus Deinem Universum.
Ich kann es ja verstehen, daß manche Admins halt nicht die Möglichkeit haben, viele Projekte zu realisieren, weil deren Betrieb einfach ein festes Segment bedient, ud mehr ist im Netzwerk halt nicht zu tun.
Daß heißt aber nicht, daß es NUR mit fester IP geht, die im übrigen bei den typischen Scans zu 100% ausgelastet wird, weil sie eben permanent vergeben ist.
Eine dynamische IP hat den Vorteil, daß sich da jemand halt nicht dran festbeißen kann; den dynamischen Hostnamen kann ich jederzeit nach Belieben ändern.
Heute nenne ich meinen SBS nach außen mail.domain.tld, morgen zuhause.domain.tld übermorgen xyz.domain.tld.
Wer mit einem SBS umgehen kann, weiß, wie einfach sowas ist (anders als mit 2 Büchsen für Server und Exchange...).
Ich sage ja nicht, daß so wie ich es machen würde die ultimative Lösung ist; die Aussage, feste IP UNBEDINGT ist halt aber schon im Kern falsch.
Lonesome Walker