Exchange bzw. OWA von Aussen Erreichbar machen
Hallo,
wir betreiben einen Exchange 2007 Server und möchten nun ganz gerne OWA von außen erreichbar machen. (Zur Zeit wird alles über VPN geregelt)
Wir benutzen einen IPFire (ähnlich wie IPCop) als Router/Firewall mit einer Statischen IP. DynDNS ist bereits schon eingerichtet.
Ich bin noch sehr unerfahren in der ganzen Thematik und stehe nun vor dem Grundlegendem Problem wie ich die Struktur nun am besten aufbaue,
ohne unser LAN zu gefährden. Die Anleitungen die ich im Netz finde sind alle schon "weiter" und beschäftigen sich eher mit der Konfigarion als mit dem "Wie Aufbaun?Welche möglichkeiten gibt es usw."
Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.
Der OWA Server wäre dann über Portforwarding von außen erreichbar.
Der Owa Server müsste dann jedoch irgendwie eine Sichere Verbindung zu unserem Exchange Server im Lan aufbaun können, damit auch irgendwie die Mails/Logins verarbeitet werden können und zwar nur dieses. Sonst macht die DMZ ja kein Sinn. (Keine Ahnung wie das funktioniert)
Ist das so in etwa überhaupt die richtige vorgehensweise? Was für alterantiven gibt es und wozu würdet ihr mir Raten?
Als nächstes wäre dann noch die Frage ob man dann auch über sein Tablet/Smartphone auf diesen OWA Server seine Mails abholen kann (Also nicht über einen Browser sondern direkt als Mailkonto einrichten) bzw. was dafür gemacht werden müsste.
Oder müsste ich dafür meinen Exchange server in die DMZ stellen? Den Exchange Server möchte ich jedoch nicht in die DMZ stellen bzw von außen direkt Erreichbar haben. Lautet hier das Stichwort Proxy?
Bitte hilft mir :D Wenn ihr passend zu meiner Problematik noch irgendwelche Anleitungen zur Hand habt, wo ich mich weiter einlesen kann, würde mir das auch sehr helfen.
Vielen Dank
wir betreiben einen Exchange 2007 Server und möchten nun ganz gerne OWA von außen erreichbar machen. (Zur Zeit wird alles über VPN geregelt)
Wir benutzen einen IPFire (ähnlich wie IPCop) als Router/Firewall mit einer Statischen IP. DynDNS ist bereits schon eingerichtet.
Ich bin noch sehr unerfahren in der ganzen Thematik und stehe nun vor dem Grundlegendem Problem wie ich die Struktur nun am besten aufbaue,
ohne unser LAN zu gefährden. Die Anleitungen die ich im Netz finde sind alle schon "weiter" und beschäftigen sich eher mit der Konfigarion als mit dem "Wie Aufbaun?Welche möglichkeiten gibt es usw."
Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.
Der OWA Server wäre dann über Portforwarding von außen erreichbar.
Der Owa Server müsste dann jedoch irgendwie eine Sichere Verbindung zu unserem Exchange Server im Lan aufbaun können, damit auch irgendwie die Mails/Logins verarbeitet werden können und zwar nur dieses. Sonst macht die DMZ ja kein Sinn. (Keine Ahnung wie das funktioniert)
Ist das so in etwa überhaupt die richtige vorgehensweise? Was für alterantiven gibt es und wozu würdet ihr mir Raten?
Als nächstes wäre dann noch die Frage ob man dann auch über sein Tablet/Smartphone auf diesen OWA Server seine Mails abholen kann (Also nicht über einen Browser sondern direkt als Mailkonto einrichten) bzw. was dafür gemacht werden müsste.
Oder müsste ich dafür meinen Exchange server in die DMZ stellen? Den Exchange Server möchte ich jedoch nicht in die DMZ stellen bzw von außen direkt Erreichbar haben. Lautet hier das Stichwort Proxy?
Bitte hilft mir :D Wenn ihr passend zu meiner Problematik noch irgendwelche Anleitungen zur Hand habt, wo ich mich weiter einlesen kann, würde mir das auch sehr helfen.
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181475
Url: https://administrator.de/contentid/181475
Ausgedruckt am: 26.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Hi.
Das ist so nicht möglich. OWA kann vom Exchange nicht getrennt werden. Einzige Möglichkeit wäre einen Proxy in die DMZ zustellen.
Wenn Firewall / Server sauber konfiguriert sind, und die Passwort Policy passt, dann ist es aber auch kein Problem Port 443 direkt an den Exchange weiterzuleiten.
LG Günther
Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.
Das ist so nicht möglich. OWA kann vom Exchange nicht getrennt werden. Einzige Möglichkeit wäre einen Proxy in die DMZ zustellen.
Wenn Firewall / Server sauber konfiguriert sind, und die Passwort Policy passt, dann ist es aber auch kein Problem Port 443 direkt an den Exchange weiterzuleiten.
LG Günther
Hallo,
ich stand kürzlich vor derselben Herausforderung (Exchange 2007 OWA verfügbar machen ohne Domain).
Ich habe es schließlich mit pound gemacht und bisher auch nicht bereut. Einen Exchange in die DMZ zu stellen empfiehlt Microsoft nicht.
Also einen ReverseProxy aufsetzen mit einem selbstsignierten oder gekauften SSL Zertifikat. Der einzige Haken ist das die interne Kommunikation von pound zum Exchange nicht SSL verschlüsselt ist.
Soweit ich das bisher gelesen habe liegt das aber an pound.
ich stand kürzlich vor derselben Herausforderung (Exchange 2007 OWA verfügbar machen ohne Domain).
Ich habe es schließlich mit pound gemacht und bisher auch nicht bereut. Einen Exchange in die DMZ zu stellen empfiehlt Microsoft nicht.
Also einen ReverseProxy aufsetzen mit einem selbstsignierten oder gekauften SSL Zertifikat. Der einzige Haken ist das die interne Kommunikation von pound zum Exchange nicht SSL verschlüsselt ist.
Soweit ich das bisher gelesen habe liegt das aber an pound.
Hi.
Ok, dann habe ich das missverstanden. Es klang so, wie Weiterleitung über die DMZ.
Ansonsten. Proxy in der DMZ ist natürlich das komfortabelste, aber nicht unbedingt einfach zu konfigurieren, wenn keine MS Produkte verwendet werden.
Auf der anderen Seite hat es seit dem Erscheinen von OWA noch keine Schwachstelle gegeben. Es hängt hier alles von der Passwort Policy ab.
Und einen muss dir auch klar sein. Mit der Anbindung mobiler Clients verlagerst du die Schwachstellen auf diese Geräte. Es gibt kaum einen User, der seinen mobilen Client mit einem PIN sichert. Und trotzdem werden auf diesen Geräte sensible Daten gespeichert.
Ich würde mir darüber wesentlich mehr Gedanken machen als über die Weiterleitung von Port 443 auf den Exchange
Klappt schon. Muss nur ein wenig angepasst werden - Exchange 2007 OWA verfügbar machen ohne Domain
LG Günther
??? Hast du doch selbst vorgeschlagen
Ok, dann habe ich das missverstanden. Es klang so, wie Weiterleitung über die DMZ.
Ansonsten. Proxy in der DMZ ist natürlich das komfortabelste, aber nicht unbedingt einfach zu konfigurieren, wenn keine MS Produkte verwendet werden.
Auf der anderen Seite hat es seit dem Erscheinen von OWA noch keine Schwachstelle gegeben. Es hängt hier alles von der Passwort Policy ab.
Und einen muss dir auch klar sein. Mit der Anbindung mobiler Clients verlagerst du die Schwachstellen auf diese Geräte. Es gibt kaum einen User, der seinen mobilen Client mit einem PIN sichert. Und trotzdem werden auf diesen Geräte sensible Daten gespeichert.
Ich würde mir darüber wesentlich mehr Gedanken machen als über die Weiterleitung von Port 443 auf den Exchange
Der Link klappt übrigens nicht..
Klappt schon. Muss nur ein wenig angepasst werden - Exchange 2007 OWA verfügbar machen ohne Domain
LG Günther
Hi.
Genauso ist es. Es gibt tausende von Installation, gerade im SBS Bereich, die so arbeiten.
Ja, da hier nur auf den Proxy zugegriffen wird, und dieser dann die Anfrage an den Exchange stellt und auch dann die Antwort an den Client weitergibt.
Du kannst ja einschränken, welche User auf OWA zugreifen dürfen, und diese User sind dann eben verpflichtet ein ordentliches Passwort zu verwenden. Und im gleichen Zuge kann auch die Security für die mobilen Clients besprochen werden. Es macht wenig Sinn, wenn für den Server ein 40stelliges Passwort verwendet wird, und das iPhone unversperrt in der Kneipe am Tresen liegt
LG Günther
Aber generell kann man also schon sagen, dass bei entsprechender Passwordpolicy die direkte Weiterleitung des 443 Ports an den Exchangeserv im Lan als sicher gilt?
Genauso ist es. Es gibt tausende von Installation, gerade im SBS Bereich, die so arbeiten.
Die Reverse Proxy Lösung wäre dann sozusagen nochmal nummer sicher sicher oder wie darfich das verstehen?
Ja, da hier nur auf den Proxy zugegriffen wird, und dieser dann die Anfrage an den Exchange stellt und auch dann die Antwort an den Client weitergibt.
und nochmal die Password Policy überarbeite (Welche ich so oder so überarbeiten wollte).
Du kannst ja einschränken, welche User auf OWA zugreifen dürfen, und diese User sind dann eben verpflichtet ein ordentliches Passwort zu verwenden. Und im gleichen Zuge kann auch die Security für die mobilen Clients besprochen werden. Es macht wenig Sinn, wenn für den Server ein 40stelliges Passwort verwendet wird, und das iPhone unversperrt in der Kneipe am Tresen liegt
LG Günther