shnuuu
Goto Top

Exchange bzw. OWA von Aussen Erreichbar machen

Hallo,

wir betreiben einen Exchange 2007 Server und möchten nun ganz gerne OWA von außen erreichbar machen. (Zur Zeit wird alles über VPN geregelt)
Wir benutzen einen IPFire (ähnlich wie IPCop) als Router/Firewall mit einer Statischen IP. DynDNS ist bereits schon eingerichtet.
Ich bin noch sehr unerfahren in der ganzen Thematik und stehe nun vor dem Grundlegendem Problem wie ich die Struktur nun am besten aufbaue,
ohne unser LAN zu gefährden. Die Anleitungen die ich im Netz finde sind alle schon "weiter" und beschäftigen sich eher mit der Konfigarion als mit dem "Wie Aufbaun?Welche möglichkeiten gibt es usw."

Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.
Der OWA Server wäre dann über Portforwarding von außen erreichbar.
Der Owa Server müsste dann jedoch irgendwie eine Sichere Verbindung zu unserem Exchange Server im Lan aufbaun können, damit auch irgendwie die Mails/Logins verarbeitet werden können und zwar nur dieses. Sonst macht die DMZ ja kein Sinn. (Keine Ahnung wie das funktioniert)

Ist das so in etwa überhaupt die richtige vorgehensweise? Was für alterantiven gibt es und wozu würdet ihr mir Raten?
Als nächstes wäre dann noch die Frage ob man dann auch über sein Tablet/Smartphone auf diesen OWA Server seine Mails abholen kann (Also nicht über einen Browser sondern direkt als Mailkonto einrichten) bzw. was dafür gemacht werden müsste.
Oder müsste ich dafür meinen Exchange server in die DMZ stellen? Den Exchange Server möchte ich jedoch nicht in die DMZ stellen bzw von außen direkt Erreichbar haben. Lautet hier das Stichwort Proxy?


Bitte hilft mir :D Wenn ihr passend zu meiner Problematik noch irgendwelche Anleitungen zur Hand habt, wo ich mich weiter einlesen kann, würde mir das auch sehr helfen.

Vielen Dank

Content-ID: 181475

Url: https://administrator.de/contentid/181475

Ausgedruckt am: 26.11.2024 um 21:11 Uhr

GuentherH
GuentherH 06.03.2012 um 09:15:15 Uhr
Goto Top
Hi.

Mein Gedanke wäre in etwa so, dass wir einen zusätzlichen OWA Server aufsetzen (Hardware ist vorhanden) der in einer DMZ liegt.

Das ist so nicht möglich. OWA kann vom Exchange nicht getrennt werden. Einzige Möglichkeit wäre einen Proxy in die DMZ zustellen.

Wenn Firewall / Server sauber konfiguriert sind, und die Passwort Policy passt, dann ist es aber auch kein Problem Port 443 direkt an den Exchange weiterzuleiten.

LG Günther
Alternativende
Alternativende 06.03.2012, aktualisiert am 18.10.2012 um 18:50:13 Uhr
Goto Top
Hallo,
ich stand kürzlich vor derselben Herausforderung (Exchange 2007 OWA verfügbar machen ohne Domain).
Ich habe es schließlich mit pound gemacht und bisher auch nicht bereut. Einen Exchange in die DMZ zu stellen empfiehlt Microsoft nicht.

Also einen ReverseProxy aufsetzen mit einem selbstsignierten oder gekauften SSL Zertifikat. Der einzige Haken ist das die interne Kommunikation von pound zum Exchange nicht SSL verschlüsselt ist.
Soweit ich das bisher gelesen habe liegt das aber an pound.
Shnuuu
Shnuuu 06.03.2012 um 09:42:14 Uhr
Goto Top
Alles klar. Und das ist auch so gängige Praxis? Dann werde ich mir die Firewall und den Server nochmal genaustens anschaun müssen.
Ein weiteres Problem wären die Passwörter. Es gibt zwar eine Mindestlänge von 6 Charakters, das wars dann aber auch schon. DIe Leute verwenden wirklich die einfachsten passwörter hier. (Ihren eigenen Benutzernamen usw...)
Da müsste ich auch nochmal "Schulen"
Shnuuu
Shnuuu 06.03.2012 um 09:43:57 Uhr
Goto Top
Alles klar. Reverse Proxy ist mir in dem Zusammenhang auch schonmal über den weg gelaufen. Werds mir mal anschaun und dein Thread durchlesen. Danke face-smile

Was wird denn eher empfohlen? Reverse Proxy oder direkt 443 an den Exchange Weiterleiten und so gut es geht alles zu schnüren? Vor/Nachteile der beiden Lösungen?
GuentherH
GuentherH 06.03.2012 um 09:48:37 Uhr
Goto Top
Hi.

oder direkt 443 an den Exchange Weiterleiten

Was würde das bringen?

LG Günther
Shnuuu
Shnuuu 06.03.2012 um 11:05:43 Uhr
Goto Top
??? Hast du doch selbst vorgeschlagen
Shnuuu
Shnuuu 06.03.2012 um 11:07:28 Uhr
Goto Top
Der Link klappt übrigens nicht..
GuentherH
GuentherH 06.03.2012, aktualisiert am 18.10.2012 um 18:50:13 Uhr
Goto Top
Hi.

??? Hast du doch selbst vorgeschlagen

Ok, dann habe ich das missverstanden. Es klang so, wie Weiterleitung über die DMZ.

Ansonsten. Proxy in der DMZ ist natürlich das komfortabelste, aber nicht unbedingt einfach zu konfigurieren, wenn keine MS Produkte verwendet werden.
Auf der anderen Seite hat es seit dem Erscheinen von OWA noch keine Schwachstelle gegeben. Es hängt hier alles von der Passwort Policy ab.

Und einen muss dir auch klar sein. Mit der Anbindung mobiler Clients verlagerst du die Schwachstellen auf diese Geräte. Es gibt kaum einen User, der seinen mobilen Client mit einem PIN sichert. Und trotzdem werden auf diesen Geräte sensible Daten gespeichert.

Ich würde mir darüber wesentlich mehr Gedanken machen als über die Weiterleitung von Port 443 auf den Exchange face-wink

Der Link klappt übrigens nicht..

Klappt schon. Muss nur ein wenig angepasst werden face-wink - Exchange 2007 OWA verfügbar machen ohne Domain

LG Günther
Shnuuu
Shnuuu 06.03.2012 um 13:24:58 Uhr
Goto Top
Aber generell kann man also schon sagen, dass bei entsprechender Passwordpolicy die direkte Weiterleitung des 443 Ports an den Exchangeserv im Lan als sicher gilt?
Die Reverse Proxy Lösung wäre dann sozusagen nochmal nummer sicher sicher oder wie darfich das verstehen?
Muss nun für mich abwägen ob es sinn macht einen riesen Aufwand in die einarbeitung und konfigration der DMz+Reverse Proxy zu stecken oder ob ich nicht "einfach" den Port in der Firewall weiterleite und nochmal die Password Policy überarbeite (Welche ich so oder so überarbeiten wollte).
GuentherH
GuentherH 06.03.2012 um 20:22:54 Uhr
Goto Top
Hi.

Aber generell kann man also schon sagen, dass bei entsprechender Passwordpolicy die direkte Weiterleitung des 443 Ports an den Exchangeserv im Lan als sicher gilt?

Genauso ist es. Es gibt tausende von Installation, gerade im SBS Bereich, die so arbeiten.

Die Reverse Proxy Lösung wäre dann sozusagen nochmal nummer sicher sicher oder wie darfich das verstehen?

Ja, da hier nur auf den Proxy zugegriffen wird, und dieser dann die Anfrage an den Exchange stellt und auch dann die Antwort an den Client weitergibt.

und nochmal die Password Policy überarbeite (Welche ich so oder so überarbeiten wollte).

Du kannst ja einschränken, welche User auf OWA zugreifen dürfen, und diese User sind dann eben verpflichtet ein ordentliches Passwort zu verwenden. Und im gleichen Zuge kann auch die Security für die mobilen Clients besprochen werden. Es macht wenig Sinn, wenn für den Server ein 40stelliges Passwort verwendet wird, und das iPhone unversperrt in der Kneipe am Tresen liegt face-wink

LG Günther
Shnuuu
Shnuuu 12.03.2012 um 16:14:44 Uhr
Goto Top
Danke nochmals face-smile Hab das soweit alles zum laufen bekommen. D.h ACtiveSync vom Mobile Device klappt und OWA ist nun auch von außen verfügbar.
Jetzt habe ich aber noch eine Frage zu HTTPS. Das ganze läuft ja nun über HTTPS, ich habe aber auf dem Exchange Server noch kein Zertifikat selbst erstellt.

Ist die übertragung denn nun trotzdem verschlüsselt oder ist das HTTPS im Browseradressfeld jetzt nur schein? Wenn ein benutzer das erste mal auf die Seite geht, kommt ja die Meldung das die seite kein GÜLTIGES Zertifikat nutzt und man kann sich ein Zertifikat anzeigen lassen, welches Exchange wohl selbst erstellt hat oder wie?!
Braucht man das Zertifikat jetzt nur um den Server eindeutig zu Authentifizieren oder wird es auch für die Verschlüsselung benötigt?

Steig da noch nicht ganz durch, ob ich da nun noch was machen muss oder ob es so ok ist.