flashover
Goto Top

Exchange Sync Extern ohne ISA oder VPN möglich?

Ich möchte auf einen Exchange via Outlook über das Internet zugreifen. Das tue ich in der Regel via VPN, was auch wunderbar klappen würde.
Nun sollen wir ein Projekt aufbauen. Die Geschäftsleitung möchte von extern auf den Exchange zugreifen, aber das muß nat. idiotensicher sein - nix tun und nix denken.

Kurz gefragt. ist der Outlook Sync ohne einen ISA Server oder vorher aufgebautes VPN möglich wenn man alle Sicherheitsbedingungen (Verschlüsselung usw.) vernachlässigt?
In der Standard Konfiguration (SBS2003Std) direkt an einer öffentlichen IP über das Internet ohne jegliche Firewall geht es jedenfalls nicht. Ob es im gleichen öffentlichen Subnetz am gleichen Switch über die öffentliche IP gehen würde wäre jetzt zwar interessant aber hat mit der Frage weniger zu tun.

Wenn es grundsätzlich nicht möglich ist, könnte ich über einen ISA Server mehrere Exchange Server ansprechen (die Kiste bekommt dann halt paar IP's)?

Würde mich freuen wenn jemand seine Erfahrungen mit mir teilt.

Content-ID: 121005

Url: https://administrator.de/contentid/121005

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

Stefan12
Stefan12 21.07.2009 um 21:28:52 Uhr
Goto Top
Ihr setzt doch bestimmt einen NAT Router für die Verbindung mit dem Internet ein oder? Dann kannst du einfach den Port 443 auf den Exchangeserver forwarden. Dann kannst du über Outlook Anywhere (RPC over HTTP/S) mit Outlook auf den Exchangeserver, da ist jedoch ein bisschen was zu konfigurieren (http://www.msxfaq.de/clients/rpchttp.htm). Mobile Geräte (Handys, PDAs) können mittels ActiveSync auf ihre Mails zugreifen. Alternativ könnt ihr eure Mails natürlich auch über OWA abrufen.
Einen ISA Server brauchst du dafür nicht, ist aber eventuell empfehlenswert wenn es sich um eine größere Firma handelt.
FlashOver
FlashOver 21.07.2009 um 21:48:36 Uhr
Goto Top
Der Server hat eine dedizierte öffentliche IP Adresse an der er hängt. Er wird natürlich vorher von einer physikalischen Firewall geschützt.
Hab vielen Dank für den Link. Da doch einiges zu konfigurieren ist, werde ich das auf einem Testsystem mal versuchen.

Jedenfalls schön zu wissen, daß es auch ohne ISA und VPN geht. Speziell mit mobilen Geräten (Handy und Co.) wäre es mit VPN doch kompliziert und umständlich geworden für den User.

Hab vielen Dank für den Link und einen schönen Abend.
Pjordorf
Pjordorf 21.07.2009 um 23:21:51 Uhr
Goto Top
Hallo,

das ist doch ganz einfach. Du schreibst das du einen SBS 2003 einsetzt. Da nimmst du (ganz einfach, immer nur klicken) den Asisstenten für Internet. Dort die fragen richtig beantworten und du hast zugriff auf dein Exchange per RPC over HTTPS. Kein VPN nötig. Damit kommen dann Outlook und Mobile Geräte locker drauf (Auch IPhones).

Peter
FlashOver
FlashOver 22.07.2009 um 11:00:41 Uhr
Goto Top
So einfach ist es dann wohl doch nicht :o)
Natürlich wurde mit dem Assistenten alles freigegeben, auch der Punk" Outlook über das Internet freigeben" heißt das glaub ich, also einfach alle Features aktiviert. Der Zugriff via Outlook geht dennoch leider nicht.
Kann man, wenn dieses Feature wirklich ausreichen sollte, das irgendwie Prüfen mit Portscans oder Ähnlichem daß der Server mit den Ports lauscht?
Pjordorf
Pjordorf 22.07.2009 um 15:54:55 Uhr
Goto Top
So einfach ist es dann wohl doch nicht :o)
Outlook geht dennoch leider nicht.
irgendwie Prüfen mit Portscans oder Ähnlichem daß der
Server mit den Ports lauscht?

Hallo,

Doch, es ist so einfach (Mehrmals bei diversen Kunden so eingerichtet)

Natürlich musst du auch den Port zum SBS weitergelein? 443 für HTTPS, Der Port 443 wird hier für dein vorhaben verwendet.


Peter
FlashOver
FlashOver 22.07.2009 um 21:03:22 Uhr
Goto Top
Der Fehler lag an der Outlook Konfiguration des Proxy's. Aber über die Anleitung, welche man als User erhält, wenn man sich am Server via Browser anmeldet, hat alles mit den richtigen Variablen angezeigt.
Und das Zertifikat muß akzeptiert werden. Damit der Nächste schön nachlesen kann, folgend der Text.

Outlook über das Internet verwendenFalls Sie Microsoft® Office Outlook® 2003 verwenden, können Sie eine Verbindung mit dem Computer, auf dem Windows® Small Business Server ausgeführt wird, über die RPC-über-HTTP-Funktion herstellen, so dass Sie auf Ihr Server-E-Mail-Konto remote über das Internet zugreifen können, wenn Sie außerhalb des Firmenfirewalls tätig sind. Hierfür benötigen Sie keine Sicherheitshardware oder -software (wie z. B. Smartcards oder Sicherheitstokens) und Sie müssen keine VPN-Verbindung mit dem Server herstellen.

Vergleich zwischen RPC-über-HTTP und Outlook Web Access
Wenn Sie RPC-über-HTTP für den Zugriff auf Ihr Postfach verwenden, können Sie die vollständige Funktionalität von Outlook 2003 nutzen. Wenn Sie z. B. offline arbeiten, können Sie Microsoft Office Word 2003 als E-Mail-Editor verwenden und Ihr Postfach einfach organisieren.

Verwenden von Outlook über das InternetVergewissern Sie sich, dass folgende Anforderungen auf dem Clientcomputer erfüllt werden:

Vergewissern Sie sich, dass auf dem Computer Microsoft Windows XP Service Pack 1 oder höher ausgeführt wird.
Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.
Die Version des Betriebssystems und des Service Packs wird unter System angezeigt. Falls keine Service Pack-Version angezeigt wird, ist kein Service Pack installiert.
Vergewissern Sie sich, dass Windows-Update Q331320 auf dem Computer installiert ist (nicht erforderlich, falls Windows XP Service Pack 2 oder höher installiert ist).
Klicken Sie auf Start, dann auf Systemsteuerung und dann auf Software.
Suchen Sie unter Zurzeit installierte Programme nach Windows XP Hotfix (SP2) Q331320.
Falls der Hotfix nicht installiert ist, besuchen Sie die Microsoft-Website (http://go.microsoft.com/fwlink/?LinkId=18651), und folgend Sie den Anweisungen zum Downloaden und Installieren dieses Hotfixes.
Vergewissern Sie sich, dass auf dem Clientcomputer Outlook 2003 oder höher ausgeführt wird.
Öffnen Sie Outlook.
Klicken Sie im Menü ? auf Info. Die Versionsnummer wird ganz oben im Dialogfeld angezeigt.
Vergewissern Sie sich, dass der Computer dem Zertifikat, das vom Server verwendet wird, vertraut.
Öffnen Sie Internet Explorer, und geben Sie im Adressfeld Folgendes ein:
https://s1.sbs2003demo.server.net/remote


Es wird keine Zertifikatwarnung angezeigt, falls dem Zertifikat vertraut wird. Setzen Sie in diesem Fall den Vorgang mit Schritt 1 unter Vergewissern Sie sich, dass ein Outlook-Profil für den Server konfiguriert wurde. fort.
Eine Warnung wird angezeigt, falls dem Zertifikat nicht vertraut wird. Klicken Sie auf Zertifikat anzeigen und dann auf Zertifikat installieren, und folgen Sie den Anweisungen.
Vergewissern Sie sich, dass ein Outlook-Profil für den Server konfiguriert wurde.
Klicken Sie auf Start und dann auf Systemsteuerung.
Falls die Systemsteuerung in der Standardkategorieansicht angezeigt wird, wechseln Sie zur klassischen Ansicht, und klicken Sie mit einem Doppelklick auf Mail.
Falls die Systemsteuerung in der klassischen Ansicht angezeigt wird, klicken Sie mit einem Doppelklick auf Mail.
Klicken Sie im Dialogfeld Mail-Setup auf Profile anzeigen. Wählen Sie Ihr Profil aus, falls es angezeigt wird, klicken Sie auf Eigenschaften, klicken Sie auf E-Mail-Konten, wählen Sie die Option Vorhandene E-Mail-Konten anzeigen oder bearbeiten, und klicken Sie dann auf Weiter. Falls Ihr Profil nicht angezeigt wird, öffnen Sie Outlook, und folgen Sie den Anweisungen für die Profilerstellung, um den Vorgang fortzusetzen.
Falls Microsoft Exchange Server nicht in der Liste angezeigt wird, wird das vorhandene Profil nicht mit einem Microsoft Exchange Server-E-Mail-Konto assoziiert. Klicken Sie auf Abbrechen und dann auf Schließen. Setzen Sie den Vorgang bei Schritt 3 fort, um ein Profil hinzuzufügen.
Falls ein Microsoft Exchange Server-Profil vorhanden ist, setzen Sie den Vorgang mit Schritt 3 unter Den Computer für RPC-über-HTTP konfigurieren fort.
Klicken Sie auf Hinzufügen, so dass das Dialogfeld Neues Profil angezeigt wird.
Geben Sie im Feld Profilname einen Namen für das neue Profil ein, und klicken Sie dann auf OK. Daraufhin wird das Dialogfeld E-Mail-Konto angezeigt.
Wählen Sie unter Mail Ein neues E-Mail-Konto hinzufügen, und klicken Sie dann auf Weiter. Das Dialogfeld Servertyp wird dann angezeigt.
Klicken Sie auf Microsoft Exchange Server und dann auf Weiter.
Setzen Sie die Vorgang mit Schritt 4 unter Den Computer für RPC-über-HTTP konfigurieren fort.
Den Computer für RPC-über-HTTP konfigurieren
Klicken Sie auf Start und dann auf Systemsteuerung.
Falls die Systemsteuerung in der Standardkategorieansicht angezeigt wird, wechseln Sie zur klassischen Ansicht, und klicken Sie mit einem Doppelklick auf Mail.
Falls die Systemsteuerung in der klassischen Ansicht angezeigt wird, klicken Sie mit einem Doppelklick auf Mail.
Klicken Sie im Dialogfeld Mail-Setup auf E-Mail-Konten, auf Vorhandene E-Mail-Konten anzeigen oder bearbeiten und dann auf Weiter.
Klicken Sie im Dialogfeld E-Mail-Konten auf Microsoft Exchange Server und dann auf Ändern.
Geben Sie im Feld Microsoft Exchange Server den lokalen Namen des Exchange-Servers ein:
sbs2003demo.democenter.local


Geben Sie im Feld Benutzername den Benutzernamen ein, den Sie zum Anmelden am Remote-Webarbeitsplatz verwenden. Klicken Sie nicht auf Namen überprüfen.

Klicken Sie auf der Seite Exchange Server-Einstellungen auf Weitere Einstellungen.
Wählen Sie auf der Registerkarte Verbindung unter Exchange über das Internet Verbindung mit meinem Exchange-Postfach über HTTP herstellen, und klicken Sie auf Exchange-Proxyeinstellungen. Daraufhin wird das Dialogfeld Exchange-Proxyeinstellungen angezeigt.
Geben Sie unter Diesen URL für die Verbindungsherstellungen mit meinem Proxyserver für Exchange verwenden den folgenden URL ein:
s1.sbs2003demo.server.net

Wählen Sie Verbindung nur mit SSL herstellen aus, und wählen Sie dann Die Sitzung bei Verbindungsherstellung mit SSL gegenseitig authentifizieren aus.
Geben Sie im Feld Prinzipalname für Proxyserver Folgendes ein:
msstd:s1.sbs2003demo.server.net

Wählen Sie Bei langsamer Netzwerkverbindung die Verbindung zuerst mit HTTP und dann mit TCP/IP herstellen aus.
Wählen Sie unter Proxyauthentifizierungseinstellungen Basisauthentifizierung aus.
Klicken Sie zweimal auf OK. Klicken Sie auf Weiter, auf Fertig stellen und dann auf Schließen.
Wählen Sie im Dialogfeld Mail, falls Dieses Profil immer verwenden aktiviert ist, das neu konfigurierte Profil aus.
Öffnen Sie Outlook, und geben Sie Ihren Windows Small Business Server-Benutzernamen (im Format DEMOCENTER\Benutzername) und das Kennwort ein. Jetzt können Sie Ihr Outlook-Postfach verwenden.


Vielen DANK Peter!!
Pjordorf
Pjordorf 22.07.2009 um 22:20:31 Uhr
Goto Top
Hallo,

sorry, aber über einen Proxy hast du nichts gesagt.

Aber selbst mit dem ISA2004 auf einem SBS funktioniert es genauso mit den Asisstenten. Die sorgen für die richtigen eintragungen.

Natürlich muss das zertifikat vorher im Client Akzeptiert werden. geht sonst auch nicht.

Am SBS "immer" den Asisstenten nehmen. Ports 443 korrekt weiterleiten auf den SBS. Falls ISA 2004 eingesetzt, den Timeout hochsetzen. Prüfen mit einem Outlook Client (2003/2007) welcher von "ausserhalb" deines Netztes auf den Exchange zugreift. Geht das, geht auch jeder andere Mail Client. zb. Smartphone, IPHone etc.

Peter