11647986766
Goto Top

SBS2011 Outlook Zugriff von extern gewährleisten

Hallo zusammen,

als Quereinsteiger mit 10 Jahren Erfahrung in Freizeitprojekten wie VPN-Diensten mit Autobuy-Funktion und Cheat-Entwicklung arbeite ich seit kurzem als Systemadministrator. In unserer Firma setzen wir einen SBS2011 mit Exchange ein, der als VM auf einem WS2019 läuft. Der SBS ist nicht direkt mit dem Internet verbunden, wodurch E-Mails nur im Firmennetz abgerufen werden können. Da vor meiner Einstellung ein externer Dienstleister zuständig war und keine Dokumentation vorhanden ist, stehe ich nun vor einem Problem.

Vor einiger Zeit sind unsere selbstsignierten Zertifikate abgelaufen, worüber mich der Dienstleister nicht informiert hatte. Mit Mühe habe ich das ACME Challenge Tool für das Wildcard-Zertifikat auf dem SBS2011 zum Laufen gebracht, da ich keine Lust hatte, mich mit selbstsignierten Zertifikaten auseinanderzusetzen. Obwohl der Dienstleister bei meinem Arbeitsantritt mein Exchange-Konto in Gmail auf meinem Android-Handy eingerichtet hatte, erhalte ich seit dem Ablauf der Zertifikate keine E-Mails mehr. Trotz des Wildcard-Zertifikats funktioniert die Verbindung nach außen über eine bestimmte IP und einen Draytek Vigor Router nicht.

Bei meiner Recherche bin ich auf Exchange Active Sync und Outlook Anywhere gestoßen, die jedoch beide natürlich Aufgrund der Sicherheit nicht mehr in Frage kommen. Falls jemand eine Idee hat, woran das Problem liegen könnte, wäre ich dankbar für Hinweise.

Alternativ überlege ich, auf unserem WS2019 eine Linux-VM zu installieren und mit Docker und mailcow, das aktiv maintained wird, den E-Mail-Zugang von außen sicher bereitzustellen. Dabei würden die E-Mails vom internen SBS zum mailcow gehen und von dort aus per IMAP von Outlook abgerufen werden. Auch den Kalender könnte ich, wie ich gesehen habe, durch CalDAV hinzufügen.

Ich freue mich über Ihre Rückmeldungen und Ideen zur Lösung des Problems oder zur Umsetzung meiner alternativen Idee.

Content-Key: 8144371794

Url: https://administrator.de/contentid/8144371794

Printed on: July 21, 2024 at 21:07 o'clock

Member: radiogugu
radiogugu Apr 26, 2024 updated at 13:19:03 (UTC)
Goto Top
Mahlzeit.

Wenn du die alte Möhre am Leben erhalten willst, dann richte VPN auf den mobilen Endgeräten wie Smartphones und Laptops ein. Den FQDN des SBS dann in Outlook und E-Mail Apps eintragen und loslegen.

Danach kann ohne Probleme, wenn die Firewall Regeln das erlauben und bei aktivem VPN, auf den Mail Server zugegriffen werden.

Warum wird kein aktueller DC und daneben als separate VM ein aktueller Exchange On-Prem installiert?

Mailcow ist eine Möglichkeit, aber Exchange nicht unbedingt ebenbürdig.
Wird viel mit Kalenderfreigaben gearbeitet? Dann werden die Benutzenden meckern.

Gibt es M/O365 in einer Lizenz im Unternehmen? Dann könnte man auch direkt Exchange Online verwenden.

Gruß
Marc
Mitglied: 11647986766
11647986766 Apr 26, 2024 updated at 13:50:39 (UTC)
Goto Top
@radiogugu Danke für deine Antwort erstmal! face-smile

Unser Unternehmen war dreimal insolvent und wir haben dementsprechend keine Kohle bzw. können nicht wirklich etwas Neues anschaffen. Mein Chef kauft allerhöchstens mal die 3-Euro-Win10-Keys, welche ich ihm vorschlage. Eventuell würde er eine gebrauchte Volumenlizenz für Exchange 2019 von eBay für 120 Euro noch erlauben. Ich muss mal fragen.

O365/M365 haben wir nicht, da unsere Firma so weit draußen vom normalen Kupfernetz ist, dass wir noch immer eine uralte Bambusleitung haben, welche die Telekom nicht erneuern möchte. Wir haben ungefähr 7 Mbit/s im Download und 5 Mbit/s im Upload. Dementsprechend denke ich, wäre das keine gute Idee bei uns. Oder meinst du, das ist dann trotzdem noch alles schnell genug?

Mit IP etc. habe ich es schon probiert, aber nicht mit dem FQDN, warum auch immer... Dumm von mir. Werde ich gleich mal testen. Im Grunde hast du ja recht, das muss eigentlich über VPN gehen.
Member: radiogugu
radiogugu Apr 26, 2024 updated at 14:26:05 (UTC)
Goto Top
Zitat von @11647986766:
Unser Unternehmen war dreimal insolvent und wir haben dementsprechend keine Kohle bzw. können nicht wirklich etwas Neues anschaffen. Mein Chef kauft allerhöchstens mal die 3-Euro-Win10-Keys, welche ich ihm vorschlage. Eventuell würde er eine gebrauchte Volumenlizenz für Exchange 2019 von eBay für 120 Euro noch erlauben. Ich muss mal fragen.

Alter Verwalter. Es gibt ja zumindest etwas seriösere Händler von gebrauchter Software, welche keine 3-€uro Schlüssel verkaufen.

Schau mal hier im Forum, davon gibt es gefühlt jede Woche einen Thread.

O365/M365 haben wir nicht, da unsere Firma so weit draußen vom normalen Kupfernetz ist, dass wir noch immer eine uralte Bambusleitung haben, welche die Telekom nicht erneuern möchte. Wir haben ungefähr 7 Mbit/s im Download und 5 Mbit/s im Upload. Dementsprechend denke ich, wäre das keine gute Idee bei uns. Oder meinst du, das ist dann trotzdem noch alles schnell genug?

Wenn die entsprechende Lizenz verwendet wird (beispielsweise M365 Business Standard), dann darf man die Apps ja auch auf Desktops installieren.

E-Mail Verkehr ist ja dann nur problematisch bei schwacher Internet-Leitung, wenn ihr ständig größere Dateien verschicken solltet/wolltet.

Im Grunde hast du ja recht, das muss eigentlich über VPN gehen.

Definitiv sollte das gehen. Damit ist der alte Kram von der Außenwelt abgeschirmt. Eure Internet-Leitung ist hier ein limitierender Faktor, aber wenn nicht investiert wird, dann bekommt ihr aus eurer Situation nicht mehr heraus.

EDIT:
Was ist mit einem entsprechenden LTE Vertrag und öffentlicher IPv4?

Gruß
Marc
Member: tomolpi
tomolpi Apr 26, 2024 updated at 14:48:33 (UTC)
Goto Top
Hi,
Zitat von @11647986766:

Unser Unternehmen war dreimal insolvent und wir haben dementsprechend keine Kohle bzw. können nicht wirklich etwas Neues anschaffen.
sorry, aber das ist doch kein Argument.
Könnt ihr euch einen Sicherheitszwischenfall leisten?
Was wäre, wenn von heute auf morgen alles steht, weil die Daten verschlüsselt wurden oder auf einmal der breiten Öffentlichkeit zugänglich gemacht werden?

Dann steht euch gleich die nächste Insolvenz ins Haus und bei so einem fahrlässigen Verhalten wird auch keine Cyber-Versicherung zahlen. Das sollte deinem Chef klar sein.

Du musst den SBS loswerden und solltest ihn auf keinen Fall nackt ins Netz hängen.
Member: radiogugu
radiogugu Apr 26, 2024 at 14:59:05 (UTC)
Goto Top
Zitat von @tomolpi:
Dann steht euch gleich die nächste Insolvenz ins Haus und bei so einem fahrlässigen Verhalten wird auch keine Cyber-Versicherung zahlen. Das sollte deinem Chef klar sein.

Ich denke eher, dass hier keine Cyberversicherung abgeschlossen wurde. Die Hürden können mit Sicherheit von einer Firma, welche so wackelt (dreimalige Insolvenz), nicht genommen werden.

Ausdrücklich keine Rechtsberatung:

@11647986766: So oder so muss die GF sich im Klaren darüber sein, dass sie auf dünnem Eis anfängt mit Elefanten Samba zu tanzen.

Wenn der /die Geschäftsführer*innen hier abwinken sollte und eines der Deutschen Mantren "Wo kein Kläger, da kein Richter." leben, dann solltest du da deinen Hintern schnell aus der Schusslinie nehmen.

Gruß
Marc
Member: commodity
commodity Apr 26, 2024 at 18:23:02 (UTC)
Goto Top
mailcow
Das ist natürlich eine gute Idee. Gerade wenn Geld knapp ist, sollte man es nicht noch in Lizenzgedöns investieren. Wenn der Kalender dran hängt, kann man vorzüglich mit einer weiteren VM eine Nextcloud hosten, mit der man dann Thunderbird-Kalenderintegration realisiert. Das ist dann nicht ganz so smooth wie bei MS aber günstiger und auch ein besseres Gefühl face-wink
Man kann das dann noch weiter treiben und auf MS Office ganz verzichten, wenn es die betriebliche Software nicht benötigt. Das spart dann richtig. Sich in die Mietlizenzdaumenschraube von MS365 zu begeben ist wirtschaftlich sicher keine Lösung. Das mag heute noch günstig aussehen, aber der Weg ist ja an sich klar.

Viele Grüße, commodity
Member: Vision2015
Vision2015 Apr 26, 2024 at 18:37:28 (UTC)
Goto Top
Moin...
Mit Mühe habe ich das ACME Challenge Tool für das Wildcard-Zertifikat auf dem SBS2011 zum Laufen gebracht,
da ich keine Lust hatte, mich mit selbstsignierten Zertifikaten auseinanderzusetzen.

alter, die kiste ist ja doch im Inet... ist dir eigentlich klar, wie anfällig der exchange 2010 ist?
lass die kiste nur über VPN auf die Allgemeinheit los!
ich hoffe wenigstens das die mails nur per pop abgeholt werden!

arbeite ich seit kurzem als Systemadministrator.
na dann sollte doch der SBS und Zertifikate eigentlich kein Problem sein!
Unser Unternehmen war dreimal insolvent und wir haben dementsprechend keine Kohle bzw. können nicht wirklich etwas Neues anschaffen.
jetzt mal im ernst, wie willst du so arbeiten, dein SBS ist eine Zeitbombe, egal wie schön du das redest- was macht ihr wenn der Server stirbt, oder dergleichen? wie die Daten gesichert werden, frage ich besser mal nicht- ich tippe auf die Windows Datensicherung vom SBS.

Frank
Member: commodity
commodity Apr 26, 2024 updated at 19:39:24 (UTC)
Goto Top
Verstehe auch gar nicht recht, warum der überhaupt noch für Mail benötigt wird. Auch alles was alt ist, ist doch fix in die Mailcow übertragen.

alter, die kiste ist ja doch im Inet...
Na ja, von da droht IMO die Gefahr nicht wirklich. Es gibt ja keine von außen offenen Ports. Und dass der Zustand nicht gerade schön ist, ist dem Kollegen schon klar face-smile Er ist ja dran, das zu ändern.

Auch das ist eine Folge der allseits selbstgewählten MS-Abhängigkeit. Wird es mit der Liquidität eng, stirbt auch die IT-Sicherheit. Also der Teil, den MS nicht vorher schon selbst erledigt hat. face-big-smile

Viele Grüße, commodity
Member: kreuzberger
kreuzberger Apr 27, 2024 at 09:32:21 (UTC)
Goto Top
Leute, er ist Quereinsteiger. Er braucht eben die Hilfe und die Anleitungen von euch, wie man das sinnvoll alles hin bekommt in seiner Situation und mit den Mitteln, die er überhaupt nur zur verfügung hat.
Da hilft sowas wie „is doch alle kein Problem“ oder „ganz einfach“ nicht. weiter.

Kreuzberger
Member: radiogugu
radiogugu Apr 27, 2024 at 11:21:53 (UTC)
Goto Top
Wie viele Benutzer sind denn auf dem SBS mit E-Mail Konten konfiguriert?

Welches Firewall / Router Produkt kommt denn zum Einsatz?

Falls es eine Fritzbox sein sollte, dann wäre diese wahrscheinlich mit drei bis vier gleichzeitigen VPN Verbindungen an ihrer Grenze des Machbaren.

Die Internetleitung wird in keinem Fall für eine tolle Benutzer-Erfahrung sorgen. Hier muss investiert oder die Anforderungen zurückgeschraubt werden.

Gruß
Marc
Member: Vision2015
Vision2015 Apr 27, 2024 at 14:23:13 (UTC)
Goto Top
Moin....
Moin..> Zitat von @radiogugu:

Wie viele Benutzer sind denn auf dem SBS mit E-Mail Konten konfiguriert?

Welches Firewall / Router Produkt kommt denn zum Einsatz?
na ein Vigor Router!
Trotz des Wildcard-Zertifikats funktioniert die Verbindung nach außen über eine bestimmte IP und einen Draytek Vigor Router nicht.
also dem Wildcard-Zertifikat ist die " bestimmte IP" sowiso völlig latte!
der exchange wird über FQDN angesprochen, wie es im Zertifikat und exchange hinterlegt ist, und nicht über eine IP!

Falls es eine Fritzbox sein sollte, dann wäre diese wahrscheinlich mit drei bis vier gleichzeitigen VPN Verbindungen an ihrer Grenze des Machbaren.
na ja.. die 6 MBit machen da den Braten auch nicht Fett!


Gruß
Marc
Frank
Member: Vision2015
Vision2015 Apr 27, 2024 at 14:23:42 (UTC)
Goto Top
Zitat von @Vision2015:

Moin....
Moin.. Zitat von @radiogugu:

Wie viele Benutzer sind denn auf dem SBS mit E-Mail Konten konfiguriert?

Welches Firewall / Router Produkt kommt denn zum Einsatz?
na ein Vigor Router!
Trotz des Wildcard-Zertifikats funktioniert die Verbindung nach außen über eine bestimmte IP und einen Draytek Vigor Router nicht.
also dem Wildcard-Zertifikat ist die " bestimmte IP" sowiso völlig latte!
der exchange wird über FQDN angesprochen, wie es im Zertifikat und exchange hinterlegt ist, und nicht über eine IP!

Falls es eine Fritzbox sein sollte, dann wäre diese wahrscheinlich mit drei bis vier gleichzeitigen VPN Verbindungen an ihrer Grenze des Machbaren.
na ja.. die 6 MBit machen da den Braten auch nicht Fett!


Gruß
Marc
Frank
Member: Vision2015
Vision2015 Apr 27, 2024 at 14:23:59 (UTC)
Goto Top
Zitat von @Vision2015:

Zitat von @Vision2015:

Moin....
Moin.. Zitat von @radiogugu:

Wie viele Benutzer sind denn auf dem SBS mit E-Mail Konten konfiguriert?

Welches Firewall / Router Produkt kommt denn zum Einsatz?
na ein Vigor Router!
Trotz des Wildcard-Zertifikats funktioniert die Verbindung nach außen über eine bestimmte IP und einen Draytek Vigor Router nicht.
also dem Wildcard-Zertifikat ist die " bestimmte IP" sowiso völlig latte!
der exchange wird über FQDN angesprochen, wie es im Zertifikat und exchange hinterlegt ist, und nicht über eine IP!

Falls es eine Fritzbox sein sollte, dann wäre diese wahrscheinlich mit drei bis vier gleichzeitigen VPN Verbindungen an ihrer Grenze des Machbaren.
na ja.. die 6 MBit machen da den Braten auch nicht Fett!


Gruß
Marc
Frank
Member: Vision2015
Vision2015 Apr 27, 2024 updated at 14:25:28 (UTC)
Goto Top
Moin..

Moin.. Zitat von @radiogugu:

Wie viele Benutzer sind denn auf dem SBS mit E-Mail Konten konfiguriert?

Welches Firewall / Router Produkt kommt denn zum Einsatz?
na ein Vigor Router!
Trotz des Wildcard-Zertifikats funktioniert die Verbindung nach außen über eine bestimmte IP und einen Draytek Vigor Router nicht.
also dem Wildcard-Zertifikat ist die " bestimmte IP" sowiso völlig latte!
der exchange wird über FQDN angesprochen, wie es im Zertifikat und Exchange hinterlegt ist, und nicht über eine IP!

Falls es eine Fritzbox sein sollte, dann wäre diese wahrscheinlich mit drei bis vier gleichzeitigen VPN Verbindungen an ihrer Grenze des Machbaren.
na ja.. die 6 MBit machen da den Braten auch nicht Fett!


Gruß
Marc
Frank
Member: radiogugu
radiogugu Apr 27, 2024 at 16:03:09 (UTC)
Goto Top
Zitat von @Vision2015:
na ein Vigor Router!

Habe ich natürlich überlesen face-sad

na ja.. die 6 MBit machen da den Braten auch nicht Fett!

Das ist in jedem Fall so. Wie ich anmerkte, muss hier investiert werden, sonst wird die GF und der Kollege @11647986766 mit keiner vorgeschlagenen Lösung glücklich.

@Vision2015: Was ist denn da passiert mit deinen ganzen Beiträgen?

Gruß
Marc
Member: Vision2015
Vision2015 Apr 27, 2024 at 18:27:35 (UTC)
Goto Top
Moin...
Zitat von @radiogugu:

Zitat von @Vision2015:
na ein Vigor Router!

Habe ich natürlich überlesen face-sad

na ja.. die 6 MBit machen da den Braten auch nicht Fett!

Das ist in jedem Fall so. Wie ich anmerkte, muss hier investiert werden, sonst wird die GF und der Kollege @11647986766 mit keiner vorgeschlagenen Lösung glücklich.

@Vision2015: Was ist denn da passiert mit deinen ganzen Beiträgen?
ähh ja... mit dem eierphone im auto versucht zu schreiben.... und irgendwie hat er ein Zitat nach dem anderen da reingebastelt.....

Gruß
Marc
Frank