none
Port Forwarding für OWA, ActiveSync, EWS, Outlook Anywhere und Autodiscover RRS feed

  • Frage

  • Hallo,

    es geht um den Betrieb eines Exchange 2016 in unserer Firma. Wir möchten gerne Dienste wie OWA, ActiveSync etc. remote nutzen können und zwar am liebsten unter Verwendung eines anderen Ports als 443, da wir nur eine öffentliche IP haben und 443 eigentlich für einen anderen Dienst benötigen.

    Der erste Ansatz war, einfach ein Port Forwarding im Router einzurichten. Allerdings schreibt in unserem Testsetup der Exchange die URLs um und entfernt dann immer den von extern genutzten Port.

    Ist es damit getan die externen URLs anzupassen oder muss an weiteren Stellschrauben gedreht werden? Auf manchen Seiten liest man, dass man einen Proxy benötigt.

    Für eine Einschätzung wäre ich dankbar.

    Danke und Grüße,

    tantalos

    Montag, 28. August 2017 22:50

Antworten

  • Moin,

    nun haben wir erfahrungsgemäß zwei Aussagen von Wissenden, die sich scheinbar widersprechen ;-) Aber nur scheinbar. Da hast, wie so oft in IT, mehrere Varianten, das umzusetzen, nur gehört Deine ursprüngliche Idee nicht dazu.

    1. (Norbert) Du besorgst Dir eine neue IP, einen neuen DNS-Hostnamen und ein Zertifikat, das diesen Namen enthält. Von dieser IP leitest Du Port 443 auf Deinen Exchange-Server (oder Load Balancer, falls mehrere Server) um, trägst den neuen Hostnamen als extern in die virtuellen Verzeichnisse ein und fertig.
    2. (Robert) Du setzt einen Reverse Proxy ein, der entweder nach dem Hostnamen oder nach dem Ordnerpfad der URL filtert und je nach Wert verschiedene interne Ziele abfragt. Somit kannst Du entweder einen anderen Hostnamen für Exchange nehmen und diesen auf dieselbe IP zeigen lassen oder halt einfach nach Pfaden wie /owa, /ews usw. filtern. Das geht mit WAP, IIS ARR, vielen Security Appliances usw. Früher war der TMG sehr beliebt, bis er abgekündigt wurde.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 29. August 2017 07:01

Alle Antworten

  • Moin,

    kurz und knapp - das geht nicht und ist auch nicht supportet.

    Rede mit deinem Provider und lasse dir eine 2te IP geben.

    Bei T-Biz Connect geht das einfach über das Portal, wer ist der ISP?

    Die Namen brauchst du ja auch für das externe Zertifikat. (Hinweis)

    ;)


    Gruß Norbert

    Dienstag, 29. August 2017 04:41
    Moderator

  • Ist es damit getan die externen URLs anzupassen oder muss an weiteren Stellschrauben gedreht werden? Auf manchen Seiten liest man, dass man einen Proxy benötigt.

    Das ist korrekt. Eine Wep Application Proxy würde das lösen. Kostet nur eine Windows Lizenz.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 29. August 2017 06:37
  • Moin,

    nun haben wir erfahrungsgemäß zwei Aussagen von Wissenden, die sich scheinbar widersprechen ;-) Aber nur scheinbar. Da hast, wie so oft in IT, mehrere Varianten, das umzusetzen, nur gehört Deine ursprüngliche Idee nicht dazu.

    1. (Norbert) Du besorgst Dir eine neue IP, einen neuen DNS-Hostnamen und ein Zertifikat, das diesen Namen enthält. Von dieser IP leitest Du Port 443 auf Deinen Exchange-Server (oder Load Balancer, falls mehrere Server) um, trägst den neuen Hostnamen als extern in die virtuellen Verzeichnisse ein und fertig.
    2. (Robert) Du setzt einen Reverse Proxy ein, der entweder nach dem Hostnamen oder nach dem Ordnerpfad der URL filtert und je nach Wert verschiedene interne Ziele abfragt. Somit kannst Du entweder einen anderen Hostnamen für Exchange nehmen und diesen auf dieselbe IP zeigen lassen oder halt einfach nach Pfaden wie /owa, /ews usw. filtern. Das geht mit WAP, IIS ARR, vielen Security Appliances usw. Früher war der TMG sehr beliebt, bis er abgekündigt wurde.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 29. August 2017 07:01