none
IIS Absichern RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,
    ich möchte gerne beim Exchange 2010 via ActiveSync Port:443 Mobile Geräte anbinden.
    Wichtig ist aber, dass z.B. OWA oder ECP nicht von aussen erreichbar ist sondern nur im eigenen Subnetz des Servers.

    Unter Server 2003 war das relativ einfach.

    IIS 7.5 lässt sich so leider nicht einstellen - oder?


    Danke für die Hilfe

     

    Donnerstag, 13. Oktober 2011 15:43
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für die Unterstützung.

    Ich habe jetzt am Router den port 443 auf einen anderen Port umgeleitet.
    Zusätzlich werde ich das OWA der User deaktivieren.

    Danke

     

    Andreas

    Dienstag, 18. Oktober 2011 18:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ganz genau meine Meinung!

     

    Gruss und Danke noch einmal

     

    Andreas

    Dienstag, 18. Oktober 2011 20:40
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    am Besten lässt du an einem vorgelagerten System (Application Layer Firewall) nur /Ms-Active-Sync zu. /owa und /ecp mußt du halt blockieren.

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Donnerstag, 13. Oktober 2011 15:45
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,
    das müsste schon der Router hergeben, glaube ich aber nicht.

    Eine andere Lösung gibt es nicht?

    Gruss

    Andreas

    Donnerstag, 13. Oktober 2011 15:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Andreas Brescia,

    das müsste schon der Router hergeben, glaube ich aber nicht.

    ...oder eine Server auf dem ISA/TMG läuft, mit denen nur Microsoft-Server-ActiveSync veröffentlicht wird:
    http://www.msxfaq.de/clients/owafirewall.htm
    http://www.msxfaq.de/internet/tmg.htm

    Viele Grüße
    Christian

    Freitag, 14. Oktober 2011 04:53
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Moin,
     
    >das müsste schon der Router hergeben, glaube ich aber nicht.
    >
    >Eine andere Lösung gibt es nicht?
     
    natürlich kann man auch Restriktionen auf IP-Adresse im IIS setzen:
     
    Ich würde das aber nicht machen. Die Gefahr, dabei was verkehrt zu machen, ist zu hoch und dann funktioniert auch Outlook intern nicht mehr.
     
    Und wirklich "sicherer" ist es dadurch auch nicht.
     
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 14. Oktober 2011 05:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    schon, hat ja Robert schon geschrieben. Du könntest auch IpSec und eine 2. IP verwenden, aber alles was wir dir hier so nennen ist ohne aufwändiges Testen (wenn du es noch nie gemacht hast) nicht zu realisieren. Die von mir zuerst genannte Lösung lässt sich am Einfachsten umsetzten.

     

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Freitag, 14. Oktober 2011 06:23
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Danke für die Antworten.

    Der Server ist ein SBS 2011 mit vier Usern. "very small enterprise"

    SmartPhones sollen angebunden werden - OWA etc. sollen aber nicht erreichbar sein.

    Das Routermodell ist noch nicht bestimmt.

    Was wäre hier eine einfache und preisgünstige Lösung?


    Danke

     

    Andreas

    Freitag, 14. Oktober 2011 07:38
    |
  • Question
    Anmelden
    0
    Anmelden
    Moin,
     
    >Der Server ist ein SBS 2011 mit vier Usern. "very small enterprise"
    >
    >SmartPhones sollen angebunden werden - OWA etc. sollen aber nicht erreichbar sein.
     
    dannn deaktivier doch einfach OWA in den Postfach-Features der Benutzer. Reicht das nicht?
     
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 14. Oktober 2011 08:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    leider reicht das nicht ganz.

     

    Gibt es denn einen preisgünstigen  DSL-Router der das unterstützt?

    Funkwerk-Router evtl.?

    Gruss

     

    Andreas

    Freitag, 14. Oktober 2011 09:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wäre mir nicht bekannt. Warum geht denn Roberts Vorschlag nicht umzusetzen?

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Dienstag, 18. Oktober 2011 18:08
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für die Unterstützung.

    Ich habe jetzt am Router den port 443 auf einen anderen Port umgeleitet.
    Zusätzlich werde ich das OWA der User deaktivieren.

    Danke

     

    Andreas

    Dienstag, 18. Oktober 2011 18:40
    |
  • Question
    Anmelden
    0
    Anmelden

    HI,

    stopp und langsam bitte. Wolltest du nicht mobile Geräte anbinden? Den Port auf etwas anderes wie 443 umzubiegen ist nicht unterstützt (ja, möglicherweise könnte es in besonderen Konstellationen funktionieren bis zum nächsten Rollup oder Service Pack.... ) Aber es ist sicher nicht supportet (weil nicht getestet). Willst du das wirklich?

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Dienstag, 18. Oktober 2011 18:43
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,


    natürlich nicht den Port des IIS - Das ist klar !

    Am Router von Port 443 auf 12345 und umgekehrt.


    Das Funktioniert.


    Gruss

     

    Andreas

    Dienstag, 18. Oktober 2011 18:48
    |
  • Question
    Anmelden
    0
    Anmelden
    Moin,
     
    >natürlich nicht den Port des IIS - Das ist klar !
    >
    >Am Router von Port 443 auf 12345 und umgekehrt.
    >
    >
    >Das Funktioniert.
     
    also irgendwie ist mir nicht klar, wie das jetzt bei Deinem Eingangsproblem helfen kann.
     
    Die Fragestelle war doch:
     - OWA von extern verbieten, intern aber nicht
     - EAS soll möglich sein
     
    Wenn ich Deine Änderungen richtig verstehe und Du am IIS nichts gemacht hast, hast Du nun gar keine Verbindung mehr, auch keine für EAS mehr?!
     
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 18. Oktober 2011 19:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Doch! 12345 ist also nur ein Beispiel.

    Am SmartPhone ist der Server dann : ip.adresse:12345


    Habe ich getestet - Funkt.

     

    Warum sollte das nicht gehen?


    Gruss

    Andreas

     

    Dienstag, 18. Oktober 2011 19:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    das geht, aber aus Active Sync Sicht (und du nimmst doch sicher active Sync her) ist das nicht supportet, siehe oben. Das kann jetzt funktionieren, aber wenn es ein Problem gibt dann wird man dir immer sagen: Reproduziere das mit Port 443. Vor allem ist ja OWA auf über den Port erreichbar, zumindest theoretisch, gewonnen hast du da relativ wenig.

    Aber Just my 2 Cents, wir können den Thread auch gerne schliessen.

    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Dienstag, 18. Oktober 2011 19:37
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Moin,
     
    >das geht, aber aus Active Sync Sicht (und du nimmst doch sicher active Sync her) ist das nicht supportet, siehe oben. Das kann jetzt funktionieren, aber wenn es ein Problem gibt dann wird man dir immer sagen: Reproduziere das mit Port 443.
     
    viel schlimmer: Es funktioniert heute, morgen kommt irgendein unwichtiges Update und nichts geht mehr. Da sucht man sich dann einen Wolf, warum es von einem Tag auf den anderen nicht mehr funktioniert.
     
    Wie Walter schreibt: Ein anderer Port als 443 ist für Active Sync nicht supported, bei den meisten Geräten kann man daher auch gar keinen einstellen.
     
    > Vor allem ist ja OWA auf über den Port erreichbar, zumindest theoretisch, gewonnen hast du da relativ wenig.
     
    Ja. Security by Obscurity als einziges Sicherheitsmerkmal funktioniert nun mal leider nicht.
     
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 18. Oktober 2011 19:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich versuche doch nur Lösungen zu finden.
    IIS unter Server 2003 konnte so konfiguriert werden.

    Die Frage war nur: Geht es und wie geht es?

    Es wäre schön für den VSE-Bereich gewesen!

    Danke für Eure Hilfe.

     

    Andreas

    Dienstag, 18. Oktober 2011 20:13
    |
  • Question
    Anmelden
    0
    Anmelden
    Moin,
     
    >ich versuche doch nur Lösungen zu finden.
     
    ist ja auch nicht negativ gegen Dich gemeint, wir wollen ja auch vor groben Fehlkonfigurationen warnen, die am Ende eventuell mehr Ärger machen, als sie nutzen.
     
    >IIS unter Server 2003 konnte so konfiguriert werden.
    >
    >Die Frage war nur: Geht es und wie geht es?
     
    Dann muss man leider sagen: Mit Exchange Bordmittel zur Zeit nicht in einem supporteden Betrieb. Den Hinweis, dass da ein vorgelagerte Firewall helfen kann, ist ja schon gekommen.
     
    >Es wäre schön für den VSE-Bereich gewesen!
     
    Ja, ich kann mir durchaus auch Anwendungsfäll für ein solches Szenario vorstellen- erst heute habe ich in einem Kurs wieder mal über Einschränkungsmöglichkeiten für mobile Geräte diskutiert.
     
    Der Bedarf ist, eine einfache Lösung leider zur Zeit nicht.
     
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Dienstag, 18. Oktober 2011 20:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ganz genau meine Meinung!

     

    Gruss und Danke noch einmal

     

    Andreas

    Dienstag, 18. Oktober 2011 20:40
    |