Diverse Fragen und ...
 
Benachrichtigungen
Alles löschen

Diverse Fragen und Probleme Exchange 2019

8 Beiträge
3 Benutzer
0 Reactions
2,552 Ansichten
 pasu
(@pasu)
Eminent Member
Beigetreten: Vor 4 Jahren
Beiträge: 24
Themenstarter  

Hallo zusammen,

ich habe bei einem Kunden einen Exchange Server 2019 stehen, der von außen nicht erreichbar ist, da der komplette externe 
Traffic über ein VPN zu einem Dienstleister geleitet wird. Die Mails bekommt und versendet er über ein SMTP Relay, alles funktioniert 
auch innerhalb der Domäne wunderbar.

Jetzt müsste ich für einen Benutzer dennoch den Zugang ermöglichen, damit dieser über sein Mobiltelefon Mails abrufen kann.
Ich bin jetzt schon soweit, dass ich auf dem Host, auf dem der Exchange läuft, eine pfSense VM installiert habe. Diese hängt an 
einem LANCOM VDSL Router. Dem Exchange habe ich einen 2. NIC verpasst (LAN von pfSense).
Auf der pfSense läuft ein HA Proxy, Zertifikate sind mit Let's Encrypt für die Wildcard DynDNS Domain *.xxxxxxx.de eingerichtet.
Der Zugriff von außen über OWA https://outlook.xxxxxxxx.de/owa funktioniert ohne Fehler.

Ich kriege aber keine Verbindung mit Outlook oder Telefon hin und weiß nicht, wo ich suchen soll. Wahrscheinlich liegt es an den 
Zertifikaten, aber das ist für mich, wie sagt man, Neuland.

Habt ihr eine Idee, wo ich suchen muss? Mein Kopf qualmt gerade schon.

VG

pasu


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1583
 
Veröffentlicht von: @pasu

Ich kriege aber keine Verbindung mit Outlook oder Telefon hin und weiß nicht, wo ich suchen soll.

Fehlermeldungen wären ganz interessant. Ansonsten ist eine 2. NIC im Exchange eh irgendwie "doof". Kann man machen, würde ich aber versuchen zu vermeiden. Vor allem dürfte es mit einem Reverseproxy vermutlich sogar egal sein, wenn der im selben Netz stehen sollte. 


   
AntwortZitat

(@exsus)
Trusted Member
Beigetreten: Vor 4 Jahren
Beiträge: 83
 
Veröffentlicht von: @pasu

da der komplette externe 
Traffic über ein VPN zu einem Dienstleister geleitet wird

Hallo,

anscheinend hat Dein Kunde ein durchdachtes Sicherheitskonzept und hat bewusst alle Zugänge aus dem Internet blockiert. Du reißt mit Deiner "Bypass" Lösung eine Lücke in dieses Konzept. Willst Du das wirklich? Wäre es nicht der bessere Weg, das Handy über das vorhandene VPN zu verbinden und dann ActiveSync darüber einzurichten?


   
AntwortZitat
 pasu
(@pasu)
Eminent Member
Beigetreten: Vor 4 Jahren
Beiträge: 24
Themenstarter  

@exsus

Hallo exsus, 

ich mache das ja nicht, weil das meine Idee ist, sondern weil das der explizite Wunsch des Chefs ist. 
Das Thema Sicherheit habe ich ihm erklärt - auch gerade wegen des letzten Exchange Exploits.

Daher habe ich den Weg gewählt, keine direkte Portweiterleitung zu machen, sondern die pfSense dazwischen 
zu schalten und dazu noch einen Reverse-Proxy. Ich werde noch einen MAC Filter setzen und schauen, dass ich 
alles so sicher bekomme, wie es irgendwie geht. 

Dazu muss es aber erst einmal funktionieren :(

VG
pasu


   
AntwortZitat

(@exsus)
Trusted Member
Beigetreten: Vor 4 Jahren
Beiträge: 83
 

OK, verstanden. Ich habe selber eine OPNSense im Einsatz und ActiveSync läuft bei mir über einen eigenen Port und einem eigenen virtuellen Verzeichnis mit User Zertifikaten. Durch die Zertifikate hast Du eine zusätzliche Sicherheit, da hierdurch ein anonymer Aufruf der Exchange Website nicht möglich ist. Durch das eigene, virtuelle Verzeichnisse kannst Du für EAS einen eigenen Port einrichten (besseres Handling z.B. Firewall Regel, Zertifikat zuweisen) und die anderen Exchange Dienste (OWA, ECP, EWS etc.) sind nicht über das Internet erreichbar. Kannst Du natürlich auch über den Reverse Proxy blockieren. Infos zur dieser Konstellation findest Du unter virtuelles Verzeichnis einrichten und User Zertifikate. Des Weiteren habe ich noch über GeoIP in der Firewall die Zugriff auf EAS auf die notwendigen Länder beschränkt. Bei iPhones kannst Du EAS mit User Zertifikaten nur über Profile einrichten. Hierzu benögist Du entweder einen MDM, eine Mac (Apple Profile Software läuft nur dort) oder die kostenlose Software "imazing Profil Editor".


   
AntwortZitat
 pasu
(@pasu)
Eminent Member
Beigetreten: Vor 4 Jahren
Beiträge: 24
Themenstarter  

@exsus

Vielen Dank für die Tipps. Leider bin ich, wie gesagt, noch neu in der Exchange Welt.

Gibt es zu der Lösung, die Du da einsetzt, evtl. ein Tutorial. Meine Kenntnisse reichen schlichtweg und einfach 
(noch) nicht aus. Ansonsten teste ich einfach mal weiter (natürlich nicht am Produktivsystem, bisher läuft das 
alles in einer Testumgebung).


   
AntwortZitat

(@exsus)
Trusted Member
Beigetreten: Vor 4 Jahren
Beiträge: 83
 

Leider kenne ich keine vollständige Anleitung. Fange erst einmal mit dem virtuellen Verzeichnis an. Danach User Zertifikat, falls Du es verwenden willst (wäre auf jeden Fall meine Empfehlung). Und dann die Einrichtung der Firewall. Bei Fragen helfe ich Dir gerne weiter, soweit ich das kann. Noch ein Tipp bzgl. neues, virtuelles Verzeichnis: auf jeden Fall nach erfolgreicher Einrichtung das originale EAS Verzeichnis löschen, da ansonsten Probleme beim Einspielen von CU auftreten.

Remove-ActiveSyncVirtualDirectory -identity "Microsoft-Server-ActiveSync (Default Website)" 

   
AntwortZitat
(@exsus)
Trusted Member
Beigetreten: Vor 4 Jahren
Beiträge: 83
 

Eine andere Idee - Du kannst mit pfsense auch einen VPN Server (IPSec oder OpenVPN) einrichtungen und dann das Handy über VPN verbinden. Wäre der sichere und wahrscheinlich auch der einfachere Weg.


   
AntwortZitat

Teilen: