Foren
Exchange Server
Exchange Server 201...
Exchange 2019 und H...
 
Benachrichtigungen
Alles löschen

Exchange 2019 und HSTS

 
Exchange Server 2019
8 Beiträge
2 Benutzer
1 Reactions
2,123 Ansichten
RSS
AlphaSupport
 AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter 11. März 2022 09:53  

Hallo,

da wir im Zuge der März 2022 SUs auch immer wieder einen Blick auf die generelle Sicherheit von Exchange und IIS legen, kamen wir auf die Idee, auf dem IIS das HSTS zu aktivieren.

Das funktioniert soweit problemlos und einfach. Die SSLLabs liefern danach eine A+ Bewertung - soweit alles gut.

Nur das Exchange selbst hunzt etwas.

So meldet die EMS einen Fehler und auch die Warteschlangen GUI:


Was muss denn neben den IIS Einstellungen für HSTS noch im Exchange eingestellt werden, damit es sauber funzt?

Danke für Eure Hinweise.

 

Danke und liebe Grüße.


   
Zitat
NorbertFe
 NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1583
11. März 2022 17:50  

Im Idealfall macht man das nicht im IIS (da gibts diverse Stolpersteine wie du grad siehst) sondern auf dem vorgelagerten Reverse Proxy (Firewall, Loadbalancer). 


   
AntwortZitat

AlphaSupport
 AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter 14. März 2022 09:50  

Danke @NorbertFe -> ja und wenn der Kunden keinen Reverse Proxy hat (betrifft ja vor allem die kleineren Installationen) - gibt es da irgendwo eine Anleitung für Exchange nativ?

Danke!

Danke und liebe Grüße.


   
AntwortZitat
NorbertFe
 NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1583
14. März 2022 09:51  
Veröffentlicht von: @alphasupport

gibt es da irgendwo eine Anleitung für Exchange nativ?

Na die hast du ja umgesetzt mit den jetzt auftretenden Problemen. Soweit mir bekannt, gibts keine andere Variante, die Exchange selbst mitbringt.


   
AntwortZitat

NorbertFe
 NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1583
14. März 2022 09:51  
Veröffentlicht von: @alphasupport

ja und wenn der Kunden keinen Reverse Proxy hat (betrifft ja vor allem die kleineren Installationen)

Wäre das jetzt ein guter Zeitpunkt, den Kunden zu erklären, wozu man sowas braucht. ;)


   
AntwortZitat
AlphaSupport
 AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter 14. März 2022 14:11  

@norbertfe - Danke. Du bist ja heute richtig hip drauf! Heißt also MS hat das gar nicht recht auf dem Bildschirm, das MS IIS Team hat es zwar umgesetzt, das MS Exchange Team noch nicht. Also warten wir auf EX2022 und TLS1.3 ...

LG

Danke und liebe Grüße.


   
AntwortZitat

NorbertFe
 NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1583
14. März 2022 14:28  
Veröffentlicht von: @alphasupport

Heißt also MS hat das gar nicht recht auf dem Bildschirm, das MS IIS Team hat es zwar umgesetzt, das MS Exchange Team noch nicht. Also warten wir auf EX2022 und TLS1.3 ...

Ich vermute, MS hat das im Blick, geht aber nicht mehr davon aus, dass das die sinnvollste Lösung ist, direkt auf den IIS/Exchange zu lotsen. Wenns "kleine" Kunden sind, kann man sich immer auch den Kemp Free Loadmaster anschauen, der all das schon kann.


   
AlphaSupport reacted
AntwortZitat
AlphaSupport
 AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter 15. März 2022 14:30  
Veröffentlicht von: @norbertfe

Wenns "kleine" Kunden sind, kann man sich immer auch den Kemp Free Loadmaster anschauen, der all das schon kann.

Danke für die Info - den kannte ich wirklich noch nicht, hört sich aber gut an.

Danke und liebe Grüße.


   
AntwortZitat

Forum Jump:
  Vorheriges Thema
Nächstes Thema  
Teilen: