[Exchange 2007] OWA

OWA (en OMA) zonder ISA is geen probleem. Juiste poortjes (80 en 443) mappen in je firewall en het werkt als een zonnetje.

Poort 80 heb je niet nodig, alleen poort 443 is voldoende. Oh, en OMA zit niet meer in Exchane 2007.

Je zou ISA als reverse proxy in kunnen zetten om externe bezoekers (hackers, scripts, etc.) niet toe te willen laten op je interne servers. ISA vormt zo een laag van beveiliging tussen de buitenwereld en je 'binnenkant'.

Voor veel bedrijven is het direct openstellen van je servers naar het internet geen optie en het inzetten van ISA wordt dan ook als best practice beschouwd. ISA heeft maar weinig resources nodig en kost iets van 1500 euro.

Of jij ISA gaat inzetten hangt dus vooral af van jullie beveiligingsbeleid.

[ Voor 3% gewijzigd door Jazzy op 17-02-2009 11:47 ]

Mwoah...Isa heeft zgn webpublishing wizards waarmee je bv heel makkelijk je owa 2007 kunt publishen voor je gebruikers van buiten af.

devuysts schreef op dinsdag 17 februari 2009 @ 11:56:
We hebben momenteel een proxy van Bluecoat (SG 510 geloof ik), kan die hiervoor dan niet gebruikt worden? Of heeft die ISA iets speciaal dat op onze proxy niet mogelijk is?

Of die dat kan weet ik niet, dat kun je beter zelf even onderzoeken denk ik.
Ja, dat kan. Volgens: http://www.bluecoat.com/products/sg/510/features

[ Voor 9% gewijzigd door Jazzy op 17-02-2009 12:15 ]

Ik zou dan wel even een aparte Exchange 2007 voor alleen OWA (CAS dus) inzetten. Dat mensen niet rechtstreeks vanaf buiten op je mailbox server terecht komen. Heb je nog iets van security.

Archie_T schreef op dinsdag 17 februari 2009 @ 12:15:
Ik zou dan wel even een aparte Exchange 2007 voor alleen OWA (CAS dus) inzetten. Dat mensen niet rechtstreeks vanaf buiten op je mailbox server terecht komen. Heb je nog iets van security.

Dat doet niets voor de security hoor. Op het moment dat iemand op deze server weet te geraken dan ligt het hele netwerk open, inclusief mailboxen.

devuysts schreef op dinsdag 17 februari 2009 @ 13:33:
Ze schrijven dat de edge server best id dmz staat, kan ik dan niet via deze server de cas bereiken en zo de OWA raadplegen? Of dient de edge server hier niet voor?

Op het moment dat je naar het beschikbaar maken van de Client Access rol aan het kijken bent moet je wel enigszins op de hoogte zijn van de Exchange rollen. De Edge Transport serverrol doet alleen SMTP verkeer en heeft niets met de Exchange webdiensten te maken.

Wat jij zoekt is een reverse proxy en dat kan het beste met ISA. Alternatief kan het ook met de proxy die jullie al in bezit hebben. Wat wil je nog meer?

Jazzy schreef op dinsdag 17 februari 2009 @ 13:23:
[...]
Dat doet niets voor de security hoor. Op het moment dat iemand op deze server weet te geraken dan ligt het hele netwerk open, inclusief mailboxen.

Je verkleint het risico van script kiddies, dat was meer mijn gedachtegang.

devuysts schreef op dinsdag 17 februari 2009 @ 13:33:
Ze schrijven dat de edge server best id dmz staat, kan ik dan niet via deze server de cas bereiken en zo de OWA raadplegen? Of dient de edge server hier niet voor?

Een edge server heeft geen domein dus geen volledige Exchange installatie.

Jazzy schreef op dinsdag 17 februari 2009 @ 13:43:
[...]
Op het moment dat je naar het beschikbaar maken van de Client Access rol aan het kijken bent moet je wel enigszins op de hoogte zijn van de Exchange rollen. De Edge Transport serverrol doet alleen SMTP verkeer en heeft niets met de Exchange webdiensten te maken.

Wat jij zoekt is een reverse proxy en dat kan het beste met ISA. Alternatief kan het ook met de proxy die jullie al in bezit hebben. Wat wil je nog meer?

eventueel kan je ubuntu gebruiken als reverse proxy: http://www.telnetport25.c...e-proxy-for-owa-2007.html

_{* Zwelgje is normaal meer de man voor windows oplossingen, maar niet iedereen kan isa betalen, dan wijk je wel eens uit naar 'iets anders'.. linux, kuch, kuch}

ow enne: even edge inzetten als server... kost je wel een 2e windows license en een 2e exchange server license.. beetje dure oplossing voor zon klein bedrijf die isa al niet kon betalen

[ Voor 9% gewijzigd door Zwelgje op 17-02-2009 20:57 ]

Powershell schreef op dinsdag 17 februari 2009 @ 20:54:
eventueel kan je ubuntu gebruiken als reverse proxy: http://www.telnetport25.c...e-proxy-for-owa-2007.html

Dan zou ik toch liever die dure Bluecoat gebruiken die nu al in bezit is.

Jazzy schreef op dinsdag 17 februari 2009 @ 21:16:
[...]
Dan zou ik toch liever die dure Bluecoat gebruiken die nu al in bezit is.

mja idd

mgoed, handige tip voor de nonbluecoat bezitters

Archie_T schreef op dinsdag 17 februari 2009 @ 12:15:

[devuysts schreef op dinsdag 17 februari 2009 @ 13:33:
Ze schrijven dat de edge server best id dmz staat, kan ik dan niet via deze server de cas bereiken en zo de OWA raadplegen? Of dient de edge server hier niet voor?]

Een edge server heeft geen domein dus geen volledige Exchange installatie.

Definieer een volledige Exchange installatie?

Exchange 2007 is onderverdeeld in 5 rollen:
-Mailbox (MB)
-Client Access (CA)
-Hub Transport (HT)
-Edge Transport (ET)
-Unified Messaging (UM)

Iedere rol kan los worden geïnstalleerd, maar een installatie kan ook een combinatie van rollen bevatten. Echter de ET niet want deze heeft als aparte eis dat ie niet op een domeinserver kan worden geinstalleerd, alleen op een standalone server*. De rest vereist een domein memberserver. Een "volledige Exchange installatie" is dus eigenlijk niet eens mogelijk.

De ET rol is bedoeld voor een virus/spamfilter server in je DMZ, waardoor ongewenst verkeer aan de perimeter wordt gestopt en geen belasting vormt voor je interne servers. En omdat vaak >95% van alle mail spam is kan dat bij een groot bedrijf erg aantrekkelijk worden.

Het enige wat een ET server kan is mail relayen, virussen filteren en spam stoppen. En omdat je er geen andere rollen op kan installeren is Client Access functionaliteit voor mail (OWA, Outlook Anywhere) dus geen optie.

* Zoals altijd is er een uitzondering op bovenstaand: EBS (Essential Business Server) 2008. Hierbij staat de ET rol geinstalleerd op de security server, en dat is gewoon een domeinserver.

RolandZ schreef op woensdag 18 februari 2009 @ 09:52:
[...]

Iedere rol kan los worden geïnstalleerd, maar een installatie kan ook een combinatie van rollen bevatten. Echter de ET niet want deze heeft als aparte eis dat ie niet op een domeinserver kan worden geinstalleerd, alleen op een standalone server*. De rest vereist een domein memberserver. Een "volledige Exchange installatie" is dus eigenlijk niet eens mogelijk.

[knip]

* Zoals altijd is er een uitzondering op bovenstaand: EBS (Essential Business Server) 2008. Hierbij staat de ET rol geinstalleerd op de security server, en dat is gewoon een domeinserver.

Dat is niet helemaal waar. ET kan altijd op een domeinserver geïnstalleerd worden, het is alleen niet recommended. Zie hier: http://technet.microsoft.com/en-us/library/bb851507.aspx

nose schreef op woensdag 18 februari 2009 @ 14:27:
[...]

Dat is niet helemaal waar. ET kan altijd op een domeinserver geïnstalleerd worden, het is alleen niet recommended. Zie hier: http://technet.microsoft.com/en-us/library/bb851507.aspx

Ik lees het, maar schud mijn hoofd. Ik heb de MS boeken nog eens nagekeken, en weliswaar staat nergens keihard dat het niet kan (mea culpa) maar overal staat wel termen als "..and are not members of the AD..." (70-236 TK, blz. 50) en "First, is must be performed on a server that is not a member of the internal ADS; it must therefore be a member of a workgroup." (70-238 TK, blz. 110). Op zijn minst kan gezegd worden dat de bewoordingen tendentieus zijn . Ik heb tijdens mijn studie voor de examens ook de nodige technet pagina's gelezen, maar dit was mij nooit opgevallen.
Maar goed, je hebt gelijk, het kan op een AD machine

Het belangrijkste hier is dat de vraagsteller begrijpt dat een Edge Transport server iets met SMTP doet en dat je voor HTTP(s) een ISA of andere reverse proxyserver nodig hebt.

RolandZ schreef op woensdag 18 februari 2009 @ 14:52:
[...]

Ik lees het, maar schud mijn hoofd. Ik heb de MS boeken nog eens nagekeken, en weliswaar staat nergens keihard dat het niet kan (mea culpa) maar overal staat wel termen als "..and are not members of the AD..." (70-236 TK, blz. 50) en "First, is must be performed on a server that is not a member of the internal ADS; it must therefore be a member of a workgroup." (70-238 TK, blz. 110). Op zijn minst kan gezegd worden dat de bewoordingen tendentieus zijn . Ik heb tijdens mijn studie voor de examens ook de nodige technet pagina's gelezen, maar dit was mij nooit opgevallen.
Maar goed, je hebt gelijk, het kan op een AD machine

Klopt, in de boeken en lessen van MS staat je ET steeds in een workgroup. Nergens komt daarin terug dat je ET ook in het domein kan hangen. Alleen op TechNet is dat terug te vinden. Maar het is natuurlijk ook niet aan te raden om je ET server in het domein te hangen, vandaar dat ze er in de lessen niet opin gaan denk ik.