[Exchange 2007] ActiveSync op andere poort

woensdag 19 mei 2010 13:20

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Beste Tweakers,

Hier op kantoor maken we sinds een tijd gebruik van een Microsoft Exchange Server 2007. Draait probleemloos!

Sinds kort heeft het management een telefoon met data-abonnement. Hiermee zouden ze graag hun mail willen kunnen lezen. Ik weet dat dit mogelijk is door de ActiveSync instellingen op de server juist in te stellen.

Hier zit echter één probleem aan vast. Poort 80 en/of poort 443 moeten open staan naar de buitenwereld. Dit betekend dat Outlook Web Access ook te benaderen is van buitenaf. Er is ooit besloten dat dit niet de bedoeling is. Slechts personen met een VPN token, moeten hun mail extern kunnen bekijken.

Is het mogelijk om dit gescheiden van elkaar open te zetten? Door bijvoorbeeld de poort van ActiveSync te wijzigen? Kan ik bijvoorbeeld bij de "External URL" een adres opgeven, zoals "https://serverURL:<poortnummer>/ActiveSync"?

Helaas is het uitzetten van de Outlook Web Access geen optie. Intern wordt deze nog wel eens gebruikt door mensen op een flex-plek.

Bedankt voor jullie reacties!

woensdag 19 mei 2010 13:25

Acties:

0 Henk 'm!

Krypt

Ik heb zelf al een tijd geen exchange en IIS meer; maar volgens mij kun je restricties aangeven op je virtual directories. Je kan dan de root een restrictie meegeven dat alleen ipadressen van binnen je netwerk toegang hebben, maar die van activesync voor alle ipadressen.

Pvouput live

woensdag 19 mei 2010 13:27

Acties:

0 Henk 'm!

Poltergeist

Als je ISAserver gebruikt (of de opvolger) kun je gewoon aangeven dat OWA niet mag werken van buitenaf, en activesync wel. Lijkt mij de simpelste oplossing.

woensdag 19 mei 2010 13:29

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op woensdag 19 mei 2010 @ 13:20:
Er is ooit besloten dat dit niet de bedoeling is. Slechts personen met een VPN token, moeten hun mail extern kunnen bekijken.

Wacht hier even. Als het beleid is dat de data alleen toegankelijk mag zijn na 2-factor authenticatie, dan kun je dat niet zo maar omzeilen door ActiveSync open te stellen.

Andersgezegd, als je ActiveSync open mag stellen dan heeft die vereiste voor een token icm. OWA ook geen nut meer.

Exchange en Office 365 specialist. Mijn blog.

woensdag 19 mei 2010 13:29

Acties:

0 Henk 'm!

DJ-B

Je zou een ISA server kunnen inzetten en alleen maar ActiveSync publiceren.

Voordat je de poort wilt veranderen, wat in principe gewoon kan in IIS (lijkt me). Zou ik eerst na gaan of je wel een poortnummer op je telefoon kunt ingeven.

woensdag 19 mei 2010 13:31

Acties:

0 Henk 'm!

ralpje

Deugpopje

Kan het zo snel even niet controleren, maar kan je in het tabblad 'exchange features' van je user niet aangeven dat active-sync wél, maar webmail níet mag?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

woensdag 19 mei 2010 13:35

Acties:

0 Henk 'm!

DJ-B

Kan het zo snel even niet controleren, maar kan je in het tabblad 'exchange features' van je user niet aangeven dat active-sync wél, maar webmail níet mag?

Klopt maar hij wil dat webmail intern nog blijft werken.

woensdag 19 mei 2010 13:35

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

ralpje schreef op woensdag 19 mei 2010 @ 13:31:
Kan het zo snel even niet controleren, maar kan je in het tabblad 'exchange features' van je user niet aangeven dat active-sync wél, maar webmail níet mag?

Jazeker kan dat, je kunt per gebruiker instellen of hij OWA mag gebruiken.

Maar dat is niet het probleem hier blijkbaar.

Exchange en Office 365 specialist. Mijn blog.

woensdag 19 mei 2010 13:37

Acties:

0 Henk 'm!

Poltergeist

Probleem is hier dat de gebruikers intern wel OWA mogen gebruiken (waarom in vredesnaam: flexwerkers gebruiken toch zeker een roaming profile, of terminal server oid), maar dat niet van buiten mogen kunnen... Ik ben het wel eens met jazzy: Als activesync (wat volgens mij ook niets anders is dan een gewone webpagina) wel wordt toegestaan, heeft het geen nut om OWA dan maar (beperkt) toe te staan...

[ Voor 37% gewijzigd door Poltergeist op 19-05-2010 13:39 ]

woensdag 19 mei 2010 13:57

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bedankt voor jullie reacties!

Jazzy schreef op woensdag 19 mei 2010 @ 13:29:
Andersgezegd, als je ActiveSync open mag stellen dan heeft die vereiste voor een token icm. OWA ook geen nut meer.

Ik ben het daar inderdaad mee eens. Het is hetzelfde management wat dat ooit besloten heeft, maar nu wel mail op de telefoon wil hebben. Zoals eerder genoemd is het inderdaad op te geven per gebruiker wie er van ActiveSync gebruik mag maken. Ik wil dus ook alleen die gebruikers de rechten geven om mail op te halen via een ActiveSync.

Zoals ik op deze site gelezen heb, is het mogelijk om een andere poort op te geven, om verbinding te maken met de Exchange server. Vandaar dat ik aan die oplossing zat te denken, in plaats van rechten aanpassen in IIS.

woensdag 19 mei 2010 14:08

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Poltergeist schreef op woensdag 19 mei 2010 @ 13:37:
[...]
(wat volgens mij ook niets anders is dan een gewone webpagina)
[...]

Vanuit je webbrowser is dit niet te bekijken

woensdag 19 mei 2010 14:18

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Maar dat gaat dus niet, je kunt ActiveSync niet op een andere poort draaien.

Exchange en Office 365 specialist. Mijn blog.

woensdag 19 mei 2010 14:19

Acties:

0 Henk 'm!

Focus

Over een heel andere boeg:

Geef het management een blackberry, hoef je geen poorten open te zetten naar het internet.

woensdag 19 mei 2010 14:52

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Jazzy schreef op woensdag 19 mei 2010 @ 14:18:
Maar dat gaat dus niet, je kunt ActiveSync niet op een andere poort draaien.

Dan denk ik dat het aanpassen van de IIS beveiliging de beste optie is hiervoor. Alles dicht naar buiten toe, behalve de ActiveSync directory.

woensdag 19 mei 2010 16:13

Acties:

0 Henk 'm!

Oogje

Waarom niet het punt van Jazzy aan het management voorleggen? En vanaf die reactie bedenken wat de volgende stap gaat worden.

Any errors in spelling, tact, or fact are transmission errors.

woensdag 19 mei 2010 16:49

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Oogje schreef op woensdag 19 mei 2010 @ 16:13:
Waarom niet het punt van Jazzy aan het management voorleggen? En vanaf die reactie bedenken wat de volgende stap gaat worden.

Uiteraard, maar eerst wilde ik weten wat de opties zijn.

woensdag 19 mei 2010 17:06

Acties:

0 Henk 'm!

DDX

Ip restricties op submappen van de IIS site ?

https://www.strava.com/athletes/2323035

woensdag 19 mei 2010 19:58

Acties:

0 Henk 'm!

sanfranjake

Computers can do that?

Focus schreef op woensdag 19 mei 2010 @ 14:19:
Over een heel andere boeg:

Geef het management een blackberry, hoef je geen poorten open te zetten naar het internet.

Maar wel een poortje naar RIM, wat ook op het internet draait

Tenzij je natuurlijk ergens extern BES afneemt oid...

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 19 mei 2010 20:03

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

DDX schreef op woensdag 19 mei 2010 @ 17:06:
Ip restricties op submappen van de IIS site ?

Dat is inderdaad wat ik ga voorstellen.

woensdag 19 mei 2010 22:05

Acties:

0 Henk 'm!

ralpje

Deugpopje

sanfranjake schreef op woensdag 19 mei 2010 @ 19:58:
[...]

Maar wel een poortje naar RIM, wat ook op het internet draait Tenzij je natuurlijk ergens extern BES afneemt oid...

't is alleen geen inkomend poortje natuurlijk, dat scheelt wel weer.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

woensdag 19 mei 2010 22:25

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

ralpje schreef op woensdag 19 mei 2010 @ 22:05:
[...]

't is alleen geen inkomend poortje natuurlijk, dat scheelt wel weer.

Dat vind ik wel het zwakste argument om klant bij RIM te worden.

Exchange en Office 365 specialist. Mijn blog.

woensdag 19 mei 2010 23:23

Acties:

0 Henk 'm!

ralpje

Deugpopje

..... Ik deed toch 'edit' in plaats van quote? Vaag

[ Voor 96% gewijzigd door ralpje op 19-05-2010 23:24 ]

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

woensdag 19 mei 2010 23:24

Acties:

0 Henk 'm!

ralpje

Deugpopje

Uiteraard, maar is securitywise wel een issue. Was de discussie ook niet, trouwens

Ik moet overigens zeggen dat ik over RIM / Blackberry best te spreken bent, als je eenmaal doorhebt hoe je die enterprise server het beste kunt sizen / inrichten. Maar ja, die licentiekosten he......

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

woensdag 26 mei 2010 11:00

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

ralpje schreef op woensdag 19 mei 2010 @ 23:24:
Uiteraard, maar is securitywise wel een issue.

Klopt, daar zat ik ook een beetje mee. Ik heb me verdiept in de mogelijkheden van onze firewall en het blijkt dat de Nokia VPN client zodanig te configureren is, dat je met een VPN token (die we al gebruikten) kan inloggen op onze firewall.

Op die manier houden we de security in stand en kunnen we toch mail ontvangen op onze mobiels. Nadeel is wel dat je iedere keer bij het ophalen die tokencode moet opgeven. Maar mocht iemand zijn/haar telefoon verliezen, kan niemand anders e-mailen vanuit ons bedrijf.

[ Voor 3% gewijzigd door Verwijderd op 26-05-2010 11:01 ]

woensdag 26 mei 2010 11:29

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op woensdag 26 mei 2010 @ 11:00:
[...]

Klopt, daar zat ik ook een beetje mee. Ik heb me verdiept in de mogelijkheden van onze firewall en het blijkt dat de Nokia VPN client zodanig te configureren is, dat je met een VPN token (die we al gebruikten) kan inloggen op onze firewall.

Op die manier houden we de security in stand en kunnen we toch mail ontvangen op onze mobiels. Nadeel is wel dat je iedere keer bij het ophalen die tokencode moet opgeven. Maar mocht iemand zijn/haar telefoon verliezen, kan niemand anders e-mailen vanuit ons bedrijf.

Dat is nu eenmaal het nadeel van 2-factor authentication. Maar je hebt dit wel consequent doorgevoerd op deze manier.

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1

Reageer

Onderwerpen