Sziasztok
Felmerült egy cégnél, hogy a hostingban futó linuxos mail szerver helyett AD + Exchange fusson, webről owa-val elérhető legyen.
A problémám, melyben iránymutatást szeretnék kérni:
Az Exchange-nek helyi hálón kell lennie a helyben futó AD szerverrel, így az owa is helyi hálón kell menjen?
Ekkor porttovábbítással kell beengedni a nagyvilágot az owa-ra. Nem szeretnének a céges hálózatba beengedni senkit, abbba a LAN szegmensbe, ahol a dolgozók gépei is vannak.
Jelenleg egykapus OpenVPN bejutás van.
Milyen megfelelő biztonságú megoldások vannak arra, hogy VPN nélkül elérhető legyen az owa?
Köszönöm!
- 1729 megtekintés
Hozzászólások
Hello,
Itt a cégnél ugyanúgy VPN mögött van.
Esetleg egy proxy-t tudnék ajánlani erre a célra, ha valamiért nagyon nem akarod a VPN mögött látni.
FathoM
- A hozzászóláshoz be kell jelentkezni
"Milyen megfelelő biztonságú megoldások vannak arra, hogy VPN nélkül elérhető legyen az owa?"
Az OWA biztonságos, nyugodtan mehet rá a forward.
De igen, az.
És még mindig.
Persze lockout policy legyen.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
CAS-nak rá kell látnia az AD-ra és az összes mailbox szerverre, ez miatt én biztosan nem tenném ki.
A microsoft is egy reverse proxy-t ajánl az OWA elé, pl. az IIS-t ARR moduljával:
http://m.msexchange.org/articles-tutorials/exchange-server-2013/mobilit…
- A hozzászóláshoz be kell jelentkezni
Hát egyrészt, de még azt sem tudjuk mekkora install. Simán lehet, hogy valami SBS jellegű integrált szolución elgurul és nem kell egy überhiper Exchange clustert építeni, ami azért nem occó.
- A hozzászóláshoz be kell jelentkezni
Ezzel nem bővíted az Exchange organizációt, de hatványozottan érvényes, ha a mailbox szerver a CAS-on van.
- A hozzászóláshoz be kell jelentkezni
"CAS-nak rá kell látnia az AD-ra és az összes mailbox szerverre, ez miatt én biztosan nem tenném ki."
Ez nem valid security concern, csak szimpla tudatlanságból eredő túlpara. Röviden baromság.
- A hozzászóláshoz be kell jelentkezni
Microsoft-osok is ezt a felállást ajánlják, de meggyőzhető vagyok..
- A hozzászóláshoz be kell jelentkezni
Hja. 2009-ben még picit félhettek attól, hogy kiderül valami disznóság a 2010-ről. De nem derült ki. Azóta meg már 13,16 is van. ;)
Hint: direkt az Exchange app protokollokra ráhegyezett, frissített IDS/IPS SSL bumper proxy nélkül értelmetlen az egész bohóckodás.
- A hozzászóláshoz be kell jelentkezni
Én nem bíztam meg benne anno, csináltam egy reverse apache proxyt elé, amibe 2 faktoros motp azonosítással tudtak belépni a userek.
http://motp.sourceforge.net/
- A hozzászóláshoz be kell jelentkezni
Az előző munkahelyemen is reverse proxy volt az OWA előtt. Az Exchange azonos LAN-ban volt az ottani DC-vel.
- A hozzászóláshoz be kell jelentkezni
Hany postafiokrol/userrol van szo es mi az indok az exchange mellett?
- A hozzászóláshoz be kell jelentkezni
50-60 user. Az indok: group policy, kell közös naptár, meg közös címtár, meg egy jelszó mind felett.
Hogy erre tényleg az Exchange + AD a legjobb választás, nem tudom.
- A hozzászóláshoz be kell jelentkezni
A group policy szerintem elég minimálisan érvényesül Exchange oldalon, az inkább Outlook oldalon tud. A közös jelszó megoldható LDAP-os AD integrációval, bár legalább egy readonly AD-t érdemes odatenni a mailszerver mellé.
A licenszköltségeknek nagyon nézzetek utána, mert egyáltalán nem biztos, hogy még úgy is megéri a dolog 50 userrel. Érdemes még a SoGo nevű szoluciónak is utána nézned.
- A hozzászóláshoz be kell jelentkezni
Nálunk KEMP LoadMaster mögött kiválóan üzemel. Probléma nem volt eddig.
- A hozzászóláshoz be kell jelentkezni