msblog.eu

OWA Redirect mit TMG Server

18. Mai 2012 by Malte Schoch Leave a Comment

Häufig kommt die Frage auf, ob es bei OWA möglich ist, auf das „/owa“ von extern zu verzichten. Wenn Sie OWA mithilfe eines TMG nach extern veröffentlicht haben, wäre es möglich den Link entsprechend zu kürzen.

Anstatt https://mail.msblog.eu/owa müssten Sie nur noch https://mail.msblog.eu eingeben.

Hierzu müssen wir eine kleine Regel auf dem TMG Server hinzufügen:

  • Kopieren Sie die vorhandene OWA Regel und fügen Sie die kopierte Regel vor die bereits vorhandene Regel ein

  • Nehmen Sie folgende Einstellungen in der kopierten Regel vor:

 

  • Entfernen Sie alle vorhandenen Pfade

Speichern Sie alle Änderungen ab und ab dann ist die URL ohne den Zusatz von „/owa“ erreichbar.

 

Filed Under: Exchange 2007, Exchange 2010, ISA / TMG Server Tagged With: Exchange 2007, Exchange 2010, ISA / TMG Server, Outlook Web Access

Exchange Veröffentlichung ohne TMG?

27. Dezember 2011 by Malte Schoch Leave a Comment

Ich möchte hier noch ein Artikel zu einer Frage schreiben, welche ich auch recht häufig gestellt bekommen:

Kann ich OWA, Outlook Anywhere und Microsoft Active Sync auch ohne ein TMG veröffentlichen?

Ich möchte an dieser Stelle die Frage aber nicht selbst beantworten, sondern einfach Robert Wille (Exchange MVP) zitieren, welcher in den Exchange TechNet Forum eine sehr gute Antwort zu diesem Thema geschrieben hat:

Theoretisch handelt es sich bei einem Exchange-Server um ein sehr priviligiertes Domänen-Mitglied. Würde der kompromitiert, hätte ein Angriffer vollen Lesezugriff auf alle Domänen-Daten.
Aus Sicherheitstechnischen Erwägungen sollte daher niemals ein Domänen-Mitglied und schon gar kein Exchange-Server ungesichert von außen erreichbar sein. Schlimmer wäre eigentlich nur noch ein DC selbst.
Praktisch gibt es aber keine bekannten Angriffe, die über HTTPS einen Exchange angegriffen haben. Es gibt zwar einige Angriff auf den IIS selbst, die aber bei einer normalen Exchange-Installation keine weiteren Auswirkungen oder Kenntniss über Exchange mit sich brachten.
Sicherheit in der IT hat eine noch oben offene Paranoiditätsgrenze – jeder muss für sich selbst ausmachen, wie weit er mitgehen will – und kann. Denn am Ende ist das natürlich auch eine Kostenfrage.

Aber bei der Erwägung eines TMG solltest Du noch drei Dinge im Kopf haben:
– der ist nicht nur Portfilter, sondern auch Content Filter auf Application Layer. Er schaut also in den HTTP-Strom hinein und filter Angriffe auch auf dieser Ebene.
– er ist in der Konfig anwendiger dafür aber im Design out-of-the-Box auch sicherer, als ein Exchange. Es ist also nicht so leicht, Angriff durch Konfigfehler zu ermöglichen.
– wird ein Proxy angegriffen (und geht z.B. mit eine, dDOS down), hat das keine Auswirkungen auf die dahinterliegenden Server. Er dient damit als „Puffer“

Alles in allem würde ich, sobald das Geld für einen Windows, TMG und kleinen Server da ist, immer ein TMG davor setzen. Die paar Euro wären sonst am falschen Ende gespart.

Falls allerdings schon eine andere Firewall-Infrastruktur vorhanden ist, würde ich das durchleuchten und auch für Exchange mitnutzen.

Ich hätte es selber nicht besser sagen können 🙂

Quelle: Microsoft Exchange TechNet Forum

Filed Under: Exchange 2010, ISA / TMG Server, Security Tagged With: Active Sync, Exchange 2010, ISA / TMG Server, Outlook Anywhere, Outlook Web Access, Security

Kennwortänderung über OWA 2010

11. Oktober 2011 by Malte Schoch 1 Comment

Viele Firmen haben das Problem, dass manche Mitarbeiter viel im Außendienst unterwegs sind und das Kennwort für den Benutzer in der Zeit abläuft. Danach ist erstmal keine Anmeldung mehr von extern möglich, bis der User sich wieder in der Domäne an einem Client bzw. Terminalserver angemeldet hat.
Ab Exchange 2010 SP1  ist es ohne großen Aufwand möglich, dass User ihr Kennwort auch noch dann ändern können, wenn diese bereits abgelaufen sind.

Achtung: Administratoren die ein ISA Server bzw. TMG Server für die Veröffentlichung einsetzen, bitte erst das Ende des Artikels lesen!!!

Um diese Funktion zu aktivieren gehen Sie bitte folgendermaßen vor:

Start -> Ausführen -> Regedit -> HKEY_LOCAL_MACHINE -> System -> CurrentControlSet -> Services -> MSExchange OWA -> Erstellen Sie einen neuen DWORD32 Eintrag mit dem
Namen ChangeExpiredPasswordEnabled -> Ändern Sie den Wert auf 1

Nach diesem Eintrag starten Sie bitte den Exchange Server neu.

 

Wenn sich die User nun per Outlook Web Access anmelden und das Kennwort abgelaufen ist oder bei der nächsten Anmeldung geändert werden muss, erscheint folgende Meldung:

Der User meldet sich ganz normal am OWA an …

 

Nach der Anmeldung kann der User direkt sein Kennwort ändern …

 

Nach der Änderung können Sie wieder wie gewohnt auf OWA zugreifen

_______________________________________________________________________________

Achtung (Anpassungen ISA/TMG):

Wenn Sie ein ISA Server bzw. TMG Server für die Veröffentlichung nutzen, würde dieser Registry Eintrag für den externen Zugriff leider nicht den gewünschten Erfolg bringen.
Damit diese Funktion auch von Extern verfügbar ist, müssen wir noch eine kleine Anpassung am ISA/TMG Server vornehmen.
Wenn Sie diese Funktion nur für den exteren Zugriff freischalten wollen, brauchen Sie den Registry Eintrag nicht zu setzen. Der TMG Server hat hierfür ein eigenes Formular und greift daher nicht auf den Pfad vom Exchange Server zu.
Wichtig hierbei ist nur, dass der ISA/TMG Server die Authentifizierung per Formular gegen das AD durchführt – nicht der Exchange Server!

Gehen Sie bitte in die Eigenschaften des WebListener für die OWA Veröffentlichung und nehmen Sie folgende Änderung vor:

Setzen Sie bitte folgende Haken und speichern Sie die Konfiguration ab. Danach erhalten Sie im OWA die selben Formulare wie oben abgebildet. Der Unterschied ist nur, dass diese nun vom ISA/TMG Server bereitgestellt werden 🙂

Filed Under: Exchange 2007, ISA / TMG Server Tagged With: Exchange 2010, ISA / TMG Server, Outlook Web Access

Ein Blog über Exchange Server von Malte Schoch

Ein Blog über Exchange Server von Malte Schoch

PAGES

  • ABOUT
  • IMPRESSUM

Tags

Active Sync Adress List Adress Policy ADSI-Edit Akzeptierte Domänen Berechtigungen CAS Array DAG Database DHCP DNS E-Mail Adressen Exchange 2003 Exchange 2007 Exchange 2010 Exchange 2013 Exclaimer Installation Internal Internet Explorer iPhone ISA / TMG Server Lizenzen Mailbox Migration OAB Outlook 2007 Outlook 2010 Outlook Anywhere Outlook Web Access Permission Powershell PST Public Folder Relay Security Service Packs Services Uninstall Updates/Rollups Verteilergruppen Virtualisierung Windows Server 2012 Zertifikate Zertifizierungsstelle

Latest Posts

  • Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Exchange 2007 deinstallieren – Setup bleibt hängen
  • E-Mail bleibt im Postausgang hängen bei zusätzlichen Postfach
  • Ändern der Standardschrift in OWA für alle Benutzer
  • VMware Workstation – Not enough physical Memory

Links

  • Exchange Remote Connectivity Analyzer
  • Exchange Server Technet Forum
  • The Exchange Team Blog
  • Trageberatung in Kiel
  • Windows Server Catalog

Last Comments

  • Exchange Server 2010: Kein Login via OWA möglich. Fehlermeldung " ERR_RESPONSE_HEADERS_TRUNCATED" - doktorlatte und captain coffeedoktorlatte und captain coffee bei Welche Exchange 2010 Systemdienste gibt es?
  • Peter bei Ändern der Standardschrift in OWA für alle Benutzer
  • Anon bei Berechtigung auf Postfach Ordner mit Hilfe der Powershell setzen
  • Patrick bei Exchange 2013 Zertifikats Fehler bei Installation der CAS Rolle
  • Micha bei Anzeige aller E-Mail Adressen in Exchange 2010
  • Impressum

Copyright © 2023 · Outreach Pro on Genesis Framework · WordPress · Log in