Outlook Anywhere

Hallo,

willkommen an Board!

Zitat

lenchen schrieb:
Hallo,

es geht um die Nutzung von Outlook Anywhere, wobei serverseitig ein SBS 2011 läuft und clientseitig Outlook 2002, 2003 und 2007 zum Einsatz kommen. Dazu ein paar Fragen:

1. Funktioniert Outlook Anywhere mit einem Server, der keine feste IP und nur ein selbstsigniertes Zertifikat besitzt?

Ja, wenn du das (root)Cert exportierst und auf den Clients installierst.

Zitat

2. Kann man Outlook Anywhere von Outlook 2002 aus nutzen?

Nein.
Outlook Anywhere geht erst ab OL 2007
Bei Outlook 2003 ist das rpc over http(s)
Ich rate zum Einsatz durchgänging von OL2010, so kannst du alle Exchange-Features auch nutzen.

Zitat

3. Falls ja, kann die Nutzung bei Einsatz von OL 2002 als sicher erachtet werden (starke Verschlüsselung, sichere Authentifizierungsverfahren, ...)?

4. Der Internetzugang in der Zentrale, in der der Server steht, erfolgt über einen Router mit aktiviertem NAT; welche Ports müssen auf den Server weitergeleitet werden?

Nur Port 443, es sein denn, du willst das Company-Web veröffentlichen, dann noch 80

Zitat

5. Kann Outlook Anywhere, was die Serverseite angeht, als sicher erachtet werden? Ich frage, einmal grundsätzlich, da ja nicht alles, was möglich und wünschenswert ist, aus Sicherheitsüberlegungen akzeptabel sein muss, und konkret auch, weil unter http://technet.microsoft.com/de-de/librar ... der Einsatz eines ISA-Servers empfohlen wird; hier gibt es keinen ISA, alle Dienste laufen auf einem Rechner mit Default-Einstellungen bei der Windows-Firewall.

Für Antworten wäre ich sehr dankbar.

Viele Grüße,

Lena

Alles anzeigen

Nun ja - hier streiten sich sogar Experten.
Ich selber habe den Server direkt hinter der Firewall(Router) ohne ISA davor.

Ich bin zwar nicht Norbert, aber das kann ich auch:

Zitat

1. Kann ich die Installation des root-Certs des Servers auf den Clients automatisieren, bspw. über GPOs?

Ja, das geht sogar sehr gut.

Zitat

2. Outlook 2003: Out of the box mag das also nicht mit Outlook Anywhere? Wird der Zugriff auf den Server über RPC over HTTPS vom SBS 2011 grundsätzlich unterstützt, muss dann aber unabh. von Outlook Anywhere aktiviert/konfiguriert werden?

Doch, Ol2003 kann das, man muss es nur extra einstellen. Bei Ol2007 und Ol2010 macht das Autodiscover das alleine.

Zitat

3. Firewall (Router): Letztlich NAT oder macht Dein Router noch anderes?

Das muss Norbert beantworten.

Zitat

4. ISA: Welche Vorteile in puncto Sicherheit hätte der bei der Nutzung von Outlook Anywhere?

Keine. ISA/TMG kann zwar Application Layer Inspection, macht das aber IMHO nicht bei RPC/HTTP. Das wird nur als Proxy benutzt.

Sicherheitstechnisch interessant ist der TMG bei OWA.

Zitat

RobertW schrieb:

Keine. ISA/TMG kann zwar Application Layer Inspection, macht das aber IMHO nicht bei RPC/HTTP. Das wird nur als Proxy benutzt.

Sicherheitstechnisch interessant ist der TMG bei OWA.

Nanana SSL Bridging funktioniert sehr wohl auch bei Outlook Anywhere und Kerberos Constrained DElegation ebenfalls. Also da jetzt nur von ReverseProxyfunktion zu sprechen ist etwas arg unterdimensioniert.

Bye
Norbert

Also nö, das kannst du dir jetzt gern selber durchlesen. Die entsprechenden "Buzz-Words" hast du in den Antworten ja erhalten.

Bye
Norbert

Zitat

NorbertFe schrieb:

Nanana SSL Bridging funktioniert sehr wohl auch bei Outlook Anywhere und Kerberos Constrained DElegation ebenfalls. Also da jetzt nur von ReverseProxyfunktion zu sprechen ist etwas arg unterdimensioniert.

Ok, die Authentifizierung ist gut, aber SSL Bridging würde nur dann sinnvoll was bringen, wenn eine Application Layer Inspection stattfindet. Die müsste aber auf RPC laufen, denn HTTPS ist ja nur der Tunnel dafür (Insider: Elephant Arse...).

IMHO macht TMG nichts im RPC-Protokoll und ist damit "nur" ein Proxy.

@OP: Den Unterschied ISA und TMG kann man nicht erklären.... das ist das gleiche, nur eine neue Version.

Zitat

RobertW schrieb:
Ok, die Authentifizierung ist gut, aber SSL Bridging würde nur dann sinnvoll was bringen, wenn eine Application Layer Inspection stattfindet. Die müsste aber auf RPC laufen, denn HTTPS ist ja nur der Tunnel dafür (Insider: Elephant Arse...).

Ja und? Versteh ich jetzt nicht so ganz. Oder meinst du, weil RPC ebenfalls encrypted?
Folgendes steht dazu im Technet (http://technet.microsoft.com/d…aa997148(EXCHG.80).aspx):

"Für authentifizierten und verschlüsselten Clientzugriff bietet ISA Server 2006 End-to-End-Sicherheit und Filterung auf der Anwendungsebene unter Verwendung von SSL-to-SSL-Bridging. Verschlüsselte Daten werden hierbei untersucht, bevor sie den Exchange-Server erreichen. Die ISA Server 2006-Firewall entschlüsselt den SSL-Strom, führt eine Überprüfung des Zustands durch, verschlüsselt die Daten anschließend erneut und leitet sie an den Webpublishingserver weiter. Bei der Überprüfung des Zustands handelt es sich um eine Firewallarchitektur auf Netzwerkebene. Im Gegensatz zur statischen Paketfilterung, bei der ein Paket basierend auf den Kopfzeileninformationen untersucht wird, werden bei der Überprüfung des Zustands alle Verbindungen über die Firewallschnittstellen und deren Gültigkeit getestet."

Was genau hat das jetzt mit RPC zu tun? Meiner Meinung nach wird genau dazu doch der Tunnel am ISA/TMG beendet um das was auf dem Protokoll darin läuft (RPC over https) inspizieren zu können.

Zitat

IMHO macht TMG nichts im RPC-Protokoll und ist damit "nur" ein Proxy.

Liest sich oben aber anders.

Bye
Norbert

Moin,

Outlook Anywhere sind ja zwei Protokolle, RPC in HTTPS.

Der zitierte Absatz geht nur auf SSL ein, nicht auf RPC. IMHO macht TMG zwar eine Inspektion des SSL-Stroms, in dem er SSL entschlüsselt (und könnte z.B. Viren, die per HTTP heruntergeladen werden, erkennen), aber eben keine Inspektion des RPC-Strom.

Normalweise:
HTTPS -> entschlüsseln zu HTTP -> Klartext Webdaten -> Inspection.

Outlook Anywhere:
HTTPS -> entschlüsseln zu HTTP -> RPC-Daten -> nichts weiter