Hallo, ich habe eine Frage ob man das in einer kleinen Umgebung so betreiben kann
(Outlook Anywhere Client) ------- Internet -----------FW1:[from ANY to ExchangePublicIP:443 allow][DSTNAT ExchangePublicIP nach ExchangePrivateIP] --------DMZ-----------FW2:[from ANY to ExchangePrivateIP:443 allow]------------Exchange (CAS und MAILBOX Rolle)
Feststellung:
Klar der IIS hängt quasi erst mal mit Port 443 im Internet. Und zwar mit den Verzeichnissen autodiscover, ecp, oab, owa, rpcproxy, usw.
Wenn ich mir die Sicherheitseinstellungen der Verzeichnisse anschaue hat ein nicht authentifizierter keinen Zugriff auf diese Verzeichnisse.
Ich komme also ohne Authentifizerung nicht an diese Verzeichnisse, richtig? Abgesehen von möglichen Schwachstellen im IIS.
Unter msxfaq https://www.msxfaq.de/exchange/clients/oagrundlagen.htm steht unter "direktes RPC"
"Auf jeden Fall kann nur davon abgeraten werden, einen Exchange Server per RPC ungesichert im Internet erreichbar zu machen."
RPC ist ja von außen ja nicht erreichbar. Muss man sich bei der genannten Konfig, mit gepatchtem IIS, sorgen machen?
Grüße Bernd