6
Exchange 2019CU14 hinter Reverse Proxy
Moin,
ich habe eine Testumgebung mit einem DC und einem Exchange 2019 CU14, in der alles sauber funktioniert.
Ich würde nun gerne einen Reverse Proxy vor den Exchange setzen und hatte dabei an NPM gedacht.
Dazu habe ich auf meinem Proxmost Host eine Ubuntu CT eingerichtet mit Docker und den NGINX Proxy Manager installiert. Der funktioniert auch wunderbar mit OWA, aber nicht mit Outlook (Mapi). Nun habe ich in den letzten 2 Tagen viel gesucht und einiges an Infos gefunden. Scheinbar ist es dank Enhanced Protection nicht mehr möglich, einen Reverse Proxy (zumindest den NPM) zu nutzen - wenn ich das richtig verstehe?
Hier kommen also meine Fragen:
1. Hat jemand NPM oder Nginx mit Exchange 2019 am Laufen mit EP oder auch ohne EP?
2. Wenn die Antwort auf Frage 1 "Nein" lautet, welchen Reverse Proxy setzt ihr ein und was ist da jeweils zu beachten.
3. Würdet/Könntet ihr eure Config teilen (natürlich anonymisiert), um mir den richtigen Weg zu weisen?
Ich bedanke mich schonmal und freue mich auf Tipps.
Eine schöne Woche
pasu
ich habe eine Testumgebung mit einem DC und einem Exchange 2019 CU14, in der alles sauber funktioniert.
Ich würde nun gerne einen Reverse Proxy vor den Exchange setzen und hatte dabei an NPM gedacht.
Dazu habe ich auf meinem Proxmost Host eine Ubuntu CT eingerichtet mit Docker und den NGINX Proxy Manager installiert. Der funktioniert auch wunderbar mit OWA, aber nicht mit Outlook (Mapi). Nun habe ich in den letzten 2 Tagen viel gesucht und einiges an Infos gefunden. Scheinbar ist es dank Enhanced Protection nicht mehr möglich, einen Reverse Proxy (zumindest den NPM) zu nutzen - wenn ich das richtig verstehe?
Hier kommen also meine Fragen:
1. Hat jemand NPM oder Nginx mit Exchange 2019 am Laufen mit EP oder auch ohne EP?
2. Wenn die Antwort auf Frage 1 "Nein" lautet, welchen Reverse Proxy setzt ihr ein und was ist da jeweils zu beachten.
3. Würdet/Könntet ihr eure Config teilen (natürlich anonymisiert), um mir den richtigen Weg zu weisen?
Ich bedanke mich schonmal und freue mich auf Tipps.
Eine schöne Woche
pasu
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 9874327978
Url: https://administrator.de/contentid/9874327978
Printed on: April 29, 2024 at 17:04 o'clock
6 Comments
Latest comment
Moin,
Gruß,
Dani
Ich würde nun gerne einen Reverse Proxy vor den Exchange setzen und hatte dabei an NPM gedacht.
ich bin mal so frei und stelle eine kritische Gegenfrage: Welche Angriffsvektoren möchtest du mit einem Reverse Proxy, in deinem Fall NPM abfedern bzw. vermeiden?Gruß,
Dani
Moin,
es ist, wie gesagt, eine Testumgebung und ich nutze diese gerade, um dazu zu lernen.
Ich nutze den NPM, um verschiedene Dienste wie Nextcloud und andere über eine IPv4 Adresse
erreichbar machen. Dazu nutze ich aktuell einen VPS mit einer Public IPv4.
Mich interessiert einfach, ob und wie ich den Exchange (und nicht nur OWA) über den NPM erreichbar
machen kann und habe dazu einige Hinweise gefunden (SSL Bridging, kein Offloading), finde aber zu dem
Thema kein Tutorial. Deswegen die Frage hier im Forum.
Danke und Gruß
pasu
es ist, wie gesagt, eine Testumgebung und ich nutze diese gerade, um dazu zu lernen.
Ich nutze den NPM, um verschiedene Dienste wie Nextcloud und andere über eine IPv4 Adresse
erreichbar machen. Dazu nutze ich aktuell einen VPS mit einer Public IPv4.
Mich interessiert einfach, ob und wie ich den Exchange (und nicht nur OWA) über den NPM erreichbar
machen kann und habe dazu einige Hinweise gefunden (SSL Bridging, kein Offloading), finde aber zu dem
Thema kein Tutorial. Deswegen die Frage hier im Forum.
Danke und Gruß
pasu
Mahlzeit.
Ist denn gesichert, dass der Exchange und der NPM das selbe Zertifikat für die Verbindung untereinander nutzen?
Das wird nämlich durch die Enhanced Protection Aktivierung zwingend gefordert.
Gruß
Marc
Ist denn gesichert, dass der Exchange und der NPM das selbe Zertifikat für die Verbindung untereinander nutzen?
Das wird nämlich durch die Enhanced Protection Aktivierung zwingend gefordert.
Gruß
Marc
Hi,
solange du auf deinem NGINX und dem Exchange IIS das gleiche Zertifikat nutzt, sollte das auch mit Outlook funktionieren. Frage ist nur, wie man das sinnvoll realisiert. Hier findest du ggfs. Ansatzpunkte:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...
Wir haben uns bei unseren Kunden komplett von NGINX+Exchange verabschiedet und erlauben den Zugriff auf den Exchange nur noch per VPN. Und auf dem Exchange läuft dann https://certifytheweb.com/, das dem IIS regelmäßig ein LE Zertifikat besorgt.
Viel Erfolg
solange du auf deinem NGINX und dem Exchange IIS das gleiche Zertifikat nutzt, sollte das auch mit Outlook funktionieren. Frage ist nur, wie man das sinnvoll realisiert. Hier findest du ggfs. Ansatzpunkte:
https://www.frankysweb.de/windows-extended-protection-und-exchange-serve ...
Wir haben uns bei unseren Kunden komplett von NGINX+Exchange verabschiedet und erlauben den Zugriff auf den Exchange nur noch per VPN. Und auf dem Exchange läuft dann https://certifytheweb.com/, das dem IIS regelmäßig ein LE Zertifikat besorgt.
Viel Erfolg
Moin,
Und da wundern sich die Webhoster, weshalb wir inzwischen IP Subnetze oder gar ganze ASN blank sperren.
@support-m
es ist, wie gesagt, eine Testumgebung und ich nutze diese gerade, um dazu zu lernen. Ich nutze den NPM, um verschiedene Dienste wie Nextcloud und andere über eine IPv4 Adresse erreichbar machen. Dazu nutze ich aktuell einen VPS mit einer Public IPv4.
prima, wieder eine Testumgebung die am Internet ohne Schutz hängt. Und da wundern sich die Webhoster, weshalb wir inzwischen IP Subnetze oder gar ganze ASN blank sperren.@support-m
Wir haben uns bei unseren Kunden komplett von NGINX+Exchange verabschiedet und erlauben den Zugriff auf den Exchange nur noch per VPN.
Bezieht sich vermutlich nur auf OA, AS, ECP und OWA. Exchange als MTA wird nach wie vor über ein SMTP Proxy E-Mails empfangen und senden können. Zitat von @Dani:
prima, wieder eine Testumgebung die am Internet ohne Schutz hängt. Und da wundern sich die Webhoster, weshalb wir inzwischen IP Subnetze oder gar ganze ASN blank sperren.
prima, wieder eine Testumgebung die am Internet ohne Schutz hängt.
Und da wundern sich die Webhoster, weshalb wir inzwischen IP Subnetze oder gar ganze ASN blank sperren.Wie kommst Du auf die Idee, dass der VPS schutzlos im Netz hängt? Das würde mich wirklich interessieren.
Der VPS läuft unter Ubuntu und natürlich ist er, soweit es für mich möglich ist, abgesichert - die einzig offenen Ports nach außen sind 80 und 443, die auf den NPM Container laufen, der Rest wird geblockt. SSH Zugriff geht nur über VPN mit 2FA, die Verbindung ins isolierte Testnetz im Lab wird per WG Tunnel hergestellt. NPM läuft in einem Docker Container und der ist zusätzlich mit der UFW Docker Erweiterung geschützt. Die ganze Instanz wird dann noch mit CrowdSec überwacht.
Aber das ist alles Off-Topic, ich werde mal testen, ob ich mit den Scripten, die Frank mal für eine HAproxy/Exchange Lösung veröffentlicht hat, ein Nginx Geschichte ans Laufen bekomme - aus reinem Interesse.
Schönen Abend noch
pasu
