Exchange 2007 omgeving klaarmaken om Extern e-mail te ontvangen

[Willc]

een snelle vraag over de mogelijkheid om zonder VPN verbinding de Exchange E-mail te kunnen ontvangen op MS Outlook.

OWA werkt al zonder problemen maar kost weer veel tijd voor veel van onze gebruikers.

Is dit op te vangen met bv. een SMTP connector en zo jah wat is er voor nodig????


Will

 

[dnties]

@Willc: Goed dat je er een vraag van gemaakt hebt. Mij rechtstreeks contacteren is niet de juiste manier.

De SMTP-connector is niet de juiste manier. Wat wél werkt is:
a. Een VPN verbinding
b. RPC over HTTPS. De volgende links zijn een mix van Exchange 2007 en 2003:
link1
link2
link3
link4

Succes,

Tijs.

 

[Willc]

Hey Tijs,


Ik vond het handig als er ook meerdere mensen kunnen reageren op de topic, en kennis delen is toch het voordeel van zo'n forum.

Is het dan niet gewoon mogelijk, als er een VPN verbinding is gemaakt met het domein ( want hier is de vraag omhoog gekomen om deze verbinding te creëren juist zonder VPN ) Om dan gewoon MS Outlook te gebruiken???

Daarnaast is mij verteld dat ook met onze certificaten die wij hanteren van Verisign er de mogelijkheid is om deze verbinding te maken, alleen ben ik sceptisch over het niet gebruiken van een VPN verbinding. [ zie hieronder ]

[ QUOTE: Hi William,

Yes indeed the certificate should work for such calls as well. MAPI, Active-Sync etc. All these features are supported with our certificates as well.



Regards,

Ivan
VeriSign UK ]



Kortom: als de mogelijkheid er is of de omweg gemaakt moet worden is het bijzonder lastig voor mij om dit gemakkelijk te realiseren in een bestaande draaiende omgeving, denk ik...

 

[dnties]

Met alle respect: Een ietwat vage reactie waar ik niet zoveel mee kan.

Het is goed dat de certificaten die je hebt aangeschaft blijkbaar voor alle doeleinden gebruikt kunnen worden én openbaar geverifieerd kunnen worden (zijn geen self-signed certificaten). Dat scheelt flink bij het inrichten van RPC over HTTPS.

Gegeven dat je nu al Outlook Web Access gebruikt zou juist moeten betekenen dat het invoeren van RPC over HTTPS niet zo moeilijk is. Je hebt per slot al certificaten in gebruik, je gebruikt Internet Information Services (IIS), je hebt al portforwarding werkend etc.

Als je een VPN verbinding hebt is het gewoon een kwestie van de juiste server aanwijzen op het VPN-netwerk om Outlook te kunnen gebruiken. Het is dus net alsof je op het lokale netwerk verbonden bent.
Issues waar je tegen aan kunt lopen met een VPN:
a. als het bedrijfsnetwerk dezelfde ip-adressen gebruikt als het thuisnetwerk van de verbindende pc, dan moet het thuisnetwerk worden hernummerd (=ander netwerk gebruiken aldaar)
b. DNS-oplossing van de naam van de Exchange-server. Meerdere oplossingen voor, bijv. een DNS-server laten toewijzen via DHCP bij de VPN-verbinding, en andere oplossingen zijn het LAN ip-adres van de Exchange server aan te geven ipv. een naam of een ingang te maken in het HOSTS bestand op de client-pc's dat verwijst naar het LAN ip-adres van de Exchange server.
c. Firewall, NAT en andere issues op het thuisnetwerk van de client-pc's die succesvolle VPN-verbinding blokkeren.
d. Met een VPN is er toegang tot het bedrijfsnetwerk. Mogelijk zijn er dan issues met virus- en andere besmettingen vanuit de client-pc's én het risico van data-diefstal.

Even samengevat: In jouw setup met al een werkende OWA lijkt mij RPC over HTTPS prima in te stellen en makkelijker dan een VPN. Een VPN is veelzijdiger, maar wellicht moeilijker voor iedereen werkend te krijgen.

Succes,

Tijs.

 

[Willc]

Hoi,

Sorry voor de onduidelijke e-mail....

Om even terug te komen op het VPN gebruik, de bedoeling van deze topic is om meer informatie te krijgen over de mogelijkheid van extern benaderen E-mail op MS Outlook applicatie 'zonder' VPN... ( volgens management geeft het gewoon te veel handelingen waar men soms op vertragingen struint, en Outlook Web Access geeft gewoonweg te weinig functionaliteiten )

Mij is zojuist een mogelijke oplossing voorgeschoteld:

Wij hebben een interne exchange server met intern IP 1.1.1.1

Wij hebben een externe exchange via browser op extern IP 2.2.2.2 benaderbaar via https://mail.firmanaam.nl/owa

Nu is mij verteld als ik bv. een poort 443 open zet en koppel aan het externe DNS naam of IP dat er dan verbinding gemaakt kan worden zonder VPN tussenkomst.

1. is dit inderdaad mogelijk

2. is dit niet onveilig?

3. wat kunnen hier voor problemen van komen



Will

 

[dnties]

Ik krijg nu het volgende idee bij de huidige situatie:
a. Er worden momenteel wél VPN's gebruikt
b. OWA wordt uitsluitend over de VPN's gedaan, dus niet 'rechtstreeks' over Internet

Het voorstel waar je het zojuist over had is een heel andere setup:
Het is een Front-end -> Back-end oplossing: Een publiek bereikbare IIS server (Front-end, met OWA) met een Back-end Exchange server. Op zich is dit goed te beveiligen: Een firewall vóór de front-end met alleen poorten 443 (en evt. poort 80) opengesteld en een firewall tussen de front-end en de back-end.
Bovendien is het verkeer via SSL versleuteld, dus afluisteren kan niet.

Ik hád het idee dat OWA al over publiek Internet was te gebruiken, maar ik krijg nu de indruk dat dat momenteel (nog) niet zo is?
Verder praat je in de voorgestelde setup alsnog over OWA, terwijl jij (en/of het management) dat juist te beperkend vindt t.o.v. het gebruik van Outlook?

Ik blijf bij de suggestie van RPC over HTTPS, zodat Outlook gebruikt kan worden zonder VPN.

Tijs.

 

[Willc]

OWA over het net is al beschikbaar en werkt prima, maar inderdaad vanwege de beperkingen wordt uitgeweken naar een normale Outlook applicatie maar we krijgen de instellingen niet zo ingevoerd dat de Outlook applicatie verbinding kan maken met de Exchange Server zonder tussenkomst van de VPN.

Ik raak zelf steeds een beetje de weg kwijt in de uitleg omdat je redelijk vaak refereert naar OWA en die wil ik niet meer

Ik dacht persoonlijk dat het niet te veel poespas met zich mee zou brengen maar het lijkt er op dat er best wat voor gedaan moet worden . . .

 

[dnties]

Ik refereer naar OWA omdat jij het er de hele tijd over hebt...

Dus nog 1x mijn advies: RPC over HTTPS, oftewel optie b. van mijn allereerste posting.

Tijs.

 

[Willc]

Mooi simpel antwoord daar hou ik wel van ghehehe

Ik zal kijken wat de te nemen stappen zijn, hoeveel tijd dat dit met zich mee brengt deze zooi te implementeren en mocht dit allemaal soepeltjes gaan verlopen dan zal ik dit ook gewoon even documenteren en mijn bevindingen hier posten...

Tijs bedankt dat je alsnog de tijd hebt genomen om even te kijken naar de topic.

 

[dnties]

Even een kleine toevoeging: Zorg er wel voor dat er voldoende download- en (vooral) upload-snelheid is in de Internet-verbinding vanuit de zaak. Dit is afhankelijk van hoeveel dataverkeer het gaat genereren: Zijn het grote e-mails, zijn het véél e-mails, het aantal remote gebruikers, zijn de verbindingen vanuit de remote gebruikers netjes in een etmaal gespreid of steeds in een bepaald tijdvak etc.

Succes,

Tijs.