Accès externe Exchange : reverse proxy

Accès externe Exchange : reverse proxy - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 27-06-2012 à 11:38:02    

Bonjour @ tous.
 
Actuellement, nous avons une structure Exchange 2010 en interne sur 1 seul serveur qui fait aussi DC. Nous avons aussi un connecteur SMTP vers une passerelle située en DMZ sur 1 serveur 2003 avec InterscanVirusWall. Le but et d'obtenir un accès extérieur à OWA et Outlook anywhere.
Après étude, j'ai vu qu'il était déconseillé d'ouvrir les ports correspondant (443 si j'ai bien compris) directement vers notre Exchange 2010 en LAN surtout qu'il est DC... Juste ?
Donc la solution, toujours d'après mes recherches, est de mettre en place un reverse proxy dans ma DMZ. Toujours Juste ?
 
Si oui, je suis tombé sur 2 tutoriaux :
 
- L'un via squid : http://patrick.vultier.com/fr/save [...] rs/click/8
- L'autre via Nginx : http://planetit.ws/linux/debian/co [...] r-owa.html
 
Lequel me conseillez vous (Structure avec une trentaine de users) ?
 
D'autre part, au sujet des smartphone que je ne maitrise pas trop, la liaison se fait via activesync si j'ai bien compris ? Une configuraton supplémentaire à mettre en place pour cet accès depuis l'exterieur ? Ou betement une redirection vers boite gmail et une synchro du smartphone vers cette boite gmail ?
 
En gros, quelles sont les bonnes pistes de départ pour ouvrir correctement mon Exchange depuis Internet ?
 
Merci d'avance


---------------
.::Furty::. "Si la matière grise était plus rose, le monde aurait moins les idées noires."
Reply

Marsh Posté le 27-06-2012 à 11:38:02   

Reply

Marsh Posté le 28-06-2012 à 17:35:43    

effectivement, l'accès en direct à l'exchange qui est DC n'est pas recommandée.  
 
pour activesync prends celui qui a le tuto qui te parait le plus simple.
 
microsoft fournit un site web pour valider une conf active sync:
https://www.testexchangeconnectivity.com/
 
c'est plutôt simple et assez efficace pour tester sans smartphone.  

Reply

Marsh Posté le 02-07-2012 à 11:49:46    

Merci pour ta réponse. J'avais également déjà repéré ce lien.
 
Le tuto le + simple ok, mais as tu un avis quand même ? Étant plus que débutant en Linux, entre OpenBSD + Nginx ou Debian + squid.... Si déjà je prend le taureau par les cornes, autant que ce soit de suite le meilleur taureau  ;)


---------------
.::Furty::. "Si la matière grise était plus rose, le monde aurait moins les idées noires."
Reply

Marsh Posté le 02-07-2012 à 12:03:44    

tu peux tjrs tester les deux pour te faire ton propre avis, mais effectivement si tu connais déjà linux tu seras plus efficace avec cet OS.

Reply

Marsh Posté le 02-07-2012 à 12:06:18    

Salut,

 

Effectivement, ouvrir les ports en direct de l'extérieur vers le LAN, pas trop conseillé.

 

Moi j'utilise un reverse proxy Apache (avec des Virtualhosts) dans ma DMZ, avec une conf qui tourne pour l'OWA et ActivSync, sous Exchange 2010.
J'ai des users Android et iPhone pour Activesync, tout marche nickel, l'OWA aussi pas de soucis.

 

Par contre, je crois que le Outlook Anywhere n'est pas supporté (RPC over HTTP/S), mais comme je n'en ai pas, je n'avais pas cette problématique.
Je crois qu'effectivement, Squid gère ça mais la conf est encore plus compliqué qu'avec Apache et je n'avais pas poussé mes recherches vu la complexité.

 

Si jamais tu veux ma conf Apache, je peux te la filer si ça t'intéresse, voir d'autres infos si j'ai oublié quelque chose.

 

Edit: pour info aussi, pour faire du Outlook Anywhere y'a la solution MS avec Forefront je crois, mais c'est proprio et couteux donc


Message édité par albator_84 le 02-07-2012 à 12:09:21
Reply

Marsh Posté le 02-07-2012 à 16:27:56    

pkc a écrit :

tu peux tjrs tester les deux pour te faire ton propre avis, mais effectivement si tu connais déjà linux tu seras plus efficace avec cet OS.


 
En fait, il fallait comprendre ma phrase + que débutant en linux dans l'autre sens, c'est à dire vraiment très débutant... C'est pour cela que je vous demande votre avis sur le meilleur tuto ? Nginx + simple mais non compatible Outlook anywhere si j'ai bien compris (comme apache) ?  
Afin de ne pas installer un linux et d'utiliser mon serveur 2003 situé en DMZ et qui fait passerelle SMTP, existe t'il une solution gratuite sous win ?


---------------
.::Furty::. "Si la matière grise était plus rose, le monde aurait moins les idées noires."
Reply

Marsh Posté le 02-07-2012 à 16:45:09    

squid win32.
en espérant que le support du reverse proxy y soit.  
sinon microsoft forefront (l'évolution d'isa server).

Reply

Marsh Posté le 03-06-2014 à 16:32:33    

Hello all,  
Je relance ce vieux topic et j'en suis désolé mais au moins je suis sûr que ma question sera au bon endroits.  
Je suis un peu confronter au même problème. Seulement lorsque je veux aboutir sur le tutoriel du premier post pour Nginx, je n'ai aucun tutoriel.  
Je souhaite donc moi aussi pouvoir créer un reverse proxy dans la DMZ (déjà fait avec Nginx) et accéder à Exchange. Est ce que Nginx et Exchange 2010 ou 2013 sont compatible entre ? Sachant que je me servirais de Nginx pour faire de la réécriture ,afin de rediriger une demande sur le serveur exchange.
 
Je ne sais pas si je suis clair ... Dites moi si vous voulez plus d'information !  
Merci de votre aide.

Reply

Marsh Posté le 03-06-2014 à 18:50:26    

oui ça doit marcher

Reply

Marsh Posté le 04-06-2014 à 09:24:32    

D'accord, merci pour ta réponse. C'est sympa.
J'en profite pour demander, si quelqu'un à un tutoriel sous le bras.. Qu'il n'hésite pas à me le communiquer.  
 
Encore merci.

Reply

Marsh Posté le 04-06-2014 à 09:24:32   

Reply

Marsh Posté le 04-06-2014 à 15:47:52    

salut,
 
apache fait tres bien le RP, avec de la sécurité au FW ça devrait le faire


---------------
------------------------------------------
Reply

Marsh Posté le 04-06-2014 à 15:53:22    

Pas pour du Outlook Anywhere :/

Reply

Marsh Posté le 04-06-2014 à 15:57:08    

ah! je pensais que c'était pour OWA :o


---------------
------------------------------------------
Reply

Marsh Posté le 04-06-2014 à 16:11:35    

Effectivement ^^  
Merci quand même de ta réponse ! C'est sympa.  
De plus Apache n'aurait pas était optimal pour toute les configuration que je dois faire. C'est afin de remplacer Microsoft Forefront TMG que je test Nginx.

Reply

Marsh Posté le 04-06-2014 à 16:13:58    

Dans ce cas fait gaffe parce que c'est Exchange qui va faire l'authentification utilisateur et non plus ton TMG, tu perds un peu en sécu pour le coup.

Reply

Marsh Posté le 04-06-2014 à 16:21:45    

Ah d'accord, bon à savoir. Donc oui à prendre en compte. Merci.
Au passage vu que t'as l'air de connaître le sujet, tu penses quoi de KEMP Technologie si tu connais ? Je vais le tester après en espérant moins galérer.

Reply

Marsh Posté le 04-06-2014 à 16:34:14    

C'est un bon LB mais je l'ai jamais utilisé pour de la prod, juste en maquette/test quand je pouvais pas avoir un vrai LB

Reply

Marsh Posté le 04-06-2014 à 16:40:14    

D'accord, moi ca serait pour effectuer la même que Nginx, reverse proxy avec réécriture d'URL et compatibilité avec Activesync, Exchange, accéder aux ressource sous forme de site web interne a une entreprise... etc.  
Si ça intéresse et que mon test abouti à quelque chose je pourrais vous en faire part.


Message édité par squallviii le 04-06-2014 à 16:40:45
Reply

Marsh Posté le 04-06-2014 à 17:04:25    

Pour une publication via haproxy sinon un collègue a fait ce guide :
http://sdrv.ms/PmMSy6

Reply

Marsh Posté le 04-06-2014 à 17:32:32    

Hello, je vais etre redondant mais de manière assez simple aussi on peut utiliser IIS ARR :  
http://blogs.technet.com/b/exchang [...] art-1.aspx

Reply

Marsh Posté le 05-06-2014 à 09:11:20    

Merci, dans tout les cas ça peut aidé.
Oui c'est vrai pour IIS ARR, pourquoi pas. A retenir si j'ai le temps de faire une autre maquette/test.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed