Neregistrovaný Přihlásit Registrovat
Předmět Autor Datum
Exchange běží po RPC, AFAIK. A tohle povolovat do netu není IMHO moc dobrý nápad. Doporučuju vytvoř…
touchwood 03.01.2007 10:57
 touchwood
Nebo mít na exchange webaccess a moci přistupovat opravdu odkudkoliv.
josephino 03.01.2007 11:45
 josephino
webaccess je IMHOj děravější jen cca o 10% méně ;-)
touchwood 03.01.2007 13:13
 touchwood
Ja to mam pres OWA. Je take moznost zkonfigurovat outlook 2003 na pristup do exchange pres RPC over…
MKc 03.01.2007 11:39
 MKc
no ved aj ja to mozem spravit cez OWA, ale ide o to, ze co treba povolit na firewalli..
Jan 03.01.2007 11:56
 Jan
no ak si myslim spravne, mal by som povolit len port 443,co sa pouziva pre sluzbu RPC over HTTP...
Jan 03.01.2007 12:07
 Jan
Ano, nic jineho nepotrebujes. A navic ten port mas uz povoleny, protoze pres nej jde veskera HTTPS k…
Jan Fiala 03.01.2007 12:22
 Jan Fiala
praveze to nejde, ked si na svojom konte na serveri pozriem vlastnosti tak protokol OWA je enabled,…
Jan 03.01.2007 13:07
 Jan
a) exchange server ma verejnou IP nebo nejakou privatni? (10.0.0.0, 172.... 192....) b) pro owu stac…
MKc 03.01.2007 13:30
 MKc
No ten server ma samozrejme v ramci lokalnej siete privatnu adresu 192....z vonku ma samozrejme vere…
Jan 03.01.2007 13:32
 Jan
takze mas server se 2 sitovkama .. a ten exchangi server je zaroven branou do inetu ... ?
MKc 03.01.2007 13:51
 MKc
Vytvoreni certifikatu je bezplatne Zalezi, na kterem porte jsi Excange nainstaloval. Skutecne na 444…
Jan Fiala 03.01.2007 13:34
 Jan Fiala
Takze takto, pre port 443 (https) musim na serveri povolit zabezpecenie SSL, lebo otvorit na fw port…
Jan 04.01.2007 15:29
 Jan
lebo otvorit na fw port 80 nie je velmi bezpecne... Otevřít port na IIS může být nebezpečné, nejde…
Vladimir 04.01.2007 16:02
 Vladimir
Co by mal podla teba splnat dobre zabezpeceny server?...resp. ak si odmyslime predradeny firewall, t…
Jan 04.01.2007 17:22
 Jan
snad to shrnu všechno: - běží POUZE nezbytně nutné služby a aplikace - pravidlo Least Privilege apl…
Vladimir 04.01.2007 17:33
 Vladimir
Take je to vyriesene, nahodil som ten certifikat a uz to fici cez https....zaujalo ma to filtrovanie… poslední
Jan 05.01.2007 10:39
 Jan

praveze to nejde, ked si na svojom konte na serveri pozriem vlastnosti tak protokol OWA je enabled, samozrejme v ramci lokalnej siete je vsetko ok, ale z domu sa tam nedostanem, ide mi teraz o to, ci musim na serveri nainstalovat tu sluzbu RPC over HTTP, ci to pojde aj bez nej?, kedze tvrdis, ze ten port mam povoleny, teraz nie som v praci, tak to nemozem skontrolovat, ale podla mna to nemam povolene, ten port myslim...Dalej ak v default web site povolim SSL komunikaciu, tak musim vytvorit na serveri nejaky certifikat, ze? to je bezplatne?, to bude cisto sluzit len pre mna...Lebo momentalne tam nemam nastavene ziadne sifrovanie, s tym MS exchange zacinam, tak sa ospravedlnujem za pripadne nejasnosti...

Vytvoreni certifikatu je bezplatne
Zalezi, na kterem porte jsi Excange nainstaloval. Skutecne na 444?
Na vzdalenem webovem pracovisti na vychozi strance mas dokument (je tam defaultne), ktery popisuje presny postup, jak Outlook nakonfigurovat, vcetne instalace certifikatu.
Jmenuje se: Nakonfigurovat počítač pro použití aplikace Outlook přes Internet

Takze takto, pre port 443 (https) musim na serveri povolit zabezpecenie SSL, lebo otvorit na fw port 80 nie je velmi bezpecne... vytvorim si vlastny certifikat pre exchange server 2003, nasiel som celkom fajn navod http://www.msexchange.org/tutorials/Creating-Certif icate-OWA2003-SelfSSL.html...dajme tomu, ze sa mi to uspesne podari, len neviem, co sa zmeni z pohladu klientov, myslim tym, co bude potrebne nastavit u nich v outlooku 2003 a moze sa stat, ze mnou vytvoreny certifikat, kedze nebude overeny uradom CA nemusia niektore firmy, kde klienti posielaju postu akceptovat, nie?

lebo otvorit na fw port 80 nie je velmi bezpecne...

Otevřít port na IIS může být nebezpečné, nejde vůbec o to jaký, jestli 80 nebo 443. Self signed certifikáty jsou OK, prostě odkliknou v klientovi varování.

Co se OWA týče, jde jej vystavit ven do internetu, ALE IIS a celý server musí být opravdu dobře zabezpečnený, jinak jen přes VPN.

snad to shrnu všechno:

- běží POUZE nezbytně nutné služby a aplikace
- pravidlo Least Privilege aplikované úplně všude, včetně servisních účtů.
- práva na NTFS co nejvíce restriktivní (použítí šablon)
- pravidelně aktualizace, zejména IIS
- na IIS běží a je povoleno, pouze co by mělo
- IPSEC filtrování i na straně vnitřní sítě (tedy i z vnitřní sítě se dostane klient jen a pouze, k tomu k čemu potřebuje) - tím se mírní možnost nákazy z vnitřní sítě. Toto samozřejmě není možné pokud je to takový ten klasický "server pro všechno", což samizřejmě nemůže být onen "dobře zabezpečneý server". Takový server nevystavovat vůbec, jen za VPN

Take je to vyriesene, nahodil som ten certifikat a uz to fici cez https....zaujalo ma to filtrovanie cez IP secure protocol na vnutornej strane siete, dost som o tom pocul, ale nejako som sa tomu este nevenoval, tak sa chcem spytat v com vlastne spociva konfiguracia, to potrebujem nejaky specialny hardware k tomu, ci to sa nastavi na routeri?

Zpět do poradny Odpovědět na původní otázku Nahoru