Re: Reverse Proxy
From: Thomas Krug (no-spam_at_siw.de)
Date: 05/12/04
- Next message: Bernd Kruczek - [MVP Exchange]: "Re: Spam und Exchange 2003"
- Previous message: Torsten Materna: "Re: Spam und Exchange 2003"
- In reply to: David Preuss: "Reverse Proxy"
- Next in thread: David Preuss: "Re: Reverse Proxy"
- Reply: David Preuss: "Re: Reverse Proxy"
- Messages sorted by: [ date ] [ thread ]
Date: Wed, 12 May 2004 17:47:47 +0200
David Preuss <d.preuss@de.kddi.com> wrote:
> Hallo liebe Leute,
>
> habe ein Problem mit einer Lösung zur Sicherung des OWA.
>
> Wir haben einen E2K im Intranet. Die User greifen von aussen über eine
> AppFirewall auf den OWA zu. Jetzt ist eine Lösung von Secure Computing
> implementiert worden und es geht nix mehr glatt. Diese Lösung setzt
> auf einen Reverse Proxy der die ganzen Requests von aussen
> verarbeitet.
>
> Seit der Implementation habe ich hier Effekte die gehen schon. Z.B.:
>
> 1. Ich komme im Exchange System Manager Snap-in nicht mehr an die
> Öffentlichen Ordner. Die Fehlermeldung: The requested name is valid,
> but no data of the requested type was found. ID: c0072afc.
Der Exchange Sys-manager macht einen Zugriff auf Port #80 eines OWA-IIS
(also direkt ein OWAY eines Exchangeservers). Wenn Du da Authentifizierung
änderst oder SSL zwingen vorschreibst etc. sieht's übel aus (speziell
virtuelles Verzeichnis Exadmin).
> 2. Auf Anweisung der Firma die den Secure Computing Kram
> implementiert hat haben wir unter extremen Bauchschmerzen den fqdn
> des Rechners geändert (!!der ein dc is mit gc drauf!!). Ergebnis
> natürlich: Die RRs können im DNS nicht mehr upgedated werden. Was das
> noch für Auswirkungen hat will ich mir gar nicht erst vorstellen.
Der hausinterne FQDN ist doch Jacke wie Hose wenn es drum geht, einen
reverseProxy Zugriff zu gestalten.
Wenn Du mit SSL von Extern drauf zugreifst, brauchst Du z.B.
"owa.meinefirma.de" und dann wenn Du SSL-Weiterleitung mit 2. SSL-Tunmnel
aufbauen willst muß dem Proxy eben erklärt werden, daß "owa.meinefirma.de"
der OWA-Server im Hausnetz ist. Im einfachsten Fall ist das ein Eintrag in
der HOSTS Datei.
> Hat jemand von Euch schon Erfahrung mit einer solchen Installation
> (mit Http Reverse Proxy) gemacht? Wenn ja, war das Problemlos?
Mit ISA wär das nicht passiert ;-)
-> nicht ohne Stolpersteine, aber reproduzierbar und gut wenn's mal
eingerichtet ist (z.B. als reverseProxy mit Authentifizierung am ISA und 2
SSL-Tunnel vom Client->ISA und meinetwegen noch ISA->OWA und gleichzeitig
als outboing Proxy mit Authentifizierung für die hausinternen Clients).
> Die Frage stelle ich, da jetzt ein kleiner Zwist entstanden ist
> zwischen den SecureComputingern und uns. Die sagen das läge daran,
> dass MS nicht RFC (Reverse Proxy) konform arbeite und die URLs im OWA
> 2003 absolut sind und nicht relativ. Ich glaube das nicht.
Die Begründung mit den URLs kann gut sein.
Aber bevor ich einen reverseProxy beim Kunden einsetze, sollte ich den mal
mit so einem Szenario getestet haben, oder?
-> Scheinbar wurde das versäumt.
Viele Grüße
Thomas.
-- Thomas Krug, Dipl.Ing.(FH) MCSE+I (NT4), MCSE:Security (Win2000/Win2003), MCSE:Messaging (Win2000/Win2003), MCSD, MCDBA, MCT, CCNA, CCDA
- Next message: Bernd Kruczek - [MVP Exchange]: "Re: Spam und Exchange 2003"
- Previous message: Torsten Materna: "Re: Spam und Exchange 2003"
- In reply to: David Preuss: "Reverse Proxy"
- Next in thread: David Preuss: "Re: Reverse Proxy"
- Reply: David Preuss: "Re: Reverse Proxy"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
