Exchange Anbindung an Mobile Phones (WIN Phone 8 + Android)

[BB7]

Hallo Leute,

ich habe folgende Frage an alle Systemadmins.

Wie bekomme ich eine funktionierende Mail-synchronisation mit den Mobilen Geräten hin (Windows Phone 8 + Android).

Vorweg muss ich sagen, dass ich ein Azubi bin und noch die mit diesem Thema in Brührung kam.

Hier einmal die vorhandene Struktur:

- Exchange Server 2003 ( in der Domäne) kommuniziert über ein Mailrelay (DMZ) nach draußen
- Outlook Web Access ist vorhanden, jedoch nicht von außen erreichbar

Was ist nötig um eine Verbindung nach draußen herzustellen. Ich habe mir schon einiges durchgelesen und auch mit den Kollegen über das Thema gesprochen, bin jedoch nicht weiter gekommen.

Mit geht es um Exchange ActiveSync auf mobilen Geräten zum laufen zu bringen.

Ich würde mich freuen wenn, es mir einer kurz erklären könnte, wie man hier eine gute und schnelle Lösung finden könnte.

Was wäre nötig um, mobile Endgeräte nutzen zu können. Ich denke das hier auch Hardware hinzugekauft werden müsste.

Vielen Dank im voraus.

 

[Revolution]

Ich würde mich freuen wenn, es mir einer kurz erklären könnte, wie man hier eine gute und schnelle Lösung finden könnte.

Der war gut Exchange schnell und einfach . Ohne dir deine Hoffnungen nehmen zu wollen so was gibt es in dem Fall nicht.

- Exchange Server 2003 ( in der Domäne) kommuniziert über ein Mailrelay (DMZ) nach draußen

Ich denke das hier auch Hardware hinzugekauft werden müsste.

Und da ist der Punkt wo ich dir sagen muss das es wirtschaftlich nicht sehr sinnvoll ist für Exchange 2003 neue Hardware zu beschaffen. Bzw noch irgendwelche neuen Funktionen einbauen zu wollen. Das ding hat noch ein Jahr bis es EOF ist... Somit ist es eher an der Zeit sich über Exchange 2010/2013 Gedanken zu machen.

Da dir hier aufgrund de Komplexität aber vermutlich niemand ne gut Anleitung schreiben wird empfehle ich dir einfach mal diese Seite dort solltest du denke ich eine Antworten für dich finden.

 

[nubi80]

Exchange OWA auf SSL umstellen, diese Website nach aussen öffnen, eine Feste IP-Adresse und eine Subdomain auf selbige bereitstellen und ein Exchange zertifikat auf diese Subdomain von einer CA ausstellen lassen, Das Root Zertifikat auf deinem Handy installieren und über Active Sync dein Handy mit dem Exchange Server verbinden.
Wenn du jetzt noch weißt wo dir der Kopf steht, loslegen, ansonsten ein Systemhaus deines Vertrauens zu Rate ziehen. Trivial ist das wahrlich nicht wie mein Vorredner schon treffend formuliert hat.

so long
nubi

 

[BB7]

@ Revolution

Zum Exchange 2003: hier erfolgt demnächst ein Update auf 2010. Mein Vorgesetzter will, dass ich die möglichen Varianten herausfinde und diese mit Zahlen hinterlege, daher auch meine Frage an Euch Experten.

Welche Seite meinst Du?

@ nubi80
Danke für die kurze aber Inhaltreiche zusammengefasste Antwort.
Alles in allem scheitert es bei uns an der Tatsache, dass unser Exchange von außen nicht über eine feste IP-Adresse erreichbar ist.

Ich fasse kurz zusammen.
Bei der jetzigen Lösung (Exchange 2003) wäre folgendes Nötig:
- feste IP inkl. Domain (müsste in der DMZ landen wenn ich es richtig verstehe)
- SSL-Zertifikat

Der Einsatz eines ISA-Servers wäre hier nicht nötig.

Würde eine MDM-Lösung wie z.B. MobileIron das Problem hier auch lösen?? Denn laut meinen Infos würde die MDM-Software ja mit dem Exchange kommunizieren und das Bindeglied darstellen, da es ja von außen erreichbar ist (MDM-Software in der DMZ).

 

[Frightener]

Eine feste IP brauchst Du nicht unbedingt. Per DynDNS Anbieter kannst Du Dein Vorhaben auch mit dynamischer IP umsetzen. Das Zertifikat kann auch ein self signed Zertifikat des Exchange Servers sein. Das müßte dann manuell auf den Clients installiert werden. Das ist insgesamt nicht die sauberste Lösung, funktioniert aber. Natürlich muß der Exchange Server von außen erreichbar sein. Sei es direct (empfehle ich nicht) oder indirect z.B. über den Microsoft TMG (Nachfolger des ISA Servers). Der TMG wurde allerdings von Micosoft auch schon abgekündigt.

MobileIron kenne ich nicht. Exchange über einen TMG zu veröffentlichen ist eigentlich einfach.

 

[BB7]

@ FBrenner

Hast Du zufällig eine gute Anleitung parat?? Würde mich darüber sehr freuen.

 

[DerGast]

Zu was ne Anleitung?
Zum TMG oder zum Exchange (mobile Anbindung)?

Das sind zwei Themen in die man sich einlesen muss... um auch den Hintergrund zu verstehen.
Die Einstiegsschulung dauert ne Woche..

Ich denke dass MSXFAQ.de ein guter Anfang wäre.
Ansonsten gibt es auch Lektüre - ggf. gebraucht.

Übrigens: wer sich über Hardware und eine MDM Lösung Gedanken macht, sollte nicht an einem offiziellen Zertifikat sparen, die Kosten sind da überschaubar und auch für das MDM sinnvoll.

 

[BB7]

Zu was ne Anleitung?
Zum TMG oder zum Exchange (mobile Anbindung)?

Das sind zwei Themen in die man sich einlesen muss... um auch den Hintergrund zu verstehen.
Die Einstiegsschulung dauert ne Woche..

Ich denke dass MSXFAQ.de ein guter Anfang wäre.
Ansonsten gibt es auch Lektüre - ggf. gebraucht.

Übrigens: wer sich über Hardware und eine MDM Lösung Gedanken macht, sollte nicht an einem offiziellen Zertifikat sparen, die Kosten sind da überschaubar und auch für das MDM sinnvoll.

Eine Anleitung zum TMG denn hier wäre laut FBrenner keine IP notwendig.

Mir geht es in erster Linie darum zu erfahren, was für ein Einsatz notwendig wäre um ActiveSync zum laufen zu bringen (Kosten).
Desweiteren will mein Chef wohl gern die Sache mit dem ActiveSync und einer MDM-Lösung gegenüber gestellt sehen (Vorteile/Nachteile sowie Kosten).

Alles in allem Lösungen und der damit verbundene Aufwand in Zahlen ausgedrückt. Da ich ein Anfänger auf diesem Gebiet bin und bis jetzt keine Erfahrung mit Exchange hatte, steh ich da momentan etwas zwischen den Stühlen, da ich bis morgen eine Antwort geben soll.

 

[Frightener]

Du brauchst keine feste IP. Die brauchst Du generell bei EAS nicht unbedingt. Das hat mit dem TMG nichts zu tun.

Eine Anleitung habe ich nicht. Ich hatte die Konfiguration zumindest so ca. 2 Jahre laufen, somit weiß ich, daß es funktioniert (dynamische IP 1und1, TMG, nicht öffentliches Zertifikat).

Letztedndlichist es eine Sache der Sicherheit. Mit dem TMG hast Du nochmal eine Firewall, die allerdings auch beherrscht werden muß. Ein Systemhaus wäre hier der bessere Ansprechpartner, wenn Du konkrete Lösungsvorschläge inkl. Aufwand haben möchtest.

 

[BB7]

@ FBrenner

Ich steige grad nicht durch.

Hier einmal die vorhandene Struktur:

- Exchange Server 2003 ( in der Domäne) kommuniziert über ein Mailrelay (DMZ) nach draußen
- Outlook Web Access ist vorhanden, jedoch nicht von außen erreichbar

Wie soll das nun funktionieren?

Um z.B. von außen auf meine Mail zugreifen zu können bräuchte ich normalerweise eine Adresse die von außen erreichbar ist (z.B. https://exchange.contoso.com), die ich nicht habe.

 

[Frightener]

Richte eine DNS Namen bei einem DynDNS Provider ein, der auf die IP Eures Internetzugangs verweist. Diese IP muß entweder durch den Router oder eine Software aktuell gehalten werden. An der Firewall/Router muß dann Port 443 auf den Exchange Server weitergeleitet werden. Das Zertifikat des Exchange Servers muß auf den Clients (PCs, Smartphones) installiert werden.

 

[BB7]

@ FBrenner

Danke für die Erklärung. Ich habe im Unternehmen jedoch keine Berechtigungen um es testen zu können, daher werde ich es zu Hause wenn ich Zeit habe mal ausprobieren.

Wenn ich es richtig verstanden habe läuft es nicht ohne eine feste Adresse, ist das soweit richtig.

 

[Frightener]

Wie soll das sonst funktionieren?

 

[BB7]

Wie soll das sonst funktionieren?

Das war ja unter anderem eine meiner Fragen, ob es auch anders gehen könnte.

 

[Frightener]

Naja, Verbindung zum Server brauchst Du schon, um auf den Server zugreifen zu können...

 

[DerGast]

Wenn ich es richtig verstanden habe läuft es nicht ohne eine feste Adresse, ist das soweit richtig.

Meinst Du feste "URL Adresse" oder feste IP Adresse?
Ohne feste IP funktioniert es über dyndns, ohne Adresse aber nicht.
TMG macht das ganze sicherer... genau so wie eine Astaro zum Beispiel.
Aber auch hier: wenn man sich damit nicht auskennt macht es keinen Sinn.

MDM Lösungen bringen im Zeitalter des BYOD beträchtlich viel - wenn man sich (als Mitarbeiter mit dem eigenen Gerät) darauf einlässt.
Was willst Du damit erreichen?
Sicherheit? Konfiguration vereinfachen?
Kontrolle über die Teile erlangen (Jailbrakes, Apps...)?

Ich frage mich gerade warum Du dich darum kümmern musst... habt ihr keinen Dienstleister der auch MDM anbietet?
Wie soll jemand der die Sache schon technisch nicht versteht Angaben über die Investition machen?

Eine Migration von Exch2003 auf Exch2010 besteht aus ein wenig mehr als nur einen weiteren Server zu installieren...?
Das macht man nicht in zwei Tagen nebenbei...

 

[BB7]

Meinst Du feste "URL Adresse" oder feste IP Adresse?
Ohne feste IP funktioniert es über dyndns, ohne Adresse aber nicht.
TMG macht das ganze sicherer... genau so wie eine Astaro zum Beispiel.
Aber auch hier: wenn man sich damit nicht auskennt macht es keinen Sinn.

Ich meine IP-Adresse/URL.

Das migrieren zu 2010 macht ein Kollege. Wie ich schon sagte bin ich nur ein Azubi und soll den Aufwand der entstehen würde ermitteln.

Zum Thema MDM: hier haben wir uns schon einiges angeguckt und es geht am Ende denke ich darum, was sich Kostentechnisch am Ende rechnet bzw. umsetzen lassen kann (ActiveSync oder eine MDM-Lösung). Das man mit einer MDM-Lösung mehr überwachen kann ist mir klar.

 

[Frightener]

IP und 'URL' sind zwei Paar Schuhe. IP muß nicht fest sein, DNS Name schon.

 

[nubi80]

Als IT-Dienstleister aus einem Microsoft-Systemhaus würde ich dir ohne das Netz gesehen nur anhand deinen bisherigen Informationen sagen.....mach ich in ca 4-8 Stunden.....Mit Exchange Migration eher 8-12, das ganze über Active Sync.
Jetzt nimmst nen Stundensatz deiner Wahl und rechnest das ganze mal gegen.

 

[DerGast]

Was machst Du in 4-8 Stunden? Die Push-Mail Konfiguration?
Und in 8-12 Stunden eine Exchangemigration über Active Sync?

Ohne Background Infos über die vorhandene Struktur?

Mal zum Thema:
Ohne vorhandenen Schutz, sprich Firewall, würde ich den Gedanken verwerfen. Den Exchange nahezu ungeschützt ins Netz zu stellen ist eine fragwürdige Praxis, auch wenn es vor ein paar Jahren noch "üblich" war. Ein Nessus Scan und schon hat man ein paar Lücken gefunden. Also Firewall her (reverseproxy, Application Firewall... wie auch immer... Bietet zudem andere Vorteile)

Bei euch stelle ich mir zudem noch die Frage nach der internen Struktur und den Gegebenheiten.
Sicherheit, Hardware (Server) und Clients (Outlook).
Ich sage mal vorsichtig... wer einen schnellen Wagen fährt (tolle Basis), sollte nicht an den Bremsen sparen (Sicherheit, Firewall, Backups..).

Ohne Informationen über euer Netzwerk, ohne "Gewissheit" dass euer Netzwerk läuft und ohne euch einmal besucht zu haben um die Anforderungen zu klären, würde ich jedes pauschale Angebot ablehnen weil entweder jemand am Werk ist der "alles kann" (typische Hinterhofwerkstattmentalität) oder eben die Kohle benötigt um zu überleben und ein Verlustgeschäft riskiert, und damit eben auch früher oder später überfordert ist.
Ich hatte selber schon einige Installationen... und wenn man dann auf einmal erst das Netzwerk fixen darf, ist das für den Kunden auch nicht sonderlich glücklich.
Für die nächste Mig plane ich drei Tage ein, bis wirklich alles läuft (Postfächer, Public Folder, Berechtigungen etc) rechne ich eine Woche.

Zur MDM: deine Anforderung ist wieder so nichtssagend. Wieviele Smartphones habt ihr denn?
Was wollt ihr erreichen?
MDM und ActiveSync sind zwei verschiedene Ansätze die kein "entweder, oder" benötigen, sondern sich im besten Fall ergänzen.
Das ist sowas wie "Möchten sie ein RAID, oder ein Backup?"

Hier werdet ja wohl Kontakt zu einem Dienstleister haben der sowas kann...?
Anrufen, nach Angebot fragen, ein wenig recherchieren und schon hast Du eine Hausnummer.