Exchange 2019 und H...
 
Benachrichtigungen
Alles löschen

Exchange 2019 und HSTS

8 Beiträge
2 Benutzer
1 Reactions
1,985 Ansichten
AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter  

Hallo,

da wir im Zuge der März 2022 SUs auch immer wieder einen Blick auf die generelle Sicherheit von Exchange und IIS legen, kamen wir auf die Idee, auf dem IIS das HSTS zu aktivieren.

Das funktioniert soweit problemlos und einfach. Die SSLLabs liefern danach eine A+ Bewertung - soweit alles gut.

Nur das Exchange selbst hunzt etwas.

So meldet die EMS einen Fehler und auch die Warteschlangen GUI:


Was muss denn neben den IIS Einstellungen für HSTS noch im Exchange eingestellt werden, damit es sauber funzt?

Danke für Eure Hinweise.

 

Danke und liebe Grüße.


   
Zitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 

Im Idealfall macht man das nicht im IIS (da gibts diverse Stolpersteine wie du grad siehst) sondern auf dem vorgelagerten Reverse Proxy (Firewall, Loadbalancer). 


   
AntwortZitat

AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter  

Danke @NorbertFe -> ja und wenn der Kunden keinen Reverse Proxy hat (betrifft ja vor allem die kleineren Installationen) - gibt es da irgendwo eine Anleitung für Exchange nativ?

Danke!

Danke und liebe Grüße.


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 
Veröffentlicht von: @alphasupport

gibt es da irgendwo eine Anleitung für Exchange nativ?

Na die hast du ja umgesetzt mit den jetzt auftretenden Problemen. Soweit mir bekannt, gibts keine andere Variante, die Exchange selbst mitbringt.


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 
Veröffentlicht von: @alphasupport

ja und wenn der Kunden keinen Reverse Proxy hat (betrifft ja vor allem die kleineren Installationen)

Wäre das jetzt ein guter Zeitpunkt, den Kunden zu erklären, wozu man sowas braucht. ;)


   
AntwortZitat
AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter  

@norbertfe - Danke. Du bist ja heute richtig hip drauf! Heißt also MS hat das gar nicht recht auf dem Bildschirm, das MS IIS Team hat es zwar umgesetzt, das MS Exchange Team noch nicht. Also warten wir auf EX2022 und TLS1.3 ...

LG

Danke und liebe Grüße.


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1496
 
Veröffentlicht von: @alphasupport

Heißt also MS hat das gar nicht recht auf dem Bildschirm, das MS IIS Team hat es zwar umgesetzt, das MS Exchange Team noch nicht. Also warten wir auf EX2022 und TLS1.3 ...

Ich vermute, MS hat das im Blick, geht aber nicht mehr davon aus, dass das die sinnvollste Lösung ist, direkt auf den IIS/Exchange zu lotsen. Wenns "kleine" Kunden sind, kann man sich immer auch den Kemp Free Loadmaster anschauen, der all das schon kann.


   
AlphaSupport reacted
AntwortZitat
AlphaSupport
(@alphasupport)
Trusted Member
Beigetreten: Vor 5 Jahren
Beiträge: 59
Themenstarter  
Veröffentlicht von: @norbertfe

Wenns "kleine" Kunden sind, kann man sich immer auch den Kemp Free Loadmaster anschauen, der all das schon kann.

Danke für die Info - den kannte ich wirklich noch nicht, hört sich aber gut an.

Danke und liebe Grüße.


   
AntwortZitat

Teilen: