Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 758 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF Forum - Fragen

beth
Hallo,
gibts eigentlich noch keinen eigenen Bereich für WAF Fragen?
Ich hab hier ein Problem mit Activesync / OWA über die gleiche Regel. (Sobald ich Urlrewrite aktiviere wird nicht mehr syncronisert - dafür funktioniert dann owa)

lg


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    ich hatte vor ner Woche die selbe Problematik und es tagelang durchprobiert mit pfade, ausnahmen etc....ich bin daran gescheitert....Und dabei gibt es in der Astaro Hilfe extra noch einen Hinweis, gerade für OWA....:-) 

    Die einzigste Methode die bei mir funktionierte, um alle Exchange Dienste bis auf "RPC über HTTPS" freizuschalten im WAF Portal, war folgende....

    Einen Echten Web Server anlegen.....unter Port 443 SSL....
    dann einen Virtuellen Web Server anlegen mit Port 443, der auf der Externen Schnittstelle abhört...

    Das Zertifikat sollte mit dem externen Domänennamen übereinstimmen und auch eingetragen sein... 

    Kannste auch HTTP nehmen , aber dann bitte auch im echten Webserver HTTP auswählen... 

    Unter Firewall Profil hab ich ein zuvor erstelltes ausgewählt....den Haken bei Enable HTML Rewriting entfernt...

    In der Registerkarte "FIrewall Profil" habe ich wie eben o.g. eines angelegt für den virtuellen Webserver und mit folgenden Optionen gesetzt: 

    Modus "reject"
    Haken bei SQL FIlter
    Haken bei Cross Site Scripting FIlter
    Haken bei Antivirus Scan verwenden "Einzelscan, nur Uploads"

    Kein Haken bei Cookie Signierung und kein Haken bei URL Hardening setzen....

    Das wars eigentlich, damit könntest du deinen ganzen Exchange Server bis auf RPC über HTTPS veröffentlichen....

    Ich hab es mit Ausnahmen versucht, und auch die ganzen Pfade für den guten Exchange angelegt...aber ich bin daran gescheitert....verschwendete Zeit *gg..Ich behaupte daher...der URL Hardening im Bezug auf die PFADE funktioniert daher unter Exchange nicht. 

    Dennoch hat mich dieser Weg nicht wirklich überzeugen können. Wenn mich jemand eines besseren belehren will, so hör ich gern zu.  Vorrausgesetzt aber, er hat es geschafft WAF vollständig mit den Exchange Pfaden zum laufen zu kriegen..

    Daher habe ich es anders gelöst und zunächst die WAF Config gelöscht, anschließend einen Packetfilter erstellt....und einen DNAT Eintrag angelegt..

    Das funktioniert immer und 100% mit dem Exchange.. Nachteil ist...es bricht den ganzen IIS auf....daher bin ich einen Schritt weitergegangen und habe zusätzlich die gesamte eingehende Anfragen (HTTPS) an einen ISA Server, der wiederrum in einer seperaten Netzwerkzone lauscht, weitergeleitet. Der ISA Server macht nun die ganzen Webserververöffentlichungen und das funktioniert bis jetzt sehr gut. 

    mfg

    Lonesome_Walker
Reply
  • 0
    Hi,

    ich hatte vor ner Woche die selbe Problematik und es tagelang durchprobiert mit pfade, ausnahmen etc....ich bin daran gescheitert....Und dabei gibt es in der Astaro Hilfe extra noch einen Hinweis, gerade für OWA....:-) 

    Die einzigste Methode die bei mir funktionierte, um alle Exchange Dienste bis auf "RPC über HTTPS" freizuschalten im WAF Portal, war folgende....

    Einen Echten Web Server anlegen.....unter Port 443 SSL....
    dann einen Virtuellen Web Server anlegen mit Port 443, der auf der Externen Schnittstelle abhört...

    Das Zertifikat sollte mit dem externen Domänennamen übereinstimmen und auch eingetragen sein... 

    Kannste auch HTTP nehmen , aber dann bitte auch im echten Webserver HTTP auswählen... 

    Unter Firewall Profil hab ich ein zuvor erstelltes ausgewählt....den Haken bei Enable HTML Rewriting entfernt...

    In der Registerkarte "FIrewall Profil" habe ich wie eben o.g. eines angelegt für den virtuellen Webserver und mit folgenden Optionen gesetzt: 

    Modus "reject"
    Haken bei SQL FIlter
    Haken bei Cross Site Scripting FIlter
    Haken bei Antivirus Scan verwenden "Einzelscan, nur Uploads"

    Kein Haken bei Cookie Signierung und kein Haken bei URL Hardening setzen....

    Das wars eigentlich, damit könntest du deinen ganzen Exchange Server bis auf RPC über HTTPS veröffentlichen....

    Ich hab es mit Ausnahmen versucht, und auch die ganzen Pfade für den guten Exchange angelegt...aber ich bin daran gescheitert....verschwendete Zeit *gg..Ich behaupte daher...der URL Hardening im Bezug auf die PFADE funktioniert daher unter Exchange nicht. 

    Dennoch hat mich dieser Weg nicht wirklich überzeugen können. Wenn mich jemand eines besseren belehren will, so hör ich gern zu.  Vorrausgesetzt aber, er hat es geschafft WAF vollständig mit den Exchange Pfaden zum laufen zu kriegen..

    Daher habe ich es anders gelöst und zunächst die WAF Config gelöscht, anschließend einen Packetfilter erstellt....und einen DNAT Eintrag angelegt..

    Das funktioniert immer und 100% mit dem Exchange.. Nachteil ist...es bricht den ganzen IIS auf....daher bin ich einen Schritt weitergegangen und habe zusätzlich die gesamte eingehende Anfragen (HTTPS) an einen ISA Server, der wiederrum in einer seperaten Netzwerkzone lauscht, weitergeleitet. Der ISA Server macht nun die ganzen Webserververöffentlichungen und das funktioniert bis jetzt sehr gut. 

    mfg

    Lonesome_Walker
Children
No Data