Office 365 Ports
Wer Dienste in der Cloud nutzt, muss Ports von innen nach außen erlauben aber auch gewisse Dienste von extern erreichbar machen. Microsoft publiziert sowohl die Ports, Dienste als auch die IP-Adressen. Aber das reicht vielen Firewall-Administratoren nicht beim Planungsgespräch, weil die Angaben zu vage sind und für die Einrichtung der Regeln durchaus belastbarere Informationen zu den Diensten und Protokollen vorliegen sollen. Es ist schon klar, dass mittlerweile die meisten Dienste sich durch 443/TCP tunneln. Aber die meisten Firewalls können auch solche Protokolle betrachten und ggfls. blocken.
Firewall, NAT und Proxy
Größere Firmen setzen auch spezielle Application Proxy Server ein, die z.B. HTTPS aber auch SIP mit dynamisch erstellten vertrauenswürdigen Zertifikaten doch wieder öffnen und bewerten. Während kleinere Firmen den Zugriff aufs Internet in der Regel gar nicht beschränken und einfach per NAT die Verbindungen umsetzen, werden in größeren Firmen oft die Ports beschränkt oder sogar eigene Application-Proxyserver aufgesetzt. Da immer mehr Dienste mit allen drei Varianten zurecht kommen wollen, hat es sich schon zum Standard entwickelt, Daten einfach in 443/TLS zu tunneln, also so zu tun, als wenn hier nur "gesurft" wird. Ausgehend 443 ist meist offen und selbst Proxy Server überbrücken TLS-Verbindungen oft einfach nur, weil sie in der Regel nicht tiefer hinein schauen dürfen. Technisch kann man als Firma schon auch SSL-Verbindungen inspizieren.
In der Gegenrichtung muss eine Firma mit Office 365 aber auch eventuell Dienste veröffentlichen, z.B. ADFS-Server oder für den Hybrid-Betrieb entsprechende Exchange CAS-Server und Lync Dienste. Auch hier kann man als kleine Firma vieleicht einfach mit Reverse-NAT arbeiten. Webdienste hingegen stellt man doch lieber per Reverse Proxy bereit. Dies gilt ins besondere, wenn man die URLs besser absichern will oder intern eine Lastverteilung auf mehrere Server vornehmen muss.
Der Überblick
Ich habe mal versucht alle Office 365 Dienst auf der rechten Seite aufzulisten und die verschiedenen Clients auf der linken Seite, wohlwissend, dass sich Zugriff und Dienste sehr schnell auch wieder ändern können.
Der Weg von innen Richtung Cloud kann in der Regel über einen HTTP-Proxy oder NAT erfolgen. Nur wenn gesonderte Relaysysteme erforderlich (z.B. ADFSProxy, Lync Edge) oder ratsam (z.B. Exchange Reverse Proxy) sind, habe ich diese auf dem roten "Relay"-Bereich platziert.
Man kann recht gut sehen, dass in den meisten Fällen "443" zum Einsatz kommt und ein paar "exotische" Dienste wie IMAP/POP noch andere Ports nutzen. Auch wer ein VPN in die Azure-Cloud aufbauen will, braucht unter anderem zusätzliche Ports und Lync versucht neben 443 natürlich auch High Ports (50.000-50059) und 3478/UDP.
Weitere Links
- Office 365 Netzwerkziele
- Office 365: Portlimit
- Office 365: Proxy/NAT
- 65535 Port-Limit
-
Erforderliche Ports und
Protokolle für die
Hybrid-Identität
https://azure.microsoft.com/de-de/documentation/articles/active-directory-aadconnect-ports/ -
Network ports für clients and
mail flow in Exchange 2013
http://aka.ms/Exchange2013Ports
https://technet.microsoft.com/library/bb331973(v=exchg.150).aspx - RSS-Feed für Änderungen bei
Ports/IP-Adressen
http://go.microsoft.com/fwlink/p/?linkid=236301
http://onlinehelp.microsoft.com/en-us/office365-enterprises/o365ip.rss.xml - Von Office 365 verwendete
Ports und Protokolle
https://technet.microsoft.com/de-de/library/hh852522.aspx
https://technet.microsoft.com/en-us/library/hh852522.aspx - Office 365 URLs and IP
address ranges
https://technet.microsoft.com/library/hh373144.aspx - Prepare your organization's
network for Microsoft Teams
https://docs.microsoft.com/en-us/MicrosoftTeams/prepare-network - What firewall ports do I
need open to connect to Office
365 für Education?
http://blogs.technet.com/b/educloud/archive/2011/11/30/what-firewall-ports-do-i-need-open-to-connect-to-office-365-for-education.aspx - About VPN Devices für Virtual Network
https://msdn.microsoft.com/library/azure/jj156075.aspx - Site-to-Azure VPN using
Windows Server 2012 RRAS
http://www.concurrency.com/infrastructure/site-to-azure-vpn-using-windows-server-2012-rras/ - Announcement: Deprecation of
EOP Outbound IP Address Ranges
https://social.technet.microsoft.com/Forums/en-US/e493ef15-17b0-40f2-8b81-003a6f9295f9/announcement-deprecation-of-eop-outbound-ip-address-ranges?forum=onlineservicesexchange