Exchange 2007 の展開に関するドキュメントを読んでいるのですが、あるセクションで困惑しています。エッジ ロールを DMZ 内の独自の非ドメイン マシンに配置し、残りのロールを DMZ 内の別のマシンに配置するつもりでした。エッジ ロールにはメール配信に必要なポートのみが開かれ、他のロールが同じネットワーク セグメント内にあるため、他のロールをホストしているバックエンド サーバーにアクセスできると考えていました。バックエンド サーバーは CAS ロール (その他) を実行し、ファイアウォールを介して OWA と Exchange Activesync を提供します。DMZ から内部プライベート ネットワークに開かれるポートは、バックエンド サーバーの AD 認証に必要なポートのみです。
問題は、私が読んでいるすべての資料で、エッジ ロールは説明どおり DMZ に配置する必要があるが、残りのロールは DMZ ではなくプライベート LAN に配置する必要があると述べられていることにあります。さらに、OWA と Exchange ActiveSync は ISA 経由で公開するか、インターネットに直接公開する必要があるとも述べられています。私は ISA サーバーを持っていません (または特に必要としていません)。プライベート LAN 上のサーバーをインターネットに直接公開するのは直感に反するように思えます。
私はこれを誤解していますか? バックエンド サーバーを計画どおり DMZ に配置して、それで完了するべきでしょうか?
答え1
Microsoft が ISA を使用して OWA をインターネットに公開することを推奨する理由は、LAN 上のサーバーをインターネットに直接公開すること (少なくともレイヤー 3) に関してユーザーが抱く「直感に反する」感覚を克服するためです。
他の Exchange ロールをホストしているバックエンド サーバーを DMZ に配置することはしません。理由は、ファイアウォール デバイスを LAN 上のコンピューターからのすべての Outlook クライアント トラフィックに公開したくないと思うからです。
OWA と ActiveSync をホストしているサーバーをレイヤー 3 で公開することに不安がある場合は、オープン ソースの HTTP プロキシを入手し、インターネットと LAN の間に配置して、HTTP を OWA にプロキシします。
答え2
規模とニーズによっては、エッジ ロールをスキップして、サード パーティのウイルス/スパム フィルター (appriver、postini など) を使用する必要があるかもしれません。必要なのはエッジ機能だけだったので、その方法を選択しました。また、ISA サーバーを使用する気も特にありませんでした。