Ich lese gerade die Dokumentation zur Bereitstellung von Exchange 2007 durch und bin von einem Abschnitt verwirrt. Ich wollte die Edge-Rolle auf einem eigenen, nicht zur Domäne gehörenden Computer in der DMZ platzieren und die übrigen Rollen auf einem anderen Computer in der DMZ. Dabei ging ich davon aus, dass die Edge-Rolle nur die erforderlichen Ports für die E-Mail-Zustellung geöffnet hätte und auf den Backend-Server zugreifen könnte, der die anderen Rollen hostet, da sie sich im selben Netzwerksegment befinden. Der Backend-Server würde (unter anderem) die CAS-Rolle ausführen und OWA und Exchange Activesync durch die Firewall bereitstellen. Die einzigen Ports, die von der DMZ zum internen privaten Netzwerk geöffnet wären, wären die erforderlichen Ports für die AD-Authentifizierung für den Backend-Server.
Das Problem besteht darin, dass alles, was ich lese, besagt, dass die Edge-Rolle wie beschrieben in der DMZ sein sollte, die übrigen Rollen jedoch nicht in der DMZ, sondern im privaten LAN. Weiter heißt es, dass OWA und Exchange ActiveSync über ISA veröffentlicht oder direkt dem Internet zugänglich gemacht werden sollten. Ich habe keinen ISA-Server (und möchte auch keinen), und es scheint mir kontraintuitiv, einen Server im privaten LAN direkt dem Internet zugänglich zu machen.
Habe ich das falsch verstanden? Soll ich den Backend-Server einfach wie geplant in die DMZ stellen und damit fertig sein?
Antwort1
Der Grund für die Empfehlung von Microsoft, ISA zur Veröffentlichung von OWA im Internet zu verwenden, besteht darin, das „kontraintuitive“ Gefühl zu überwinden, das Sie im Hinblick auf die direkte Aussetzung eines Servers im LAN dem Internet (zumindest auf Schicht 3) haben.
Ich würde meinen Backend-Server, auf dem die anderen Exchange-Rollen gehostet werden, nicht in die DMZ stellen, und sei es nur, weil ich mein Firewall-Gerät nicht dem gesamten Outlook-Client-Datenverkehr von Computern im LAN aussetzen möchte.
Wenn Sie den Server, auf dem OWA und ActiveSync gehostet werden, nicht auf Ebene 3 verfügbar machen möchten, können Sie einen Open-Source-HTTP-Proxy verwenden und ihn zwischen Internet und LAN platzieren, um HTTP per Proxy in OWA zu übertragen.
Antwort2
Abhängig von Ihrer Größe und Ihren Anforderungen möchten Sie möglicherweise einfach auf die Edge-Rolle verzichten und einen Viren-/Spamfilter eines Drittanbieters (Appriver, Postini usw.) verwenden. Wir haben uns für diesen Weg entschieden, da dies die einzige Edge-Funktionalität war, die wir benötigten, und ich auch keine besondere Lust hatte, den ISA-Server zu verwenden.