Estoy leyendo la documentación para implementar Exchange 2007 y una sección me desconcierta. Tenía la intención de colocar el rol de Edge en su propia máquina sin dominio en la DMZ y los roles restantes en otra máquina en la DMZ. La idea era que la función perimetral solo tendría los puertos necesarios abiertos para la entrega de correo y podría acceder al servidor backend que aloja las otras funciones, ya que están en el mismo segmento de red. El servidor backend ejecutaría la función CAS (entre otras), proporcionando OWA y Exchange Activesync a través del firewall. Los únicos puertos abiertos desde la DMZ a la red privada interna serían los puertos requeridos para la autenticación AD para el servidor backend.
El problema proviene del hecho de que todo lo que estoy leyendo dice que la función perimetral debe estar en la DMZ como se describe, pero que las funciones restantes no deben estar en la DMZ, sino en la LAN privada. Continúa diciendo que OWA y Exchange ActiveSync deben publicarse mediante ISA o exponerse directamente a Internet. No tengo (o particularmente no quiero) un servidor ISA, y parece contrario a la intuición exponer un servidor en la LAN privada directamente a Internet.
¿Estoy leyendo esto mal? ¿Debería simplemente colocar el servidor backend en la DMZ como estaba planeado y terminar de una vez?
Respuesta1
La razón por la que Microsoft recomienda el uso de ISA para publicar OWA en Internet es para superar la sensación "contraintuitiva" que tiene al exponer un servidor en la LAN directamente a Internet (al menos, en la capa 3).
No colocaría mi servidor backend que aloja las otras funciones de Exchange en la DMZ, aunque solo sea por no creo que quiera exponer mi dispositivo firewall a todo el tráfico del cliente Outlook desde las computadoras en la LAN.
Si no se siente cómodo exponiendo el servidor que aloja OWA y ActiveSync en la capa 3, tome algún proxy HTTP de código abierto y colóquelo entre Internet y la LAN para convertir HTTP en OWA.
Respuesta2
Dependiendo de su tamaño y necesidades, es posible que desee omitir la función perimetral y optar por un filtro de virus/spam de terceros (appriver, postini, etc.). Seguimos ese camino, ya que era la única funcionalidad de Edge que necesitábamos, y tampoco tenía muchas ganas de usar el servidor ISA.