Estou lendo a documentação para implantação do Exchange 2007 e estou intrigado com uma seção. Eu pretendia colocar a função Edge em sua própria máquina sem domínio na DMZ e as funções restantes em outra máquina na DMZ. A ideia era que a função de borda teria apenas as portas necessárias abertas para entrega de correio e seria capaz de acessar o servidor back-end que hospeda as outras funções, uma vez que elas estão no mesmo segmento de rede. O servidor back-end executaria a função CAS (entre outras), fornecendo OWA e Exchange Activesync por meio do firewall. As únicas portas abertas da DMZ para a rede privada interna seriam as portas necessárias para autenticação do AD para o servidor back-end.
O problema vem do fato de que tudo que estou lendo diz que a função de borda deveria estar na DMZ conforme descrito, mas que as funções restantes não deveriam estar na DMZ, mas sim na LAN privada. Prossegue dizendo que o OWA e o Exchange ActiveSync devem ser publicados no ISA ou expostos diretamente na Internet. Não tenho (ou particularmente quero) um servidor ISA e parece contra-intuitivo expor um servidor na LAN privada diretamente à Internet.
Estou interpretando mal isso? Devo apenas colocar o servidor back-end na DMZ conforme planejado e terminar com isso?
Responder1
A razão pela qual a Microsoft recomenda que você use o ISA para publicar o OWA na Internet é superar a sensação "contra-intuitiva" que você está tendo ao expor um servidor na LAN diretamente à Internet (pelo menos, na camada 3).
Eu não colocaria meu servidor de back-end hospedando as outras funções do Exchange na DMZ, se não fosse por outro motivo, acho que não gostaria de expor meu dispositivo de firewall a todo o tráfego do cliente Outlook de computadores na LAN.
Se você não se sentir confortável em expor o servidor que hospeda o OWA e o ActiveSync na camada 3, pegue algum proxy HTTP de código aberto e coloque-o entre a Internet e a LAN para fazer proxy HTTP no OWA.
Responder2
Dependendo do seu tamanho e necessidades, você pode simplesmente pular a função de borda e usar um filtro de vírus/spam de terceiros (aprovador, postini, etc.). Seguimos esse caminho, já que era a única funcionalidade do Edge de que precisávamos, e eu também não tinha vontade de usar o servidor ISA.