Я читаю документацию по развертыванию Exchange 2007 и меня озадачивает один раздел. Я намеревался разместить роль Edge на ее собственной машине без домена в DMZ, а остальные роли — на другой машине в DMZ. Мысль была в том, что роль Edge будет иметь только необходимые порты, открытые для доставки почты, и она сможет получить доступ к внутреннему серверу, на котором размещены другие роли, поскольку они находятся в одном сегменте сети. Внутренний сервер будет выполнять роль CAS (помимо прочего), предоставляя OWA и Exchange Activesync через брандмауэр. Единственными портами, открытыми из DMZ во внутреннюю частную сеть, будут требуемые порты для аутентификации AD для внутреннего сервера.
Проблема в том, что все, что я читаю, говорит о том, что роль Edge должна быть в DMZ, как описано, но что остальные роли не должны быть в DMZ, а должны быть в частной локальной сети. Далее говорится, что OWA и Exchange ActiveSync должны быть опубликованы через ISA или напрямую доступны в Интернете. У меня нет (или я не хочу) сервера ISA, и кажется нелогичным выставлять сервер в частной локальной сети напрямую в Интернет.
Я неправильно понял? Мне просто поместить бэкэнд-сервер в DMZ, как и планировалось, и на этом закончить?
решение1
Причина, по которой Microsoft рекомендует использовать ISA для публикации OWA в Интернете, заключается в том, чтобы преодолеть «противоречащее здравому смыслу» чувство, которое возникает при открытии сервера в локальной сети непосредственно в Интернете (по крайней мере, на уровне 3).
Я бы не стал размещать свой внутренний сервер, на котором размещены другие роли Exchange, в DMZ хотя бы потому, что не хочу подвергать свое устройство брандмауэра воздействию всего клиентского трафика Outlook с компьютеров в локальной сети.
Если вас не устраивает размещение сервера OWA и ActiveSync на уровне 3, возьмите какой-нибудь HTTP-прокси с открытым исходным кодом и разместите его между Интернетом и локальной сетью для проксирования HTTP в OWA.
решение2
В зависимости от вашего размера и потребностей, вы можете просто пропустить роль Edge и использовать сторонний фильтр вирусов/спама (appriver, postini и т. д.). Мы пошли по этому пути, поскольку это была единственная функциональность Edge, которая нам была нужна, и мне не особо хотелось использовать сервер ISA.