我正在通讀部署 Exchange 2007 的文檔,其中有一節令我感到困惑。我打算將 Edge 角色放置在 DMZ 中自己的非網域電腦上,並將其餘角色放置在 DMZ 中的另一台電腦上。我們的想法是,邊緣角色只會打開用於郵件傳送所需的端口,並且它能夠訪問託管其他角色的後端伺服器,因為它們位於同一網段。後端伺服器將運行 CAS 角色(等等),透過防火牆提供 OWA 和 Exchange Activesync。從 DMZ 到內部專用網路開放的唯一連接埠是後端伺服器 AD 驗證所需的連接埠。
問題來自於這樣一個事實:我讀到的所有內容都表明邊緣角色應該位於 DMZ 中,如所述,但其餘角色不應該位於 DMZ 中,而應該位於專用 LAN 中。它還說 OWA 和 Exchange ActiveSync 應該透過 ISA 發布,或直接暴露到 Internet。我沒有(或特別想要)ISA 伺服器,並且將專用 LAN 上的伺服器直接暴露到 Internet 似乎違反直覺。
我讀錯了嗎?我是否應該按計劃將後端伺服器放在 DMZ 中並完成它?
答案1
Microsoft 建議您使用 ISA 將 OWA 發佈到 Internet 的原因是為了克服您的「反直覺」感覺:將 LAN 上的伺服器直接暴露到 Internet(至少在第 3 層)。
如果沒有其他原因,我不會將託管其他 Exchange 角色的後端伺服器放入 DMZ,除非我認為我不想將我的防火牆裝置暴露給來自 LAN 上電腦的所有 Outlook 用戶端流量。
如果您不願意在第 3 層公開託管 OWA 和 ActiveSync 的伺服器,請取得一些開源 HTTP 代理並將其放置在 Internet 和 LAN 之間,以將 HTTP 代理到 OWA。
答案2
根據您的規模和需求,您可能只想跳過邊緣角色並使用第 3 方病毒/垃圾郵件過濾器(apppriver、postini 等)。我們選擇了這條路線,因為這是我們唯一需要的 Edge 功能,而且我也不是特別喜歡使用 ISA 伺服器。