OWA Server in der DMZ

[Neumond 10]

Hallo,

ich habe mir heute die arbeit gemacht und meinen OWA-Frontend-Server in die DMZ eingebettet.

 

Habe die einstellungen in der Firewall angepasst, aber der Front-End kann sich nicht zum DC verbinden. Habe schon jeglichen Verkehr zwischen den beiden Servern genehmigt (auf beiden Firewalls) aber es funktioniert einfach nicht.

 

Bevor ich den Server in die DMZ gestellt habe, habe ich die IP geändert (dem Netz der DMZ entsprechend), dies habe ich auch bei der konfiguration der Firewalls beachetet.

 

Beide Server sind Windows 2003 Standard mit Exchange 2003.

 

Im gleichen Netz funktionieren sie hervorragend.

 

Wer hat ne Idee an was es noch liegen könnte?

 

Gruß Marcus

[Velius 10]

Ich kenne das Problem, aber erstmal vorne weg: Was ist's für ne Firewall (je nachdem fällt die Antwort einfacher aus):D

[pillendreher 10]

Hi Neumond,

 

ich gehe davon aus dass Velius auf die Veröffentlichungsfunktion vom ISA Server hinaus will.

Wenn du den OWA-Server über einen ISA Server veröffentlichst, schützt du den OWA-Server vor direktem externen Zugriff, da der Name und die IP-Adresse des OWA-Server für den Benutzer nicht zugänglich sind. Der Benutzer greift auf den ISA Server-Computer zu, der die Anforderung dann gemäß den Bedingungen deiner Mailserver-Veröffentlichungsregel an OWA weiterleitet. Somit kannst du den OWA evtl im internen Netz belassen und nur den https Port an der internen Firewall freischalten.

 

Gruß

Pille

[Velius 10]

@pillendreher

 

Nein, eigentlich nicht, wäre aber auch 'ne Möglichkeit. Ich hab eine Zeile

...Habe schon jeglichen Verkehr zwischen den beiden Servern genehmigt ...

erst später gelesen, denke aber trotzdem dass es mit der dynamischen High-Port Zuweisung des RPC-Calls zu tun hat. Nun, Check Point FW-1 und ISA beispielsweise können auf Application Layer RPC-Calls inspizieren, ohne Ports 135 & 1024-65*** öffnen zu müssen.

 

Aber ertsmal müsste man mehr Details haben (welche Firewall, was genau wurde freigegeben, was spuckt ping/tracert/nslookup aus). Vielleicht sind's auch blos fehlerhafte DNS-Server Einträge auf dem OWA.....

 

 

Gruss

Velius

[Neumond 10]

Wir haben 2 Firewalls, einmal für die DMZ (Cisco PIX 501) und fürs Interne Netz (Cisco Pix 506). Wir benutzen keinen und möchten auch keinen ISA-Server.

Habe in den Ereignisprotokollen geschaut...

 

Es kommen folgende Fehler für:

 

Netlogon ID 5774

 

Netlogon ID 5775

 

MSExchangeSA ID 9095

 

MSExchangeSA ID 9096

 

MSExchangeSA ID 9098

 

MSExchangeDSAccess ID 2103

 

Diese beziehen sich auf DNS Fehler (Für den DNS wurden andere Server eingetragen), RPC Dienste, Verbindungsstörungen zum DC und Mad-Überwachungsthread.

[Christoph35 10]

Diese beziehen sich auf DNS Fehler (Für den DNS wurden andere Server eingetragen)

 

Der Exchange Server muss aber in der Lage sein, die DCs zu finden. Wenn diese anderen DNS Server dass nicht können, läufst Du eben in genau diese Probleme. Du musst also die für AD korrekten DNS Server eintragen und ggf. DNS in der Backend-Firewall (zw. DMZ und LAN) vom Front-End Exchange zu den DNS Servern zulassen, oder du musst anderweitig dafür sorgen (per Forwarding oder sek. Zone), dass der FE-Exch. die DCs finden kann.

 

Selbst dann wirst Du noch ne Menge Ports öffnen müssen (u.a. NetBIOS (137-139, RPC Endpoint Mapper (135), Port 691 für das Exchange Routing). Es gab auf ISAServer.org mal nen Artikel, der die ganze Latte an Ports gelistet hat. Vielleicht kannst Du den da finden und auf die PIX umsetzen.

 

/edit: hab ihn wiedergefunden :D : Front-end Back-end Exchange Server Trihomed DMZ Network Scenario

 

Unter anderem weil so viele Ports durchlässig sein müssen, empfiehlt MS bei einer Umsetzung mit dem ISA Server, Exch. BE und Exch. FE ins LAN zu setzen...

 

Christoph