Jump to content

Exchange 2003 Fronend Server Verschieben

Evoco

Von Evoco
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Evoco

Evoco   10

Geschrieben
Geschrieben

Hallo zusammen,

 

momentan haben wir unseren Fronend Exchange Server 2003 in unserem LAN stehen.

Auf diesem läuft natürlich auch OWA.

 

In der DMZ steht:

1. ein Reverseproxy der die OWA Verbindungen weiterleitet

2. ein Exchange Server mit eigenem AD der als Relay fungiert

 

Weil wir aus mehren Gründen einige Veränderungen vornehmen möchten wollen wir jetzt einen neuen Fronend Exchange Server in die DMZ stellen und somit den Service Frondenserver und OWA den momentan ein anderer Exchange Server im LAN macht ablösen.

 

Meine Frage wäre: Ist es problematisch von einem Exchange Server (im LAN) der momentan als Fronend fungiert, diesen Dienst auf einen neuen Exchange Server der in die DMZ kommt zu übertragen bzw. zu ändern.

Ich denke da z.B auch an OWA.

 

Das natürlich von der DMZ in richtung LAN weiter PORTS geöffnet werden müssen ist mir klar ich würde aber gerne Probleme wie nicht Funktion von OWA entgegenwirken wollen.

 

Hättet ihr da Erfahrungen und Infos für mich?

 

Danke und Gruss Evoco

Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben

danke für eure schnellen Antworten.

 

1. Das in der DMZ ein Exchange ist als Relay ist alt Last...

 

2. Zum Thema Frondend in der DMZ wundert mich eure Aussage.

Wenn ich mir den Artikel von MS ansehe

 

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=e64666fc-42b7-48a1-ab85-3c8327d77b70

 

dann werden hier zwei Toplogien vorgeschlagen.

1. ISA in der DMZ und Frondend im LAN

2. Frondend in der DMZ

 

Ich muss ehrlich sagen die Vorstellung Exchange Server in der DMZ überzeugt mich auch nicht wirklich aber mein Vorgesetzter möchte es so.

 

Außer ich könnte ihm absolut stichhaltige Punkte nennen warum wir dies nicht machen sollen. Das was ich bis jetzt in anderen Foren gelesen habe fand ich persönlich nicht stichpunktehaltig genug.

 

Was wären denn für euch die KO kriterien die ihr vorbringen würdet?

 

Gruss Evoco

Link zu diesem Kommentar
BrainStorm Veteran

BrainStorm   10

Geschrieben
Geschrieben

Was wären denn für euch die KO kriterien die ihr vorbringen würdet?

 

Der Frontendserver muß Mitglied deines Active Directories bzw. deiner Domäne sein. Domänenmitglieder gehören auch gerade wegen der Kommunikation mit Domaincontrollern etc. deshalb nicht in eine DMZ.

Es ist zwar möglich, aber allerdings keine empfohlene Konfiguration.

Link zu diesem Kommentar
Dukel Grand Master

Dukel   457

Geschrieben
Geschrieben

Im Dokument steht folgendes zum Thema Front-End Server in die DMZ:

 

Hinweis:

Die Platzierung der Front-End-Server innerhalb des Umkreisnetzwerks stellt eine Methode für die Bereitstellung der Front-End- und Back-End-Topologie innerhalb eines Umkreisnetzwerks dar. Empfohlen wird jedoch die im ersten Szenario Erweiterte Firewall in einem Umgebungsnetzwerk dargelegte Methode. Bei dieser Methode werden die Front-End- und Back-End-Server innerhalb des Intranets und die erweiterte Firewall (wie beispielsweise ISA Server) im Umkreisnetzwerk platziert. Mit der erweiterten Firewall können Anwendungsprotokolle gefiltert und zusätzliche Authentifizierungen für Anfragen durchgeführt werden, bevor eine Zwischenspeicherung im internen Netzwerk erfolgt.

 

Außerdem würde ich keinen Ex. 2003 mehr einsetzen und gleich zu 2007 oder 2010 migrieren und die haben eine Edge Rolle, welche für die DMZ gedacht ist.

 

KO Kriterium ist wie geschrieben, man muss die Firewall so aufmachen, dass man diese eigendlich weglassen könnte.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.104

Geschrieben
Geschrieben (bearbeitet)
2. Zum Thema Frondend in der DMZ wundert mich eure Aussage.

 

Warum? Weil wir ganz klar nur eine technisch sinnvolle Lösung "promoten"?

 

dann werden hier zwei Toplogien vorgeschlagen.

1. ISA in der DMZ und Frondend im LAN

2. Frondend in der DMZ

 

Dann lies aber auch das was drum rumsteht:

In der folgenden Abbildung wird das empfohlene Szenario dargestellt, in dem eine erweiterte Firewall, wie zum Beispiel Microsoft® Internet Security und Acceleration (ISA) Server mit Service Pack1 (SP1) und Feature Pack1, zwischen dem Internet und dem Exchange-Front-End-Server eingesetzt wird.

Oder etwas deutlicher:

http://technet.microsoft.com/de-de/library/aa996948(EXCHG.65).aspx

Hinweis:

Die Platzierung der Front-End-Server innerhalb des Umkreisnetzwerks stellt eine Methode für die Bereitstellung der Front-End- und Back-End-Topologie innerhalb eines Umkreisnetzwerks dar. Empfohlen wird jedoch die im ersten Szenario Erweiterte Firewall in einem Umgebungsnetzwerk dargelegte Methode. Bei dieser Methode werden die Front-End- und Back-End-Server innerhalb des Intranets und die erweiterte Firewall (wie beispielsweise ISA Server) im Umkreisnetzwerk platziert. Mit der erweiterten Firewall können Anwendungsprotokolle gefiltert und zusätzliche Authentifizierungen für Anfragen durchgeführt werden, bevor eine Zwischenspeicherung im internen Netzwerk erfolgt.

 

 

Ich muss ehrlich sagen die Vorstellung Exchange Server in der DMZ überzeugt mich auch nicht wirklich aber mein Vorgesetzter möchte es so.

 

Dann frag ihn einfach warum er das will. Exchange ist kein MTA der für sich alleine da rumsteht. Exchange benötigt IMMER einen Zugriff auf das Produktiv-AD (Ausnahem Edge ab 2007). Und wenn der Zugriff schon da ist, dann würde ich auch definieren wollen, wer da wie draufkommt. Also gibt es genau keinen Sinnvollen Grund das Ding in die DMZ zu stellen, da du die dann so löchrig zum LAN hin öffnen mußt, dass du auch gleich den FE ins LAN stellen kannst.

 

Außer ich könnte ihm absolut stichhaltige Punkte nennen warum wir dies nicht machen sollen. Das was ich bis jetzt in anderen Foren gelesen habe fand ich persönlich nicht stichpunktehaltig genug.

 

Und was hast du da gelesen?

 

Was wären denn für euch die KO kriterien die ihr vorbringen würdet?

 

Ich würde ja eher mal nachfragen, welchen Vorteil ein FE in der DMZ seiner Meinung nach haben sollte?

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
Evoco

Evoco   10

Geschrieben
  • Autor
Geschrieben

Gut ich werde dies mit meinem Vorgesetzten noch einmal besprechen und ihn eindringlich darauf hinweisen das diese Vorgehensweise nicht praktikabel ist und ein riesen Loch in unsere interne Firewall reißen würde.

 

Egal wie die Sache ausgeht würde ich trotzdem von euch mal rein vom interesse wissen mit was für einen Aufwand bzw. welche Arbeit darin steckt einen Frondend zu verändern, also von einem Server diesen Dienst und OWA auf einen anderen zu verändern.

 

Habt ihr da Erfahrungen gibt es da euch bekannte Dokus drüber.

Es könnte ja auch mal sein das unser Frondend abraucht und da würde ich gerne mal wissen in wie weit man diesen durch einen anderen ersetzten kann.

 

danke und gruss evoco

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...