TMG Planung - Exchange 2010 Sharepoint OWA Outlook Anywhere

[Selim Arslan 10]

Hallo leute,

 

ich wollte euch mal fragen ob meine vorstellungen so richtig sind damit ich Exchange und Sharpoint über eine feste IP nach aussen veröffentlichen kann. Leider habe ich es nicht geschaft beides auf dem Gleichen Server zu Installieren.

 

Konfiguration

Server1: Server 2008 mit DC,DNS,SQL,FSMO und Sharepoint 3.0

Server2: Server 2008R2 DC, DNS und Exchange 2010

 

so jetzt will/muss ich Forefront TMG 2010 inkl SP1 installieren damit ich Exchange veröffentlichen kann.

 

Währe das so richtig:

 

-TMG auf einem Mitliedserver mit 2 Netzwerkkarten Installieren

-Server einfach wie ein Client hinzugefügt damit er ein Mitgliesserver wird(ohne DCPROMO) richtig?

-TMG mit dem Router Verbinden und die Clients+Server hinter dem TMG per Hub verbinden.

-IP Configs:

 

Router IP: 192.168.0.1

 

TMG IP's(2 Netzwerkkarten):

 

mit Router verbunden für extern (internet) :

 

IP: 192.168.0.5

Subnet: 255.255.255.0

Gateway: 192.168.0.1

DNS: 192.168.0.1 (Router)

 

mit HUB verbunden für intern (Büro)

 

IP: 180.90.50.1

Subnet: 255.255.255.0

Gateway: 180.90.50.1

DNS: 180.90.50.5

DNS: 180.90.50.20

 

 

Server1 Sharepoint IP Config:

IP: 180.90.50.5

Subnet: 255.255.255.0

Gateway: 180.90.50.1

DNS: 180.90.50.5

DNS: 180.90.50.20

 

Server1 Sharepoint IP Config:

IP: 180.90.50.20

Subnet: 255.255.255.0

Gateway: 180.90.50.1

DNS: 180.90.50.20

DNS: 180.90.50.5

 

 

ist das erstmal so richtig?

 

Danach muss TMG als EDGE Firewall konfiguriert werden, nehme ich an.

Und exchange und Sharepoint veröffentliche ich dann bei den Firewall richtlinien. richtig?

 

 

Wo muss ich ein DHCP server Installieren, damit die Client automatisch Ihre IP's bekommen. Auf dem TMG als Rolle oder macht er das Automatisch?

 

Wie sieht es mit Clients aus, die sich mit W-Lan mit dem Router Verbinden. Haben die dan trotzdem zugang zum Netzwerk? oder muss ich hinter dem TMG ein W-Lan installieren?

 

 

Ich danke euch jetzt schonmal für jede hilfe. Den als Praktikant bin ich hier echt überfordert.

[NorbertFe 2.110]

Off-Topic:
Darf ich mal fragen, warum du mit public IPs hantierst? Habt ihr zuviel davon?

Wie du das TMG installierst ist egal, das ist nur ne Vorlage. Kann man jederzeit anpassen oder auch ändern. AUf dem TMG installiert man überhaupt keine Dienste weiter. Das ist ne Firewall und kein DHCP Server.

Ansonsten ja, damit kann man das veröffentlichen, allerdings hast du einen Konflikt, denn du willst zwei Services auf dem selben Port mit nur einer IP veröffentlichen. Das sollte sich mit dem TMG zwar machen lassen, aber ob du das dann wirklich verstehst?

Bye
Norbert

[Selim Arslan 10]

Hallo NorbertFe,

 

hatte schon gehofft das du als erster schreibst :-) Danke

 

ich hab euren rat befolgt und setzte mich jetzt mit TMG auseinander, damit die beiden Dienste (Sharepoint und Exchange) auf verschiedenen Servern von ausserhalb per https:// erreichbar werden z.B. extranet.website und mail.website.de

 

Ich weis, dass das nicht leicht wird, und das man dafür viel Zeit braucht damit man das beherscht.

 

Aber ich hoffe auf eure unterstützung damit ich das alles umsetzten kann.

 

DHCP nicht auf den TMG-verstanden

dann lieber auf den SERVER1?

 

 

Sind die IP Configs so richtig?

welche probleme werde ich den haben können? ich dachte TMG regelt das, z.B. weiterleitungen der anfrage mail.website.de auf exchange server per revers proxy

[NorbertFe 2.110]

Hallo NorbertFe,

 

hatte schon gehofft das du als erster schreibst :-) Danke

 

Bitte. Deswegen hast du auch gleich meine oberste Frage ignoriert? ;)

 

ich hab euren rat befolgt und setzte mich jetzt mit TMG auseinander, damit die beiden Dienste (Sharepoint und Exchange) auf verschiedenen Servern von ausserhalb per https:// erreichbar werden z.B. extranet.website und mail.website.de

 

OK.

 

Ich weis, dass das nicht leicht wird, und das man dafür viel Zeit braucht damit man das beherscht.

 

Na dann richte doch erstmal eine Veröffentlichung ein, dann siehst du schonmal erste Erfolge. ;)

 

 

DHCP nicht auf den TMG-verstanden

dann lieber auf den SERVER1?

 

Egal.

 

 

Sind die IP Configs so richtig?

 

Prinzipiell schon, nur dass du intern public IPs verwendest.

 

welche probleme werde ich den haben können? ich dachte TMG regelt das, z.B. weiterleitungen der anfrage mail.website.de auf exchange server per revers proxy

 

Ja und?

 

Bye

Norbert

[Selim Arslan 10]

Darf ich mal fragen, warum du mit public IPs hantierst? Habt ihr zuviel davon?

ich hab mich schon gewundert ob das an mich gerichtet ist, oder nur eine obere Signatur ist.

 

habe mir die internen IP's ausgedacht. In echt werde ich vieleicht 192.168.5.1 oder so nehmen. Wollte es nur Visuell übersichtlicher machen.

 

Na dann richte doch erstmal eine Veröffentlichung ein, dann siehst du schonmal erste Erfolge.

 

Ja, es ist eine Produktive umgebung. Deswegen will ich die IP's noch nicht komplett umstellen. Am einfachsten währe es einfach die IP des Routers zu ändern. Leider gibt mir der Mutter Konzern kein Zugriff auf den Router.

 

Wenn ich jetzt überall die IP's ändere. Und DHCP auf einem Globalen DC einrichte (z.B. Server1). Muss ich dann noch was bei den Clients einrichten?

[NorbertFe 2.110]

Wieso überall IPs ändern? Ich verstehe dich nicht.

 

Bye

Norbert

[dmetzger 10]

Ich weis, dass das nicht leicht wird, und das man dafür viel Zeit braucht damit man das beherscht.

 

Wenn Du aber weisst, wie es geht, bist Du mit einer Neuinstallation in ein, zwei Stunden durch ;)

 

Eine Beschreibung, wie Du Exchange Server 2010 per TMG publizieren kannst, findest Du zum Beispiel hier:

 

Download details: Publishing Exchange Server 2010 with Forefront Unified Access Gateway 2010 and Forefront Threat Management Gateway 2010

 

Und hier für SharePoint:

 

Legacy - Configuring SharePoint publishing

[Selim Arslan 10]

Wieso überall IPs ändern? Ich verstehe dich nicht.

 

muss ich nicht die IP's inter/extern von einander trennen?

 

z.B extern(vom TMG zum Router)

192.168.0.1

und intern dan (nach TMG über HUB)

192.168.1.1

 

und als im gleichem Subnetz 255.255.255.0

 

jetzt verstehe ich nicht was du nicht verstehst :-)

bearbeitet 22. November 2010 von Selim Arslan

[dmetzger 10]

z.B extern(vor TMG zum Router)

192.168.0.1

 

Wieso hast Du einen Router vor dem TMG?

 

Hast Du zumindest eine feste öffentliche IP-Adresse für die Veröffentlichung von Exchange Server 2010?

[Selim Arslan 10]

Wieso hast Du einen Router vor dem TMG?

 

Hast Du zumindest eine feste öffentliche IP-Adresse für die Veröffentlichung von Exchange Server 2010?

 

Hallo dmetzger,

 

wir haben eine feste IP Adresse. Die Fritzbox stellt die Verbindung zum Internet her und eine VPN verbindung zum Mutterkonzern.

 

Ich kann doch den Router vor der TMG lassen, oder? (INTERNET->ROUTER->TMG->HUB->Server+SERVER mit DHCP SHAREPOINT+EXCHANGE+CLIENTS)

und hinter den TMG hab ich dann ein HUB, und der DC verteilt dann per DHCP die IP adressen.

 

 

edit: nicht vor TMG zum Router

192.168.0.1

 

sondern vom TMG zum Router

192.168.0.1

[dmetzger 10]

Ich kann doch den Router vor der TMG lassen, oder?

 

Der/die TMG ist selbst ein Router, eine Firewall und geeignet für VPN-Standortverbindungen.

 

Overview of virtual private networks (VPN)

[NorbertFe 2.110]

Naja aber ein TMG/ISA willst du nicht wirklich selbst wählen lassen. ;)

 

Bye

Norbert

[Selim Arslan 10]

es muss ja nicht alles Software gesteuert sein. Mich stört es nicht das die VPN Hardware mäßig ist. Wird ja sowieso nur für ein Gruppenlaufwerk genutzt. Und wenn die es so eingerichtet haben, werde ich da jetzt auch nichts ändern.

 

Denn ich habe ja eigene Probleme mit TMG Exchange und Sharepoint :-)

 

Naja damit das alles zu einer Lösung führt, fasse ich mal zusammen:

 

IP Config so erst mal in Ordnung? ja, laut NorbertFE

 

Router vor TMG ist nicht cool, aber funktioniert.

Besser noch im DMZ, aber das werde ich nicht durchgesetzt bekommen. Welche Ports müssen auf den TMG weitergeleitet werden die für Outlook Anywhere, Sharpoint und OWA verwendet werden.

ich benutze einen pop3 connector. port 25 für MX ist leider auch zu.

 

was passiert mit den usern die sich per Wlan einwählen? muss ich hinter die TMG ein W-Lan Router/hotspot? installieren?

 

wie geht TMG mit Usern/Clients um, die gar nicht im AD sind z.B. ein Kunde der sein Notebook mitbringt und ins Internet will?

 

 

danke Leute für eure Unterstützung

[dmetzger 10]

Naja aber ein TMG/ISA willst du nicht wirklich selbst wählen lassen. ;)

 

Hi Norbert

 

Ich verstehe nicht, was Du damit ansprichst? :confused:

[dmetzger 10]

Welche Ports müssen auf den TMG weitergeleitet werden die für Outlook Anywhere, Sharpoint und OWA verwendet werden.

 

Von extern -> Port 443 (https)

 

was passiert mit den usern die sich per Wlan einwählen? muss ich hinter die TMG ein W-Lan Router/hotspot? installieren?

 

Im einfachsten Fall ja. Eine DMZ bekommst Du nach eigener Aussage nicht. Obwohl - mit einem dritten Netzwerkadapter im TMG könntest Du leicht eine DMZ erreichen.

 

wie geht TMG mit Usern/Clients um, die gar nicht im AD sind z.B. ein Kunde der sein Notebook mitbringt und ins Internet will?

 

Abhängig vom Regelwerk. Wird der Internetzugang für "Alle Benutzer" konfiguriert ist - einfachster Fall -, kommt jeder von intern ins Internet. (Wir arbeiten oft mit Radius-Authentifizierung für W-Lan-Benutzer, sprich NPS, as für Besucher speziell eingerichtete AD-Konten erfordert, deren Kennwörter durch die internen IT-Services regelmässig geändert werden und die bei Nichtgebrauch deaktiviert sind.)