2K10 CAS absichern

[Alith Anar 40]

Hallo,

 

Ich bin gerade bei der Planung einer Exchange 2010 Migration. Die Sicherheitsrichtlinie des Kunden schreibt vor, das kein Zugriff von extern direkt nach Intern erfolgen darf. Der Exchange 2010 CAS benötigt ja aber genau das um Autodiscover, OWA und EAS bereitzustellen. MS empfiehlt auch nicht den CAS in eine DMZ zu setzen, da ja dann die MAPI Ports geöfent werden müssen.

 

Welche Möglichkeit habe ich die Sicherheitsrichtlinien einzuhalten und trotzdem die gewünschten Features bereitzustellen?

 

Der Kunde hat als FW eine Cisco ASA irgendwas und eine Astaro Web Application Security (die als Smarthost / Internetproxy / Spam und AV Filter fungiert) die sich in der DMZ befinden bzw bereitstellen.

 

Vielen Dank

MfG Thomas

[Dukel 451]

Die Astaro sollte alles können (SMTP Forwarding / Smarthost, Reverse Proxy). Ansonsten Edge (SMTP Proxy) / TMG (Reverse Proxy) in die DMZ stellen.

[NorbertFe 1.981]

Naja, gerade in Verbindung mit Exchange 2010 sind die AStaro Fähigkeiten derzeit noch arg im Entwicklungsstadium. ;) Ich würde eher TMG/ISA empfehlen.

 

Bye

Norbert

 

 

PS: @TO ich komm auch gern zum Beratungsgespräch vorbei. ;)

[Alith Anar 40]

Bei der TMG werden dann die Relay funktioniatäten genutzt vermute ich mal?

 

Zum PS:

Hab inzwischen gewechselt ;) Bei der "alten" Umgebung die du meinst, tippe ich eher auf ne Migration auf Exchange 2012/2013 oder später :(

[NorbertFe 1.981]

Bei der TMG werden dann die Relay funktioniatäten genutzt vermute ich mal?

 

Also TMG kann als Relay nur "sinnvoll" genutzt werden, wenn du gleichzeitig dort den Edge draufpackst. Wobei ich diese all-in-one Lösungen (auch die von Astaro usw. nicht sinnvoll finde, da das Troubleshooting deutlich komplexer wird.

 

Zum PS:

Hab inzwischen gewechselt ;) Bei der "alten" Umgebung die du meinst, tippe ich eher auf ne Migration auf Exchange 2012/2013 oder später :(

 

Macht nix, komm auch bei anderen vorbei. Solange du nicht in die andere Ecke der Republik gewechselt bist. ;)