TMG in DMZ

[Torsten.neu 11]

Hallo

 

Ich würde gerne einen Forefront TMG Server als VPN-Anmeldeserver (und nur als das) in der DMZ platzieren. Da sich dort Domänenuser anmelden müssen, muss irgendwie eine Verbindung zu ActiveDirectory bestehen.

 

Gibt es da BestPractices das zu lösen? Im Internet finde ich sehr unterschiedliche Meinungen dazu.

 

oder soll ich die Firewall dermassen öffnen (das sind ja sehr viele Ports), dass DC und TMG ihre AD Informationen austauschen können?

 

Hab nur eine Nic

[djmaker 95]

Mit einer NIC kannst Du keine VON-Einwahl realisieren. Der TMG kann dann nur als Proxy genutzt werden.

[NorbertFe 2.105]

Vor allem wäre ja die Frage, wozu das VPN Gateway in der DMZ stehen sollte, wenns von dort aus nicht weitergeht. ;)

 

Bye

Norbert

[Torsten.neu 11]

Man was hab ich da für nen ****** geschrieben. Peinlich.

 

Wir wollen nur die OWA nach draußen bringen nix mit VPN

 

Irgendwie voll neben mir heute sorry

[NorbertFe 2.105]

Als Reverseproxy ist das kein Problem mit einem Interface. Authentifizierung kannst du dann aber nur per ldap(s) afair.

 

Bye

Norbert

[Torsten.neu 11]

Kennt jemand einen guten Tutorial wo beschrieben ist wie ich die OW mittels TMG in einer DMZ einrichte?

 

Tu mich gedanklich grad etwas schwer damit.:confused:

[NorbertFe 2.105]

Was genau ist denn dein Denkproblem? :)

http://technet.microsoft.com/en-us/library/cc302586.aspx

 

Bye

Norbert

[Torsten.neu 11]

Also wir haben eine externe IP.

Diese ist auf unseren Webserver gebunden.

 

Nun wollen wir einen TMG Server aufsetzen damit wir die OWA nach draussen bringen können.

 

Mir ist noch nicht ganz klar, welche Ports ich benötige und ob ich diese auch ohne weiteres umbiegen kann.

[NorbertFe 2.105]

Wenn du _nur_ eine externe IP hast, wird das sowieso nix, da du dann ja keine DMZ hättest. (jedenfalls keine die ich so bezeichnen würde)

 

Bye

Norbert

[Torsten.neu 11]

D.H. ich müsste den TMG auf dem Webserver installieren.

[NorbertFe 2.105]

Wenn du ganz viele Probleme haben willst dann ja. ;) Ich würde das TMG als Firewall/Proxy installieren (mit zwei INterfaces) und dann eine normale Webveröffentlichung für OWA und den Webserver konfigurieren. Sollte mit entsprechender Path-Translation Rule eigentlich problemlos sein. Mehr IPs sind natürlich empfehlenswert. ;)

 

Bye

Norbert

[Torsten.neu 11]

Mehr IPS hätte ich schon, diese sind aber MAC gebunden. Und unsere Firewall kann die IP nicht durchlassen sodass ich die IP auf den Server binden könnte.

 

Der TMG ist ne Virtuelle Maschine sodass ich nicht unbedingt direkt auf den Router kann. hab keine Nic mehr frei.

 

Anbei mal ne Zeichnung vielleicht hilfts.

[Torsten.neu 11]

Hier mal ne Grafik wie meine Wunschvorstellung ist.

 

Die gestrichelten Linien sind natürlich nicht der echte Weg.

Visio-Zeichnung.pdf

[NorbertFe 2.105]

Mehr IPS hätte ich schon, diese sind aber MAC gebunden. Und unsere Firewall kann die IP nicht durchlassen sodass ich die IP auf den Server binden könnte.

 

Dann mußt du alles aufs TMG natten. Dann sollte es auch kein Problem sein.

 

Der TMG ist ne Virtuelle Maschine sodass ich nicht unbedingt direkt auf den Router kann. hab keine Nic mehr frei.

 

Dann bau halt zwei Virtuelle NICs. ;) So schwer ist das auch nicht.

 

Bye

Norbert