Mans 10 Geschrieben 28. April 2014 Melden Teilen Geschrieben 28. April 2014 hallo, ich arbeite in einer schule mit folgender situation: 1x dc windows 2008 r2 1x exchange 2010 auf windows 2008 r2 1x forefront tmg auf windows 2008 r2 (3 leg firewall - intern, extern, dmz) 180x clients alle windows 7 mit office 2010 1x isp dsl für internetzugang (publishing von owa und 2 iis seiten) nun wird die schule in kürze auf das glasfasernetz der gemeinde übersiedeln. da sich in diesem mehrere schulen, ämter usw. befinden ist dies ein abgeschottetes netzwerk welches über eine gemeinsame internetlinie surft und von aussen abgeschottet ist. die schule möchte aber den internen exchange sowie die beiden iis seiten weiter betreiben. wie kann ich das bewerkstelligen? sprich: ändere ich die konfiguration der externen netzkarte vom tmg für das glasfasernetzwerk dann wird die bestehende internetlinie sozusagen "abgebrochen", ist also von der firewall nicht mehr zu erreichen. könnte ich hier nicht einfach die externe netzwerkarte vom tmg mit 2 ip addressen versehen (1x bestehende dsl linie, 1x glasfaser) damit diese beide router der beiden netzwerke ansprechen kann. ich denke das hier dann bei den regeln der firewall nichts zu ändern wäre oder? die bisherigen einstellungen funktionieren ja. falls dies nicht möglich ist, ist eine zusätzliche 4te netzwerkkarte zwingend notwendig um die beiden externen netzwerke zu trennen? die user sollten über die glasfaserleitung surfen, allerdings sollte der emailtraffic (von aussen nach innen) sowie der zugriff auf die beiden iis seiten von der alten dsl linie möglich sein. momentane konfiguration tmg:intern: 192.168.1.1 / 24 dns: 192.168.1.11 dmz: 172.16.1.1 / 24 dns: 192.168.1.11 extern: 10.10.10.2 / 24 gw: 10.10.10.1 neue konfiguration tmg (nur extern): extern: ip1: glasfaser / 24 (zb. 1.1.1.2 / 24) ip2: 10.10.10.2 / 24 gw: glasfaser (zb. 1.1.1.1) danke mans Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 28. April 2014 Melden Teilen Geschrieben 28. April 2014 Wie sieht denn das Sicherheitskonzept des neuen Netzzugangs aus? Erlaubt das abgeychottete Netz überhaupt, dass ihr einen potentiellen Zugang von Extern da schafft? Normalerweise ist sowas dann verboten. Falls ihr das doch dürft, klappt das nicht auf Routingbasis, denn Du kannst nur ein Standard Gateway setzen. Wenn Du in dem neuen Zugang einen Webproxy verfügbar hast, kannst Du den im TMG als Upstream-Proxy konfigurieren. Damit dürfen dann Deine Clients via TMG über die neue Leitung und alles andere bleibt so, wie es ist. Dafür brauchst Du dann nur eine statische Route für das Netz des Proxies. Aber kläre erst einmal, was ihr an der neuen Leitung dürft und wie dort konzeptionell E-Mail Ein- und Ausgang sowie der Betrieb eines internen Mailservers realisiert werden soll. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 28. April 2014 Melden Teilen Geschrieben 28. April 2014 @Mans: Bitte benutze doch auch Großbuchstaben. Je besser deine Beiträge für uns zu lesen sind umso bessre können wir dir helfen. Zitieren Link zu diesem Kommentar
Mans 10 Geschrieben 30. April 2014 Autor Melden Teilen Geschrieben 30. April 2014 Danke für die Info. Habe mich beim Provider schlau gemacht und es ist leider so wie von Daniel bereits vermutet. Der Zugriff von aussen ist untersagt. Wie müsste ich also vorgehen um Exchange 2010 auf der alten Linie zu betreiben? Eine weitere Netzwerkkarte einbauen, diese für den alten Internetzugang konfigurieren, die neue Karte im TMG als zusätzliche externe Netzwerkkarte anfügen und alle bestehenden Regeln für Exchange und ISS auf die neue Karte einstellen? Sowas in der Art: Intern: 192.168.1.1 / 24 DNS: 192.168.1.11 DMZ: 172.16.1.1 / 24 DNS: 192.168.1.11 Extern1 (DSL): 10.10.10.2 / 24 GW: 10.10.10.1 Extern2 (GF): glasfaserip / 24 GW: glasfasergateway TMG Regel (Beispiel): Inbound SMTP: Allow - SMTP (Server) - From: Extern1 - To: ExchangeSRV IP SMTP Outbound: Allow - SMTP - From: ExchangeSRV - To: Extern1 - All Users Danke vielmals Mans Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 30. April 2014 Melden Teilen Geschrieben 30. April 2014 Normalerweise ist das entweder/oder. Frag bitte noch einmal nach, ob Du an ein Netzwerk, das an der neuen Anbindung angeschlossen wird, eine eigene externe Anbindung anschliessen darfst. Ich vermute, das ist dann genauso verboten. Du musst die Planung auf jeden Fall mit dem neuen Anbieter abstimmen. Ausserdem kannst Du nur ein Standard-Gateway aktiv nutzen. Deine Planung geht so nicht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.