Sicheres Exchange Web Access

[tschoschua 10]

Guten Tag miteinander,

 

wiedereinmal suche ich hilfe bei euch profis.. =)

 

Wir haben nun Windows 2003 SBS mit exchange im einsatz und wollen nun webaccess ermöglichen..

 

wir sehen nun das problem darin, dass wir nicht den domänencontroller "ins Internet" stellen wollen..

 

Wir habe uns betreffend front-end und back-end erkundigt, aber geht mit der SBS lösung nicht, da der front-end ja kein eigenständiger DC ist.. ==> er wird nach 7 tagen inaktiv.. :rolleyes: naja

 

was könnt ihr noch für lösungen vorschlagen, die eine gute Sicherheit bietet.

 

Also wir haben einen DC (neuer server, wie gesagt sbsw2k3)

zur verfügung hätten wir einen zweiten server, ein bisschen älter, aber tauglich für w2k3..

 

vorschläge?

 

 

Vielen Dank für eure hilfe..

 

grüsse aus der Schweiz.

 

tschosch

[mister2x 10]

Du könntest den 2. Server mit ISA als reverse Proxy verwenden.

 

Wieso sollte der 2. Server nach 7 Tagen inaktiv werden wenn er nur einen Exchange als front-end Server beherbergt? Siehe vielleicht dazu auch die Diskussion hier: http://www.mcseboard.de/showthread.php?t=63900

[dmetzger 10]

Der SBS 2003 ist ja dafür konzipiert, als DC im Netz zu stehen. Mit einem guten, professionellen Firewallgerät davor (Zyxel, Lancom) ist das auch weitgehend kein Problem.

 

Selbstverständlich lässt sich auch eine Front End-Back End-Lösung mit Exchange 2003 im Perimeternetz bauen. Mitgliedserver kannst Du einem SBS 2003-Netzwerk nach Belieben hinzufügen, ebenso übrigens auch weitere DCs.

 

Vielleicht ist auch dieses Papier interessant für Dich:

http://www.microsoft.com/australia/partner/productssolutions/technologyupdate/archive/sbsmsgimprov.aspx

[tschoschua 10]

also erstmals ist der 2. server ein SBS.. wie mein mitarbeiter mir erklärte kann er nicht als domänemitgliedsserver laufen, weil das sbs nicht unterstütze.. rein technisch läuft das problemlos, wir haben das auch ausgetestet mit dem front und back end über IPSec usw.. läuft problemlos

aber nach 7 tagen werden die Lizenzen inaktiv sprich, der exchange läuft nicht mehr als Front end.. auch andere dienste werden deaktiviert..

einen wechsel auf w2k3 plus exchange würde einiges kosten.. hmmm

 

ja jetzt noch zum ISA;

ich habe keine erfahrung mit ISA server.. ist das eine grosse sache mit dem reverse Proxy? wirtschaftlichkeit usw?

"qualikativ" gleich oder besser gestellt gegenüber dem Front/back end?

 

vielen Dank für eine (schnelle) präzise Auskunft..

[tschoschua 10]

klar könnten wir bei unserem ZyWall 5 den den http Port 80 (und 443 für SSL) von aussen öffnen, aber ist für uns eine heisse sache.. was spricht dafür, dass man diese Ports mit gutem gewissen öffenn kann?

[dmetzger 10]

Korrekt ist, dass ein SBS nicht als Domänenmitgliedsserver laufen kann. Ein SBS muss als erster DC einer neuen Domäne eingerichtet werden. In seiner Domäne dürfen weitere W2K3-Server als Mitgliedsserver oder zusätzliche DCs eingerichtet werden. Was nicht funktioniert, ist ein zweiter SBS in der gleichen Domäne, da ja dieser ebenfalls der 1. DC mit den entsprechenden FSMO-Rollen sein müsste.

 

Die Front-End-Lösung würde einen richtigen W2K3-Server mit einem separat zu kaufenden Exchange Server 2003 bedingen. Die Verwendung von Teilelementen des SBS auf anderen Servern ist nicht erlaubt. Ebenso darf ein SBS 2003 nicht durch Tricks zu einem W2K3-Server gemacht werden.

[tschoschua 10]

wie gesagt w2k3 mit exchange ist ziemlich teuer..

 

ISA wäre da doch preiswerter nicht?

 

darum könnte mir jemand meine fragen zu ISA oben beantworten?

 

vielen Dank

[dmetzger 10]

Auch beim ISA Server gilt: Die eingebaute Hilfe und der Onlinesupport von Microsoft beantworten schon sehr viele Fragen, bevor sie überhaupt gestellt werden:

http://www.microsoft.com/isaserver/default.mspx

 

Für das Geld, das der ISA-Server kostet, gäbe es auch einen SBS 2003 Premium. Dessen ISA Server 2000 wird durch das SBS 2003 SP1 zum ISA Server 2004 aktualisiert.