70-299 Frage

[freak666 10]

Hallo zusammen, ich werde nächste Woche die 70-299 wagen aber ich habe folgendes problem ! Es gibt da 1ne aufgabe, die gestern ein mitschüler hatte und nicht genau wusste was richtig sein soll. Haben dann zusammen ein JPG erstellt.

 

Es ging um eine Firma, die mit ihren Kunden Email verkehr machen wollte und diesen absicheren sollten.

 

FrageBild:Hier Klicken

 

Meines erachtens muss doch der Exchange in das intere Netzwerk und der Smtp-Relay in die DMZ ?

 

Würde mich um eure mithilfe sehr freuen ...

bis denn euer freak666

[DDD 10]

Das Bild geht irgendwie nicht

[bold 10]

hallo freak666,

 

würde dasselbe sagen wie du.

Begründung:

1. hinter die externe firewall kommt sowieso nichts

2. in der DMZ können die Rechner immer noch direkt angegriffen werden

also exchange auch hier nicht, deshalb der smtp relay in die DMZ

3. Exchange im lan --> super

 

verbessert mich falls es nicht stimmt.

[Christoph35 10]

Das stimmt schon so: smtp-relay gehört in die DMZ, exchange ins interne Netz und direkt im internet weder das eine noch das andere.

 

Christoph

[mcse_killer76 10]

Jepp, kann ich nur zustimmen. OWA oder Relay Agent in die DMZ und Exchange Server in das interne Netzwerk!

Würde mal gerne sehen wie lange es der Exchange macht, wenn er direkt am Internet angeschlossen wäre :-)

[WillGehts 10]

Hm....da ich die 299 schon gemacht habe kenne ich auch dieses Bild und die dazugehörige Frage, die hatte ich nämlich. In der Prüfung war aber auch die Aussage, na..........wie war das noch gleich...............die Anzahl der Ports und Protokolle, die durch die Firewall gehe sollen müssen so gering wie möglich gehalten werden soll. irgendwie sowas stand da, voll tricky.

 

Der SMTP Relay Agent wird vom Exchange Server verwendet, um Mails über das Internet an externe Empfänger zu senden. Das war nämlich auch in der Aufgabe, das die Kuinden jetzt an externe Empfänger Mails verschicken sollen. Der Relay Agent kann nicht für das Empfangen von externen Mails eingesetzt werden.

Daraus ergibt sich, dass wir auf der externen Firewall ein Portforwarding für Port 25 TCP auf den Exchange Server einrichten müssen.

Wenn wir den Exchange Server nun in das interne Netzwerk stellen, müssten wir Port 25 TCP von extern über beide Firewalls bis in das interne Netz auf den Exchange Server weiterleiten. D.h. wir können die Angriffsfläche durch ein Aufstellen im internen Netz nicht weiter reduzieren und müssen einen weiteren Port öffnen. Die Anforderungen der Aufgabe lauten aber, wir sollen so wenige Ports wie möglich öffnen. Darüber hinaus gehören Mailserver, Webserver, FTP und sonstige Dienste, die über das Internet erreichbar sein sollen, grundsätzlich in die DMZ.

 

Der SMTP Relay Agent dient in diesem Szenario nur der Lastverteilung und wäre von seiner Funktion her gar nicht notwendig.

 

Oder sehe ich das falsch ??? Kann natürlich auch sein.

[freak666 10]

Ich glaube da siehst du es flasch WillGehts. Exchange kann Mails senden aber nicht ohne Smtp Relay Empfangen als Normals Version. (Pop3 abruf kann nur der SmallBusinessServer wegen POP3 Connector). Der Smtp Relay nimmt die mails von außen an und überprüft Sie z.B auf Viren oder Spam. Danach leitet er die Mails an den Exchange Server weiter.

Das andere ist auch, dass wenn du den Exchange in die DMZ stellst müsstet du die LDAP Ports öffnen da Exchange mit dem Domain Controller kommunizieren muss !

Also ist es schon richtig Exchange intern Smtp Relay DMZ :) !

 

Mfg

 

freak666

[freak666 10]

Wie ist es eigentlich wenn ich ein Gruppenrichtlinenobjekt Testen möchte auf einer OU und nach einer Zeit brauche ich es nciht mehr. Sollte ich es löschen oder die Verknüpfung von der OU entfernen ?

Was ist besser und wieso ?

 

P.S: Vielen Dank schonmal für eure sehr gute Hilfe :)

 

Mfg

freak 666

[WillGehts 10]

Da du die Gruppenrichtlinie vieleicht noch brauchen könntest würde ich generell nur die Verknüpfung löschen , mehr nicht.

 

Zu den SMTP Relay und Exchange haste wohl recht, ich würde es auch so machen wie du, aber in der Fragestellung standen ein paar Sätze, wo man schon ins Grübeln kommt. Achte darauf, mit den unnötigen Ports und protokollen.

[mcse_killer76 10]

Tja, ohne die genaue Fragenstellung wird man die Frage wohl nicht 100%ig beantworten können!

Vom Grundsatz her bleibe ich aber bei der Lösung SMTP-Relay in DMZ, Exchange ins interne Netzwerk! Wie bereits erwähnt wurde muss sich der Exchange ja auch mit den DC unterhalten können! Und damit müssen wiederum Ports geöffnet werden!

Grundsätzlich gilt: Front-End/"Weiterleitungs-" Server in die DMZ und Back-End ins interne Netzwerk! Vor allem, da es ja hier eine Security-Prüfung ist und das halt im Vordergrund steht!

 

@freak666:

tja, ich stimme vom Grundsatz Willgehts zu. Aber (das Problem kenne ich zu gut!) wenn man mal in einer Umgebung genug GPOs hat und dann noch die Testdinger von 1980 behält dann leidet die Übersicht doch ziemlich stark! Vor allem wenn man dann am Schluß weit mehr als 100 GPOs hat! Alternativ könnte man die Dinger aber auch entsprechend benennen! Ich denke, dass es letztendlich Geschmacks-/Organistions- Sache ist!