Exchange Frontend - Backendserver und IIS...lieber fragen bevor es kracht

[=BT=Viper 11]

Da ich endlich die offenen Tore auf unserem DC zu machen will, plane ich einen Webserver aufzusetzen, der IPtechnisch vom LAN getrennt ist. Das Routing wird mittels unserer FW geregelt uns stellt keine Probleme bei der Kommunikation dar.

 

Dieser Webserver soll als Exchange Backendserver fungieren, die Mails aus dem WAN holen und der DC als Frontend die Mails weiter ins LAN reichen. (Oder ist das mit frontend/backend gerade andersrum?). Des weiteren sollen auf dem Webserver natürlich die Exchange Webdienste (Exchange/OMA/Active Sync) laufen. Denn gerade die stören mich auf meinem DC.

 

Wenn es möglich ist würde ich den Webserver auch gerne als VPN Gateway für das LAN nutzen.

 

Seht ihr da irgend welche Probleme auf mich zukommen?

Reicht ein 2003 Server Web Edition?

Läuft auf einem englischen 2003 Web ein deutscher Exchange 2003?

Hat jemand ein schönes HowTo für Frontend/Backend?

 

 

Danke vorab für eure Hilfe!

[Shandurai 10]

hallo

 

ich antworte mal zwischen den zeilen:

 

Da ich endlich die offenen Tore auf unserem DC zu machen will, plane ich einen Webserver aufzusetzen, der IPtechnisch vom LAN getrennt ist. Das Routing wird mittels unserer FW geregelt uns stellt keine Probleme bei der Kommunikation dar.

sehr schön!

 

Dieser Webserver soll als Exchange Backendserver fungieren, die Mails aus dem WAN holen und der DC als Frontend die Mails weiter ins LAN reichen. (Oder ist das mit frontend/backend gerade andersrum?). Des weiteren sollen auf dem Webserver natürlich die Exchange Webdienste (Exchange/OMA/Active Sync) laufen. Denn gerade die stören mich auf meinem DC.

das diese dienste auf dem dc stören ist verständlich, leider nicht immer vermeidbar :-/

aber einen exchange FE server in eine dmz zu stellen und dann die ganzen ports die exchange benötigt in der firewall freizuschalten sind IMHO keine gute lösung mehr. wenn du sicher mit exchange arbeiten willst (smtp, owa, oma, ...) würde ich vorschlagen, dass du dir die exchange lizenz sparst und stattdessen isa 2004 kaufst. das ding ist einfach nur hammer!

 

Wenn es möglich ist würde ich den Webserver auch gerne als VPN Gateway für das LAN nutzen.

bietet isa 2004, auch für ausreichend sichere methoden

 

Seht ihr da irgend welche Probleme auf mich zukommen?

Reicht ein 2003 Server Web Edition?

Läuft auf einem englischen 2003 Web ein deutscher Exchange 2003?

Hat jemand ein schönes HowTo für Frontend/Backend?

ich nehme an, dass die webedition für deine konfig nicht ausreicht, sie lässt ja nichtmal einen sql enterprise manager zu. mehr dazu im editionen vergleich bei ms

 

IMHO sollte exchange mit einer fronfirewall (linux) und einer backfirewall (isa 2004) gesichert werden. der FE server macht IMHO nur sinn, wenn du richtig große exchange organisationen hast, sonst sollte das rausgeworfenes geld sein

 

 

grüße, andre

[=BT=Viper 11]

das diese dienste auf dem dc stören ist verständlich, leider nicht immer vermeidbar :-/

aber einen exchange FE server in eine dmz zu stellen und dann die ganzen ports die exchange benötigt in der firewall freizuschalten sind IMHO keine gute lösung mehr. wenn du sicher mit exchange arbeiten willst (smtp, owa, oma, ...) würde ich vorschlagen, dass du dir die exchange lizenz sparst und stattdessen isa 2004 kaufst. das ding ist einfach nur hammer!

 

Das hört sich gut an, wird aber nicht klappen weil wir auf dem Webserver auch noch unseren Inquiero Helpdesk laufen lassen wollen. Von der Web Edition bin ich mittlerweile schon weg und werde einen 2003 Std. aufziehen. Denn ich brauch ne große Datenbank. Abgesehen davon hab ich hier eh noch ne 2. Exchange Lizenz.

 

Wie bei BE/FE eigentlich das Prinzip? Holt der FE die Mails ausm WAN oder de BE? Bleiben die Mails immer auf beiden Servern?

[dippas 10]

setzen wir uns doch mal kurz mit der technischen Vorgehensweise bei der Umsetzung Deiner Wünsche. ISA dabei mal ganz außen vorgelassen.

 

1. Ein Frontendserver ist auf einem Memberserver installiert, hat KEINE Postfächer und steht in der DMZ

2. Ein Backendserver ist ebenfalls auf einem Memberserver installiert und hält die Postfächer. Er steht im LAN und ist über Port 25 erreichbar

3. VPN löst man entweder über Windoseigene Lösungen (PPTP, L2TP via Routing und RAS), oder man nimmt Lösungen wie den ISA, oder man nimmt Funktionen einer Hardware-Firewall war

evtl. 4. In der DMZ steht ein Smarthost, welcher auf einem anderen Betriebssystem läuft und einen Mailserver darauf installiert ist. Virenschutz/Spam-Filter optional

 

Diese Maßnahmen dienen der Sicherheit des gesamten Messaging-Systems.

 

Was passiert?

Eine Mail kommt auf Port 25 rein und wird von der Firewall durchgeleitet an den Backend-Server. Damit muss eingehend nur Port 25 in der Firewall freigegeben werden. Der Backendserver empfängt also die Mails.

 

Zwischen Frontend und Backend sind ein paar mehr Ports nötig, kann man aber reduzieren, in dem man zwischen beiden eine gesicherte Verbindung herstellt, welche nur einen Port verwendet. Wie dem auch sei, die Firewall muss entsprechend konfiguriert werden, dass der Backend (im LAN, mit Postfächern) mit dem Frontend (in der DMZ, ohne Postfächer) einwandfrei kommunizieren kann.

 

Des weiteren werden eingehende Anfragen auf Port 80 (http) bzw. 443 (https) auf den Frontendserver von außen in die DMZ geleitet. Auf diesem läuft der gewünschte Webserver und stellt OWA etc. zur Verfügung.

 

Der Frontendserver stellt bei Anfragen eine Verbindung zum Backend her und fragt das Mailkonto ab. Danach präsentiert es dem User sein Mailkonto.

 

Als Betriebssystem dient Windows Standart samt der passenden Exchange-Version (ich nehme mal bei dir an, dass es auch der Standart ist).

 

Ansonsten hier weiterlesen:

http://www.microsoft.com/germany/technet/prodtechnol/exchange/2003/library/febetop.mspx

oder hier

http://www.msxfaq.net/server/febe.htm

 

grüße

 

dippas

[Christoph35 10]

Was passiert?

Eine Mail kommt auf Port 25 rein und wird von der Firewall durchgeleitet an den Backend-Server. Damit muss eingehend nur Port 25 in der Firewall freigegeben werden. Der Backendserver empfängt also die Mails.

 

Hmm, warum die Mails direkt an den BE-Server schicken lassen? Ich würde die Mails an den FE zustellen lassen, dann kann der FE die Mails schon mal filtern, scannen und dann intern weitergeben an den Ex. BE. Wird glaub ich so auch von MS empfohlen, meine ich.

 

Wo siehst Du die Vorteile deiner Lösung?

 

Christoph

[=BT=Viper 11]

Erstmal danke dippas für die ausführliche Beschreibung. Die ist besser als die in der MSXFAQ.

 

Ich denke aber auch wie Christoph35 das es besser wäre die Mails vom FE abrufen zu lassen. Dann muss der DC garnicht ins WEB.

Wobei ich da bei meiner Konstelation das Problem habe, daß meine Appiance (Panda GateDefender) da nicht greifen kann da der FE ja in einem anderen Netz ist. Somit würde ich meine SPAM kontrolle verlieren. Die Appliance ins andere Netz packen ist auch nicht gut. Denn dann sind die Clients weniger geschützt. Es sei denn ich schaff es die Appliance vor die Firewall zu hängen. Dann checkt sie die Datenströme beider Netze.

 

Ob ich einen VPN Tunnel zwischen DMS und LAN mache muss ich mir noch überlegen. Mein Chef ist ja mittlerweile richtig begeistert von den Features eines Tunnels. (Und wie er sich gesträubt hatte als ich sagte "RDP ohne is nimmer, PASTA" :P) Daher nutzt er mittlerweile alles was geht. SWYX, Outlook, usw. Was für mich wieder bedeutet das ich einiges an Ports zumindest an den DC routen muss. Mit einem Tunnel ist das dann ja einfach. Aber somit meiner Meinung nach auch einfacher für einen Hacker von der DMZ ins LAN zu kommen da ja alle Ports einfach durch den Tunnel geleitet werden.

[dippas 10]

@christoph

 

Vorteile bei meiner Lösung sehe ich dann, wenn z.B. ein Linux/Postfix als Smarthost in der DMZ sitzt, der die Mails empfängt, scannt und versendet. (siehe Punkt 4)

 

Ansonsten kann man auch den FE als Mailempfänger konfigurieren. Dieser muss in den Connectoren aber auch entsprechend als Bridgehead eingetragen werden.

 

@btviper

1. solltest Du versuchen den Gedanken abzuschütteln, das ein DC ins Web soll. Ein DC hat dort überhaupt gar nichts zu suchen. Die Exchanges sollten auch nicht auf einem DC laufen, sondern auf einem Member.

2. Die Panda-Appliance kannst Du sehrwohl in eines der beiden Netze stellen und trotzdem scannt die den gesamten Datenverkehr. Das hat nichts mit der Panda zu tun, sondern mit den Firewallregeln:

Die User benutzen die Appliance als Proxy, die Webanfragen werden vom LAN aus an die Panda geleitet und diese wiederum geht ins Internet (und zurück). Für SMTP gilt dasselbe.

 

grüße

 

dippas

[=BT=Viper 11]

@btviper

1. solltest Du versuchen den Gedanken abzuschütteln, das ein DC ins Web soll. Ein DC hat dort überhaupt gar nichts zu suchen. Die Exchanges sollten auch nicht auf einem DC laufen, sondern auf einem Member.

:D Genau das ist ja mein Ziel.

 

2. Die Panda-Appliance kannst Du sehrwohl in eines der beiden Netze stellen und trotzdem scannt die den gesamten Datenverkehr. Das hat nichts mit der Panda zu tun, sondern mit den Firewallregeln:

Die User benutzen die Appliance als Proxy, die Webanfragen werden vom LAN aus an die Panda geleitet und diese wiederum geht ins Internet (und zurück). Für SMTP gilt dasselbe.

 

Die DMZ ist nicht nur mit der IP vom Netz getrennt, sondern hängt auch an einer anderen Netzwerkkarte der Firewall (Gateprotect). Somit muss ich mich entscheiden an welche Karte ich den Gatedefender hänge.

genügend öffentliche IPs hätte ich um die Appliance vor die FW zu setzen. Dann werden alle Datenströme gescannt. Ich weiß aber noch nicht sicher ob ich es dann hinbekomme die Updates zu laden und SPAM an den Admin umzuleiten. Teoretisch sollte es gehen denn die FW kann ja einiges und beim GateDefender kann man ja auch Routing für sowas machen.

[dippas 10]

Die DMZ ist nicht nur mit der IP vom Netz getrennt, sondern hängt auch an einer anderen Netzwerkkarte der Firewall (Gateprotect). Somit muss ich mich entscheiden an welche Karte ich den Gatedefender hänge.

 

Kleiner Tipp am Rande:

Ein Switch am DMZ-Port wirkt sich positiv auf die in der DMZ verfügbaren Anschlüsse aus ;)

 

grüße

 

dippas

[Christoph35 10]

@christoph

Vorteile bei meiner Lösung sehe ich dann, wenn z.B. ein Linux/Postfix als Smarthost in der DMZ sitzt, der die Mails empfängt, scannt und versendet. (siehe Punkt 4)

 

Hab ich wohl übersehen :shock: :D

 

In dem Fall hättest Du recht, dann kann die Mail an den Ex. BE gesendet werden.

 

Christoph

[=BT=Viper 11]

Kleiner Tipp am Rande:

Ein Switch am DMZ-Port wirkt sich positiv auf die in der DMZ verfügbaren Anschlüsse aus ;)

 

grüße

 

dippas

 

 

Du meinst damit also ich soll die 2 NIC auf einen Switch stecken und dann weiter zum GateDefender...OK das funktioniert. Wobei mir eine Hardwareseitige Trennung der Netze schon lieber wäre. Aber ich werde das in Betracht ziehen. ;) Denn wenn ich den GD vor die FW ins WAN setze kann ich durchs NAT nimmer sehen von welchem Client was geblockt wurde.

 

 

Eines ist mir immer noch nicht richtig Klar. Kann der FE die Mails selbst empfangen und versenden?

[dippas 10]

Du meinst damit also ich soll die 2 NIC auf einen Switch stecken und dann weiter zum GateDefender

ne, damit meine ich, dass dich ein einzelner DMZ-Port nicht abschrecken sollte. Wenn dieser an einem Switch hängt, kannst Du mehr Geräte in die DMZ packen.

 

Wobei mir eine Hardwareseitige Trennung der Netze schon lieber wäre.

was nicht die schlechteste Idee ist, aber eben Hardware in passender Anzahl erforderlich macht.

 

Denn wenn ich den GD vor die FW ins WAN setze kann ich durchs NAT nimmer sehen von welchem Client was geblockt wurde.

richtig ;)

 

Deshalb den Gatedefender nicht ins WAN packen.

Eines ist mir immer noch nicht richtig Klar. Kann der FE die Mails selbst empfangen und versenden?

 

Kann er, wenn richtig konfiguriert ;)

 

mach folgendes:

 

WAN -> Firewall -> DMZ (FE und Gatedefender am Switch)

WAN -> Firewall -> LAN

 

IP-Verkehr:

Auf der Firewall konfigurieren

WAN -> DMZ -> FE für Port 80/443 (wegen OWA etc.)

WAN -> DMZ -> Gatedefender für Port 25

DMZ -> LAN -> Gatedefender nach BE Port 25

DMZ -> LAN -> FE nach BE für Kommunikation (gerne auch IPSec untereinander, spart Ports ;) )

LAN -> DMZ -> Gatedefender als Proxy genutzt (Ports je nach Konfiguration, Standart 8080)

LAN -> DMZ -> BE nach Gatedefender Port 25 wegen Scan ausgehender Mails

DMZ -> WAN -> Gatedefender holt als Proxy die Webseiten (Port 80)

DMZ -> WAN -> Port 25 vom Gatedefender wegen ausgehenden Mailverkehr

DMZ -> WAN -> Port 53 zwecks DNS-Anfragen

LAN -> WAN -> Port 53 (DNS-Anfagen), sonst nichts

WAN -> LAN -> Nichts (außer Du hast eingehende VPN-Verbindungen auf einen Server im LAN)

 

So, dass dürfte das Gröbste sein, um einen sicheren Netzwerkverkehr zu bekommen. Ob Deine Firewall das allerdings so alles mitmacht kann ich nicht sagen.

 

Natürlich wäre das nicht die gesamte Konfiguration. Das würde den Rahmen doch arg sprengen. Aber vielleicht bringt es dich auf einen gangbaren Weg.

 

Wenn Du mehr Ports benötigst, schau Dir doch mal die Astaro 220 an. Die hat insgesamt 8 Netzwerkschnittstellen, jeweils frei konfigurierbar.

 

grüße

 

dippas

 

PS: wir verdienen unser Geld damit und ich war schon lange nicht mehr in BW ;) :D

[=BT=Viper 11]

Danke mal für die Hilfe :)

 

Mit meiner FW (Gateprotect) ist das kein Problem. Solltest du dir mal anschaun ;)

Das Routing damit zu konfigurieren wird ein Klacks und was da benötigt wird ist mir auch schon klar.

 

Wo ich mich halt noch schlau machen muss ist die FE/BE Konstellation denn bis vor einem Jahr hatte ich mit Exchange nix am Hut da mein alter Arbeitgeber nur Tobit vertrieben hat. Aber man wächst ja mit seinen Aufgaben. Naja, die Idee ist ja auf meinen Mist gewachsen. Was meinste wie ich geguckt hab als ich merkte das mein Chef bei Kunden und im eigenen Netz immer RDP ohne Tuznnel macht :shock:

[dippas 10]

Mir reichen Netscreen und Astaro. Da ist für eine dritte FW kein Platz mehr im kranken Hirn ;)

 

Na, dann schau Dir die FE/BE-Dinge noch mal genau an, damit auch alles so klappt, wie benötigt.

 

Viel Erfolg dabei

 

grüße

 

dippas

[=BT=Viper 11]

THX

 

Nächste Woche mach ich ne Teststellung.