Konzept Exchange 2010 mit Microsoft Forefront TMG auf ESXi

[fazez 10]

Hallo zusammen,

 

bin grad am überlegen, wie ich am besten Exchange 2010 und TMG Server auf einer ESXi 4.1 plattform aufsetze.

 

Grobes Konzept (bitte korrigiert mich, wenn ich irgendwo nen Denkfehler habe):

 

TMG auf einer w2k8 VM installieren.

Der TMG soll zwei NICs haben. Die erste NIC soll mit dem LAN verbunden sein. Die zweite NIC soll mit dem WAN verbunden sein.

 

Dazu sollte aber pro Server (habe zwei Dell R710) eine physikalische NIC fest mit der 2. NIC der TMG VM verbunden sein (zwecks vMotion). Ist das realisierbar? Macht das überhaupt Sinn?

 

Auf einer weiteren w2k8 VM soll dann der Exchange 2010 installiert werden.

Muss ich etwas besonderes beachten bei der Installation von TMG wenn er später mit Exchange zusaqmmenarbeiten soll?

 

Klappt das so wie ich mir das vorstelle? Oder gibts bessere Wege, das gleiche zu realisieren?

 

MfG Fazez

[NilsK 2.934]

Moin,

 

ich rate davon ab, VMs aus verschiedenen Netzwerkbereichen auf demselben VM-Host zu betreiben. DMZ-VMs gehören auf einen separaten Host, sonst hast du die Trennung der Netzwerke effektiv aufgehoben.

 

Gruß, Nils

[fazez 10]

Danke, für die schnelle Antwort!

Dann wäre es besser, wenn ich mir eine Hardwarefirewall zulege und die zwischen WAN und ESXi Hosts klemme? Kommt billiger als einen DMZ Host anzuschaffen...

 

Einer VM einen physikalischen NIC Port auf jedem ESXi Host zuzuweisen klappt nicht? Dann wären die Netze doch auch getrennt?!

 

MfG Fazez

[dmetzger 10]

Ich würde sogar so weit gehen, den TMG auf Grund seiner privilegierten Funktion als eigenständige physische Instanz statt virtualisiert zu installieren.

 

Mit einer Hardware-Firewall kannst Du das Exchange-Anmeldefenster (formularbasierte Anmeldung) nicht so vorlagern wie ein TMG.

[NilsK 2.934]

Moin,

 

Einer VM einen physikalischen NIC Port auf jedem ESXi Host zuzuweisen klappt nicht?

 

doch, klar.

 

Dann wären die Netze doch auch getrennt?!

 

Nein, selbstverständlich wären sie das nicht.

 

Gruß, Nils

[fazez 10]

So selbstverständlich finde ich das nicht.

Um auf dem TMG von NIC1(WAN) zu NIC2(LAN) zu kommen muss ich an der firewall vorbei.

 

Stellt sich für mich an einem physikalischen Host genau so da. Der einzige Unterschied in meinen Augen ist, dass ich beim physikalischen eine lokale Festplatte habe und beim virtuellen ein Storage im Hintergrund.

 

NilsK kannst Du mir bitte den Unterschied erklären?

 

Ein guter Ansatz wäre aber, einen physikalischen Host (PC Hardware mit 2 NICs + TMG) zwischen WAN und ESX hosts zu stellen?

 

MfG Fazez

[NilsK 2.934]

Moin,

 

ganz einfach: es ist eine Illusion, dass es sich bei VMs um getrennte Maschinen handle. Es werden in großem Stil lokale Ressourcen gemeinsam genutzt. Und es hat schon mehr als einmal erfolgreiche Übergriffe von einer VM auf andere oder auf den Host gegeben.

 

Aus Sicherheitssicht ist daher entschieden von einer Mischung verschiedener Netzwerkzonen auf dem Host abzuraten.

 

Gruß, Nils

[fazez 10]

@NilsK: Danke!

 

Dann werde ich auf jeden Fall Deinem Vorschlag folgen und einen eigenen physikalischen Host für das TMG verwenden.

 

Muss ich dann noch irgendwas besonderes beachten, wenn ich den TMG aufsetze? In bezug auf den Exchange 2010 der später dazu kommt.

 

MfG Fazez

[NorbertFe 2.035]

Muss ich dann noch irgendwas besonderes beachten, wenn ich den TMG aufsetze? In bezug auf den Exchange 2010 der später dazu kommt.

 

Nein, wobei vorher lesen und drüber nachdenken nie schadet. ;)

 

Bye

Norbert