Exchange 2007 OWA/DMZ/und Hardware Firewall

25/11/2008 - 11:08 von Andreas M. | Report spam
Hallo Newsgroup,

ich möchte gerne OWA mit Exchange 2007 vom Internet aus nutzen (Versign
Zertifikat ist vorhanden). Dazu brauche ich logischerweise die Client Access
Server Rolle. Da ich nicht möchte, daß das Internet auf das LAN auf die
Maschine zugreift welche diese Rolle hat, würde ich gerne den Client Access
Server in der DMZ installieren.

Macht doch Sinn das Internet nicht direkt auf den Backend Server zu lassen
oder?

Wir haben eine Hardware Firewall (kein ISA) im Einsatz.

im KB Artikel 270836 habe ich folgendes gelesen:
In this article, the process for static port mapping for Exchange Server
2003 and Exchange 2000 Server still works in Exchange 2007. However,
installation of a Client Access server in a perimeter network is not
supported. It is not supported to put a Client Access Server in a perimeter
network (also known as DMZ, demilitarized zone, and screened subnet), or in
any configuration with a firewall between it and the mailbox or domain
controllers. Firewall ports that must be open for Exchange 2007.

Unter Exchange 2003 haben wir einen Frontend Server in der DMZ und der
Backend steht im LAN.

Muss ich jetzt wirklich auf den ISA Server umsteigen um dies so zu
realisieren?
Wie ist Eure Erfahrung/Meinung?

Vielen Dank für Eure Bemühungen.

Gruß
Andreas
 

Lesen sie die antworten

#1 Roger Wassner
25/11/2008 - 11:24 | Warnen spam
Hallo,

Dazu brauche ich logischerweise die Client Access
Server Rolle.



die brauchst Du sowieso pro Exchange ORG

würde ich gerne den Client Access Server in der DMZ installieren.



du willst ihn in der DMZ "aussetzen"?
weg von den anderen?
keine gute Idee, FrondEnd server (und CAS) sollten nicht in die "DMZ"

Macht doch Sinn das Internet nicht direkt auf den Backend Server zu lassen
oder?



Ja, auf jeden Fall

Wir haben eine Hardware Firewall (kein ISA) im Einsatz.



macht diese PortFilter oder Application Filtering?
Wenn es PortFilter nur ist kann man von INet auf das Backend connecten
(zB auf SMTP)

Unter Exchange 2003 haben wir einen Frontend Server in der DMZ und der
Backend steht im LAN.



backend LAN ja
FE in der DMZ? Wie macht ihr dann die Kommunikation?
FE alle Ports intern allow? ?
da müsste schon zu sehen sein warum das nicht optimal ist

Muss ich jetzt wirklich auf den ISA Server umsteigen um dies so zu
realisieren?



müssen nicht, aber man sollte ein paar dinge beachten,
zB FE/CAS nicht DMZ
"normale" FW ist nur Portfilter, wenn der Port aber offen ist (da allow)
dann kann man connecten, zuB ins Backend, direkt aus dem INet

Wie ist Eure Erfahrung/Meinung?



am besten wàre das ganze mit einem ISA abzusichern, da der am besten die
sprache kennt die da "rein kommt"
vor allem SMTP und HTTPS
ich kenne kunden die ISA "nach" der eigenen ersten FW machen,
oft CISCO PIX^, Checkpoint FW1 (oder ISA)
also FW - ISA - BACKEND
usw
andere machen apache reverse proxy auch für OWA usw (mit SSL usw)
da gibt es unterschiedliche szenarien

wichtig ist nur was man erreichen will, direkt auf den Dienst aus dem INet
connecten sollten man vermeiden wenn es geht
bei E2007 gibt es zB die EDGE Rolle (ist nicht mal ORG Member und Domain
Stand Alone)

also best wàre INet--ISA--EDGE--BACKEND
oder ISA--BACKEND
oder min. EDGE--BACKEND
natürlich geht auch ein NAT-Router--BACKEND (mit Port Forward)
ist eine frage wie sicher man das haben will, weil "wenn" was passiert ist
der àrger groß
(vor allem rechtlich)

Mit freundlichen Grüssen / with kind regards
Roger Wassner

Bitte nur in die Newsgroup antworten.

Microsoft Exchange Server Newsgroup
microsoft.public.de.exchange
microsoft.public.de.german.exchange2000.general

"POP3 für Server FAQ" online
http://www.asp-partner.de/de/faq/pop3faq

Ähnliche fragen