Frage zur Architektur von Exchange 2007

31/08/2009 - 17:11 von Marc Haber | Report spam
Hallo,

ich selbst habe kaum Ahnung von Microsoft-Software, habe aber oft genug
damit zu tun, die Netzwerkinfrastruktur für Microsoft-Systeme vorzubereiten
und auch die geplante Architektur neuer Systeme zu begutachten und zu
bewerten (so weit das ohne detaillierte Windows-Kenntnisse überhaupt geht).
Deswegen möge man mir bitte verzeihen, dass ich die Microsoftismen nicht so
wirklich perfekt drauf habe, ich zitiere hier oft Dinge, die man mir in
einem Meeting so vorgekaut hat.

Gegeben sei eine Installation mit Exchange 2003. Im internen Netz steht
der "eigentliche" Exchange-Server, auf dem die Mailboxen liegen und auf die
die Outlook- und IMAP-Clients zugreifen. "Draußen", in einem Servicenetz
(vulgo: DMZ) steht ein Exchange 2003 Frontend Server, der eingehende Mails
aus dem Internet entgegennimmt, ausgehende Mails ins Internet weiterleitet
und außerdem den Outlook Web Access ermöglicht. Der E2k3 Frontend Server
ist Domànenmitglied, spricht mit den Domaincontrollern mit den notwendigen
Protokollen und MS-RPC mit dem internen Exchange-Server. Abgesehen davon,
dass die Firewall zwischen dem Frontend und dem internen Exchange
verhàltnismàßig weit offen sein muss, ist das ein sauberes Design, bei dem
keine Zugriffe aus dem Internet direkt ins interne Netz durchgehen sollen.

Bei Exchange 2007 ist das - so weit ich das aus einigen überflogenen
Whitepapers ablesen konnte - anders. Bitte widersprecht mir, wenn ich hier
Unwahrheiten verbreite. Eine Exchange-2007-Installation besteht neben
einigen anderen Komponenten aus Mailbox-Servern (MBS), Client Access
Servern (CAS) und einem Edge Transport Server (ETS). Dabei empfiehlt
Microsoft, den ETS wie früher den Frontend Server in einem Servicenetz zu
betreiben, wàhrend CAS und MBS im internen Netz stehen sollen. Der ETS darf
(!) dabei kein Domànenmitglied mehr sein, und Funktionen wie Outlook Web
Access, IMAP-Server etc übernimmt nun der CAS. CAS und MBS kann man in
kleineren Installation auf derselben Windows-Installation betreiben; der
ETS muss eine eigene Windows-Installation haben, weil er kein
Domainmitglied sein darf; insbesondere eine Kombination aus ETS und CAS auf
einer Installation ist nicht nur nicht empfohlen, sondern technisch auch
gar nicht möglich. Sind meine Ausführungen bis hierher richtig?

Und hier beginnen sich die Microsoft-Auskenner zu streiten: Der eine sagt,
der Edge Transport Server würde auch für Outlook Web Access und IMAP als
Application-Proxy fungieren, der andere sagt, man müsste hierfür einen
direkten Zugriffsweg aus dem Internet auf den CAS schaffen und solle halt
einen IAS oder einen Reverse Proxy verwenden, um diese Zugriffe
abzusichern.

Mir stellen sich jetzt die folgenden Fragen:

- Warum brauche ich überhaupt noch einen Server in einem Servicenetz, wenn
das interne Netz über den CAS sowieso mehr oder weniger direkt
erreichbar ist? Bringt mir der ETS in einem Servicenetz hier noch
zusàtzliche Sicherheit, oder treibt er die Komplexitàt nur sinnlos in
die Höhe?
- Ist es sinnvoll, den CAS auch in ein Servicenetz (von mir aus in ein
anderes als den ETS; die Infrastruktur ist stark VLAN-basiert und gibt
die notwendige Flexibilitàt her) zu schieben?
- Muss der CAS aus dem Internet erreichbar sein, oder hat der ETS die oben
postulierten Proxyfunktionen an Bord?

Ich würde mich freuen, wenn jemand von Euch etwas Licht in mein Dunkel
bringen könnte und mich ggf. auch gerne auf eine andere Gruppe hinweisen
könnte, falls ich in microsoft.public.de.exchange das Thema verfehlt haben
sollte (Architekturfragen werden, so habe ich nachgelesen, hier eher wenige
behandelt).

Vielen Dank im Voraus!

Grüße
Marc

Marc Haber | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature | How to make an American Quilt | Fax: *49 3221 2323190
 

Lesen sie die antworten

#1 Tobias Redelberger [MVP - SBS]
31/08/2009 - 17:39 | Warnen spam
Hi Marc,

ich selbst habe kaum Ahnung von Microsoft-Software, habe aber oft genug
damit zu tun, die Netzwerkinfrastruktur für Microsoft-Systeme
vorzubereiten
und auch die geplante Architektur neuer Systeme zu begutachten und zu
bewerten (so weit das ohne detaillierte Windows-Kenntnisse überhaupt
geht).
Deswegen möge man mir bitte verzeihen, dass ich die Microsoftismen nicht
so
wirklich perfekt drauf habe, ich zitiere hier oft Dinge, die man mir in
einem Meeting so vorgekaut hat.

Gegeben sei eine Installation mit Exchange 2003. Im internen Netz steht
der "eigentliche" Exchange-Server, auf dem die Mailboxen liegen und auf
die
die Outlook- und IMAP-Clients zugreifen. "Draußen", in einem Servicenetz
(vulgo: DMZ) steht ein Exchange 2003 Frontend Server, der eingehende Mails
aus dem Internet entgegennimmt, ausgehende Mails ins Internet weiterleitet
und außerdem den Outlook Web Access ermöglicht. Der E2k3 Frontend Server
ist Domànenmitglied, spricht mit den Domaincontrollern mit den notwendigen
Protokollen und MS-RPC mit dem internen Exchange-Server. Abgesehen davon,
dass die Firewall zwischen dem Frontend und dem internen Exchange
verhàltnismàßig weit offen sein muss, ist das ein sauberes Design, bei dem
keine Zugriffe aus dem Internet direkt ins interne Netz durchgehen sollen.

Bei Exchange 2007 ist das - so weit ich das aus einigen überflogenen
Whitepapers ablesen konnte - anders. Bitte widersprecht mir, wenn ich hier
Unwahrheiten verbreite. Eine Exchange-2007-Installation besteht neben
einigen anderen Komponenten aus Mailbox-Servern (MBS), Client Access
Servern (CAS) und einem Edge Transport Server (ETS). Dabei empfiehlt
Microsoft, den ETS wie früher den Frontend Server in einem Servicenetz zu
betreiben, wàhrend CAS und MBS im internen Netz stehen sollen. Der ETS
darf
(!) dabei kein Domànenmitglied mehr sein, und Funktionen wie Outlook Web
Access, IMAP-Server etc übernimmt nun der CAS. CAS und MBS kann man in
kleineren Installation auf derselben Windows-Installation betreiben; der
ETS muss eine eigene Windows-Installation haben, weil er kein
Domainmitglied sein darf; insbesondere eine Kombination aus ETS und CAS
auf
einer Installation ist nicht nur nicht empfohlen, sondern technisch auch
gar nicht möglich. Sind meine Ausführungen bis hierher richtig?



Richtig und doch falsch.. ;)

Richtig: "Kombination aus ETS und CAS auf einer Installation ist nicht nur
nicht empfohlen, sondern technisch auch gar nicht möglich."

Falsch: "ETS muss eine eigene Windows-Installation haben, weil er kein
Domainmitglied sein darf" -> Empfohlen, aber kein muss (s. Microsoft EBS
2008 Security Server)


Und hier beginnen sich die Microsoft-Auskenner zu streiten: Der eine sagt,
der Edge Transport Server würde auch für Outlook Web Access und IMAP als
Application-Proxy fungieren, der andere sagt, man müsste hierfür einen
direkten Zugriffsweg aus dem Internet auf den CAS schaffen und solle halt
einen IAS oder einen Reverse Proxy verwenden, um diese Zugriffe
abzusichern.

Mir stellen sich jetzt die folgenden Fragen:

- Warum brauche ich überhaupt noch einen Server in einem Servicenetz,
wenn
das interne Netz über den CAS sowieso mehr oder weniger direkt
erreichbar ist? Bringt mir der ETS in einem Servicenetz hier noch
zusàtzliche Sicherheit, oder treibt er die Komplexitàt nur sinnlos in
die Höhe?
- Ist es sinnvoll, den CAS auch in ein Servicenetz (von mir aus in ein
anderes als den ETS; die Infrastruktur ist stark VLAN-basiert und gibt
die notwendige Flexibilitàt her) zu schieben?
- Muss der CAS aus dem Internet erreichbar sein, oder hat der ETS die
oben
postulierten Proxyfunktionen an Bord?



hier solltest Du einen allg. Überblick (im wahrsten Sinne des Wortes.. ;)
..) über die Architektur und den Verbindungen zwischen den einzelnen
Komponenten von Exchange 2007 finden:

Microsoft Exchange Server 2007 Component Architecture
http://download.microsoft.com/downl...Poster.pdf

und hier die Interna zu der Edge Rolle:

Edge Transport Server Role Architecture
http://download.microsoft.com/downl...ecture.pdf


Und hier noch mal alles in Schriftform:

Exchange Server 2007 - Technical Architecture
http://technet.microsoft.com/en-us/...96003.aspx

Tobias Redelberger
StarNET Services (HomeOffice)
Schoenbornstr. 57
D-97440 Werneck
Tel: +49 (9722) 4835
Mobil: +49 (163) 84 74 421
Email:
Web: http://www.starnet-services.net

Ähnliche fragen