NLB CAS mit ISA 2006 Cluster

15/10/2007 - 10:12 von wolfman | Report spam
Hi,

bin gerade dabei meine 2 CAS die ich per NLB ausfallsicher gestaltet hab mit
einem ISA 2006 Cluster am kombinieren.

Es soll spaeter unter: mail.company.de owa sowie activesync erreichbar sein.

Nun stellt sich mir die Frage in was fuer ein Netz ich die ISAs stellen
soll.

Ich hab ein Netz in dem all meine Exchange und ein paar andere Server
stehen, und hab noch ein paar weitere DMZs.

Wenn ich nun den ISA in eine vorhandene DMZ stelle habe ich das Problem dass
ich mit dem ISA meine uebergeordnete Firewall umgehen kann
(Fehlkonfiguration, Angriffspunkt...), da der ISA in 2 normalerweise von
meiner FW getrennten Netzen haengt.

Es gaebe natuerlich auch noch die Moeglichkeit den ISA in das gleiche Netz
wie den Exchange zu haengen, die NAT-Eintraege auf den ISA zu legen und dann
den ISA zum Exchange routen lassen.

Mein Problem ist einfach dass fuer die Firewalls die ich besitze (Nokias)
die Netzwerkkarten so super teuer sind, dass ich nicht nicht eine eigene DMZ
fuer den ISA "verschwenden" will.

Hab schon ueberlegt die direkt ins Internet zu haengen, jedoch will ich das
widerrum auch nicht...

Wie habt ihr das mit euren ISAs geloest? Best practice ist soviel ich weiss
eine eigene DMZ oder lieg ich da falsch?

Merci vorab fuer eure Antworten.

Gruss, wolfman
 

Lesen sie die antworten

#1 Marc Jochems
15/10/2007 - 10:47 | Warnen spam
Hallo wolfman,

bin gerade dabei meine 2 CAS die ich per NLB ausfallsicher gestaltet hab mit
einem ISA 2006 Cluster am kombinieren.

Es soll spaeter unter: mail.company.de owa sowie activesync erreichbar sein.

Nun stellt sich mir die Frage in was fuer ein Netz ich die ISAs stellen
soll.

Ich hab ein Netz in dem all meine Exchange und ein paar andere Server
stehen, und hab noch ein paar weitere DMZs.



Dann stell den doch in eine von den DMZs. Was spricht dagegen?

Wenn ich nun den ISA in eine vorhandene DMZ stelle habe ich das Problem dass
ich mit dem ISA meine uebergeordnete Firewall umgehen kann
(Fehlkonfiguration, Angriffspunkt...), da der ISA in 2 normalerweise von
meiner FW getrennten Netzen haengt.



àh? In die DMZ kommst du nur über die FW und auch aus dem DMZ kommst du auch
nur über die FW.

Es gaebe natuerlich auch noch die Moeglichkeit den ISA in das gleiche Netz
wie den Exchange zu haengen, die NAT-Eintraege auf den ISA zu legen und dann
den ISA zum Exchange routen lassen.



Bringt dann da nicht mehr allzuviel.

Mein Problem ist einfach dass fuer die Firewalls die ich besitze (Nokias)
die Netzwerkkarten so super teuer sind, dass ich nicht nicht eine eigene DMZ
fuer den ISA "verschwenden" will.



Da haben wir es doch wieder ;-). Super Sicher und Billig! Das passt genaus
wenig wie Superverfügbar und Billig!

Hab schon ueberlegt die direkt ins Internet zu haengen, jedoch will ich das
widerrum auch nicht...



Könntest du, aber wenn du doch DMZs hast, da wird doch sicher eine geignete
dabei sein, wenns keine eigene werden darf.

Wie habt ihr das mit euren ISAs geloest? Best practice ist soviel ich weiss
eine eigene DMZ oder lieg ich da falsch?



Nein, es wàre schon nett, wenn es so wàre, aber ist nicht unbedingt notwendig.

Grüße

Marc Jochems

Ähnliche fragen