EXCH - Edge Server 2010 in DMZ

[bits]

Hallo Exchanger!

Ich wollte Euch mal was fragen, ob ich es richtig verstanden habe.

Also, Hub Server (in AD Domain) synct von LAN->DMZ zum Edge Server 2010 über Port 50636/TCP (SSL) .

Ich las in Technet, dass ein Edge Server 2 NICs habe. Hmm, ich denke eine NIC reicht da aus?

Zwecks der DNS Namensauflösung. Ich denke da reicht die Hostsdatei völlig aus?

Meine Umgebung:

LAN : 1 EX 2010 Server
Zwischen LAN<->DMZ<->HW-FIREWALL :: Zwischen LAN und DMZ Forefront im Einsatz

Momentan HW Firewall -> SMTP IN durch DMZ Network an WAN Port der NIC Forefront -> Forefront zu Ex 2010 (SMTP IN/Out)

PS: Ich möchte hier meinen ersten Versuch unternehmen RICHTIG einen Edge Server einzubinden.

Edge Server steht. FQDN muss ich ja angeben. Ich denke hier auch, dass es nicht zwingend die Domain sein muss des AD's? Wobei wohl eher doch, da Edge Sync richtig?

Ziel wäre, nix von DMZ ins LAN zu lassen ausser:

IN/OUT Port 25,6
LAN->DMZ Out Port 50636,6

Hoffe auf ein paar Inputs.. Noch was, ich möchte eventuell noch versuchen den Forefront 2010 GW zu nutzen mit dem Edge Server zu Verbinden (das neue Feature; PS: Hab noch nicht viel dazugelesen. Jedoch kommt das noch.. )

Danke und Gruss

Bits

[NorbertFe]

Nein du brauchst keine 2 NICs. Hatte ich hier auch schonmal die Diskussion.
Egde und OWA in der DMZ
ziemlich weit unten.

Bye
Norbert

[NilsK]

Moin,

Edge braucht keine 2 NICs, aber Forefront TMG braucht zwei, wenn es in der DMZ steht.

Gruß, Nils

[NorbertFe]

Zitat von NilsK Moin, Edge braucht keine 2 NICs, aber Forefront TMG braucht zwei, wenn es in der DMZ steht. Gruß, Nils

Echt? Warum das? Nur weil TMG nur noch mit 2 Karten supported ist, oder weils einen sinnvollen Grund dafür gibt? Und vor allem in welchen IP Kreisen sollen zwei Karten in der DMZ stehen?

Bye
Norbert

[NilsK]

Moin,

Zitat von NorbertFe Echt? Warum das? Nur weil TMG nur noch mit 2 Karten supported ist

ja. Der Microsoft-PSS hat erst weitergearbeitet, nachdem wir die zweite NIC eingesetzt hatten ...

Gilt für TMG in der DMZ. Dafür braucht TMG eine genaue Zuordnung des internen und von (mindestens) einem externen Netzwerk. TMG ist eine Firewall und will daher DMZ und LAN verbinden, auch wenn die DMZ z.B. ein Optional Network auf einer Watchguard ist ...

Gruß, Nils

[NorbertFe]

Ja ok, aber was ist in einer DMZ innen und aussen?

Bye
Norbert

[NilsK]

Moin,

internes Netzwerk = LAN. Der TMG steht nicht in der DMZ, sondern er bildet eine.

Gruß, Nils

[NorbertFe]

Ich will aber keine bilden, sondern das Ding in eine DMZ zwischen zwei Firewalls stellen. Was macht MS dann?

[NilsK]

Moin,

ich bin ja nicht Microsoft.

Du erzählst mir nichts Neues, genau das wollten wir auch. Bei uns hat es, wie gesagt, dazu geführt, dass wir eine zweite NIC eingebaut haben, die mit dem LAN verbunden ist. Wenn du es anders willst, frag selbst den PSS.

Edit: Ich ergänze mal:

Zitat von MS PSS -> problem was on TMG: not supported with 1 NW Card -- please see unsupported configuration

Und hier die "Unsupported Configurations": Da ist die einzelne Netzwerkkarte explizit aufgeführt.

[Unsupported configurations]
http://technet.microsoft.com/en-us/l...px#hhht4sdarg4

Reicht das jetzt?

Gruß, Nils

[LukasB]

Ich hab das Problem sogelöst das es eine externe und eine interne DMZ gibt (zwei VLANs an einem Interface unserer SonicWALLs, sodass ich dadurch nicht mehr Ports benötige). Die externe DMZ hat eine externe IP-Adresse, die interne DMZ hat eine RFC1918-IP Adresse.

Tut prima.