2K3R2 - Exchange 2003 Fronend Server Verschieben

[Evoco]

Hallo zusammen,

momentan haben wir unseren Fronend Exchange Server 2003 in unserem LAN stehen.
Auf diesem läuft natürlich auch OWA.

In der DMZ steht:
1. ein Reverseproxy der die OWA Verbindungen weiterleitet
2. ein Exchange Server mit eigenem AD der als Relay fungiert

Weil wir aus mehren Gründen einige Veränderungen vornehmen möchten wollen wir jetzt einen neuen Fronend Exchange Server in die DMZ stellen und somit den Service Frondenserver und OWA den momentan ein anderer Exchange Server im LAN macht ablösen.

Meine Frage wäre: Ist es problematisch von einem Exchange Server (im LAN) der momentan als Fronend fungiert, diesen Dienst auf einen neuen Exchange Server der in die DMZ kommt zu übertragen bzw. zu ändern.
Ich denke da z.B auch an OWA.

Das natürlich von der DMZ in richtung LAN weiter PORTS geöffnet werden müssen ist mir klar ich würde aber gerne Probleme wie nicht Funktion von OWA entgegenwirken wollen.

Hättet ihr da Erfahrungen und Infos für mich?

Danke und Gruss Evoco

[LukasB]

Ein Exchange-Server gehört nicht in die DMZ. Es gab zu diesem Thema schon einige Threads.

Du kannst einen Reverse-Proxy platzieren um Outlook Anywhere, EAS und OWA zu ermöglichen, als auch einen Exchange Edge der die Mails filtert und weiterleitet.

[NorbertFe]

Mir ist unklar, wozu man einen Exchange als Relay in die DMZ stellt. Da gibts wirklich bessere und meist sogar preiswertere Lösungen. In die DMZ gehört ein Exchange davon mal abgesehen sowieso nicht, da gibts auch kaum sinnvolle Gründe für.

Bye
Norbert

[Evoco]

danke für eure schnellen Antworten.

1. Das in der DMZ ein Exchange ist als Relay ist alt Last...

2. Zum Thema Frondend in der DMZ wundert mich eure Aussage.
Wenn ich mir den Artikel von MS ansehe

http://www.microsoft.com/downloads/d...5-3c8327d77b70

dann werden hier zwei Toplogien vorgeschlagen.
1. ISA in der DMZ und Frondend im LAN
2. Frondend in der DMZ

Ich muss ehrlich sagen die Vorstellung Exchange Server in der DMZ überzeugt mich auch nicht wirklich aber mein Vorgesetzter möchte es so.

Außer ich könnte ihm absolut stichhaltige Punkte nennen warum wir dies nicht machen sollen. Das was ich bis jetzt in anderen Foren gelesen habe fand ich persönlich nicht stichpunktehaltig genug.

Was wären denn für euch die KO kriterien die ihr vorbringen würdet?

Gruss Evoco

[Dukel]

Zitat von NorbertFe Mir ist unklar, wozu man einen Exchange als Relay in die DMZ stellt. Da gibts wirklich bessere und meist sogar preiswertere Lösungen. In die DMZ gehört ein Exchange davon mal abgesehen sowieso nicht, da gibts auch kaum sinnvolle Gründe für. Bye Norbert

Dafür gibts (Ab Srv 2007) die Edge Rolle.

[Evoco]

Zitat von Dukel Dafür gibts (Ab Srv 2007) die Edge Rolle.

naklar dafür kauf ich ein neues Exchange System.....

Also zurück zur Topologie:

Hier der MS Vorschlag mit Frondend in der DMZ:

Übersicht über Front-End- und Back-End-Topologien

[BrainStorm]

Zitat von Evoco Was wären denn für euch die KO kriterien die ihr vorbringen würdet?

Der Frontendserver muß Mitglied deines Active Directories bzw. deiner Domäne sein. Domänenmitglieder gehören auch gerade wegen der Kommunikation mit Domaincontrollern etc. deshalb nicht in eine DMZ.
Es ist zwar möglich, aber allerdings keine empfohlene Konfiguration.

[Dukel]

Im Dokument steht folgendes zum Thema Front-End Server in die DMZ:

Hinweis: Die Platzierung der Front-End-Server innerhalb des Umkreisnetzwerks stellt eine Methode für die Bereitstellung der Front-End- und Back-End-Topologie innerhalb eines Umkreisnetzwerks dar. Empfohlen wird jedoch die im ersten Szenario Erweiterte Firewall in einem Umgebungsnetzwerk dargelegte Methode. Bei dieser Methode werden die Front-End- und Back-End-Server innerhalb des Intranets und die erweiterte Firewall (wie beispielsweise ISA Server) im Umkreisnetzwerk platziert. Mit der erweiterten Firewall können Anwendungsprotokolle gefiltert und zusätzliche Authentifizierungen für Anfragen durchgeführt werden, bevor eine Zwischenspeicherung im internen Netzwerk erfolgt.

Außerdem würde ich keinen Ex. 2003 mehr einsetzen und gleich zu 2007 oder 2010 migrieren und die haben eine Edge Rolle, welche für die DMZ gedacht ist.

KO Kriterium ist wie geschrieben, man muss die Firewall so aufmachen, dass man diese eigendlich weglassen könnte.

[NorbertFe]

Zitat von Evoco 2. Zum Thema Frondend in der DMZ wundert mich eure Aussage.

Warum? Weil wir ganz klar nur eine technisch sinnvolle Lösung "promoten"?

dann werden hier zwei Toplogien vorgeschlagen. 1. ISA in der DMZ und Frondend im LAN 2. Frondend in der DMZ

Dann lies aber auch das was drum rumsteht:

In der folgenden Abbildung wird das empfohlene Szenario dargestellt, in dem eine erweiterte Firewall, wie zum Beispiel Microsoft® Internet Security und Acceleration (ISA) Server mit Service Pack1 (SP1) und Feature Pack1, zwischen dem Internet und dem Exchange-Front-End-Server eingesetzt wird.

Oder etwas deutlicher:
http://technet.microsoft.com/de-de/l...EXCHG.65).aspx

Hinweis: Die Platzierung der Front-End-Server innerhalb des Umkreisnetzwerks stellt eine Methode für die Bereitstellung der Front-End- und Back-End-Topologie innerhalb eines Umkreisnetzwerks dar. Empfohlen wird jedoch die im ersten Szenario Erweiterte Firewall in einem Umgebungsnetzwerk dargelegte Methode. Bei dieser Methode werden die Front-End- und Back-End-Server innerhalb des Intranets und die erweiterte Firewall (wie beispielsweise ISA Server) im Umkreisnetzwerk platziert. Mit der erweiterten Firewall können Anwendungsprotokolle gefiltert und zusätzliche Authentifizierungen für Anfragen durchgeführt werden, bevor eine Zwischenspeicherung im internen Netzwerk erfolgt.

Ich muss ehrlich sagen die Vorstellung Exchange Server in der DMZ überzeugt mich auch nicht wirklich aber mein Vorgesetzter möchte es so.

Dann frag ihn einfach warum er das will. Exchange ist kein MTA der für sich alleine da rumsteht. Exchange benötigt IMMER einen Zugriff auf das Produktiv-AD (Ausnahem Edge ab 2007). Und wenn der Zugriff schon da ist, dann würde ich auch definieren wollen, wer da wie draufkommt. Also gibt es genau keinen Sinnvollen Grund das Ding in die DMZ zu stellen, da du die dann so löchrig zum LAN hin öffnen mußt, dass du auch gleich den FE ins LAN stellen kannst.

Außer ich könnte ihm absolut stichhaltige Punkte nennen warum wir dies nicht machen sollen. Das was ich bis jetzt in anderen Foren gelesen habe fand ich persönlich nicht stichpunktehaltig genug.

Und was hast du da gelesen?

Was wären denn für euch die KO kriterien die ihr vorbringen würdet?

Ich würde ja eher mal nachfragen, welchen Vorteil ein FE in der DMZ seiner Meinung nach haben sollte?

Bye
Norbert

[Evoco]

Gut ich werde dies mit meinem Vorgesetzten noch einmal besprechen und ihn eindringlich darauf hinweisen das diese Vorgehensweise nicht praktikabel ist und ein riesen Loch in unsere interne Firewall reißen würde.

Egal wie die Sache ausgeht würde ich trotzdem von euch mal rein vom interesse wissen mit was für einen Aufwand bzw. welche Arbeit darin steckt einen Frondend zu verändern, also von einem Server diesen Dienst und OWA auf einen anderen zu verändern.

Habt ihr da Erfahrungen gibt es da euch bekannte Dokus drüber.
Es könnte ja auch mal sein das unser Frondend abraucht und da würde ich gerne mal wissen in wie weit man diesen durch einen anderen ersetzten kann.

danke und gruss evoco