Exchange Edge Server in kombination mit einer exchange 2003 Umgebung

[Neokles]

Schönen Guten Tag allen miteinander,

kann ich einen Exchange 2007 Edge-Transport-Server in einer DMZ aufstellen und diesen mit meiner Exchange 2003 Infrastruktur kommunizieren lassen? Oder müsste ich meine komplette Infrastruktur auf 2007 upgraden?
Grund:
Manche Mitarbeiter müssen ihre Emails extern abrufen können.
Problem:
Wir wollen unseren ISA2004-Server durch einen anderen Hersteller im Bereich Firewall und Web Security wechseln. Daher wird auch OWA nicht mehr zur Verfügung stehen. Da dachte ich an die Option des Edge-Transport-Servers.

Vielen Dank für eure Hilfe

Neokles

[Christoph35]

Ist euch der ISA nicht mehr sicher genug, oder warum wollt ihr den nicht mehr nutzen? Der hat eigentlich gegenüber einer "normalen" Firewall eben im Bereich des Publishing von OWA u.ä. viele Vorteile.

Der Ex. 2007 Edge macht nur SMTP. Wenn, dann könntet ihr also versuchen, den als Smart-Host zu verwenden. Aber getestet hab ich sowas noch nicht.

/edit: hab gerade mal ein bischen gesucht, es gibt tatsächlich einen Technet-Artikel von MS, der sich damit befasst:
http://technet.microsoft.com/de-de/l...EXCHG.80).aspx

Christoph

[DJ82]

Hallo Neokles

Wenn du nicht auf Exchange 2007 upgraden möchtest, könntest du auch in der DMZ einen Exchange Server installieren, welcher keine Mailbox Funktion hat, sondern nur den OWA bereitstellt.

So hast du immer noch ein 2 Schichten Modell, damit nur der Exchange in der DMZ auf den nötigen Ports mit dem DC und dem Exchange kommunizieren kann.

Gruss Daniel

[NorbertFe]

Zitat von Neokles Manche Mitarbeiter müssen ihre Emails extern abrufen können. Verfügung stehen. Da dachte ich an die Option des Edge-Transport-Servers.

Der Edge ist nicht für Client Access gedacht. Heißt, du brauchst dir keine Gedanken machen, ob ein Edge dein Problem löst, denn das tut er nicht. Du brauchst einen CAS und den stellt man nicht in die DMZ.

Bye
Norbert
–

Zitat von DJ82 Hallo Neokles Wenn du nicht auf Exchange 2007 upgraden möchtest, könntest du auch in der DMZ einen Exchange Server installieren, welcher keine Mailbox Funktion hat, sondern nur den OWA bereitstellt.

Aha. Und ein AD installierst du dann auch mal schnell in die DMZ?

So hast du immer noch ein 2 Schichten Modell, damit nur der Exchange in der DMZ auf den nötigen Ports mit dem DC und dem Exchange kommunizieren kann.

Du weißt aber, dass ein Frontend Exchange in der DMZ schon lange nicht mehr empfohlen ist, oder?
Mal abgesehen davon, wäre die Installation des vorhandenen ISA Servers als Reverseproxy für die OWA Authentifizierung in der DMZ immer noch die besser und günstigere Methode.

Bye
Norbert

[DJ82]

Hallo Norbert

Ja ich weiss, dass der ISA besser wäre: Aber den will er ja raus haben.

Und warum soll ich in der DMZ ein AD installieren? Versteh ich jetzt nicht ganz.

Gruss Daniel

[NorbertFe]

Zitat von DJ82 Hallo Norbert Ja ich weiss, dass der ISA besser wäre: Aber den will er ja raus haben.

Die Aussage würde ich nicht so absolut sehen.

unseren ISA2004-Server durch einen anderen Hersteller im Bereich Firewall und Web Security

Heißt, theoretisch kann man den durchaus noch als Reverse Proxy einsetzen.

Und warum soll ich in der DMZ ein AD installieren? Versteh ich jetzt nicht ganz.

Weil der FE sich mit einem AD unterhalten will und wer will schon 17 Protokolle eingehend zulassen um HTTPS zum Exchangepostfach zuzulassen?

Bye
Norbert

[nerd]

Zitat von NorbertFe Mal abgesehen davon, wäre die Installation des vorhandenen ISA Servers als Reverseproxy für die OWA Authentifizierung in der DMZ immer noch die besser und günstigere Methode.

Hi,

Dieser Vorschlag von NorbertFe wäre auch mein Ansatz. Mit einem reverse Proxy hast du die notwendige Terminierung der Verbindung in der DMZ erreicht und hast keinen zusätzlichen Aufwand mehr. Wenn, aus welchen Gründen auch immer, ISA nicht mehr verwendet werden soll (auch nicht in der DMZ als reverse Proxy) dann kannst du dafür auch andere Firewalls verwenden. Es gibt recht viele Hersteller die auch Reverse Proxy's anbieten.

viele grüße

[Christoph35]

Es gibt recht viele Hersteller die auch Reverse Proxy's anbieten.

Das mag sein, aber kennst Du auch welche, die Exchange-Publishing so elegant lösen, wie der ISA?

Das mit dem CAS hab ich in meiner 1. Antwort glatt überlesen, da habt ihr natürlich recht, dafür ist der Exchange Edge nicht gedacht und das kann der auch nicht. Wie ich schon schrieb, ist der nur für SMTP gedacht und Messaging Hygiene (Spam-Filterung).

Christoph

[NorbertFe]

Zitat von Christoph35 Das mag sein, aber kennst Du auch welche, die Exchange-Publishing so elegant lösen, wie der ISA?

Nö. Aber es soll inzwischen auch andere geben. Wobei ich eben dem TO nur sagen wollte, dass er die Lizenz ja bereits besitzt. Es aus meinem Blickwinkel also "unsinnig" ist, etwas was von vielen Produkten (kostenpflichtigen) am besten geeignet ist abzuschaffen, obwohl es mit einigen Abänderungen in der Gesamtkonfiguration weiterbetrieben werden kann.


Bye
Norbert

[nerd]

Hi,

nur für den TO um das ganze noch mal klar zu stellen wie wir das meinen:

-----------
| Internet |
-----------

----------------
| Edge Firewall |
----------------

-----------------
| Reverse Proxy |
| z. B. ISA |
-----------------

------------------
| Internal Firewall |
------------------

------------
| Exchange |
------------

Die Verbindung würde dann auf der Edge Firewall auf Port 443 ankommen und an den Reverse Proxy geleitet werden. Dieser würde die Verbindung terminieren und seinerseits eine eigene Verbindung durch die Interne Firewall zum Exchange (443) aufbauen. Es würde bei diesem Aufbau also niemals eine direkte Verbindung aus dem Internet in dein LAN zustande kommen...