[Theorie]: Netzwerk mit ISA 2004, Exchange, DMZ

[Götzi 10]

Hi,

 

also, mein Problem ist folgendes:

 

Ich hab in der Schule (geh an Informatik-Schule) den Auftrag gekriegt, ein Netzwerk zu "zeichnen" und durchzudenken. Der beste Vorschlag wird dann zusammen in der Gruppe realisiert.

 

Aufgabenstellung:

Netzwerk mit 15 Clients (möglichst erweiterbar) (Win XP), zur Verfügung stehen bis zu 4 Server und 3 Switches / 1 Router mit WLAN.

 

Anfororderungen: Exchange 2003 (mit Frontend/Backend hab ich mir gedacht), DC (Server 2003), Virenscanner (Trendmicro Officescan).

Die Server sollen möglichst gut gesichert sein, hab mir vorgestellt den Webserver / Exchange Frontend in ne DMZ zu stellen.

Zur Verfügung stehen uns alle Programme, die im Action Pack enthalten sind und Officescan. Über weitere Programme kann geredet werden.

 

Mein Vorschlag sieht jetzt so aus:

 

 

Hab mir gedacht, wenn ich schon 4 Server hab, dann nutz ich sie aus. Einen Server nehm ich als ISA-Server, mit dem kann ich ja eine DMZ machen. Dort stell ich den Webserver/Exchange-Frontend rein.

Die restlichen Aufgaben, werden auf die verbleibenden Server aufgeteilt (siehe Bild)

 

 

Jetzt meine Fragen:

 

- Sind irgendwelche groben Fehler in der Zeichnung?

 

- Ist es sinnvoll, den Exchange-Frontend und den Webserver auf einer Maschine laufen zu lassen?

 

- Funktioniert das so? Weil der Front- und der Backend-Server sind ja in verschiedenen IP-Bereichen. Ich habs leider mit Frontend/Backend noch nie probieren können, keine Ahnung, ob die in der Konfiguration im Bild kommunizieren können.

 

- Ist die Aufteilung auf die Server im LAN sinnvoll? (Hab mir gedacht, Exchange ist sehr ressourcenhungrig, dem gönn ich ne eigene Maschine)

 

- Den WLAN-Router (Netgear WGT624) kann ich ja einfach als "dummen" Accesspoint verwenden, indem ich am Internet-Port einfach nichts ansteck, oder?

 

 

Wäre dankbar, wenn ihr Verbesserungen/Vorschläge schreiben könntet, da ich mit so "großen" Netzwerken noch keine Erfahrung habe (hab nur Heimnetz zu betreuen)

 

Die Hardware wird nichts Berauschendes sein, aber für die Testzwecke völlig ausreichend.

 

Danke schon im Voraus,

 

Götzi

[dark knight 10]

Jo, prinzipiell schon nicht schlecht, der Wizard im isa2k4 hilft dir dabei ja schon.

Wobei in der DMZ ( nennt sich jetzt Perimeternetz - ist neu)

nur ein W2K3 als Web und smtp-relay stehen braucht.

[Elharter 11]

Nun da schließ ich mich doch gleich mal hier an ;)

 

 

 

Ich hab hier bloss noch keine DMZ.....weis nicht genau wie ich die am besten platziere.

 

Wichtig hierbei ist:

-Die Replizierungen müssen alle hinhauen

-die beiden DNS und DC müssen sich geclustert sein

-aus dem privaten Netz soll man auch auf den Webserver kommen

 

Dann wird wohl noch ein VPN Zugang für 2 Personen außerhalbs dazukommen die im Grunde genommen vollwertig im Netz sitzen sollten.

 

Internetmäßig sollte auch bei mir sogut wie alles dicht sein, da darf einfach nix außer Web,Mail und VPN (und für die User Web) durch.....

 

Um Verbesserungen und konstruktive Kritik bitte ich !!!

 

Nochwas: ob es nun der 192er oder 172er Range wird soll mal egal sein ;)

[Götzi 10]

Original geschrieben von dark knight

Wobei in der DMZ ( nennt sich jetzt Perimeternetz - ist neu)

nur ein W2K3 als Web und smtp-relay stehen braucht.

 

Wie ist das gemeint?

[Dr.Melzer 191]

@:Gözi:

 

Bitte passe dochj die Dateigröße deines Bildes an eine Bildschirmauflösung von 1024x768 an, dan kannst du wieder darauf verlinken.

 

Vielen Dank für dein Verständnis.

[Götzi 10]

Da ich den Beitrag nicht editieren kann, hier das Bild nochmal:

 

http://php.htldornbirn.vol.at/~stglamic/netzwerk.jpg

[grizzly999 11]

@Ellharter:

Was soll dieses Crossposting :mad: :mad:

Ausser Verwirrung und dass dann Antworten zu Beiträgen kreuz und quer kommen, bringt das gar nichts! Wer ein Anliegen hat, macht einen eigenen Beitrag auf, so einfach ist ein Board Internet.

Bitte lese dir erst noch mal die Boardregeln durch

 

Auf Ellharter's Beitrag antwortet bitte keiner drauf, sonst editiere ich alle Beiträge dazu ins Nirwana raus!

 

 

grizzly999

[Götzi 10]

hat noch jemand Verbesserungsvorschläge/Kritik zu meiner Zeichnung?

 

Meine größte Sorge ist, dass die beiden Exchange-Server (Front- und Backend) nicht miteinander kommunizieren können (andere IP-Bereich). Kann mir dazu jemand was sagen?

 

Danke im Voraus,

 

Götzi

[grizzly999 11]

Doch können sie bei entsprechender Einrichtung des ISA (gibt es aber Anleitungen bei MS dazu). Ansonsten wäre Frontend-Backend nicht wirklich eine sinnvolle Entwicklung ;)

 

 

grizzly999

[Götzi 10]

oha, Antwort innerhalb von 3 Minuten, respekt :shock:

 

Gegen grizzlys Argument kann ich wohl nicht mehr viel sagen :p

 

Hat noch jemand eine Idee zur Verbesserung? Weil ich will natürlich, dass man meinen Vorschlag nimmt :D

[grizzly999 11]

Hallo Götzi, deine Lösung ist sehr gut, ist praktikabel und technisch korrekt.

 

Es fragt sich natürlich, wie definiert man "besser". Ist immer eine Frage des Blickwinkels. Wenn man jetzt mal eure Schulungsraumumgebung außer Acht läßt, die Eckdaten (Anzahl der Server, Switche, Action Pack Software usw.) nimmt, und die auf ein Kundenprojekt übertragen würde, dann gibt es da verschiedene Blickwinkel, den Aspekt:

 

- der Sicherheit

- der Perfomance

- Bedien- /Verwaltbarkeit

- Kosten für Hardware

- Kosten für Implementierung

usw.

 

Du siehst, eine "Verbesserung" braucht Vorgaben

[Oberlehrer ON]Steckt ja auch schon der Komparativ im Wort drin -> "VerBesserung", besser in Bezug auf was ?[Oberlehrer OFF] :D

Das Dumme daran ist nur, dass man in den meisten Fällen eine Verbesserung in einem der Bereiche mit einer Verschlechterung in anderen Bereichen "bezahlt".

 

 

Okay, genug gelabert, **Ärmel hochkremel** :D

Wenn du es besser im Hinblick der Sicherheit mit den gegebenen Eckdaten haben willst, dann die Empfehlung von mir:

Back to Back Firewall, also 2 ISA, einer vorne einer hinten. Ein zweistufiges Prinzip ist immer im Sinne der höheren Sicherheit die empfohlene Variante. Dem fiele dann der E2k3 hinten als alleinstehender Server zum Opfer, weil er auf den DC muss. Je nach HW bei 15 Usern kein Problem, wenn nicht jeder täglich 2.987 Mails verursacht.

Du kannst jetzt für dich selber überlegen, mit welcher "Verschlechterung" du die "Verbesserung" der Sicherheit gekauft hast ;)

 

grizzly999

 

P.S.: Ahja .... Wieviele Action Packs hat man denn zur Verfügung. Man darf jeden Server aus dem AP nur einmal lizensieren, da würde man nicht viel ausrichten können :p

[Götzi 10]

Hi,

 

danke für die Antwort. Erstmal wegen der Software: ich hab geschrieben "die Software, die im AP drin is" (dann weiß jeder, was alles), wir haben nicht den AP, sondern irgendwelche Schullizenzen, ziemlich viele glaub ich. An dem sollts eigentlich nicht scheitern. Der "Stolperstein" bei der Aufgabe sind eher die Anzahl der Server (4). Wir dürfen auch keine Clients nehmen und Serversoftware drauftun.

 

Das mit den 2 ISA-Servern und dazwischen der Frontend-Server hab ich mir auch schon überlegt. Nur wären dann ja die ganzen internen Aufgaben (DC, Exchange-Backend, SUS, Officescan) auf einem Server, und ich glaub, das wär nicht so ganz optimal.

 

Ist das mit dem einen ISA-Server (wie auf meinem Bild) viel "unsicherer"?

 

Und wie schaut es bei meiner Lösung mit den von dir genannten Punkten aus?

 

Sorry, viel Schreibarbeit für dich, aber wenn ich meinen Vorschlag genau begründen kann is sicher nicht schlecht :)

 

Götzi

[grizzly999 11]

Original geschrieben von Götzi

Das mit den 2 ISA-Servern und dazwischen der Frontend-Server hab ich mir auch schon überlegt. Nur wären dann ja die ganzen internen Aufgaben (DC, Exchange-Backend, SUS, Officescan) auf einem Server, und ich glaub, das wär nicht so ganz optimal.

Das war das mit dem Blickwinkel ... :wink2:

 

Ist das mit dem einen ISA-Server (wie auf meinem Bild) viel "unsicherer"?

Nein, nicht viel. Es ist auf jeden Fall sicherer als nur einen einzigen Exchange, und den dann im LAN.

Ein möglicher Angreifer hätte dann aber nur eine FW zu überwinden, anstatt zwei. Dafür leidet die Performance auf dem LAN-Server.

 

Es steht und bleibt die Frage "Was will ich"??

 

Ich denke, dass es da nicht DIE richtige Lösung geben wird, das werdet ihr ausdiskutieren müssen.

Ähh, IHR, nicht ich (Zitat Götzi: "Sorry, viel Schreibarbeit für dich..." :p )

 

 

grizzly999

[Götzi 10]

Ok, dann wären eigentlich alle Fragen geklärt.

 

Nur eins hab ich noch: Ist die Aufteilung der Dienste auf die 2 internen Server optimal, also der Exchange allein auf einer Maschine und der Rest auf der anderen?

 

Wenn sonst noch was is schreib ich gern wieder (Muss dieses Board, besonders Grizzly und Co immer wieder loben!)

 

Götzi

[grizzly999 11]

Original geschrieben von Götzi

Nur eins hab ich noch: Ist die Aufteilung der Dienste auf die 2 internen Server optimal, also der Exchange allein auf einer Maschine und der Rest auf der anderen?

Im Prinzip ja. Aber du sprichst von 15 Personen. Da ist nicht soo viel DC-Verkehr, sowieso, wenn Exchange und DC auf dem selben Server lägen. Dann würde der Exchange außer Mail gar keinen Netzwerkverkehr verursachen (ansonsten noch DNS-Verkehr und GC-Verkehr). Der SUS (bzw. die SUS-Clients) benutzen BITS und wäre eigentlich nur richtig belastet, wenn gerade mal ein SP auf die Clients geladen werden müsste, ansonsten sind die Updates doch im unteren MB oder sogar nur kB-Bereich. Und den OfficeScan könnte man nachts downloaden und deployen lassen.

Von daher spräche eigentlich aus meiner Sicht nichts dagegen, alle Aufgaben auf den einen Server zu nehmen, außer zu wenig RAM auf der Möhre.

 

Was allerdings FÜR deine Lösung spricht, und deshalb würde ich dieser deiner Variante im nachhinein bei genauerer Überlegung den Vorzug geben: auf den separaten Backend-Exchange würde ich einen DC, DNS und GC mit drauf machen. Das wäre dann im Sinne der Verfügbarkeit dieser einzelnen wichtigen Dienste ein unheimlicher Zugewinn! ;)

 

 

grizzly999