sbsnewbie 10 Geschrieben 18. Juni 2010 Melden Teilen Geschrieben 18. Juni 2010 Hallo, ich stehe gerade vor der selben Aufgabe und würde gerne deine Lösung wissen ;) Ich habe noch nie mit DMZ gearbeitet, aber den Sinn habe ich iwie verstanden. Wir arbeiten noch mit SBS2003 (ohne exchange) AD und als Datei/Drucker Server. Vorhaben und meine Testumgebung : 1 2WAN-Mode DSL HardwareFirewallRouter 1 SBS2008 mit Exchange Nutzung 1 W2K8R2 mit TMG 2010 mit 2 NIC´s 1 Windows XP SP3 Hauptsächlich geht es um OWA von Extern und es sollte sicher sein. Habe ich das Prinzip so richtig Versanden Router 192.168.0.1 SBS 2008 192.168.0.2 255.255.255.0 192.168.0.? DNS 192.168.0.2 XP 192.168.0.3 255.255.255.0 192.168.0.? DNS 192.168.0.2 Router DMZ - Zone 192.168.10.1 W2K8R2 192.168.10.2 /externe NIC 255.255.255.0 192.168.10.1? DNS 192.168.10.2? 192.168.0.4 /interne NIC 255.255.255.0 192.168.0.? DNS 192.168.0.2 Ist TMG jetzt "NUR" ein ProxyServer? Oder kann der auch NAT? Müssen die Browser in der Konfiguration den W2K8R2 also Proxy angeben? Wenn ja, was mach ich dann mit Applikationen, die keinen Procy benutzen können. Ich bin Dankbar für jede Antwort ... Bis jetzt läuft Exchange mit OWA Testweise und eMail senden/empfangen klappt ganz gut. (SMTP mit Smarthost bei der Telekom inkl. fester IP und DNS Reserve) Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 19. Juni 2010 Melden Teilen Geschrieben 19. Juni 2010 Hi, es wäre sinnvoller, wenn du einen eigenen Thread begonnen hättest. Vielleicht kann einer der Mods das ja mal abtrennen. Ich habe noch nie mit DMZ gearbeitet, aber den Sinn habe ich iwie verstanden. Na wenn du es irgendwie verstanden hast, bringt es bestimmt auch irgendwie was. ;) Hauptsächlich geht es um OWA von Extern und es sollte sicher sein. OK, aber wenn ihr Exchange gar nicht einsetzt? Habe ich das Prinzip so richtig Versanden Ehrlich gesagt sieht es nicht so aus. Mit einem Router und einem TMG kannst du die DMZ sinnvoll nur zwischen TMG und Router herstellen. Bei deiner Schilderung tauchen zwei Router auf, wobei mir unklar ist, wo du den zweiten herholst. ;) Sinnvolles Konstrukt in deiner Situation: LAN----TMGintern----TMGextern------DMZ--------Routerintern----Routerextern Damit wäre dein TMG als Gateway fürs LAN einzutragen und regelt den Zugang zum Netz. Dein Router kann als Portfilter konfiguriert werden, muß er aber nicht. Bis jetzt läuft Exchange mit OWA Testweise und eMail senden/empfangen klappt ganz gut. (SMTP mit Smarthost bei der Telekom inkl. fester IP und DNS Reserve) Wenn du ne feste IP hast, warum nutzt du den Smarthost? Bye Norbert Zitieren Link zu diesem Kommentar
schopf16 10 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 hi sbsnewbie es währe wohl am besten, dazu baldmöglichst einen eigenen thread zu öffnen, da kann ich NorbertFe rechtgeben. Nun, wenn ich eines bereits herausgefunden habe, dann das es keine Pfannenfertige Lösung geben wird. Ich kann dir nicht sagen, wie du deine EDV einzurichten hast, ich kann dir einfach sagen, wie ich es gemacht hatte und vielleicht kannst du das eine oder andere übernehmen. Nun, unser Unternehmen ist nicht gross. Wir haben zwischen 12 und 15 Angestellte. Hochverfügbare Clustersysteme mit verschiedener Anbindung ans Internet und Reserve-Mailserver findest du bei uns nicht. Bei uns nutzen wir SBS2008 Premium. Das bedeutet wir haben zwei Server, auf einem läuft AD und Exchange 2007, auf dem anderen ist SQL installiert. Um etwas mehr Sicherheit zu haben, wollte ich den OWA in die DMZ verbannen, wie du aber aus den Kommentaren oben entnehmen kannst, ist das eine gänzlich dumme Idee. Anschliessend wollte ich OWA über ein Relay in der DMZ mittels TMG freigeben: MSXFAQ.DE - Exchange und Firewalls Ich hatte dazu nur eine Firewall zur Verfügung, welche einen Port für DMZ hatte. Dies ist zwar nicht die Empfohlene Variante von Microsoft, aber ich konnte keine zweite herzaubern. So wie ich TMG verstanden hatte, ist dies jedoch auch eine Firewall. Ich hatte zu diesem zweck einen dritten Server organisiert und auf diesem vmWare ESXi installiert. Darauf wiederum einen Windows 2008 Standard Server mit TMG. Meine Variante: Internet ---- Firewall (ZyWall) ---- LAN | | DMZ So wie ich TMG verstanden hatte, kannst du diese für alles nutzen (auch NAT). Es sollte eine kompletter Software Router mit Intrusion detection usw. sein. Da ich aber nicht viel Zeit hatte und dieses Gebiet völlig neu ist für mich, hatte ich die TMG nicht zum laufen bekommen, bez. sie hatte immer alles gespert. Publishing Outlook Web Access with Microsoft Forefront TMG Ich habe nun die DMZ abgebaut und greife wieder direkt vom Internet auf den Exchangeserver zu. Dazu habe ich in der Firewall den Port 443 freigegeben und nichts mehr. SMTP habe ich von Aussen gesperrt. Die Mails rufe ich auch von einem Smarthost ab, ebenso versende ich die Mails wieder über einen Smarthost. Um Emails über OWA abzufragen, hatte ich auch eine feste IP mit Domain eingerichtet. Hoffe ich konnte etwas Licht ins dunkle bringen. Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 So wie ich TMG verstanden hatte, kannst du diese für alles nutzen (auch NAT). Es sollte eine kompletter Software Router mit Intrusion detection usw. sein. Da ich aber nicht viel Zeit hatte und dieses Gebiet völlig neu ist für mich, hatte ich die TMG nicht zum laufen bekommen, bez. sie hatte immer alles gespert. Du versuchst natürlich auch schon den etwas komplexeren Aufbau. ;) Eine Firewall blockt so oder so erstmal alles. Ich hätte an deiner Stelle eher der Zywall gegen das/den/die TMG (;))ersetzt. Ich habe nun die DMZ abgebaut und greife wieder direkt vom Internet auf den Exchangeserver zu. Dazu habe ich in der Firewall den Port 443 freigegeben und nichts mehr. Was ist aus Da ich den Exchangeserver aber nicht ins Internet hängen will, geworden? SMTP habe ich von Aussen gesperrt. Warum, wenn du wie du schreibst eine feste IP besitzt? Die Mails rufe ich auch von einem Smarthost ab Du meinst, du bekommst sie zugestellt (im ersten Post sagtest du SMTP), oder nutzt du doch einen POP3Connector (würg)? Bye Norbert Zitieren Link zu diesem Kommentar
schopf16 10 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Wie bereits erwähnt, ich bin da überhaupt nicht der experte, darum bringe ich das eine oder andere durcheinander. Da ich den Exchangeserver aber nicht ins Internet hängen will Ich wollte nicht direkt auf den Server zugreifen, sondern über einen "Filter" in der DMZ meine Anfragen auf den Server filtern. Da ich aber TMG nicht richtig konfigurieren konnte, hatte ich die Idee mit der DMZ wieder fallen gelassen und geben an der Zywall den Port 443 (https) auf den Exchangeserver frei. SMTP habe ich von Aussen gesperrt. Warum, wenn du wie du schreibst eine feste IP besitzt? Ich weiss nicht genau, was einer, der mehr versteht als ich, mit dem SMTP alles für Unfug mit dem Server anstellen kann. Ich gehe davon aus, dass ich den Server mit meinen Kentnissen nur ungenügen absichern kann, darum habe ich SMTP von aussen zum Server gesperrt. Die Mails rufe ich auch von einem Smarthost ab Da hab ich vermutlich wieder was durcheinander gebracht? Emails werden an unseren Hosting-Anbieter gesendet. Dort hole ich die Emails mit einer POP3Connect-Software ab und verteile diese dann im Exchangeserver. Emails welche gesendet werden, werden dann auch wieder über diesen Hosting-Anbieter gesendet. Der Grund dafür ist simpel. Aus Wartungsgründen (oder Softwareprobleme) ist der Exchangeserver in der Firma nicht immer erreichbar. Ich berfürchte, wenn Emails direkt an diesen gesendet werden, könnten diese verloren gehen, wenn der Firmenserver mal wieder nicht erreichbar ist. Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Hi, mist jetzt schreiben wir sozusagen im falschen Thread. Wir sollten wechseln. ;) Ich wollte nicht direkt auf den Server zugreifen, sondern über einen "Filter" in der DMZ meine Anfragen auf den Server filtern. Da ich aber TMG nicht richtig konfigurieren konnte, hatte ich die Idee mit der DMZ wieder fallen gelassen und geben an der Zywall den Port 443 (https) auf den Exchangeserver frei. Ja, also jetzt direkt. ;) Ich weiss nicht genau, was einer, der mehr versteht als ich, mit dem SMTP alles für Unfug mit dem Server anstellen kann. Genau das ist das Problem, was ich in solchen Szenarien immer wieder sehe. ;) Jeder hat ein gesundes Halbwissen und stellt lieber CAS/TMG auf, anstatt erstmal davon auszugehen, dass ein korrekt konfigurierter Exchangeserver sicherlich nicht total offen im Netz steht. Ich gehe davon aus, dass ich den Server mit meinen Kentnissen nur ungenügen absichern kann, darum habe ich SMTP von aussen zum Server gesperrt. Im Sinne einer günstigeren/sicheren/bequemeren Arbeit wäre die Umstellung auf SMTP Zustellung aber anzuraten. Im Zweifel hol dir jemand ins Haus, der das kann. Wir können dir hier sicher auch Tipps geben. Dort hole ich die Emails mit einer POP3Connect-Software ab und verteile diese dann im Exchangeserver. Würg. ;) Der Grund dafür ist simpel. Aus Wartungsgründen (oder Softwareprobleme) ist der Exchangeserver in der Firma nicht immer erreichbar. Ich berfürchte, wenn Emails direkt an diesen gesendet werden, könnten diese verloren gehen, wenn der Firmenserver mal wieder nicht erreichbar ist. Du befürchtest sehr viel. ;) In diesem Fall aber unbegründet. Bye Norbert Zitieren Link zu diesem Kommentar
sbsnewbie 10 Geschrieben 21. Juni 2010 Autor Melden Teilen Geschrieben 21. Juni 2010 Moin ;) Danke für eure Antworten. ich habe leider nicht mitbekommen, dass jemand geschrieben hat, weil der thread umgezogen ist. 1. Ich habe nur einen router, aber die DMZ bekommt ihr eigenes Netzwerk 192.168.10.0 2. Wir nutzen Exchange und deswegen auch OWA 3. Sollte ich also lieber einen VSMTP für den Ausgang nutzen als einen SMARTHOST? ----TMGintern----TMGextern------DMZ--------Routerintern----Routerextern so habe ich mir das auch vorgetellt. Anbei ein Bild.. und dazu meine Fragen ;( 1. Unklar sind mir das GATEWAY und DNS in der DMZ für beide NIC´s 2. Welche Einstellung für DNS und Gateway müssen dann die Clients erhalten? (beantwortet) 3. Müssen die Cleints also ein Proxyeintrag den W2K8R2 benutzen? 4. Was mache ich mit Aplikationen, die keine Proxy Einstellung haben? 5. Kann der WSUS auf dem SBS2008 bleiben? 6. Muss der W2K8R2 in der Domän? 7. Muss auf W2K8R2 Active Directory Light? (Wegen der eMail Verteilung) Zitieren Link zu diesem Kommentar
sbsnewbie 10 Geschrieben 21. Juni 2010 Autor Melden Teilen Geschrieben 21. Juni 2010 kein bildupload? Zitieren Link zu diesem Kommentar
sbsnewbie 10 Geschrieben 21. Juni 2010 Autor Melden Teilen Geschrieben 21. Juni 2010 Zitieren Link zu diesem Kommentar
sbsnewbie 10 Geschrieben 21. Juni 2010 Autor Melden Teilen Geschrieben 21. Juni 2010 hmm Kostenloser Bilder Upload Service - Gratis Bilder hochladen / uploaden ohne Anmeldung Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Du möchtest sicher nochmal erklären, wo genau da eine DMZ ist? Die einzige Möglichkeit zur DMZ brückst du hervorragend mit einem DMZ Server der zwei Netzwerkkarten (je eine in der DMZ und im LAN) besitzt. Werd dir bitte erstmal klar, wozu eine DMZ gut ist, dann kann man auch sinnvolle Vorschläge machen. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 1.829 Geschrieben 21. Juni 2010 Melden Teilen Geschrieben 21. Juni 2010 Moin ;) ich habe leider nicht mitbekommen, dass jemand geschrieben hat, weil der thread umgezogen ist. Tja, deswegen macht man auch gleich seinen eigenen Thread auf. ;) 1. Ich habe nur einen router, aber die DMZ bekommt ihr eigenes Netzwerk 192.168.10.0 OK. 2. Wir nutzen Exchange und deswegen auch OWA Man kann Exchange auch ohne OWA benutzen. ;) 3. Sollte ich also lieber einen VSMTP für den Ausgang nutzen als einen SMARTHOST? Wie meinst du das? ----TMGintern----TMGextern------DMZ--------Routerintern----Routerextern so habe ich mir das auch vorgetellt. Ähm, das ist doch genau das, was ich schon schrieb. Oder verpaß ich hier grad was? 1. Unklar sind mir das GATEWAY und DNS in der DMZ für beide NIC´s Grundlagen IP sind vorhanden? Wozu eine DMZ ist hoffentlich ebenfalls. 2. Welche Einstellung für DNS und Gateway müssen dann die Clients erhalten? (beantwortet) Ich versteh dich nicht. 3. Müssen die Cleints also ein Proxyeintrag den W2K8R2 benutzen? Nein, müssen sie nicht. 4. Was mache ich mit Aplikationen, die keine Proxy Einstellung haben? Die gehen halt den Weg des Default Gateways mit allen Vor- und Nachteilen. 5. Kann der WSUS auf dem SBS2008 bleiben? Ja, aber was hat das alles mit deiner ursprünglichen Frage zu tun? 6. Muss der W2K8R2 in der Domän? Du meinst Domäne oder domain? ;) Und welcher W2k8r2 ist gemeint? Die Antwort lautet aber wahrscheinlich "kommt drauf an". 7. Muss auf W2K8R2 Active Directory Light? (Wegen der eMail Verteilung) Man man man, können wir uns darauf einigen, dass du kurz mal schilderst, was genau du vorhast? Das alles hat genau nichts mit deiner ursprünglichen Frage zu tun. Und das klingt alles sehr verworren. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.