Jump to content

SBS Netzwerkstruktur?

marcibet

Von marcibet
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

marcibet Apprentice

marcibet   10

Geschrieben
Geschrieben

Hi !

 

Ich überlege gerade an einer Netzwerkmöglichkeit in unserer Firma. Konkret geht es darum dass wir einen SBS2003 einsetzen wollen. Da der Server ja als Domaincontroller fungieren soll muss er natürlich im internen Netz außerhalb der DMZ stehen. Was es aber praktisch unmöglich macht die Maschine ohne Verletzung der Sicherheitsrichtlinien auch als Mailserver zu betreiben - da ein Mailserver ja in der DMZ stehen muss (webaccess soll u.a. auch gehen!).

 

Stelle ich den Server also intern hin so kann er nicht als Mailserver arbeiten, stelle ich ihn in die DMZ dann brauche ich einen seperaten Domaincontroller.

 

Nun meine Überlegung den SBS einfach intern hinzustellen, und in die DMZ irgendeinen Rechner mit einem opensourcemailserver (z.b. postfix oder was auch immer). Kommt eine neue Mail an so landet sie im Postfix. Nun muss der Exchange aber auch Wind von dieser E-Mail bekommen - er darf sie Postfix jedoch nicht ganz wegnehmen da ja User von Extern via Webmail direkt auf den Postfix zugreifen müssen. Auf den Exchange können Sie ja wegen bereits Erwähnten Sicherheitsproblem nicht zugreifen.

 

Wie löst man sowas elegant ohne doppelt lizensieren zu müssen? :( Oder wird sowas ganz anders gelöst??

 

danke,

Marcel

Link zu diesem Kommentar
Dr.Melzer Grand Master

Dr.Melzer   191

Geschrieben
Geschrieben

Wenn du einen Exchange in die SBS stellst und damit auch einen Teil deines AD´s und alle Mailkontan, hat das die gleiche Wertigkeit als wenn du gleich deinen SBS in die DMZ stellst. Wenn du es richtig machen willst muss der SBS oder Exchange in dem lokalen Netzt setehn und in der DMZ nur ein Exchange Frontendserver.

 

Das dürfte aber eure Budget weit übersteigen wenn ihr über einen SBS nachdenkt.

 

Nimm den Großen SBS mit ISA und u bekommst ihn auch ohne DMZ sicher ins Netzt gestellt. ;)

Link zu diesem Kommentar
Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

Hallo,

 

Naja ich präferiere die Lösung mit externer Firewall immer noch mehr als die mit integriertem ISA. Aber das ist halt Ansichtssache.

 

Die Anbindung realisiere ich dann mittels (SSL) VPN.

 

EDIT: Ein kleiner Hinweis dazu, zwecks Zukunftsplanung der Nachfolger vom SBS 2k3 (Codename Cougar) wird keinen integrierten ISA Server mehr beinhalten egal in welcher Version. (Vielleicht die Lizenz zur Installation auf nem extra Server, aber nicht integriert)

 

SeanDaniel.com - SBS 2003 and Technology Discussions: Hey! Where's my next version of SBS?

Cougar will need to be installed behind some kind of firewall and the single-NIC model will be the only mode. You must use a firewall in front of the SBS box, this can be a hardware router type item, or a software firewall such as ISA.

 

LG Gadget

Link zu diesem Kommentar
GuentherH

GuentherH   61

Geschrieben
Geschrieben

Hi, und herzlich willkommen an Board ;)

 

Grundsätzlich, es gibt sicherlich tausende von SBS Installation, die auch ohne DMZ auskommen. Und es wird sicherlich noch mehr Installationen von Single Server Exchange geben, die auch nicht in der DMZ stehen.

 

der SBS Server wirklich nur für ganz kleine Firmen gedacht ist

 

Was verstehst du unter ganz kleine Firmen. Auf einer ordentlichen Hardware sind 40-50 User kein Problem (AD + Exchange). Ab dieser Größenordnung und bei einem ordentlichen Wachstum der Firma ist es dann sicherlich überlegenswert, auf Standardversionen umzusteigen.

Zudem kenne ich genügend Firmen (Boardsuche reicht dazu), die einen Exchange auf einem DC betreiben. Also ist da kein großer Unterschied.

 

Ich empfehle so wie Gadget die Standard Version des SBS mit einer ordentlichen ISCA zertfizierten Firewall, dann steht einem ordentlichen Betrieb eines SBS nichts im Wege.

 

LG Günther

Link zu diesem Kommentar
marcibet Apprentice

marcibet   10

Geschrieben
  • Autor
Geschrieben

Naja es sieht so aus.

 

~30 clients. firewall haben wir bereits - die firebox von watchguard (firebox x). dmz ist ja auch schon vorhanden und eig. alles konfiguriert. nur haben wir derzeit ein lizenzproblem (vorgänger nahm das net so genau) - deswegen auch die überlegung bez. sbs da dieser im action pack von ms das wir haben enthalten ist.

 

ich kann den sbs natürlich schon ins lokale netz geben nur werden wir dann erst recht kein webaccess haben da wir das sicherlich nicht freigeben können.

 

>muss der SBS oder Exchange in dem lokalen Netzt setehn und in der DMZ nur ein Exchange >Frontendserve

 

wie sieht das preislich aus. und wir lizenztechnisch. brauch ich dann doppete exchange cals ?

Link zu diesem Kommentar
GuentherH

GuentherH   61

Geschrieben
Geschrieben

Hi.

 

- der SBS muss im lokalen Netz stehen

- Wenn SBS 2003 R2 eingesetzt wird, dann sind keine zusätzlichen Client CALs notwendig

 

Wenn mit einer DMZ gearbeitet werden muss, dann empfehle ich allerdings den ISA Server. Mit dem ISA Server werden wesentlich mehr Funktionalitäten geboten, und bietet eine höhere Sicherheit.

 

LG Günther

Link zu diesem Kommentar
gelöscht

gelöscht   0

Geschrieben
Geschrieben

- Wenn SBS 2003 R2 eingesetzt wird, dann sind keine zusätzlichen Client CALs notwendig

Weitere SBS-CALs sind in jedem Fall notwendig, da im ActionPack meine ich nur 10CALs enthalten sind, aber 30Clients an den SBS sollen

 

Wenn mit einer DMZ gearbeitet werden muss, dann empfehle ich allerdings den ISA Server. Mit dem ISA Server werden wesentlich mehr Funktionalitäten geboten, und bietet eine höhere Sicherheit.

LG Günther

Ja - defintiv ein ISA, ein Exchange Front-End Server bringt in diesem Szenario überhaupt nichts. ISA Server 2006 ist ebenfalls im ActionPack enthalten.

 

ASR

Link zu diesem Kommentar
marcibet Apprentice

marcibet   10

Geschrieben
  • Autor
Geschrieben

d.h. ich stelle den server einfach ins lan und in die dmz einen isa server? oder den isa auch ins lan? was macht der isa eigentlich? :) hatte ich noch nie damit zu tun.

 

und ist der sbs dann von außen erreichbar obwohl er im lan steht? das ist doch sicherheitstechnisch nicht so toll. oo

 

folgendes szenario geht nicht?:

 

Mailserver mit Postfix in die DMZ, dieser macht ein SMTP Forward der erlaubten Domains auf den Exchange und relayt interne MAils nach aussen. Zusätzlich einen Reverse Proxy auf die Maschine um das Outlook Webmail aus dem LAN von außen zu ermöglichen.

Link zu diesem Kommentar
gelöscht

gelöscht   0

Geschrieben
Geschrieben
d.h. ich stelle den server einfach ins lan und in die dmz einen isa server? oder den isa auch ins lan? was macht der isa eigentlich? :) hatte ich noch nie damit zu tun.

Für die Platzierung gibt es mehrere Varianten, in kleinen Umgebungen kann der ISA als Edge-Firewall eingestzt werden, häufig wird ein Deployment als "interne Firewall" eingesetzt, d.h. eine öffentliche IP in der DMZ, eine im LAN. Du kannt den ISA aber auch nur in die DMZ stellen und benötigst dann LDAPS ins LAN um eine Authentifizierung durchführen zu können. Genug zu lesen gibt es hier:

 

Microsoft Technet: Microsoft ISA Server 2006

 

folgendes szenario geht nicht?:

 

Mailserver mit Postfix in die DMZ, dieser macht ein SMTP Forward der erlaubten Domains auf den Exchange und relayt interne MAils nach aussen. Zusätzlich einen Reverse Proxy auf die Maschine um das Outlook Webmail aus dem LAN von außen zu ermöglichen.

Gehen tut alles, aber Dein "Reverse Proxy" ist keine Application Level Firewall, kann keine Authentifizierung durchführen, ermöglicht kein VPN,... Microsoft ISA Server: Features

 

ASR

 

ASR

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Ehrlich gesagt ist es mir auch nicht ganz klar, warum beim Einsatz einer X-Core (das ist doch eine Core, eventuell sogar mit Fireware ?) noch ein ISA notwendig ist. Optionen wie Antispam und Gateway Antivirus lassen sich auf der Box installieren, SMTP-Proxy (Layer 7 Filterung) ist auch vorhanden, die Cores haben mindestens 3 verfügbare, physikalische Schnittstellen ...

Link zu diesem Kommentar
gelöscht

gelöscht   0

Geschrieben
Geschrieben
Ehrlich gesagt ist es mir auch nicht ganz klar, warum beim Einsatz einer X-Core (das ist doch eine Core, eventuell sogar mit Fireware ?) noch ein ISA notwendig ist. Optionen wie Antispam und Gateway Antivirus lassen sich auf der Box installieren, SMTP-Proxy (Layer 7 Filterung) ist auch vorhanden, die Cores haben mindestens 3 verfügbare, physikalische Schnittstellen ...

Hallo,

die Anforderung ist "OWA (u.a.)" zu publishen und IMHO würde hier das eine das andere sehr gut ergänzen, zumal die ISA Lizenz ohnehin schon vorhanden ist wäre der Einsatz definitiv sinnvoler als ein Exchange Front-End.

 

ASR

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...