Exchange Edge Server in kombination mit einer exchange 2003 Umgebung

[Neokles 10]

Schönen Guten Tag allen miteinander,

 

kann ich einen Exchange 2007 Edge-Transport-Server in einer DMZ aufstellen und diesen mit meiner Exchange 2003 Infrastruktur kommunizieren lassen? Oder müsste ich meine komplette Infrastruktur auf 2007 upgraden?

Grund:

Manche Mitarbeiter müssen ihre Emails extern abrufen können.

Problem:

Wir wollen unseren ISA2004-Server durch einen anderen Hersteller im Bereich Firewall und Web Security wechseln. Daher wird auch OWA nicht mehr zur Verfügung stehen. Da dachte ich an die Option des Edge-Transport-Servers.

 

Vielen Dank für eure Hilfe

 

Neokles

[Christoph35 10]

Ist euch der ISA nicht mehr sicher genug, oder warum wollt ihr den nicht mehr nutzen? Der hat eigentlich gegenüber einer "normalen" Firewall eben im Bereich des Publishing von OWA u.ä. viele Vorteile.

 

Der Ex. 2007 Edge macht nur SMTP. Wenn, dann könntet ihr also versuchen, den als Smart-Host zu verwenden. Aber getestet hab ich sowas noch nicht.

 

/edit: hab gerade mal ein bischen gesucht, es gibt tatsächlich einen Technet-Artikel von MS, der sich damit befasst:

http://technet.microsoft.com/de-de/library/bb123774(EXCHG.80).aspx

 

Christoph

[DJ82 10]

Hallo Neokles

 

Wenn du nicht auf Exchange 2007 upgraden möchtest, könntest du auch in der DMZ einen Exchange Server installieren, welcher keine Mailbox Funktion hat, sondern nur den OWA bereitstellt.

 

So hast du immer noch ein 2 Schichten Modell, damit nur der Exchange in der DMZ auf den nötigen Ports mit dem DC und dem Exchange kommunizieren kann.

 

Gruss Daniel

[NorbertFe 1.799]

Manche Mitarbeiter müssen ihre Emails extern abrufen können.

 

Verfügung stehen. Da dachte ich an die Option des Edge-Transport-Servers.

 

 

Der Edge ist nicht für Client Access gedacht. Heißt, du brauchst dir keine Gedanken machen, ob ein Edge dein Problem löst, denn das tut er nicht. Du brauchst einen CAS und den stellt man nicht in die DMZ.

 

Bye

Norbert

–

Hallo Neokles

 

Wenn du nicht auf Exchange 2007 upgraden möchtest, könntest du auch in der DMZ einen Exchange Server installieren, welcher keine Mailbox Funktion hat, sondern nur den OWA bereitstellt.

 

Aha. Und ein AD installierst du dann auch mal schnell in die DMZ?

 

So hast du immer noch ein 2 Schichten Modell, damit nur der Exchange in der DMZ auf den nötigen Ports mit dem DC und dem Exchange kommunizieren kann.

 

Du weißt aber, dass ein Frontend Exchange in der DMZ schon lange nicht mehr empfohlen ist, oder?

Mal abgesehen davon, wäre die Installation des vorhandenen ISA Servers als Reverseproxy für die OWA Authentifizierung in der DMZ immer noch die besser und günstigere Methode.

 

Bye

Norbert

[DJ82 10]

Hallo Norbert

 

Ja ich weiss, dass der ISA besser wäre: Aber den will er ja raus haben. :confused:

 

Und warum soll ich in der DMZ ein AD installieren? Versteh ich jetzt nicht ganz. :confused:

 

Gruss Daniel

[NorbertFe 1.799]

Hallo Norbert

 

Ja ich weiss, dass der ISA besser wäre: Aber den will er ja raus haben. :confused:[/Quote]

 

Die Aussage würde ich nicht so absolut sehen.

unseren ISA2004-Server durch einen anderen Hersteller im Bereich Firewall und Web Security

Heißt, theoretisch kann man den durchaus noch als Reverse Proxy einsetzen.

 

Und warum soll ich in der DMZ ein AD installieren? Versteh ich jetzt nicht ganz. :confused:

 

Weil der FE sich mit einem AD unterhalten will und wer will schon 17 Protokolle eingehend zulassen um HTTPS zum Exchangepostfach zuzulassen?

 

Bye

Norbert

[nerd 28]

Mal abgesehen davon, wäre die Installation des vorhandenen ISA Servers als Reverseproxy für die OWA Authentifizierung in der DMZ immer noch die besser und günstigere Methode.

 

Hi,

 

Dieser Vorschlag von NorbertFe wäre auch mein Ansatz. Mit einem reverse Proxy hast du die notwendige Terminierung der Verbindung in der DMZ erreicht und hast keinen zusätzlichen Aufwand mehr. Wenn, aus welchen Gründen auch immer, ISA nicht mehr verwendet werden soll (auch nicht in der DMZ als reverse Proxy) dann kannst du dafür auch andere Firewalls verwenden. Es gibt recht viele Hersteller die auch Reverse Proxy's anbieten.

 

viele grüße

[Christoph35 10]

Es gibt recht viele Hersteller die auch Reverse Proxy's anbieten.

 

Das mag sein, aber kennst Du auch welche, die Exchange-Publishing so elegant lösen, wie der ISA?

 

Das mit dem CAS hab ich in meiner 1. Antwort glatt überlesen, da habt ihr natürlich recht, dafür ist der Exchange Edge nicht gedacht und das kann der auch nicht. Wie ich schon schrieb, ist der nur für SMTP gedacht und Messaging Hygiene (Spam-Filterung).

 

Christoph

[NorbertFe 1.799]

Das mag sein, aber kennst Du auch welche, die Exchange-Publishing so elegant lösen, wie der ISA?

 

Nö. Aber es soll inzwischen auch andere geben. Wobei ich eben dem TO nur sagen wollte, dass er die Lizenz ja bereits besitzt. Es aus meinem Blickwinkel also "unsinnig" ist, etwas was von vielen Produkten (kostenpflichtigen) am besten geeignet ist abzuschaffen, obwohl es mit einigen Abänderungen in der Gesamtkonfiguration weiterbetrieben werden kann.

 

 

Bye

Norbert

[nerd 28]

Hi,

 

nur für den TO um das ganze noch mal klar zu stellen wie wir das meinen:

 

-----------

| Internet |

-----------

 

----------------

| Edge Firewall |

----------------

 

-----------------

| Reverse Proxy |

| z. B. ISA |

-----------------

 

------------------

| Internal Firewall |

------------------

 

------------

| Exchange |

------------

 

Die Verbindung würde dann auf der Edge Firewall auf Port 443 ankommen und an den Reverse Proxy geleitet werden. Dieser würde die Verbindung terminieren und seinerseits eine eigene Verbindung durch die Interne Firewall zum Exchange (443) aufbauen. Es würde bei diesem Aufbau also niemals eine direkte Verbindung aus dem Internet in dein LAN zustande kommen...

[Neokles 10]

Vielen Dank erst mal für die starke Beteiligung.

 

Ist euch der ISA nicht mehr sicher genug, oder warum wollt ihr den nicht mehr nutzen?

 

Wir nutzen im Moment ISA2004 in Kombination mit Surf Control für Web und Mail Security. Das Surfcontrol ist auf dem ISA installiert. Unser Servicevertrag für dieses Produkt läuft aus. Die Firma die Surfcontrol hergestellt hat, existiert in dieser Form nicht mehr und die Web-Security-Lösung wird nicht mehr weiterentwickelt und in 2 Jahren nicht mehr supported.

 

Daher haben wir uns entschlossen neue Hardware zu testen, die zum einen als Proxy fungiert, eine gute Firewall besitzt und zum anderen Web Security (content Filtering, Black List, White List) anbietet.

Zusätzlich haben wir das Problem mit ISA, dass wir direkt aus dem PPS-System keine Umsatzsteuervoranmeldung über Elster abschicken können. Da das PPS-System dies nur als nicht autorisierter User schicken kann und ISA dies daraufhin nicht durchläst.

 

Wir haben nun eine Hardware zum testen, die uns genau die eben geschilderten Probleme löst, mit dem Nachteil dass diese kein OWA anbieten kann.

Daher bin ich momentan am prüfen ob wir unsere Emails auch anders abrufen können, da ich 2 Firewallsysteme gerne vermeiden würde. Falls ich allerdings keine bessere Lösung finde, werde ich den ISA 2004 auch im Betrieb stehen lassen und nur noch OWA darüber anbieten. Es steht momentan einfach auf dem Prüfstand.

 

Gruss Neokles

–

Wenn du nicht auf Exchange 2007 upgraden möchtest, könntest du auch in der DMZ einen Exchange Server installieren, welcher keine Mailbox Funktion hat, sondern nur den OWA bereitstellt.

Hallo Daniel,

abgesehen von dem Sicherheitsrisiko, kann OWA (soweit ich weiß) nur auf die Postfächer zugreifen die sich auf dem Mailserver direkt befinden. Dass bedeutet es bringt nichts einen Mailserver ohne Postfächer bereitzustellen.

 

Der Edge ist nicht für Client Access gedacht. Heißt, du brauchst dir keine Gedanken machen, ob ein Edge dein Problem löst, denn das tut er nicht. Du brauchst einen CAS und den stellt man nicht in die DMZ.

Hallo Norbert,

vielen Dank für die Info.

 

Nochmals Danke an alle, für die tatkräftige Unterstützung.

 

Gruss Neokles

[Christoph35 10]

Da das PPS-System dies nur als nicht autorisierter User schicken kann und ISA dies daraufhin nicht durchläst.

 

:suspect:

Da sollte sich doch wohl eine FW-Regel definieren lassen, die Traffic vom betreffenden Rechner auf den betreffenden Ports auch für anonyme User zulässt...

 

abgesehen von dem Sicherheitsrisiko, kann OWA (soweit ich weiß) nur auf die Postfächer zugreifen die sich auf dem Mailserver direkt befinden. Dass bedeutet es bringt nichts einen Mailserver ohne Postfächer bereitzustellen.

 

:suspect:

Wo hast du denn diese Info her?!

Das stimmt nicht, bei Exch. 2003 gibt es sogenannte Front-End-Exchange Server, die den Postfachinhalt automatisch vom korrekten Backend (Mailbox-)Server holen.

Bei Exchange 2007 heißen die Rollen Client-Access- bzw. Mailboxserver.

Front-End-Exchange Server können/sollten auch im internen Netz stehen, nicht in einer DMZ.

 

Christoph

[NorbertFe 1.799]

:suspect:

Da sollte sich doch wohl eine FW-Regel definieren lassen, die Traffic vom betreffenden Rechner auf den betreffenden Ports auch für anonyme User zulässt...

 

Oder auf den betroffenen PCs den ISA FW Client installierst. ;)

 

Bye

Norbert

[nerd 28]

Hi,

 

hast du aktuell eine einstuffige Firewallumgebung oder eine zweistuffige? Wenn du sowieso nur eine einstuffige Lösung hast kannst du auch bei eurer neuen Firewall schauen ob diese eine reverse Proxy Funktion hat. Viele Produkte bringen das zwischenzeitlich auch mit und funktionieren recht problemlos (getestet habe ich das schon auf Astaro Firewalls).

 

Viele Grüße