Alsuecaio 10 Geschrieben 8. April 2010 Melden Teilen Geschrieben 8. April 2010 hallöchen zusammen ich hätte ein kleines anliegen. da wir übernommen wurden haben wir neu die auflage, dass unser exchange (jetzt noch 2003) in die DMZ muss und die user (ca. 40) über einen proxy (ebenfalls in der DMZ) ins internet gehen. wir wechseln gleichzeitig auf exchange 2010. als firewall verwenden wir eine sonicwall 2040. ich habe mir überlegt den exchange 2010 weiterhin im trusted bereich zu lassen und die EDGE rolle in der DMZ laufen zu lassen. kann ich das ganze mit einem forefront tmg bewerkstelligen? sprich auf dem tmg die EDGE rolle und tmg als proxy für die clients? owa und active sync müssen weiterhin möglich sein, sollte über den tmg auch kein problem sein, oder sehe ich das falsch? ich kenne den tmg noch nicht und wollte mal nachfragen ob der ansatz richtig ist, damit ich mich in das thema einarbeiten kann. wie müsste ich den tmg konfigurieren, wieviele netzwerkkarten und in welche bereiche? wie erwähnt haben wir eine sonicwall 2040 welche einen trusted und einen external bereich hat, zusätzlich ist am DMZ port eine SSL_VPN200 angeschlossen. vielen dank und gruss alsuecaio Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 8. April 2010 Melden Teilen Geschrieben 8. April 2010 ich hätte ein kleines anliegen. da wir übernommen wurden haben wir neu die auflage, dass unser exchange (jetzt noch 2003) in die DMZ muss und die user (ca. 40) über einen proxy (ebenfalls in der DMZ) ins internet gehen. Die normalen Exchange-Rollen in der DMZ zu platzieren ist nicht möglich, da diese volle AD-Konnektivität ermöglichen. Wenn du alles dafür nötige freischaltest hast du keine DMZ mehr ;) ich habe mir überlegt den exchange 2010 weiterhin im trusted bereich zu lassen und die EDGE rolle in der DMZ laufen zu lassen. kann ich das ganze mit einem forefront tmg bewerkstelligen? sprich auf dem tmg die EDGE rolle und tmg als proxy für die clients? owa und active sync müssen weiterhin möglich sein, sollte über den tmg auch kein problem sein, oder sehe ich das falsch? Ja, das lässt sich so umsetzen. TMG veröffentlicht via HTTP-Reverse Proxy OWA, EAS und Outlook Anywhere. Die Edge-Transport Rolle integriert sich in den TMG und sorgt für die Mailzustellung via SMTP. Der TMG kann dabei natürlich auch als Proxy arbeiten wie müsste ich den tmg konfigurieren, wieviele netzwerkkarten und in welche bereiche? wie erwähnt haben wir eine sonicwall 2040 welche einen trusted und einen external bereich hat, zusätzlich ist am DMZ port eine SSL_VPN200 angeschlossen. Du könntest deine SonicWALL durch den TMG ersetzen. Das wäre vielleicht das Idealszenario. Die 2040er ist ja sowieso veraltet und sollte ersetzt werden. Alternativ dazu würde ich auf der SonicWALL eine zweite DMZ erstellen, und dort quasi das zweite Bein des TMG platzieren. Oder als weitere Variante den TMG auf der einen Seite direkt mit dem LAN verbinden (davon würde ich abraten). Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 8. April 2010 Melden Teilen Geschrieben 8. April 2010 ACK zu dem oberen Teil des Posts. Hiermiet hätte ich allerdings Bauchschmerzen ;) Alternativ dazu würde ich auf der SonicWALL eine zweite DMZ erstellen, und dort quasi das zweite Bein des TMG platzieren. Oder als weitere Variante den TMG auf der einen Seite direkt mit dem LAN verbinden (davon würde ich abraten). Ich würde dir hier empfehlen die SonicWall upzudaten (oder wenn sie wirklcih veraltet ist zu ersetzen). Die neue Firewall sollte dabei mindestens 6 Nics haben: 1. WAN 2. extDMZ 1 SSL 3. extDMZ 2 TMG 4. intDMZ 1 SSL 5. intDMZ 2 TMG 6. LAN So wäre die Umgebung und der Traffic sauber getrennt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.