Jump to content

ClientAccess in einer DMZ installieren

schopf16

Von schopf16
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

schopf16 Explorer

schopf16   10

Geschrieben
Geschrieben

In unserer Firma nutzen wir Windows 2008SBS mit Exchange 2007. Die Mails werden von unserem Host per SMTP abgeholt und auch wieder über unseren Host versendet. Der Exchangeserver ist nur innerhalb des Netzwerks erreichbar.

 

Nun drängt sich der Wunsch auf, den Exchangserver auch von ausserhalb zu erreichen. Dies hat verschiedene Gründe. Mobiltelefone wollen Emails abfragen, Aussendienstmitarbeiter ihre Termine prüfen usw. Emails also direkt beim Host abzufragen wie es oft empfohlen wird, passt hier nicht mehr...

 

Da ich den Exchangeserver aber nicht ins Internet hängen will, habe ich einen weiteren Server in einer DMZ eingerichtet. Auf diesem läuft Windows 2008 x64. Er ist in die Domäne integriert worden, jedoch wurde die AD-Rolle nicht installiert. Es ist möglich, sich als Benutzer/Admin der Domäne am Server in der DMZ anzumelden. Auf dem Server in der DMZ ist ebenfalls der IIS installiert, nun mächte ich noch den ClientAccess von Exchange installieren, welcher mir die Verbindung zwischen Internet und Netzwerk (Exchangeserver) verarbeitet.

Ich versuche also ExchangeServer 2007 SP1 auf Server 2008 x64 zu installieren, bekomme aber bei der Abschliessenden Überprüfung, vor der Installation folgenden Fehler:

 

----------

Problem beim Überprüfen des Status von Active Directory. In der Domäne firma.local konnte kein Domänecontroller gefunden werden.

----------

 

Diese Fehlermeldung drängt mich zum Gedanken, dass die AD-Rolle installiert sein muss. Der Haupt-DomäneController im Netzwerk ist jedoch ein SBS und lässt keine weiteren DomäneController zu. Hat einer eine Idee, wie ich das lösen könnte?

 

Zu Testzwecken habe ich in der Firewall zwischen DMZ und LAN alle Ports offen. WAN und DMZ ist eingeschränkt...

Link zu diesem Kommentar
LukasB

LukasB   10

Geschrieben
Geschrieben

Dein Setup kann so nicht funktionieren - es ist unsupported, falsch und funktioniert nicht.

 

How NOT to Deploy Client Access Servers - BradHugh's WebLog - Site Home - MSDN Blogs

 

Der SBS lässt sehr wohl mehrere DCs zu, die FSMO Roles müssen einfach auf dem SBS verbleiben.

 

Grundsätzlich publishe ich bei unseren SBS die Dienste via NAT. Das ist sehr simpel gehalten, aber sicherheitstechnisch sicher nicht das nonplusultra. Allerdings ist das die von Microsoft empfohlene vorgehensweise.

 

Bei grösseren Kunden haben wir heute meistens eine Kombination von einem Exchange 2007 Edge Server und einem ISA 2006 Server für das Publishing der Webdienste. Intern haben wir derzeit einen Forefront TMG mit Exchange 2010 Edge auf derselben Maschine. Diese Kombination funktioniert, ist aber noch nicht völlig problemlos. Forefront TMG lässt sich auch mit Exchange 2007 kombinieren.

 

Nochmals: Client Access gehört nicht in die DMZ, falls dir NAT zu unsauber ist benötigst du einen Forefront TMG (oder einen anderen Reverse-Proxy) sowie einen Exchange Edge (oder einen anderen SMTP Gateway).

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.805

Geschrieben
Geschrieben (bearbeitet)
Der Haupt-DomäneController im Netzwerk ist jedoch ein SBS und lässt keine weiteren DomäneController zu.

 

Diese Aussage ist falsch. Und zwar schon immer. Wieso sich dieses Gerücht hält ist mir unklar. Trotz allem ist die Positionierung eines HT/CAS in der DMZ genauso falsch.

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
  • 3 Wochen später...
gelöscht

gelöscht   0

Geschrieben
Geschrieben

Grundsätzlich publishe ich bei unseren SBS die Dienste via NAT. Das ist sehr simpel gehalten, aber sicherheitstechnisch sicher nicht das nonplusultra. Allerdings ist das die von Microsoft empfohlene vorgehensweise.

Hallo,

 

kannst Du mir eine Quelle nennen wo Microsoft empfiehlt Exchange über ein NAT zu veröffentlichen? Ich hab da nichts gefunden.

 

Danke,

ASR

Link zu diesem Kommentar
gelöscht

gelöscht   0

Geschrieben
Geschrieben

Hallo,

 

danke für die Antworten!

 

@Norbert: Nein, genau das nicht. Hier ist die Veröffentlichung über den ISA Reverse Proxy skizziert. Unabhängig davon ist der Grafik kaum zu entnehmen ob hier NAT oder Routing verwendet werden soll.

 

@Lukas: Das wäre im Grunde das was ich meinte. Allerdings ist das "nur" eine Anleitung wie das NAT Forwarding zu konfigurieren wäre - und eben keine Empfehlung. Umgekehrt gibt es genau so viele (oder mehr) Beschreibungen wie Exchange über ISA veröffentlich werden kann, wie z.B. in der Skizze von Norbert.

 

Eine Empfehlung für die eine oder andere Variante gibt es von Microsoft nicht. Gerne lasse ich mich vom Gegenteil überzeugen.

 

ASR

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.805

Geschrieben
Geschrieben (bearbeitet)
@Norbert: Nein, genau das nicht. Hier ist die Veröffentlichung über den ISA Reverse Proxy skizziert.

 

Wenn du den Weblistener nicht nutzt, ist es NAT. ;)

 

Unabhängig davon ist der Grafik kaum zu entnehmen ob hier NAT oder Routing verwendet werden soll.

 

Stimmt, aber üblicherweise ist

1. Das Standardnetzwerkverhältnis Intern<>Internet beim ISA NAT

2. wohl selten das interne Netz mit public IPs ausgestattet.

Off-Topic:

Ja ich weiß, dass man es auch mit private IPs routen könnte (isatechnisch gesehen)

3. War das eher als "Scherz" gemeint.

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
LukasB

LukasB   10

Geschrieben
Geschrieben
@Lukas: Das wäre im Grunde das was ich meinte. Allerdings ist das "nur" eine Anleitung wie das NAT Forwarding zu konfigurieren wäre - und eben keine Empfehlung.

 

Lies meine Postings nochmals - ich habe explizit vom SBS geredet. Der SBS konfiguriert sich diese Portforwardings vollautomatisch per UPNP, falls dies nicht möglicht ist verweist einem der SBS Assistent auf die oben erwähnte Anleitung, um die Ports manuell zu forwarden.

 

Etwas anderes macht bei einem SBS auch wenig Sinn - die wenigsten SBS Kunden werden sich noch einen Forefront TMG kaufen, nur um ihr OWA/EAS/TSGW zu veröffentlichen.

 

Ob jetzt "Empfehlung" dafür das richtige Wort ist, darüber können wir uns streiten. Die Wizards des SBS und die Dokumentation gehen nur auf das NAT-Szenario ein.

 

Umgekehrt gibt es genau so viele (oder mehr) Beschreibungen wie Exchange über ISA veröffentlich werden kann, wie z.B. in der Skizze von Norbert.

 

Ja, darauf geht die Dokumentation und die Deployment-Anleitungen und Whitepapers von Exchange ein. Dürfte wohl in fast allen Fällen wo man die "grossen" Produkte einsetzt und nicht den SBS auch der bessere Ansatz sein. Aber es gibt auch Fälle von kleinen Unternehmen die aus irgendeinem Grund mit den Vollprodukten arbeiten - da sehe ich kein Problem damit gleich wie beim SBS vorzugehen und via NAT zu veröffentlichen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...