Cyberjojo 10 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Hallo, ich habe hier einen neuen SBS2011. Auf dem soll der Exchange 2010 laufen. Ist ja soweit auch kein Problem. Nun will ich natürlich von aussen auf OWA zugreifen können. FrontEnd BackEnd wie beim Exchange 2003 gibts ja nicht mehr. Nun was tun. Ich habe hier eine Astaro als Firewall. Ich wollte nun einen zweiten (Server 2008 Essentials) in die DMZ stellen und damit den Zugriff auf OWA realisieren. Ich habe bis jetzt noch kein HowTo gefunden wie ich das bauen kann. Installiere ich einfach nur die Client Access Rolle auf den "Frontend" und der Drops ist gelutscht, oder muss ich noch weitere Sachen beachten. Dadurch das der Server in der DMZ steht, sollte es recht sicher sein. Geht das überhaupt mit dem SBS 2011? Es geht um eine kleine Installation mit 25 Usern. Also soll nicht noch unötig Geld für für ISA o.ä. ausgegeben werden. Da gibts doch bestimmt eine Lösung, oder?? Gruß, Cyberjojo Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Kann Astaro Reverse Proxy? Zitieren Link zu diesem Kommentar
Cyberjojo 10 Geschrieben 30. März 2011 Autor Melden Teilen Geschrieben 30. März 2011 Ja, kann Astaro. Reverse Proxy Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Ein CAS/HT hat genau nichts in einer DMZ zu suchen. Steht auch in diversen Microsoft Design-Guides. Don't put CAS in the Perimeter network! - Exchange Team Blog - Site Home - TechNet Blogs Bye Norbert Zitieren Link zu diesem Kommentar
Cyberjojo 10 Geschrieben 30. März 2011 Autor Melden Teilen Geschrieben 30. März 2011 OK, danke Norbert. Meine Frage war ja was ich zu tun habe, nicht was ich nicht tun soll (nicht falsch verstehen, jeder Tipp ist wichtig). Also wie wäre dann der richtige Weg ohne ISA o.ä. Die Astaro ist bestimmt die bessere Firewall und auch schon vorhanden und in Betrieb. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Naja, sehe ich anders. ;) Aber jeder wie er will. Wenn die Astaro "bestimmt die bessere Firewall" ist, dann gibts bestimmt auch ne "bessere Dokumentation". Besser als was überhaupt, und warum? (Nein, ich will ehrlich gesagt nicht drüber diskutieren, da meine Aussage über die Positionierung des CAS unabhängig der verwendeten Firewall ist und deswegen bei deinem Konstrukt berücksichtigt werden sollte. Denn was nutzt dir die "bessere Firewall, wenn du deine Lösung hinterher "schlechter" ist, als sie mit der "schlechteren" Firewall gewesen wäre? ;)) Bye Norbert Zitieren Link zu diesem Kommentar
Cyberjojo 10 Geschrieben 30. März 2011 Autor Melden Teilen Geschrieben 30. März 2011 Wie die Astaro funktioniert wissen wir recht genau. Alles was ich bisher gelesen habe ist, das Microsoft den Clientzugriff via OWA mit einem ISA oder nachfolger Regeln will. Das will ich aber nicht. Die Astaro ist gut. Da sich Astaro auf Web- und Mailsecurity spezialisiert hat, und sich auch schon Jahre am Markt etbliert hat, ist das in meinen Augen die bessere Firewall. So, nun Schluss mit OT. Wie baue ich denn nun mein OWA?? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Naja nicht in der DMZ. Wie ein Reverse Proxy mit/in der Astaro funktioniert müßtest du evnetuell in der Produktdoku deiner Version finden. ;) Bei der V8 heißt das afair Web Application Security Bye Norbert PS: Ich finds immer wieder gut, wenn etwas per "Definition" als gut bezeichnet wird, ohne das irgendwie mal zu begründen. ;) PPS: Ja ich weiß, dass die Astaro eine gute Lösung bietet, aber für Exchangepublishing ist halt ISA/TMG immer noch das Maß der Dinge. ;) Und das nicht nur wegen der Reverseproxyfunktion. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 .oO(Reicht für das Wie der Hinweis auf "Reverse Proxy einrichten" nicht?) Sicher willst du auch keine Edge installieren. Hast du die Mailsicherheit der Astaro mitlizenziert? Zitieren Link zu diesem Kommentar
Cyberjojo 10 Geschrieben 30. März 2011 Autor Melden Teilen Geschrieben 30. März 2011 Ja die Mailsicherheit ist Lizenziert. Und @ NorbertFE: Wie die Astaro zu konfigurieren ist weiss ich. Also was brauche ich. Der Exchange ist auf dem SBS 2011 installiert. Was muss dann noch auch den Server installiert werden, der in der DMZ steht. Ich habs mir jetzt nicht soooo kompliziert vorgestellt. Brauche ich noch irgendwelche zusätzliche Exchange Lizenzen für den "Frontend" oder liefert der SBS alles mit was ich brauche. Ich erwarte jetzt nicht eine komplette Anleitung. Sondern nur grobe Infos mit denen ich dann weitere Info zusammentragen kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Ja die Mailsicherheit ist Lizenziert.Und @ NorbertFE: Wie die Astaro zu konfigurieren ist weiss ich. Also was brauche ich. Der Exchange ist auf dem SBS 2011 installiert. Was muss dann noch auch den Server installiert werden, der in der DMZ steht. Nichts, denn in der DMZ installiert man keinen Server mit Exchange CAS drauf. Was genau verstehst du denn daran nicht? Und deswegen wird dir auch niemand "sehenden Auges" irgendwelche "Lösungen" sagen. Ich habs mir jetzt nicht soooo kompliziert vorgestellt. Brauche ich noch irgendwelche zusätzliche Exchange Lizenzen für den "Frontend" oder liefert der SBS alles mit was ich brauche. Was genau ist jetzt so schwierig daran, einen Reverse Proxy für den SBS einzurichten? Vergiß doch mal die DMZ, die dann sowieso keine mehr wäre. Ich erwarte jetzt nicht eine komplette Anleitung. Sondern nur grobe Infos mit denen ich dann weitere Info zusammentragen kann. OK grobe Info: Stelle keinen CAS/HT/MBX Server in eine DMZ! Ausser es ist die Edge Rolle. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Für OWA brauchst du einen Reverse Proxy -> Astaro. Für Mail Relay (Viren / Spamfilter) gibt es die Edge Rolle, die man in der DMZ installiert. Wenn du keine Extramaschine haben willst kannst du die Astaro auch dafür nutzen. Zitieren Link zu diesem Kommentar
Cyberjojo 10 Geschrieben 30. März 2011 Autor Melden Teilen Geschrieben 30. März 2011 Wer lesen kann ist klar im Vorteil. Gut dann befasse ich mich mal näher mit dem Reverse Proxy. DMZ streiche ich aus meiner Birne. Zitieren Link zu diesem Kommentar
Cyberjojo 10 Geschrieben 30. März 2011 Autor Melden Teilen Geschrieben 30. März 2011 @ Dukel. Es wurde eine extra Maschine für die DMZ angeschafft. Mein Chef meint, das da das Frontemd von dem Exchange drauf soll So wie es früher bei 2003 auch war. Alles andere hält er für nicht sicher. Mal gucken was ich jetzt mache. Denn so wie es jetzt verstanden habe, ist keine DMZ Maschine mehr nötig. Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 30. März 2011 Melden Teilen Geschrieben 30. März 2011 Auch zu Exchange 2003 Zeiten war es nicht empfohlen den Frontend Server in die DMZ zu stellen. Das hat technische Gründe, die ich mir hier jetzt erspare, da du über Exchange 2010 nachdenken mußt. Und die Aussage bzgl. des Supports stelle ich höher als irgendwelche "Sicherheitsbedenken" von Chefs, die wahrscheinlich von der Materie genau keine Ahnung haben. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.