Exchange 2010 OWA

[Cyberjojo 10]

Hallo,

 

ich habe hier einen neuen SBS2011. Auf dem soll der Exchange 2010 laufen. Ist ja soweit auch kein Problem. Nun will ich natürlich von aussen auf OWA zugreifen können. FrontEnd BackEnd wie beim Exchange 2003 gibts ja nicht mehr.

Nun was tun. Ich habe hier eine Astaro als Firewall. Ich wollte nun einen zweiten (Server 2008 Essentials) in die DMZ stellen und damit den Zugriff auf OWA realisieren.

Ich habe bis jetzt noch kein HowTo gefunden wie ich das bauen kann. Installiere ich einfach nur die Client Access Rolle auf den "Frontend" und der Drops ist gelutscht, oder muss ich noch weitere Sachen beachten. Dadurch das der Server in der DMZ steht, sollte es recht sicher sein. Geht das überhaupt mit dem SBS 2011? Es geht um eine kleine Installation mit 25 Usern. Also soll nicht noch unötig Geld für für ISA o.ä. ausgegeben werden.

Da gibts doch bestimmt eine Lösung, oder??

 

Gruß, Cyberjojo

[Dukel 436]

Kann Astaro Reverse Proxy?

[Cyberjojo 10]

Ja, kann Astaro.

 

Reverse Proxy

[NorbertFe 1.834]

Ein CAS/HT hat genau nichts in einer DMZ zu suchen. Steht auch in diversen Microsoft Design-Guides.

Don't put CAS in the Perimeter network! - Exchange Team Blog - Site Home - TechNet Blogs

 

Bye

Norbert

[Cyberjojo 10]

OK, danke Norbert.

Meine Frage war ja was ich zu tun habe, nicht was ich nicht tun soll (nicht falsch verstehen, jeder Tipp ist wichtig).

Also wie wäre dann der richtige Weg ohne ISA o.ä. Die Astaro ist bestimmt die bessere Firewall und auch schon vorhanden und in Betrieb.

[NorbertFe 1.834]

Naja, sehe ich anders. ;) Aber jeder wie er will. Wenn die Astaro "bestimmt die bessere Firewall" ist, dann gibts bestimmt auch ne "bessere Dokumentation". Besser als was überhaupt, und warum? (Nein, ich will ehrlich gesagt nicht drüber diskutieren, da meine Aussage über die Positionierung des CAS unabhängig der verwendeten Firewall ist und deswegen bei deinem Konstrukt berücksichtigt werden sollte. Denn was nutzt dir die "bessere Firewall, wenn du deine Lösung hinterher "schlechter" ist, als sie mit der "schlechteren" Firewall gewesen wäre? ;))

 

Bye

Norbert

[Cyberjojo 10]

Wie die Astaro funktioniert wissen wir recht genau. Alles was ich bisher gelesen habe ist, das Microsoft den Clientzugriff via OWA mit einem ISA oder nachfolger Regeln will. Das will ich aber nicht. Die Astaro ist gut. Da sich Astaro auf Web- und Mailsecurity spezialisiert hat, und sich auch schon Jahre am Markt etbliert hat, ist das in meinen Augen die bessere Firewall.

 

So, nun Schluss mit OT.

 

Wie baue ich denn nun mein OWA??

[NorbertFe 1.834]

Naja nicht in der DMZ. Wie ein Reverse Proxy mit/in der Astaro funktioniert müßtest du evnetuell in der Produktdoku deiner Version finden. ;) Bei der V8 heißt das afair Web Application Security

 

Bye

Norbert

 

PS: Ich finds immer wieder gut, wenn etwas per "Definition" als gut bezeichnet wird, ohne das irgendwie mal zu begründen. ;)

 

PPS: Ja ich weiß, dass die Astaro eine gute Lösung bietet, aber für Exchangepublishing ist halt ISA/TMG immer noch das Maß der Dinge. ;) Und das nicht nur wegen der Reverseproxyfunktion.

[Dukel 436]

.oO(Reicht für das Wie der Hinweis auf "Reverse Proxy einrichten" nicht?)

 

Sicher willst du auch keine Edge installieren. Hast du die Mailsicherheit der Astaro mitlizenziert?

[Cyberjojo 10]

Ja die Mailsicherheit ist Lizenziert.

Und @ NorbertFE: Wie die Astaro zu konfigurieren ist weiss ich.

 

Also was brauche ich. Der Exchange ist auf dem SBS 2011 installiert. Was muss dann noch auch den Server installiert werden, der in der DMZ steht.

Ich habs mir jetzt nicht soooo kompliziert vorgestellt. Brauche ich noch irgendwelche zusätzliche Exchange Lizenzen für den "Frontend" oder liefert der SBS alles mit was ich brauche.

Ich erwarte jetzt nicht eine komplette Anleitung. Sondern nur grobe Infos mit denen ich dann weitere Info zusammentragen kann.

[NorbertFe 1.834]

Ja die Mailsicherheit ist Lizenziert.

Und @ NorbertFE: Wie die Astaro zu konfigurieren ist weiss ich.

 

Also was brauche ich. Der Exchange ist auf dem SBS 2011 installiert. Was muss dann noch auch den Server installiert werden, der in der DMZ steht.

 

Nichts, denn in der DMZ installiert man keinen Server mit Exchange CAS drauf. Was genau verstehst du denn daran nicht? Und deswegen wird dir auch niemand "sehenden Auges" irgendwelche "Lösungen" sagen.

 

Ich habs mir jetzt nicht soooo kompliziert vorgestellt. Brauche ich noch irgendwelche zusätzliche Exchange Lizenzen für den "Frontend" oder liefert der SBS alles mit was ich brauche.

 

Was genau ist jetzt so schwierig daran, einen Reverse Proxy für den SBS einzurichten? Vergiß doch mal die DMZ, die dann sowieso keine mehr wäre.

 

Ich erwarte jetzt nicht eine komplette Anleitung. Sondern nur grobe Infos mit denen ich dann weitere Info zusammentragen kann.

 

OK grobe Info: Stelle keinen CAS/HT/MBX Server in eine DMZ! Ausser es ist die Edge Rolle.

 

Bye

Norbert

[Dukel 436]

Für OWA brauchst du einen Reverse Proxy -> Astaro.

Für Mail Relay (Viren / Spamfilter) gibt es die Edge Rolle, die man in der DMZ installiert. Wenn du keine Extramaschine haben willst kannst du die Astaro auch dafür nutzen.

[Cyberjojo 10]

Wer lesen kann ist klar im Vorteil.

Gut dann befasse ich mich mal näher mit dem Reverse Proxy. DMZ streiche ich aus meiner Birne.

[Cyberjojo 10]

@ Dukel.

Es wurde eine extra Maschine für die DMZ angeschafft. Mein Chef meint, das da das Frontemd von dem Exchange drauf soll So wie es früher bei 2003 auch war. Alles andere hält er für nicht sicher.

Mal gucken was ich jetzt mache. Denn so wie es jetzt verstanden habe, ist keine DMZ Maschine mehr nötig.

[NorbertFe 1.834]

Auch zu Exchange 2003 Zeiten war es nicht empfohlen den Frontend Server in die DMZ zu stellen. Das hat technische Gründe, die ich mir hier jetzt erspare, da du über Exchange 2010 nachdenken mußt. Und die Aussage bzgl. des Supports stelle ich höher als irgendwelche "Sicherheitsbedenken" von Chefs, die wahrscheinlich von der Materie genau keine Ahnung haben.

 

Bye

Norbert