zahu 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Werte Leser Ich habe folgendes Problem. Ich habe im Lan einen Exchangeserver2003 am laufen. Nun möchte ich in der DMZ einen Frontendserver mit exchange2003 installieren. Wie wird so was in der Praxis gemacht? Reicht es, wenn der Server in der DMZ ein Member-Server ist, oder muss er als DC hinaufgestuft werden. (Dann hat man aber wieder das ganze AD in der DMZ, was ja nicht so wünschenswert ist, oder?) (Bei der Installation von Exchange auf dem 2. Server der als Member fungiert, bekomme ich die Fehlermeldung, dass für den Forestprp und Domainprep keine Verbindung zu Activedirectory hergestellt werden kann. - Diese zwei Schritte solte man sich ja sowieso sparen können, da die Domäne schon für den 1. Exchange-Server vorbereitet wurde, oder?) Habe schon recht viel herumgesucht, aber diese Frage konnte ich mir noch nicht beantworten. Hat jemand eine einfache Anleitung zur Installation eines Frontends auf deutsch? Was ich auch schon gesehen habe (auf MsXFaq) ist ein Szenario mit einem ISA-Server, den ich aber nicht habe. Meine Idee war, einen 2. Exchange zu installieren, ihn als Freontend zu definieren und anschliessend in die DMZ zu verschieben. Oder gibt es da einen besseren Weg? Ich bin für alle Aregungen und Tipps dankbar!! Gruss Zahu Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hi, Wenn Du den Frontend-Server in die DMZ stellen willst, dann nur als Memberserver, dann müssen aber auf der inneren Firewall notwendige Ports geöffnet sein, um die Domain-Kommunikation zu ermöglichen. Noch besser wäre, BE und FE ins LAN und einen Reverse-Proxy (ISA) in die DMZ zu stellen. Christoph Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hm. Wenn ich beide ins LAN stelle, brauche ich eigentlich keine FE/BE-Konfiguration mehr. Der FE gehört eindeutig in die DMZ, der BE ins LAN. Eines der vielen interessanten Papiere zu diesem Thema gibt es hier: http://www.isaserver.org/articles/2004dmzfebe.html Zitieren Link zu diesem Kommentar
zahu 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 Danke für die zahlreichen Antworten ;-) OK, so habe ich mir das auch vorgestellt... BE ins Lan, FE in die DMZ und dann die nötigen Ports zu öffnen auf der Firewall scheint mir auch logisch. Aber wie installiere ich den Exchange-Server auf einem Memberserver ohne dass er ein DC ist? Das habe ich nich nicht hinbekommen. Ist die Idee mit der nachträglichen Verschiebung in dei DMZ ungünstig? Gibt es da Probleme, mit der IP-Umadressierung? Dachte dass dies der einfachste Weg wäre zum testen, ob die Kommunikation funktioniert, und dann kann es nur noch an den freizugebenden Ports liegen. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Hi, hier mal ein Whitepaper, von MS, indem FE/BE Topologien erläutert werden. Ist allerdings Englisch. http://www.microsoft.com/technet/prodtechnol/exchange/2003/library/febetop.mspx Darin werden sowohl FE->DMZ, BE ->LAN als auch FE+BE->LAN Konfigurationen vorgestellt. Christoph Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 6. Januar 2006 Melden Teilen Geschrieben 6. Januar 2006 Du kannst den Exchange Server auf einem Mitgliedsserver installieren, so lange Du Zugriff auf einen DC und GC hast. Das lässt sich am besten im LAN vornehmen. Anschliessend wird der Server in die DMZ verschoben. Die nötigen Ports, damit der FE auf den DC und GC im LAN zugreifen kann, sind in dem Papier beschrieben. Wichtig ist die korrekte und sichere Einstellung der Firewall (ob ISA oder Hardware), mit genauen Regeln, welche Quellen über welche Ports mit welchen Zielen kommunizieren dürfen. Du willst ja nicht das Volk draussen im Web auf Deinen DC surfen lassen;-) Auf keinen Fall gehört ein DC fürs LAN in die DMZ. Das ist so ungefähr das Gleiche wie wenn Du den Tresorschlüssel vor die unverschlossene Bank legst. Vorstellbar sind indes Konfigurationen mit DNS-Servern in der DMZ (Split DNS). Zitieren Link zu diesem Kommentar
zahu 10 Geschrieben 6. Januar 2006 Autor Melden Teilen Geschrieben 6. Januar 2006 Hallo dmetzger Nun ist der Tag mehr oder weniger vorbei, und ich habe so einiges geschafft. Den Frontend habe ich im Moment noch im Intranet. Soweit funktioniert das versenden und empfangen über die neue Domäne. Das komische ist nur, dass ich von bluewin-Mailadressen keine E-Mails bekomme. Von Tele2 oder mit Telnet auf einem Externen Rechner funktionierts. auch mit dem Test-Tool von Zoneedit. !!Korrektur-Nachtrag!! Die Mails von Bluewin sind mit grosser Verspätung doch noch eingetroffen. Das wäre also auch i.o. Hast Du (Schweizer-User) auch schon solche Erfahrungen gemacht mit Bluewin? An was könnte das wohl liegen? Dann noch was: Empfehlenswert ist für OWA https. Dazu braucht man ja ein Certifikat, entweder ein öffnetliches = vertrauenswürdiges, oder ein selbst erstelltes, wo man dann so eine Warmeldung von wegen nicht vertrauenswürdig im Browser bestätigen muss. Damit kann ich eigentlich leben. Ist es jetzt am einfachsten, sich auf dem DC im Intranet noch einen CA-Server zu installieren, damit man sich die Certifikate ausstellen kann, oder kann man es einfacher lösen? Gruss Zahu Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 7. Januar 2006 Melden Teilen Geschrieben 7. Januar 2006 Mit einer eigenen CA geht es problemlos und schnell. Das Problem mit "nicht vertrauenswürdig" taucht meines Wissens bei der Verwendung von DynDNS auf, da URL und FQDN des Servers nicht übereinstimmen. Ich hatte bisher keine Probleme mit Absendern aus Bluewin. Vielleicht hatten sie zufällig eine temporäre Störung, das kommt vor. Zitieren Link zu diesem Kommentar
zahu 10 Geschrieben 7. Januar 2006 Autor Melden Teilen Geschrieben 7. Januar 2006 Danke für die späte Antwort. Bin gerade am testen des Mail-abholens per pop von einem entfernten Rechner per remote. Irgendwie kann ich mich nicht an meinem Exchangeserver anmelden und authentifizieren. Muss man da im systemmanager noch was bestimmtes aktivieren? Der virtuelle standard pop-Server läuft bei mir nicht (ist irgendwie rot angekreuzt), lässt sich auch nicht starten. Suche ich da am falschen Ort? zahu Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 7. Januar 2006 Melden Teilen Geschrieben 7. Januar 2006 HI. Der virtuelle standard pop-Server läuft bei mir nicht (ist irgendwie rot angekreuzt), lässt sich auch nicht starten.(/quote]Überprüfe einmal in den Diensten den Status (Startart) des POP3 Servers. Per default ist dieser nämlich deaktiviert. LG Günther Zitieren Link zu diesem Kommentar
zahu 10 Geschrieben 9. Januar 2006 Autor Melden Teilen Geschrieben 9. Januar 2006 Hallo zusammen Das mit dem starten des pop-Server Dienstes hat auch perfekt funktioniert. Dieser muss allerdings auf beiden Servern (BE & FE) aktiviert sein. Nun noch eine Frage zu CA: Wenn ich mir nun selbst ein Certifikat erstellen möchte, auf welchem Server muss ich dann die Zertifikatsdienste installieren? Auf dem DC im Intranet, oder auf dem Memberserver in der DMZ? Ich denke, wenn man vom Web auf den Frontend in der DMZ zugreift, dann auf diesem, oder überlege ich da falsch? LG Zahu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.