6
Server mit Exchange abschotten und nur lokal bzw. per VPN betreiben.
Server: Windows 2012, ADDS, Exchange Server 2013, RRAS, DNS
Hallo,
ich möchte einen Domaincontroller zusammen mit Exchange auf einem Server betreiben. Dabei soll der Server nur via VPN und für den "Ernstfall" via RDP auch ohne VPN erreichbar sein; dem Exchange Server sollen nur die Ports zur Verfügung stehen, welche notwendig sind, um dem Exchange Server das zu ermöglichen wozu er programmiert wurde. Auf die Dienste des Exchange Servers, die für Clients bereitgestellt werden, soll nur via VPN zugegriffen werden können. Innerhalb des lokalen Netzes soll somit kein Zugriff auf den Server möglich sein und alle Ports, die nicht für die vorgesehene Funktion des Servers notwendig sind, sollen nach außen geschlossen sein.
Wie kann ich dieses Scenario realisieren?
Frieden und ein langes Leben.
ich möchte einen Domaincontroller zusammen mit Exchange auf einem Server betreiben. Dabei soll der Server nur via VPN und für den "Ernstfall" via RDP auch ohne VPN erreichbar sein; dem Exchange Server sollen nur die Ports zur Verfügung stehen, welche notwendig sind, um dem Exchange Server das zu ermöglichen wozu er programmiert wurde. Auf die Dienste des Exchange Servers, die für Clients bereitgestellt werden, soll nur via VPN zugegriffen werden können. Innerhalb des lokalen Netzes soll somit kein Zugriff auf den Server möglich sein und alle Ports, die nicht für die vorgesehene Funktion des Servers notwendig sind, sollen nach außen geschlossen sein.
Wie kann ich dieses Scenario realisieren?
Frieden und ein langes Leben.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 205727
Url: https://administrator.de/contentid/205727
Printed on: April 26, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hallo,
Okay: Im LAN hat man meistens alle Ports offen. Aber anders wäre es ja auch bei dir nicht, außer, dass das LAN nur aus einem Server besteht.
Bei genauer Betrachtung werden natürlich nur die Ports für die "vorgesehene Funktion des Servers" nicht ausreichen. Es wäre z.B. sehr hübsch, Updates in das Netz zu bekommen (generell sollte der Server (über einen Proxy) HTTP/HTTPS machen können).
Von Kleinigkeiten wie "Exchange + DC auf gleichem Server ist nicht so dolle" mal abgesehen. Und davon dass man sich natürlich Gedanken machen sollte, was "die vorgesehene Funktion des Servers" denn eigentlich ist, und "wozu er programmiert wurde".
Gruß
Filipp
dem Exchange Server sollen nur die Ports zur
Verfügung stehen, welche notwendig sind, um dem Exchange Server das zu ermöglichen wozu er programmiert wurde.
Bezogen auf das Internet ist das ja nun Best Practice, da macht man keine unnötigen Ports auf.Verfügung stehen, welche notwendig sind, um dem Exchange Server das zu ermöglichen wozu er programmiert wurde.
Okay: Im LAN hat man meistens alle Ports offen. Aber anders wäre es ja auch bei dir nicht, außer, dass das LAN nur aus einem Server besteht.
Bei genauer Betrachtung werden natürlich nur die Ports für die "vorgesehene Funktion des Servers" nicht ausreichen. Es wäre z.B. sehr hübsch, Updates in das Netz zu bekommen (generell sollte der Server (über einen Proxy) HTTP/HTTPS machen können).
Von Kleinigkeiten wie "Exchange + DC auf gleichem Server ist nicht so dolle" mal abgesehen. Und davon dass man sich natürlich Gedanken machen sollte, was "die vorgesehene Funktion des Servers" denn eigentlich ist, und "wozu er programmiert wurde".
Gruß
Filipp
Hallo filippg,
die Funktionen für die der Exchange Server programmiert wurde, sind meines Erachtens nach: E-Mail senden und empfangen (smtp), Kontakte vorhalten, Terminkalender bereitstellen, Outlookclients die Möglichkeit geben via rpc/mapi auf all das zuzugreifen, owa und zugehörig push Dienste für smartphones und all der andere Kram eben.
Grundsätzlich sind jedoch alle Port zum lokalen Netz offen, welche für den eigentlich lokal vorgesehen Betrieb notwendig sind. [EDIT] Es ist nicht möglich den Server hinter einem sauber konfigurieten Router zu betreiben - somit steht nur die Windows Firewall zur Verfügung. Das vergaß ich zu erwähnen obwohl es wichtig ist. [EDIT]
Der Server soll in einer "feindlichen" Umgebung stehen und mehr oder weniger auf sich gestellt sein; deshalb auch ADDS und Exchange - nicht optimal ist klar, aber nicht anders möglich.
Frieden und ein langes Leben
die Funktionen für die der Exchange Server programmiert wurde, sind meines Erachtens nach: E-Mail senden und empfangen (smtp), Kontakte vorhalten, Terminkalender bereitstellen, Outlookclients die Möglichkeit geben via rpc/mapi auf all das zuzugreifen, owa und zugehörig push Dienste für smartphones und all der andere Kram eben.
Grundsätzlich sind jedoch alle Port zum lokalen Netz offen, welche für den eigentlich lokal vorgesehen Betrieb notwendig sind. [EDIT] Es ist nicht möglich den Server hinter einem sauber konfigurieten Router zu betreiben - somit steht nur die Windows Firewall zur Verfügung. Das vergaß ich zu erwähnen obwohl es wichtig ist. [EDIT]
Der Server soll in einer "feindlichen" Umgebung stehen und mehr oder weniger auf sich gestellt sein; deshalb auch ADDS und Exchange - nicht optimal ist klar, aber nicht anders möglich.
Frieden und ein langes Leben
Moin,
Es ist nicht möglich den Server hinter einem sauber konfigurieten Router zu betreiben -
Fliegst Du auch ohne Kondom mit einer Bordsteinschwalbe??
Ehre sei Gott auf dem Meere!
Es ist nicht möglich den Server hinter einem sauber konfigurieten Router zu betreiben -
Fliegst Du auch ohne Kondom mit einer Bordsteinschwalbe??
Ehre sei Gott auf dem Meere!
1
Hallo transocean,
ich fliege nie mit einer Bordsteinschwalbe. Das ändert aber nichts an dem Fakt, dass ich nicht die Möglichkeit habe den Server hinter einem sauber konfiguriertem Router betreiben zu können. Danke für die wenig hilfreiche Antwort.
Frieden und ein langes Leben.
ich fliege nie mit einer Bordsteinschwalbe. Das ändert aber nichts an dem Fakt, dass ich nicht die Möglichkeit habe den Server hinter einem sauber konfiguriertem Router betreiben zu können. Danke für die wenig hilfreiche Antwort.
Frieden und ein langes Leben.
Das geht...
- Einfach mit einer Firewall (mind. 2 Ports)
- schwerer mit Netzwerkrichtlinienservers (Network Policy Server, NPS)ab Server 2008
gruss
ulti
- Einfach mit einer Firewall (mind. 2 Ports)
- schwerer mit Netzwerkrichtlinienservers (Network Policy Server, NPS)ab Server 2008
gruss
ulti
Hallo ultiman,
danke für Deine Antwort. Da ich nur eine NIC habe bleibt mir also nur der schwerere Weg, wenn ich Dich richtig verstanden habe. Hast Du vielleicht den ein oder anderen Hinweis welche Schwierigkeiten sich ergeben könnten?
[EDIT] Oder kann ich die VPN Verbindung als zweite NIC einsetzen? [EDIT]
Frieden und ein langes Leben.
danke für Deine Antwort. Da ich nur eine NIC habe bleibt mir also nur der schwerere Weg, wenn ich Dich richtig verstanden habe. Hast Du vielleicht den ein oder anderen Hinweis welche Schwierigkeiten sich ergeben könnten?
[EDIT] Oder kann ich die VPN Verbindung als zweite NIC einsetzen? [EDIT]
Frieden und ein langes Leben.