Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010 - 2 Fragen zu Clustering und CAS in der DMZ

Frage Microsoft Exchange Server

Mitglied: Shiva99

Shiva99 (Level 1) - Jetzt verbinden

27.11.2011 um 19:40 Uhr, 3565 Aufrufe, 7 Kommentare

Hallo,

Ist-Zustand:
2 DCs: FunctionalLevel 2003 R2
Exchange Server 2003 Std. Backend Server im LAN, physik. Hardware
Exchange Server 2003 Std. Frontend Server in DMZ (OWA/RPC over HTTPS), physik. Hardware
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ

Soll-Zustand:
2 DCs: FunctionalLevel: 2008 R2
Exchange Server 2010 Std. (Rollen: MB, HT), virtuell im ESX-Cluster(=HA)
Exchange Server 2010 Std. (Rolle: CAS), virtuell im ESX-Cluster(=HA) (OWA/RPC over HTTPS)
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ bleibt so

300 Postfächer

Ziel ist es, die Lizenzkosten so gering wie möglich zu halten, d.h. Standard-Lizenzen vom Server 2008 R2 und Exchange 2010, Standard Exchange User Cals.

1. Frage: Reicht die bestehende Hochverfügbarkeit des ESX-Clusters aus, um den virtuellen Exchange Server ausfallsicher zu machen, ohne jetzt Techniken wie DAG oder CASArrays zu nutzen, da diese Enterprise Lizenzen vom 2008 R2 erfordern?

2. Frage: Warum sollte lt. MS der CAS für Zugriffe von extern (ehem. Frontendserver) nicht mehr in die DMZ?

Danke im Voraus für Eure Hinweise und Tipps.
Shiva
Mitglied: filippg
28.11.2011 um 01:25 Uhr
Hallo,

der CAS sollte glaube ich noch nie in die DMZ. Da die Server AD-integriert sind macht das wenig Spaß, es werden dann ziemlich umfangreiche Firewallfreischaltungen benötigt (und beim CAS ja auch noch für den Zugriff der Outlook-Clients).
Und zur ersten Frage... sagen wir es so: Man kann mit ESX ein sehr gut verfügbares Exchangesystem aufbauen, aber wie hoch hängt letztlich davon ab, wie man das im Einzelfall aufbaut. VMotion etc sollen aber afaik abgeschaltet sein (zumindest, wenn man DAGs verwendet). Es gibt von MS ein Exchange virtualization Whitepaper, das solltest du dir auf jeden Fall durchlesen.

Gruß

Filipp
Bitte warten ..
Mitglied: affabanana
28.11.2011 um 10:57 Uhr
Hallo Du

Das was Du suchst heisst Edge Transport Server
Der gehört in die DMZ

Das Setup von Dir ist für Mail Emfang und Versand GUT.

Https für OWA und ACtive Sync läuft bei mir über einen Reverse Proxy.
damit werden auch hier die Viren gefiltert.

gruass affabanana
Bitte warten ..
Mitglied: Shiva99
28.11.2011 um 11:59 Uhr
Ich meine nicht den Edge. Der ist ja für den Mailtransport (SMTP-Relay) zuständig. Dass der in der DMZ angesiedelt ist, ist klar.
Ich meine den CAS, d.h. der, mit dem sich die Clients (Browser, ActiveSync usw.) verbinden.
OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Virenfilter für die Client <--> CAS Kommunikation??? Es ist doch nur eine HTTP(s)-Sitzung.
Bitte warten ..
Mitglied: affabanana
28.11.2011 um 16:46 Uhr
Leider gibt es viele DAU's

Die nur mal schnell ein Video oder ein Programm verschicken wollen
Da auf den Privaten Rechnern eher selten ein Aktueller Virenscanner installiert ist.

Zack hast Du ein Virus im Postfach.
Gehen vom Exchange nach extern nicht durch den Virenfilter.
Zack mail verschickt, mit Virus......

Schwarzer Peter hast natürlich wieder Du.
Bitte warten ..
Mitglied: Shiva99
28.11.2011 um 16:58 Uhr
Das ist schon klar, aber Mails transportieren macht ja der HUB oder EDGE, auf dem Virenschutzmechanismen installiert sind, und nicht der CAS.
Bitte warten ..
Mitglied: filippg
28.11.2011 um 20:07 Uhr
Hallo,

OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder
einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Viren sind wohl weniger der Punkt. Es geht darum, dass du einen Server im Office-Lan ohne Reverse-Proxy direkt aus dem Internet erreichbar machst. Wenn es also einem bösen Menschen gelingt, den IIS, der auf dem CAS läuft anzugreifen, ist er direkt im Kern deines Netzes. Ein Reverse-Proxy sollte 1. gegen Angriffe noch besser gerüstet sein als der IIS, 2. extra Funktionen zur Abwehr von Angriffen (z.B. Erkennung von überlangen Post-Variablen, unerlaubten Zeichen etc) haben und 3. für einen Angreifer, der ihn tatsächlich knackt, weniger Wert sein, da er in der DMZ (also nur an wenige Dienste dran kommt) und selber keine Daten hält.
Vorteil eines Reverse-Proxy ist also Sicherheit, Nachteil sind Kosten (und natürlich, dass man eine Komponente hat, die ausfallen kann). Best Practice ist definitiv der Einsatz eine Reverse-Proxy, und kein direktes Publizieren des Servers im Internet.

Gruß

Filipp
Bitte warten ..
Mitglied: Shiva99
28.11.2011 um 21:29 Uhr
Vielen Dank.
Werde mir die Sache mit dem Reverse Proxy mal ansehen. Nach erstem Googlen scheint mir eine Linux-Kiste mit Apache und Mod_proxy ganz angemessen, um den anfälligen IIS im LAN zu schützen
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Exchange Server
Allgemeine Fragen zum Exchange 2010 (3)

Frage von Leo-le zum Thema Exchange Server ...

Exchange Server
Exchange 2010 Akzeptierte Domäne löschen (4)

Frage von Rob1982 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (21)

Frage von semperf1delis zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...