Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2010 - 2 Fragen zu Clustering und CAS in der DMZ

Mitglied: Shiva99

Shiva99 (Level 1) - Jetzt verbinden

27.11.2011 um 19:40 Uhr, 3616 Aufrufe, 7 Kommentare

Hallo,

Ist-Zustand:
2 DCs: FunctionalLevel 2003 R2
Exchange Server 2003 Std. Backend Server im LAN, physik. Hardware
Exchange Server 2003 Std. Frontend Server in DMZ (OWA/RPC over HTTPS), physik. Hardware
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ

Soll-Zustand:
2 DCs: FunctionalLevel: 2008 R2
Exchange Server 2010 Std. (Rollen: MB, HT), virtuell im ESX-Cluster(=HA)
Exchange Server 2010 Std. (Rolle: CAS), virtuell im ESX-Cluster(=HA) (OWA/RPC over HTTPS)
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ bleibt so

300 Postfächer

Ziel ist es, die Lizenzkosten so gering wie möglich zu halten, d.h. Standard-Lizenzen vom Server 2008 R2 und Exchange 2010, Standard Exchange User Cals.

1. Frage: Reicht die bestehende Hochverfügbarkeit des ESX-Clusters aus, um den virtuellen Exchange Server ausfallsicher zu machen, ohne jetzt Techniken wie DAG oder CASArrays zu nutzen, da diese Enterprise Lizenzen vom 2008 R2 erfordern?

2. Frage: Warum sollte lt. MS der CAS für Zugriffe von extern (ehem. Frontendserver) nicht mehr in die DMZ?

Danke im Voraus für Eure Hinweise und Tipps.
Shiva
Mitglied: filippg
28.11.2011 um 01:25 Uhr
Hallo,

der CAS sollte glaube ich noch nie in die DMZ. Da die Server AD-integriert sind macht das wenig Spaß, es werden dann ziemlich umfangreiche Firewallfreischaltungen benötigt (und beim CAS ja auch noch für den Zugriff der Outlook-Clients).
Und zur ersten Frage... sagen wir es so: Man kann mit ESX ein sehr gut verfügbares Exchangesystem aufbauen, aber wie hoch hängt letztlich davon ab, wie man das im Einzelfall aufbaut. VMotion etc sollen aber afaik abgeschaltet sein (zumindest, wenn man DAGs verwendet). Es gibt von MS ein Exchange virtualization Whitepaper, das solltest du dir auf jeden Fall durchlesen.

Gruß

Filipp
Bitte warten ..
Mitglied: affabanana
28.11.2011 um 10:57 Uhr
Hallo Du

Das was Du suchst heisst Edge Transport Server
Der gehört in die DMZ

Das Setup von Dir ist für Mail Emfang und Versand GUT.

Https für OWA und ACtive Sync läuft bei mir über einen Reverse Proxy.
damit werden auch hier die Viren gefiltert.

gruass affabanana
Bitte warten ..
Mitglied: Shiva99
28.11.2011 um 11:59 Uhr
Ich meine nicht den Edge. Der ist ja für den Mailtransport (SMTP-Relay) zuständig. Dass der in der DMZ angesiedelt ist, ist klar.
Ich meine den CAS, d.h. der, mit dem sich die Clients (Browser, ActiveSync usw.) verbinden.
OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Virenfilter für die Client <--> CAS Kommunikation??? Es ist doch nur eine HTTP(s)-Sitzung.
Bitte warten ..
Mitglied: affabanana
28.11.2011 um 16:46 Uhr
Leider gibt es viele DAU's

Die nur mal schnell ein Video oder ein Programm verschicken wollen
Da auf den Privaten Rechnern eher selten ein Aktueller Virenscanner installiert ist.

Zack hast Du ein Virus im Postfach.
Gehen vom Exchange nach extern nicht durch den Virenfilter.
Zack mail verschickt, mit Virus......

Schwarzer Peter hast natürlich wieder Du.
Bitte warten ..
Mitglied: Shiva99
28.11.2011 um 16:58 Uhr
Das ist schon klar, aber Mails transportieren macht ja der HUB oder EDGE, auf dem Virenschutzmechanismen installiert sind, und nicht der CAS.
Bitte warten ..
Mitglied: filippg
28.11.2011 um 20:07 Uhr
Hallo,

OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder
einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Viren sind wohl weniger der Punkt. Es geht darum, dass du einen Server im Office-Lan ohne Reverse-Proxy direkt aus dem Internet erreichbar machst. Wenn es also einem bösen Menschen gelingt, den IIS, der auf dem CAS läuft anzugreifen, ist er direkt im Kern deines Netzes. Ein Reverse-Proxy sollte 1. gegen Angriffe noch besser gerüstet sein als der IIS, 2. extra Funktionen zur Abwehr von Angriffen (z.B. Erkennung von überlangen Post-Variablen, unerlaubten Zeichen etc) haben und 3. für einen Angreifer, der ihn tatsächlich knackt, weniger Wert sein, da er in der DMZ (also nur an wenige Dienste dran kommt) und selber keine Daten hält.
Vorteil eines Reverse-Proxy ist also Sicherheit, Nachteil sind Kosten (und natürlich, dass man eine Komponente hat, die ausfallen kann). Best Practice ist definitiv der Einsatz eine Reverse-Proxy, und kein direktes Publizieren des Servers im Internet.

Gruß

Filipp
Bitte warten ..
Mitglied: Shiva99
28.11.2011 um 21:29 Uhr
Vielen Dank.
Werde mir die Sache mit dem Reverse Proxy mal ansehen. Nach erstem Googlen scheint mir eine Linux-Kiste mit Apache und Mod_proxy ganz angemessen, um den anfälligen IIS im LAN zu schützen
Bitte warten ..
Ähnliche Inhalte
Windows Server
Frage zu Clustering auf Server 2016
Frage von DerWoWussteWindows Server11 Kommentare

Moin allerseits! Wer nutzt Clustering auf Server 2012 oder noch besser schon auf 2016 und kann mir Folgendes beantworten: ...

Exchange Server

CAS-Server Update Exchange 2007 auf Exchange 2010

gelöst Frage von dirk.petersenExchange Server1 Kommentar

Hallo, wir werden demnächst unsere Exchange-Organisation von Exchange2003/2007 auf Exchange 2010 migrieren. Wir setzten einen CAS-2007 Server ein, über ...

Exchange Server

Exchange 2010 - CAS-MB-Zugehörigkeit reglementieren

Frage von emeriksExchange Server1 Kommentar

Hi, ist es in Exchange 2010 möglich, zu steuern, welche MB-Server ein CAS bedienen darf und/oder welche nicht? Ich ...

Exchange Server

Exchange 2010 CAS Array - autmatischer Wechsel möglich?

gelöst Frage von FA-jkaExchange Server3 Kommentare

Ich spiele gerade ein bisschen mit 2k8R2 und Exchange 2010 herum. In meiner Domäne existieren die beiden Server server02.testzone.local ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 10 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 14 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...