Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2013 oder 2010 Stand Alone Mailserver

Frage Microsoft Exchange Server

Mitglied: icerice

icerice (Level 1) - Jetzt verbinden

28.07.2013 um 14:45 Uhr, 3385 Aufrufe, 21 Kommentare

Hallo an alle bei administrator.de,

derzeit haben wir in der Firma einen SBS 2003 laufen.
Dieser muss aber schnellstmöglich abgelöst werden.

Folgendes Szenario schwebt mir vor:

- Windows Server 2012 Essentials als Datei- und Druckserver

- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server
-> muss von außen erreichbar sein für Active Sync u.a.

Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen.
-> derzeit 30 User Tendenz steigend - geplant mind. 35-40

Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Ich installiere einen 2008R2 mit Exchange 2013/2010 als Mail Server.
Natürlich brauche ich da ein AD. Habe mir am We mal den Kerio Connect
angesehen. Den kann ich stand alone in ner DMZ installen wie ich es will.

Geht solch eine Konstellation auch mit Exchange?

Vielen Dank für eure Antworten...
Mitglied: Dani
28.07.2013 um 15:15 Uhr
Moin,
Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Das geht nicht... ein AD ist immer erforderlich.


Grüße,
Dani
Bitte warten ..
Mitglied: keine-ahnung
28.07.2013 um 15:21 Uhr
Zitat von icerice:
Hi,
derzeit haben wir in der Firma einen SBS 2003 laufen.Dieser muss aber schnellstmöglich abgelöst werden.
warum so hastig? Ein bisschen Zeit bis zum eol bleibt ja noch
Folgendes Szenario schwebt mir vor:
- Windows Server 2012 Essentials als Datei- und Druckserver
Wird nicht gehen - zu viele User im AD.
- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server -> muss von außen erreichbar sein für Active Sync u.a.
Würe gehen, ist aber teuer ...
Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen -> derzeit 30 User Tendenz steigend - geplant mind. 35-40
O.K.
Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Natürlich ...
Geht solch eine Konstellation auch mit Exchange?
Natürlich ...

Mach Dir nicht so einen Stress ... kauf Dir einen SBS 2011 Standard, reicht für 75 Benutzer / Geräte und migriere den ollen SBS auf den neuen. Ziemlich stressfrei, köstengünstig und Du hast alles, was Du brauchst.

Wenn Du eine halbwegs leistungsfähige Hardeware nimmst, kannst Du Druck- und Dateidienste problemlos auf der Büchse mitlaufen lassen ... Zweitserver macht aber auch Sinn (zweiter DC, Entlastung des SBS etc.)

LG, Thomas
Bitte warten ..
Mitglied: keine-ahnung
28.07.2013 um 15:31 Uhr
Zitat von Dani:
Hi Dani,
Das geht nicht... ein AD ist immer erforderlich.
ein AD will er ja einrichten, schreibt er. Oder habe ich da was falsch verstanden?

LG, Thomas
Bitte warten ..
Mitglied: Dani
28.07.2013 um 15:41 Uhr
Hi Thomas,
er schieb im Titel "Exchange 2013 oder 2010 Stand". Darauf habe ich mich bezogen... mit einem SBS sieht die Welt wieder anders aus.
Allerdings ist die Frage auch ziemlich sprunghaft und ohne Auführungen warum was wie machen möchte. Daher dachte meine kurze Antwort.


Grüße,
Dani
Bitte warten ..
Mitglied: icerice
28.07.2013 um 16:17 Uhr
Es geht in erster Linie darum den Exchange (Mailserver) vom Rest (DC,...) zu trennen. Der Mailserver soll in ne DMZ kommen - allein schon aus Sicherheitsgründen.

30 User (12 davon aber ausschließlich via ActiveSync angebunden)
Der Rest eben mit nem festen Rechner in der Firma also Domain.

Eine denkbare Lösung:

SRV2012 Essentials (DC + Drucken)

Kerio auf WIN7 OS in DMZ als Mailsrv

Würde aber evtl schon bei Exchange bleiben wollen.
Wie könnte eine rein Microsoft Lösung aussehen?

MfG Marcus
Bitte warten ..
Mitglied: icerice
28.07.2013 um 16:26 Uhr
Zu den anderen Dingen:

Für den SBS 2003 habe ich keine CAL mehr
Deswegen muss er schnell abgelöst werden

Das AD würde ich im ersten Step mit dem Exchange auf Grundlage
2008R2 oder 2012 Standard aufbauen aber lässt sich da dann
Noch ein Essentials anbinden?

Ein Umstieg auf SBS2011 erfüllt nicht die gewünschte Trennung
Der Server - oder etwa doch?

MfG
Bitte warten ..
Mitglied: transocean
28.07.2013, aktualisiert um 16:37 Uhr
Moin,

schau dir das mal an:

http://www.clearcenter.com/

http://www.clearcenter.com/Software/zarafa-collaboration-platform.html

Den kannst Du als Standalone konfigurieren, Zarafa mit entsprechend ausreichender Anzahl Userlizenzen installieren und dann ab in die DMZ damit.

Nachteil aus meiner Sicht sind die jährlich fällig werdenden Lizenzgebühren.

Gruß

Uwe
Bitte warten ..
Mitglied: keine-ahnung
28.07.2013 um 16:42 Uhr
Zitat von icerice:
Es geht in erster Linie darum den Exchange (Mailserver) vom Rest (DC,...) zu trennen. Der Mailserver soll in ne DMZ kommen -
allein schon aus Sicherheitsgründen.
Habt Ihr jetzt die Prismitis bekommen
30 User (12 davon aber ausschließlich via ActiveSync angebunden)
Der Rest eben mit nem festen Rechner in der Firma also Domain.
SRV2012 Essentials (DC + Drucken)
Vergiss die essential-Geschichte ... ich glaube, ich habe das oben schon irgendwie dargestellt??
Wie könnte eine rein Microsoft Lösung aussehen?
MS Server als DC, MS Server mit MX (von mir aus auch in der DMZ).
Oder halt SBS 2011 - da hast Du alles, was Du brauchst ...
Ein Umstieg auf SBS2011 erfüllt nicht die gewünschte Trennung der Server - oder etwa doch?
Nein - dies ist auch nicht unbedingt notwendig. Vernünftige firewall vor den SBS und gut ist ...
Für den SBS 2003 habe ich keine CAL mehr Deswegen muss er schnell abgelöst werden.
Wie das? Beim SBS 2003 laufen die CAL doch noch im Lizenzmanager ...?

Rechne Dir die Kosten für zwei MS-Server + CAL + Exchange + CAL mal durch - Du wirst begeistert sein ...
Der Essential-Server ist für maximal 25 Nutzer lizensiert. Dies trifft auch zu, wenn er an einen DC gehangen wird. Mehr als 25 User im AD = Lizenzfehler. Ich weiss nicht, wie MS dass beim Essential treibt, eventuell muss der sogar DC mit FSMO sein ... ähnlich dem SBS, den er ja "ablösen" soll.

LG, Thomas
Bitte warten ..
Mitglied: transocean
28.07.2013 um 16:46 Uhr
Ich weiss nicht, wie MS dass beim Essential treibt, eventuell muss der sogar DC mit FSMO sein ... ähnlich dem SBS, den er ja "ablösen" soll.

Ja, muss er.

Gruß

Uwe
Bitte warten ..
Mitglied: Dani
28.07.2013 um 16:51 Uhr
@marcus
Würde aber evtl schon bei Exchange bleiben wollen. Wie könnte eine rein Microsoft Lösung aussehen?
Standard sollte sein: Firewall <-> Exchange 2013 in der Rolle Client Access (Reverse Proxy) <-> Firewall <-> Exchange 2013 mit der Rolle Mailbox.

Ist aber natürlich immer eine Kostenfrage und Wartungsaufwand. Wir nutzen als Reverse Proxy Squid 3.x.x. Spart uns einiges an Geld, laufende Kosten und Wartungsaufwand.

Grundsätzlich leg dich dir diesen Artikel ans Herz.


Grüße,
Dani
Bitte warten ..
Mitglied: filippg
28.07.2013 um 22:48 Uhr
Hallo,

ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.

Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...

Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.

Gruß

Filipp
Bitte warten ..
Mitglied: certifiedit.net
29.07.2013 um 09:06 Uhr
Hall @filippg,

macht aber nur eines: Doppelten Verwaltungsaufwand - Eine ordentliche UTM vor das Netzwerk und die Server richtig absichern ist besser als zwei Netze, die autark von einander gewartet und abgesichert werden müssen. Je mehr Aufwand mit der Administration der Trennung verbunden ist je weniger Zeit hast du im schlimmsten Fall für die Absicherung nach außen, was dann zu Problemen führt.

Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: chfr77
30.07.2013 um 18:05 Uhr
Zitat von filippg:
Hallo,

ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.

Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between
Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not
supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...

Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.

Gruß

Filipp

Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Bitte warten ..
Mitglied: certifiedit.net
30.07.2013 um 18:14 Uhr
Hallo chfr...,

weil es essentiell keinen Sinn macht, da der Exchange so sehr in das AD verwoben ist, dass es einen größerer Aufwand ist dies ein zu mauern und diese wieder zu durchlöchern (=Sicherheitslecks), als es in dem Kontext über andere Mittel abzusichern. => Scheinsicherheit.

Grüße
Bitte warten ..
Mitglied: chfr77
30.07.2013 um 20:24 Uhr
Zitat von certifiedit.net:
Hallo chfr...,

weil es essentiell keinen Sinn macht, da der Exchange so sehr in das AD verwoben ist, dass es einen größerer Aufwand
ist dies ein zu mauern und diese wieder zu durchlöchern (=Sicherheitslecks), als es in dem Kontext über andere Mittel
abzusichern. => Scheinsicherheit.

Grüße

Das ist Unfug. Ich kenne die Konfiguration mit dem SMTPd mit Commtouch o.ä. auf einer extra "utm"-Appliance auch, aber das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard. Das machen viele so. Ich hol mir doch kein Reverseproxy oder P-NAT rein damit die Handies und Outlooks auf ActiveSync und owa kommen.
Bitte warten ..
Mitglied: Dani
30.07.2013 um 21:38 Uhr
@chfrwrz
Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Heute steh ich irgendwie auf dem Schlauch... Sorry. Kannst du es für mich anders formulieren?

aber das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard.
Richtig, aber es ist eine Kostenfrrage. Wie verfügbar und redudant das Ganze aufgebaut sein muss.

Ich hol mir doch kein Reverseproxy oder P-NAT rein damit die Handies und Outlooks auf ActiveSync und owa kommen.
Sondern? Der Exchange in der DMZ ist auch nicht mehr als ein Frontend und der im LAN das Backend.


Grüße,
Dani
Bitte warten ..
Mitglied: filippg
30.07.2013 um 21:51 Uhr
Hallo,

Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein Beitrag) (und NATting solltest du wohl auch nicht haben).
Ob das dann noch eine DMZ ist?

[...]das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard
Ein Edge-Transport-Server wird in einer DMZ explizit unterstütz & ist auch genau dafür gemacht. Auf Postfächer kann man darüber aber nicht zugreifen (und darum ging es glaube ich).

Gruß

Filipp
Bitte warten ..
Mitglied: certifiedit.net
30.07.2013 um 22:34 Uhr
Hallo chf...,

soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.

Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?

Schönen Gruß,

Christian
Bitte warten ..
Mitglied: chfr77
01.08.2013 um 15:25 Uhr
Zitat von certifiedit.net:
Hallo chf...,

soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.

Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart
nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?

Schönen Gruß,

Christian

Ich habe Deine Beiträge nicht bewertet. Wobei dieser hier nichts mit dem Thema zu tun hat.
Bitte warten ..
Mitglied: chfr77
01.08.2013 um 15:32 Uhr
Zitat von filippg:

Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein Beitrag)
Nur zu einem reicht schon.
Ob das dann noch eine DMZ ist?

Eine DMZ ist so definiert (o=LAN, x=Router mit Filter):

o1-x-o2-x-o3

^^ o2 ist hier die DMZ. Wenn Du in o2 einen Host bereitstellst ist der in der DMZ.

Ein Edge-Transport-Server wird in einer DMZ explizit unterstütz & ist auch genau dafür gemacht. Auf Postfächer
kann man darüber aber nicht zugreifen (und darum ging es glaube ich).

"Edge-Transport-Rolle" ist ein Name von Exch2007+2010 für einen SMTP-Konnektor. Anwendungsserver mit ActiveSync und OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
Bitte warten ..
Mitglied: filippg
01.08.2013 um 20:41 Uhr
Hallo,

> Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein
Beitrag)
Nur zu einem reicht schon.
Nein. Lies bitte meinen Beitrag, den du oben auch zitiert hast, und notfalls lese eben den ganzen verlinkten Artikel. _Alle_ Exchangeserver müssen _alle_ anderen Exchangeserver und _alle_ DCs vollständig erreichen können.


Eine DMZ ist so definiert (o=LAN, x=Router mit Filter):
o1-x-o2-x-o3
Nein. Abgesehen davon, dass man keine "Router mit Filter" verwendet (ja, es gibt Router mit ACLs), geht es bei einer DMZ nicht darum, LAN-Segmente von einander abzuschotten, sondern darum, öffentliche und interne Netze zu trennen.


"Edge-Transport-Rolle" ist ein Name von Exch2007+2010 für einen SMTP-Konnektor.
Nein. Die Edge Transport Rolle ist eine eigene Serverrolle, die im Gegensatz zu allen anderen Exchange-Servern nicht AD-integriert ist, und schon deswegen nicht mit anderen Rollen kombiniert werden kann (während Hub-Transport-, Client-Access- und Mailbox-Rolle mit gewissen Einschränkungen alle gemeinsam auf einem Server laufen können)
Anwendungsserver mit ActiveSync und
OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
Nein. Die urpsrüngliche Frage war nicht, ob man Edge-Transport und CAS kombinieren kann, sondern die Frage war, ob man Exchange "Standolne" in einer DMZ betreiben kann.

Grüße

Filipp
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Exchange 2013, Outlook 2010 Standard-Absendeadresse ändern (4)

Frage von ingoue zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2013 - automatische Einbindung von Postfächern in Outlook 2010 (8)

Frage von ingoue zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2013 powershell Berechtigung von Unterordnern in Outlook 2010 steuern (8)

Frage von 124611 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...