alexw83
Goto Top

2 IPs für 2xOWA mit 1 ISA 2006-Server?

Ich bin erst seit 4 Wochen Administrator und arbeite mich erst nach und nach in die ganze Materie ein, deshalb bitte ich um Nachsicht und um Entschuldigung für 'dumme Fragen' face-wink

Hallo Administratoren,
ich bin erst seit kurzem Administrator und stehe dabei gerade vor einem, wie ich finde, nicht ganz einfachen Problem. Es geht um die Einrichtung von OWA, aber nicht einfach der "Standard", sondern schon etwas kniffliger. Ich weiß nicht mal, ob das, was ich vor habe, überhaupt technisch machbar ist, aber ihr werdet mir das schon sagen face-wink

Bestehende Konfiguration:

- Der Domain Controller mit Windows 2003 hat folgende Aufgaben: DHCP, AD, DNS (für das Intranet), Exchange 2007-Server, Fileserver, CertSvr
- Zusätzlich gibt es einen "Firewall-Server", auf dem ISA 2006 läuft. Der Rechner ist auch in der Domäne und ist also logischer Weise der Gateway ins Internet. Er hat 2 Netzwerkkarten, eine für die interne, eine für die externe Kommunikation.
- Die Firma hat einen IP-Bereich verfügbar, von dem bisher nur eine Adresse verwendet wird - für die Homepage, für einige Webserver, auf die auch Kunden zugreifen können und eben auch für OWA. Da Port 443 für einen der Webserver gebraucht wird (das ist auch nicht umlegbar, kundenbedingt), muss OWA auf einem anderen Port betrieben werden. Das funktioniert soweit auch alles.

Problem:
Einige unserer Mitarbeiter brauchen nun OWA-Zugriff auf Port 443 (da sie extern in einem Netz sitzen und darauf angewiesen sind, da nur Port 80 und 443 offen sind). Es wird also quasi 2x Port 443 zwingend benötigt. Außerdem soll das bestehende OWA nicht angerührt werden, sondern quasi ein zweites eingerichtet werden, nur für diesen Spezialfall.

Frage:
1. Geht das überhaupt? Kann man mit einem Exchange-Server mehrere OWA's einrichten?
2. Wenn ich mehrere IP's zur Verfügung habe, kann ich doch für jede IP Port 443 getrennt belegen, einmal mit sonstigem Webserver, einmal mit OWA, oder?
3. Was müsste ich dafür alles tun und in welcher Reihenfolge ? Der Netzwerkkarte für die externe Kommunikation eine zweite, bisher freie IP zuweisen, im ISA den Eintrag für das bisherige OWA kopieren, einen neuen Listener bauen, der mit Port 443 arbeitet, ein neues Zertifikat erstellen und dem Listener zuordnen, im IIS einen zweiten OWA-Eintrag anlegen ... ?? Wie steuere ich dann in der Exchange-Konsole diesen zweiten Eintrag an, oder kann ich überhaupt nur ein OWA einrichten ?

Wie gesagt, ich bin erst seit 1 Monat in der Materie drin und in meinem Kopf ist allmählich nur noch Muß face-wink Bitte um Hilfe ...

Danke schonmal,

AlexW

Content-ID: 153083

Url: https://administrator.de/contentid/153083

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

Marco-83
Marco-83 14.10.2010 um 20:57:54 Uhr
Goto Top
Zu Deinen Fragen,

zu 1) Kann ich leider keine Aussage zu treffen, ist ja prinzipiell nur ein virtuelles Verzeichnis auf dem Webserver. Aaaaaaber mehrere Owas betreiben, auf einem Server ?! Ich tippe mal auf nein.

zu 2) Korrekt, wenn Du die IP an den Dienst bindest, kannst du auch auf jeder IP einen Port 443 oder 80 belegen.

zu 3) Angenommen es würde gehen ;) : Dann auf dem ISA Server auf der externen Netzwerkkarte eine 2 Public IP konfigurieren. Listener und "Weiterleitungen" an die 2 IP binden. Auf der internen (DMZ?) Seite müsstest du dem Exchange ja auch eine 2 IP geben(also eine interne), um auch die Anfragen intern auf 443 weitergeben zu können. Zu den Zertifikaten kann ich Dir leider nicht viel sagen. Greifst du auf OWA über einen Domainnamen zu ? Oder nur über die IP ?
AlexW83
AlexW83 14.10.2010 um 21:50:35 Uhr
Goto Top
Also die zweite externe IP habe ich ja zugewiesen. Listener und die ISA-Regel sind auch an diese zweite IP gebunden. Warum brauche ich denn intern auch eine zweite IP ? Dann bräuchte ich für meinen DC auch eine zweite, oder ? Ich dachte, dass das quasi geht, wie ein Y ... also zwei Eingänge (von den beiden IPs) und das läuft dann im ISA-Server zusammen und wird dann über die DMZ auf den DC geleitet, der ja auch Exchange-Server ist. Muss ich denn dann in der Exchange-Konsole noch was einrichten dafür ?

Auf das vorher eingerichtete OWA wird bisher zugegriffen in der Form https://sub1.domain.de:4443/owa (4443 ist halt der Ausweichport, der bisher benutzt wird)

So, wie ich mir das dachte, hätte ich gern dementsprechend https://sub2.domain.de:443/owa

Die andere Subdomain brauche ich ja, weil ich ja unter "sub1" einen anderen Webserver auf Port 443 laufen habe ?! Was mir dabei gerade noch einfällt, wie funktioniert das eigentlich am Anfang, nachdem man einen IP-Adressen-Bereich zugewiesen bekommen hat. Man muss doch dem Internet-Provider mitteilen, dass er in seinem DNS die IP, die man erworben hat, mit einem bestimmten Namen versieht, oder ? Dann fehlt mir das doch noch für meine zweite IP, oder? Die war ja bisher nicht in Benutzung ...
dog
dog 14.10.2010 um 22:18:11 Uhr
Goto Top
1. Geht das überhaupt? Kann man mit einem Exchange-Server mehrere OWA's einrichten?

Gar nicht notwendig.

2. Wenn ich mehrere IP's zur Verfügung habe, kann ich doch für jede IP Port 443 getrennt belegen, einmal mit sonstigem Webserver, einmal mit OWA, oder?

Richtig

3. Was müsste ich dafür alles tun und in welcher Reihenfolge ?

Der ISA hat so einen lustigen Assistenten für die OWA-Freigabe.
Im Prinzip erstellst du nur auf der zusätzlichen IP einen Listener auf Port 443, der Port-Forwarding zum OWA macht.

Und der Standard-Alternativ-Port für HTTP ist 8443 face-wink
Marco-83
Marco-83 14.10.2010 um 23:37:42 Uhr
Goto Top
Hi,
also was "dog" schreibt ist glaub die Beste Lösung. Unter anderem war in meiner Lösung auch ein kleiner Denkfehler ;) Der ISA funktioniert ja in diesem Fall nicht als klassiche Firewall mit Portforwarding, sondern als Reverse Proxy. Bei einem Aufruf der zweiten IP gelangst du auf den neu kunfigurierten Listener, der wiederum die Anfrage intern an z.B.: exchange.domain.local/owa weitergibt.
AlexW83
AlexW83 15.10.2010 um 17:15:06 Uhr
Goto Top
Okay, Problem ist gelöst. Vielen Dank euch erstmal.

Ich bin also wie folgt vorgegangen:

- 2. IP-Adresse (die noch frei war) zusätzlich auf externe Netzwerkkarte eintragen
- Im ISA-Server die OWA-Regel kopieren und anpassen: neuen Listener bauen und dort einfügen, der auf der 2. IP Adresse mit Port 443 arbeitet, bestehendes Zertifikat benutzt, kein neues erstellt
- zum Test in der Hosts-Datei ( c:\windows\system32\drivers\etc\ ) einen Eintrag auf die zweite IP mit dem gewünschten Namen gesetzt
- Zugriff getestet, ging
- beim Provider den DNS-Eintrag machen lassen
- es kommt zwar noch eine Meldung, die darauf hinweist, dass der Zertifikatsname und die Adresse nicht übereinstimmen, den man aber einfach bestätigen kann
- momentan gehen noch beide Zugriffe (also Antwort auf Frage 1: Ja, man kann mehrere OWA's parallel auf einem Server einrichten, solange man zwei unterschiedliche IPs, bzw. zumindest zwei unterschiedliche Ports benutzt)

In diesem Sinne,

schönes Wochenende