shiva99
Goto Top

Exchange 2010 - 2 Fragen zu Clustering und CAS in der DMZ

Hallo,

Ist-Zustand:
2 DCs: FunctionalLevel 2003 R2
Exchange Server 2003 Std. Backend Server im LAN, physik. Hardware
Exchange Server 2003 Std. Frontend Server in DMZ (OWA/RPC over HTTPS), physik. Hardware
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ

Soll-Zustand:
2 DCs: FunctionalLevel: 2008 R2
Exchange Server 2010 Std. (Rollen: MB, HT), virtuell im ESX-Cluster(=HA)
Exchange Server 2010 Std. (Rolle: CAS), virtuell im ESX-Cluster(=HA) (OWA/RPC over HTTPS)
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ bleibt so

300 Postfächer

Ziel ist es, die Lizenzkosten so gering wie möglich zu halten, d.h. Standard-Lizenzen vom Server 2008 R2 und Exchange 2010, Standard Exchange User Cals.

1. Frage: Reicht die bestehende Hochverfügbarkeit des ESX-Clusters aus, um den virtuellen Exchange Server ausfallsicher zu machen, ohne jetzt Techniken wie DAG oder CASArrays zu nutzen, da diese Enterprise Lizenzen vom 2008 R2 erfordern?

2. Frage: Warum sollte lt. MS der CAS für Zugriffe von extern (ehem. Frontendserver) nicht mehr in die DMZ?

Danke im Voraus für Eure Hinweise und Tipps.
Shiva

Content-ID: 176899

Url: https://administrator.de/contentid/176899

Ausgedruckt am: 09.11.2024 um 01:11 Uhr

filippg
filippg 28.11.2011 um 01:25:15 Uhr
Goto Top
Hallo,

der CAS sollte glaube ich noch nie in die DMZ. Da die Server AD-integriert sind macht das wenig Spaß, es werden dann ziemlich umfangreiche Firewallfreischaltungen benötigt (und beim CAS ja auch noch für den Zugriff der Outlook-Clients).
Und zur ersten Frage... sagen wir es so: Man kann mit ESX ein sehr gut verfügbares Exchangesystem aufbauen, aber wie hoch hängt letztlich davon ab, wie man das im Einzelfall aufbaut. VMotion etc sollen aber afaik abgeschaltet sein (zumindest, wenn man DAGs verwendet). Es gibt von MS ein Exchange virtualization Whitepaper, das solltest du dir auf jeden Fall durchlesen.

Gruß

Filipp
affabanana
affabanana 28.11.2011 um 10:57:13 Uhr
Goto Top
Hallo Du

Das was Du suchst heisst Edge Transport Server
Der gehört in die DMZ

Das Setup von Dir ist für Mail Emfang und Versand GUT.

Https für OWA und ACtive Sync läuft bei mir über einen Reverse Proxy.
damit werden auch hier die Viren gefiltert.

gruass affabanana
Shiva99
Shiva99 28.11.2011 um 11:59:33 Uhr
Goto Top
Ich meine nicht den Edge. Der ist ja für den Mailtransport (SMTP-Relay) zuständig. Dass der in der DMZ angesiedelt ist, ist klar.
Ich meine den CAS, d.h. der, mit dem sich die Clients (Browser, ActiveSync usw.) verbinden.
OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Virenfilter für die Client <--> CAS Kommunikation??? Es ist doch nur eine HTTP(s)-Sitzung.
affabanana
affabanana 28.11.2011 um 16:46:56 Uhr
Goto Top
Leider gibt es viele DAU's

Die nur mal schnell ein Video oder ein Programm verschicken wollen
Da auf den Privaten Rechnern eher selten ein Aktueller Virenscanner installiert ist.

Zack hast Du ein Virus im Postfach.
Gehen vom Exchange nach extern nicht durch den Virenfilter.
Zack mail verschickt, mit Virus......

Schwarzer Peter hast natürlich wieder Du.
Shiva99
Shiva99 28.11.2011 um 16:58:55 Uhr
Goto Top
Das ist schon klar, aber Mails transportieren macht ja der HUB oder EDGE, auf dem Virenschutzmechanismen installiert sind, und nicht der CAS.
filippg
filippg 28.11.2011 um 20:07:56 Uhr
Goto Top
Hallo,

OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder
einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Viren sind wohl weniger der Punkt. Es geht darum, dass du einen Server im Office-Lan ohne Reverse-Proxy direkt aus dem Internet erreichbar machst. Wenn es also einem bösen Menschen gelingt, den IIS, der auf dem CAS läuft anzugreifen, ist er direkt im Kern deines Netzes. Ein Reverse-Proxy sollte 1. gegen Angriffe noch besser gerüstet sein als der IIS, 2. extra Funktionen zur Abwehr von Angriffen (z.B. Erkennung von überlangen Post-Variablen, unerlaubten Zeichen etc) haben und 3. für einen Angreifer, der ihn tatsächlich knackt, weniger Wert sein, da er in der DMZ (also nur an wenige Dienste dran kommt) und selber keine Daten hält.
Vorteil eines Reverse-Proxy ist also Sicherheit, Nachteil sind Kosten (und natürlich, dass man eine Komponente hat, die ausfallen kann). Best Practice ist definitiv der Einsatz eine Reverse-Proxy, und kein direktes Publizieren des Servers im Internet.

Gruß

Filipp
Shiva99
Shiva99 28.11.2011 um 21:29:07 Uhr
Goto Top
Vielen Dank.
Werde mir die Sache mit dem Reverse Proxy mal ansehen. Nach erstem Googlen scheint mir eine Linux-Kiste mit Apache und Mod_proxy ganz angemessen, um den anfälligen IIS im LAN zu schützen face-wink