7
Exchange 2010 - 2 Fragen zu Clustering und CAS in der DMZ
Hallo,
Ist-Zustand:
2 DCs: FunctionalLevel 2003 R2
Exchange Server 2003 Std. Backend Server im LAN, physik. Hardware
Exchange Server 2003 Std. Frontend Server in DMZ (OWA/RPC over HTTPS), physik. Hardware
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ
Soll-Zustand:
2 DCs: FunctionalLevel: 2008 R2
Exchange Server 2010 Std. (Rollen: MB, HT), virtuell im ESX-Cluster(=HA)
Exchange Server 2010 Std. (Rolle: CAS), virtuell im ESX-Cluster(=HA) (OWA/RPC over HTTPS)
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ bleibt so
300 Postfächer
Ziel ist es, die Lizenzkosten so gering wie möglich zu halten, d.h. Standard-Lizenzen vom Server 2008 R2 und Exchange 2010, Standard Exchange User Cals.
1. Frage: Reicht die bestehende Hochverfügbarkeit des ESX-Clusters aus, um den virtuellen Exchange Server ausfallsicher zu machen, ohne jetzt Techniken wie DAG oder CASArrays zu nutzen, da diese Enterprise Lizenzen vom 2008 R2 erfordern?
2. Frage: Warum sollte lt. MS der CAS für Zugriffe von extern (ehem. Frontendserver) nicht mehr in die DMZ?
Danke im Voraus für Eure Hinweise und Tipps.
Shiva
Ist-Zustand:
2 DCs: FunctionalLevel 2003 R2
Exchange Server 2003 Std. Backend Server im LAN, physik. Hardware
Exchange Server 2003 Std. Frontend Server in DMZ (OWA/RPC over HTTPS), physik. Hardware
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ
Soll-Zustand:
2 DCs: FunctionalLevel: 2008 R2
Exchange Server 2010 Std. (Rollen: MB, HT), virtuell im ESX-Cluster(=HA)
Exchange Server 2010 Std. (Rolle: CAS), virtuell im ESX-Cluster(=HA) (OWA/RPC over HTTPS)
Smarthost (Linux Postfix mit Antispam/Antivirus Relay) in DMZ bleibt so
300 Postfächer
Ziel ist es, die Lizenzkosten so gering wie möglich zu halten, d.h. Standard-Lizenzen vom Server 2008 R2 und Exchange 2010, Standard Exchange User Cals.
1. Frage: Reicht die bestehende Hochverfügbarkeit des ESX-Clusters aus, um den virtuellen Exchange Server ausfallsicher zu machen, ohne jetzt Techniken wie DAG oder CASArrays zu nutzen, da diese Enterprise Lizenzen vom 2008 R2 erfordern?
2. Frage: Warum sollte lt. MS der CAS für Zugriffe von extern (ehem. Frontendserver) nicht mehr in die DMZ?
Danke im Voraus für Eure Hinweise und Tipps.
Shiva
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176899
Url: https://administrator.de/contentid/176899
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
der CAS sollte glaube ich noch nie in die DMZ. Da die Server AD-integriert sind macht das wenig Spaß, es werden dann ziemlich umfangreiche Firewallfreischaltungen benötigt (und beim CAS ja auch noch für den Zugriff der Outlook-Clients).
Und zur ersten Frage... sagen wir es so: Man kann mit ESX ein sehr gut verfügbares Exchangesystem aufbauen, aber wie hoch hängt letztlich davon ab, wie man das im Einzelfall aufbaut. VMotion etc sollen aber afaik abgeschaltet sein (zumindest, wenn man DAGs verwendet). Es gibt von MS ein Exchange virtualization Whitepaper, das solltest du dir auf jeden Fall durchlesen.
Gruß
Filipp
der CAS sollte glaube ich noch nie in die DMZ. Da die Server AD-integriert sind macht das wenig Spaß, es werden dann ziemlich umfangreiche Firewallfreischaltungen benötigt (und beim CAS ja auch noch für den Zugriff der Outlook-Clients).
Und zur ersten Frage... sagen wir es so: Man kann mit ESX ein sehr gut verfügbares Exchangesystem aufbauen, aber wie hoch hängt letztlich davon ab, wie man das im Einzelfall aufbaut. VMotion etc sollen aber afaik abgeschaltet sein (zumindest, wenn man DAGs verwendet). Es gibt von MS ein Exchange virtualization Whitepaper, das solltest du dir auf jeden Fall durchlesen.
Gruß
Filipp
Hallo Du
Das was Du suchst heisst Edge Transport Server
Der gehört in die DMZ
Das Setup von Dir ist für Mail Emfang und Versand GUT.
Https für OWA und ACtive Sync läuft bei mir über einen Reverse Proxy.
damit werden auch hier die Viren gefiltert.
gruass affabanana
Das was Du suchst heisst Edge Transport Server
Der gehört in die DMZ
Das Setup von Dir ist für Mail Emfang und Versand GUT.
Https für OWA und ACtive Sync läuft bei mir über einen Reverse Proxy.
damit werden auch hier die Viren gefiltert.
gruass affabanana
Ich meine nicht den Edge. Der ist ja für den Mailtransport (SMTP-Relay) zuständig. Dass der in der DMZ angesiedelt ist, ist klar.
Ich meine den CAS, d.h. der, mit dem sich die Clients (Browser, ActiveSync usw.) verbinden.
OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Virenfilter für die Client <--> CAS Kommunikation??? Es ist doch nur eine HTTP(s)-Sitzung.
Ich meine den CAS, d.h. der, mit dem sich die Clients (Browser, ActiveSync usw.) verbinden.
OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Virenfilter für die Client <--> CAS Kommunikation??? Es ist doch nur eine HTTP(s)-Sitzung.
Leider gibt es viele DAU's
Die nur mal schnell ein Video oder ein Programm verschicken wollen
Da auf den Privaten Rechnern eher selten ein Aktueller Virenscanner installiert ist.
Zack hast Du ein Virus im Postfach.
Gehen vom Exchange nach extern nicht durch den Virenfilter.
Zack mail verschickt, mit Virus......
Schwarzer Peter hast natürlich wieder Du.
Die nur mal schnell ein Video oder ein Programm verschicken wollen
Da auf den Privaten Rechnern eher selten ein Aktueller Virenscanner installiert ist.
Zack hast Du ein Virus im Postfach.
Gehen vom Exchange nach extern nicht durch den Virenfilter.
Zack mail verschickt, mit Virus......
Schwarzer Peter hast natürlich wieder Du.
Das ist schon klar, aber Mails transportieren macht ja der HUB oder EDGE, auf dem Virenschutzmechanismen installiert sind, und nicht der CAS.
Hallo,
Vorteil eines Reverse-Proxy ist also Sicherheit, Nachteil sind Kosten (und natürlich, dass man eine Komponente hat, die ausfallen kann). Best Practice ist definitiv der Einsatz eine Reverse-Proxy, und kein direktes Publizieren des Servers im Internet.
Gruß
Filipp
OK. Der CAS steht also im privaten LAN. Für den Zugriff von außen kann man nun die sog. external Adresse NATten oder
einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Viren sind wohl weniger der Punkt. Es geht darum, dass du einen Server im Office-Lan ohne Reverse-Proxy direkt aus dem Internet erreichbar machst. Wenn es also einem bösen Menschen gelingt, den IIS, der auf dem CAS läuft anzugreifen, ist er direkt im Kern deines Netzes. Ein Reverse-Proxy sollte 1. gegen Angriffe noch besser gerüstet sein als der IIS, 2. extra Funktionen zur Abwehr von Angriffen (z.B. Erkennung von überlangen Post-Variablen, unerlaubten Zeichen etc) haben und 3. für einen Angreifer, der ihn tatsächlich knackt, weniger Wert sein, da er in der DMZ (also nur an wenige Dienste dran kommt) und selber keine Daten hält.einen Reverse Proxy in der DMZ einsetzen. Was sind da die Vor- und Nachteile?
Vorteil eines Reverse-Proxy ist also Sicherheit, Nachteil sind Kosten (und natürlich, dass man eine Komponente hat, die ausfallen kann). Best Practice ist definitiv der Einsatz eine Reverse-Proxy, und kein direktes Publizieren des Servers im Internet.
Gruß
Filipp
Vielen Dank.
Werde mir die Sache mit dem Reverse Proxy mal ansehen. Nach erstem Googlen scheint mir eine Linux-Kiste mit Apache und Mod_proxy ganz angemessen, um den anfälligen IIS im LAN zu schützen
Werde mir die Sache mit dem Reverse Proxy mal ansehen. Nach erstem Googlen scheint mir eine Linux-Kiste mit Apache und Mod_proxy ganz angemessen, um den anfälligen IIS im LAN zu schützen
