icerice
Goto Top

Exchange 2013 oder 2010 Stand Alone Mailserver

Hallo an alle bei administrator.de,

derzeit haben wir in der Firma einen SBS 2003 laufen.
Dieser muss aber schnellstmöglich abgelöst werden.

Folgendes Szenario schwebt mir vor:

- Windows Server 2012 Essentials als Datei- und Druckserver

- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server
-> muss von außen erreichbar sein für Active Sync u.a.

Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen.
-> derzeit 30 User Tendenz steigend - geplant mind. 35-40

Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Ich installiere einen 2008R2 mit Exchange 2013/2010 als Mail Server.
Natürlich brauche ich da ein AD. Habe mir am We mal den Kerio Connect
angesehen. Den kann ich stand alone in ner DMZ installen wie ich es will.

Geht solch eine Konstellation auch mit Exchange?

Vielen Dank für eure Antworten...

Content-ID: 212717

Url: https://administrator.de/contentid/212717

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

Dani
Dani 28.07.2013 um 15:15:51 Uhr
Goto Top
Moin,
Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Das geht nicht... ein AD ist immer erforderlich.


Grüße,
Dani
keine-ahnung
keine-ahnung 28.07.2013 um 15:21:08 Uhr
Goto Top
Zitat von @icerice:
Hi,
derzeit haben wir in der Firma einen SBS 2003 laufen.Dieser muss aber schnellstmöglich abgelöst werden.
warum so hastig? Ein bisschen Zeit bis zum eol bleibt ja noch face-smile
Folgendes Szenario schwebt mir vor:
- Windows Server 2012 Essentials als Datei- und Druckserver
Wird nicht gehen - zu viele User im AD.
- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server -> muss von außen erreichbar sein für Active Sync u.a.
Würe gehen, ist aber teuer ...
Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen -> derzeit 30 User Tendenz steigend - geplant mind. 35-40
O.K.
Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Natürlich ...
Geht solch eine Konstellation auch mit Exchange?
Natürlich ...

Mach Dir nicht so einen Stress ... kauf Dir einen SBS 2011 Standard, reicht für 75 Benutzer / Geräte und migriere den ollen SBS auf den neuen. Ziemlich stressfrei, köstengünstig und Du hast alles, was Du brauchst.

Wenn Du eine halbwegs leistungsfähige Hardeware nimmst, kannst Du Druck- und Dateidienste problemlos auf der Büchse mitlaufen lassen ... Zweitserver macht aber auch Sinn (zweiter DC, Entlastung des SBS etc.)

LG, Thomas
keine-ahnung
keine-ahnung 28.07.2013 um 15:31:48 Uhr
Goto Top
Zitat von @Dani:
Hi Dani,
Das geht nicht... ein AD ist immer erforderlich.
ein AD will er ja einrichten, schreibt er. Oder habe ich da was falsch verstanden?

LG, Thomas
Dani
Dani 28.07.2013 um 15:41:50 Uhr
Goto Top
Hi Thomas,
er schieb im Titel "Exchange 2013 oder 2010 Stand". Darauf habe ich mich bezogen... mit einem SBS sieht die Welt wieder anders aus.
Allerdings ist die Frage auch ziemlich sprunghaft und ohne Auführungen warum was wie machen möchte. Daher dachte meine kurze Antwort.


Grüße,
Dani
icerice
icerice 28.07.2013 um 16:17:37 Uhr
Goto Top
Es geht in erster Linie darum den Exchange (Mailserver) vom Rest (DC,...) zu trennen. Der Mailserver soll in ne DMZ kommen - allein schon aus Sicherheitsgründen.

30 User (12 davon aber ausschließlich via ActiveSync angebunden)
Der Rest eben mit nem festen Rechner in der Firma also Domain.

Eine denkbare Lösung:

SRV2012 Essentials (DC + Drucken)

Kerio auf WIN7 OS in DMZ als Mailsrv

Würde aber evtl schon bei Exchange bleiben wollen.
Wie könnte eine rein Microsoft Lösung aussehen?

MfG Marcus
icerice
icerice 28.07.2013 um 16:26:12 Uhr
Goto Top
Zu den anderen Dingen:

Für den SBS 2003 habe ich keine CAL mehr
Deswegen muss er schnell abgelöst werden

Das AD würde ich im ersten Step mit dem Exchange auf Grundlage
2008R2 oder 2012 Standard aufbauen aber lässt sich da dann
Noch ein Essentials anbinden?

Ein Umstieg auf SBS2011 erfüllt nicht die gewünschte Trennung
Der Server - oder etwa doch?

MfG
transocean
transocean 28.07.2013 aktualisiert um 16:37:47 Uhr
Goto Top
Moin,

schau dir das mal an:

http://www.clearcenter.com/

http://www.clearcenter.com/Software/zarafa-collaboration-platform.html

Den kannst Du als Standalone konfigurieren, Zarafa mit entsprechend ausreichender Anzahl Userlizenzen installieren und dann ab in die DMZ damit.

Nachteil aus meiner Sicht sind die jährlich fällig werdenden Lizenzgebühren.

Gruß

Uwe
keine-ahnung
keine-ahnung 28.07.2013 um 16:42:04 Uhr
Goto Top
Zitat von @icerice:
Es geht in erster Linie darum den Exchange (Mailserver) vom Rest (DC,...) zu trennen. Der Mailserver soll in ne DMZ kommen -
allein schon aus Sicherheitsgründen.
Habt Ihr jetzt die Prismitis bekommen face-wink
30 User (12 davon aber ausschließlich via ActiveSync angebunden)
Der Rest eben mit nem festen Rechner in der Firma also Domain.
SRV2012 Essentials (DC + Drucken)
Vergiss die essential-Geschichte ... ich glaube, ich habe das oben schon irgendwie dargestellt??
Wie könnte eine rein Microsoft Lösung aussehen?
MS Server als DC, MS Server mit MX (von mir aus auch in der DMZ).
Oder halt SBS 2011 - da hast Du alles, was Du brauchst ...
Ein Umstieg auf SBS2011 erfüllt nicht die gewünschte Trennung der Server - oder etwa doch?
Nein - dies ist auch nicht unbedingt notwendig. Vernünftige firewall vor den SBS und gut ist ...
Für den SBS 2003 habe ich keine CAL mehr Deswegen muss er schnell abgelöst werden.
Wie das? Beim SBS 2003 laufen die CAL doch noch im Lizenzmanager ...?

Rechne Dir die Kosten für zwei MS-Server + CAL + Exchange + CAL mal durch - Du wirst begeistert sein ...
Der Essential-Server ist für maximal 25 Nutzer lizensiert. Dies trifft auch zu, wenn er an einen DC gehangen wird. Mehr als 25 User im AD = Lizenzfehler. Ich weiss nicht, wie MS dass beim Essential treibt, eventuell muss der sogar DC mit FSMO sein ... ähnlich dem SBS, den er ja "ablösen" soll.

LG, Thomas
transocean
transocean 28.07.2013 um 16:46:40 Uhr
Goto Top
Ich weiss nicht, wie MS dass beim Essential treibt, eventuell muss der sogar DC mit FSMO sein ... ähnlich dem SBS, den er ja "ablösen" soll.

Ja, muss er.

Gruß

Uwe
Dani
Dani 28.07.2013 um 16:51:21 Uhr
Goto Top
@marcus
Würde aber evtl schon bei Exchange bleiben wollen. Wie könnte eine rein Microsoft Lösung aussehen?
Standard sollte sein: Firewall <-> Exchange 2013 in der Rolle Client Access (Reverse Proxy) <-> Firewall <-> Exchange 2013 mit der Rolle Mailbox.

Ist aber natürlich immer eine Kostenfrage und Wartungsaufwand. Wir nutzen als Reverse Proxy Squid 3.x.x. Spart uns einiges an Geld, laufende Kosten und Wartungsaufwand.

Grundsätzlich leg dich dir diesen Artikel ans Herz.


Grüße,
Dani
filippg
filippg 28.07.2013 um 22:48:10 Uhr
Goto Top
Hallo,

ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.

Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...

Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.

Gruß

Filipp
certifiedit.net
certifiedit.net 29.07.2013 um 09:06:43 Uhr
Goto Top
Hall @filippg,

macht aber nur eines: Doppelten Verwaltungsaufwand - Eine ordentliche UTM vor das Netzwerk und die Server richtig absichern ist besser als zwei Netze, die autark von einander gewartet und abgesichert werden müssen. Je mehr Aufwand mit der Administration der Trennung verbunden ist je weniger Zeit hast du im schlimmsten Fall für die Absicherung nach außen, was dann zu Problemen führt.

Grüße,

Christian
certified IT
chfr77
chfr77 30.07.2013 um 18:05:49 Uhr
Goto Top
Zitat von @filippg:
Hallo,

ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.

Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between
Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not
supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...

Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.

Gruß

Filipp

Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
certifiedit.net
certifiedit.net 30.07.2013 um 18:14:34 Uhr
Goto Top
Hallo chfr...,

weil es essentiell keinen Sinn macht, da der Exchange so sehr in das AD verwoben ist, dass es einen größerer Aufwand ist dies ein zu mauern und diese wieder zu durchlöchern (=Sicherheitslecks), als es in dem Kontext über andere Mittel abzusichern. => Scheinsicherheit.

Grüße
chfr77
chfr77 30.07.2013 um 20:24:53 Uhr
Goto Top
Zitat von @certifiedit.net:
Hallo chfr...,

weil es essentiell keinen Sinn macht, da der Exchange so sehr in das AD verwoben ist, dass es einen größerer Aufwand
ist dies ein zu mauern und diese wieder zu durchlöchern (=Sicherheitslecks), als es in dem Kontext über andere Mittel
abzusichern. => Scheinsicherheit.

Grüße

Das ist Unfug. Ich kenne die Konfiguration mit dem SMTPd mit Commtouch o.ä. auf einer extra "utm"-Appliance auch, aber das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard. Das machen viele so. Ich hol mir doch kein Reverseproxy oder P-NAT rein damit die Handies und Outlooks auf ActiveSync und owa kommen.
Dani
Dani 30.07.2013 um 21:38:47 Uhr
Goto Top
@chfrwrz
Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Heute steh ich irgendwie auf dem Schlauch... Sorry. Kannst du es für mich anders formulieren?

aber das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard.
Richtig, aber es ist eine Kostenfrrage. Wie verfügbar und redudant das Ganze aufgebaut sein muss.

Ich hol mir doch kein Reverseproxy oder P-NAT rein damit die Handies und Outlooks auf ActiveSync und owa kommen.
Sondern? Der Exchange in der DMZ ist auch nicht mehr als ein Frontend und der im LAN das Backend.


Grüße,
Dani
filippg
filippg 30.07.2013 um 21:51:09 Uhr
Goto Top
Hallo,

Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein Beitrag) (und NATting solltest du wohl auch nicht haben).
Ob das dann noch eine DMZ ist?

[...]das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard
Ein Edge-Transport-Server wird in einer DMZ explizit unterstütz & ist auch genau dafür gemacht. Auf Postfächer kann man darüber aber nicht zugreifen (und darum ging es glaube ich).

Gruß

Filipp
certifiedit.net
certifiedit.net 30.07.2013 um 22:34:11 Uhr
Goto Top
Hallo chf...,

soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.

Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?

Schönen Gruß,

Christian
chfr77
chfr77 01.08.2013 um 15:25:26 Uhr
Goto Top
Zitat von @certifiedit.net:
Hallo chf...,

soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.

Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart
nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?

Schönen Gruß,

Christian

Ich habe Deine Beiträge nicht bewertet. Wobei dieser hier nichts mit dem Thema zu tun hat.
chfr77
chfr77 01.08.2013 um 15:32:41 Uhr
Goto Top
Zitat von @filippg:

Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein Beitrag)
Nur zu einem reicht schon.
Ob das dann noch eine DMZ ist?

Eine DMZ ist so definiert (o=LAN, x=Router mit Filter):

o1-x-o2-x-o3

^^ o2 ist hier die DMZ. Wenn Du in o2 einen Host bereitstellst ist der in der DMZ.

Ein Edge-Transport-Server wird in einer DMZ explizit unterstütz & ist auch genau dafür gemacht. Auf Postfächer
kann man darüber aber nicht zugreifen (und darum ging es glaube ich).

"Edge-Transport-Rolle" ist ein Name von Exch2007+2010 für einen SMTP-Konnektor. Anwendungsserver mit ActiveSync und OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
filippg
filippg 01.08.2013 um 20:41:03 Uhr
Goto Top
Hallo,

> Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein
Beitrag)
Nur zu einem reicht schon.
Nein. Lies bitte meinen Beitrag, den du oben auch zitiert hast, und notfalls lese eben den ganzen verlinkten Artikel. _Alle_ Exchangeserver müssen _alle_ anderen Exchangeserver und _alle_ DCs vollständig erreichen können.


Eine DMZ ist so definiert (o=LAN, x=Router mit Filter):
o1-x-o2-x-o3
Nein. Abgesehen davon, dass man keine "Router mit Filter" verwendet (ja, es gibt Router mit ACLs), geht es bei einer DMZ nicht darum, LAN-Segmente von einander abzuschotten, sondern darum, öffentliche und interne Netze zu trennen.


"Edge-Transport-Rolle" ist ein Name von Exch2007+2010 für einen SMTP-Konnektor.
Nein. Die Edge Transport Rolle ist eine eigene Serverrolle, die im Gegensatz zu allen anderen Exchange-Servern nicht AD-integriert ist, und schon deswegen nicht mit anderen Rollen kombiniert werden kann (während Hub-Transport-, Client-Access- und Mailbox-Rolle mit gewissen Einschränkungen alle gemeinsam auf einem Server laufen können)
Anwendungsserver mit ActiveSync und
OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
Nein. Die urpsrüngliche Frage war nicht, ob man Edge-Transport und CAS kombinieren kann, sondern die Frage war, ob man Exchange "Standolne" in einer DMZ betreiben kann.

Grüße

Filipp