Exchange 2013 oder 2010 Stand Alone Mailserver
Hallo an alle bei administrator.de,
derzeit haben wir in der Firma einen SBS 2003 laufen.
Dieser muss aber schnellstmöglich abgelöst werden.
Folgendes Szenario schwebt mir vor:
- Windows Server 2012 Essentials als Datei- und Druckserver
- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server
-> muss von außen erreichbar sein für Active Sync u.a.
Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen.
-> derzeit 30 User Tendenz steigend - geplant mind. 35-40
Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Ich installiere einen 2008R2 mit Exchange 2013/2010 als Mail Server.
Natürlich brauche ich da ein AD. Habe mir am We mal den Kerio Connect
angesehen. Den kann ich stand alone in ner DMZ installen wie ich es will.
Geht solch eine Konstellation auch mit Exchange?
Vielen Dank für eure Antworten...
derzeit haben wir in der Firma einen SBS 2003 laufen.
Dieser muss aber schnellstmöglich abgelöst werden.
Folgendes Szenario schwebt mir vor:
- Windows Server 2012 Essentials als Datei- und Druckserver
- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server
-> muss von außen erreichbar sein für Active Sync u.a.
Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen.
-> derzeit 30 User Tendenz steigend - geplant mind. 35-40
Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Ich installiere einen 2008R2 mit Exchange 2013/2010 als Mail Server.
Natürlich brauche ich da ein AD. Habe mir am We mal den Kerio Connect
angesehen. Den kann ich stand alone in ner DMZ installen wie ich es will.
Geht solch eine Konstellation auch mit Exchange?
Vielen Dank für eure Antworten...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 212717
Url: https://administrator.de/contentid/212717
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
21 Kommentare
Neuester Kommentar
Hi,
Mach Dir nicht so einen Stress ... kauf Dir einen SBS 2011 Standard, reicht für 75 Benutzer / Geräte und migriere den ollen SBS auf den neuen. Ziemlich stressfrei, köstengünstig und Du hast alles, was Du brauchst.
Wenn Du eine halbwegs leistungsfähige Hardeware nimmst, kannst Du Druck- und Dateidienste problemlos auf der Büchse mitlaufen lassen ... Zweitserver macht aber auch Sinn (zweiter DC, Entlastung des SBS etc.)
LG, Thomas
derzeit haben wir in der Firma einen SBS 2003 laufen.Dieser muss aber schnellstmöglich abgelöst werden.
warum so hastig? Ein bisschen Zeit bis zum eol bleibt ja noch Folgendes Szenario schwebt mir vor:
- Windows Server 2012 Essentials als Datei- und Druckserver
Wird nicht gehen - zu viele User im AD.- Windows Server 2012 Essentials als Datei- und Druckserver
- Windows Server 2008R2 mit Exchange 2013/2010 in DMZ als Mail Server -> muss von außen erreichbar sein für Active Sync u.a.
Würe gehen, ist aber teuer ...Im ersten Schritt möchte den Mail Exchange aufsetzen und das umstellen -> derzeit 30 User Tendenz steigend - geplant mind. 35-40
O.K.Kann ich einen Exchange Server auch quasi Stand Alone installieren?
Natürlich ...Geht solch eine Konstellation auch mit Exchange?
Natürlich ...Mach Dir nicht so einen Stress ... kauf Dir einen SBS 2011 Standard, reicht für 75 Benutzer / Geräte und migriere den ollen SBS auf den neuen. Ziemlich stressfrei, köstengünstig und Du hast alles, was Du brauchst.
Wenn Du eine halbwegs leistungsfähige Hardeware nimmst, kannst Du Druck- und Dateidienste problemlos auf der Büchse mitlaufen lassen ... Zweitserver macht aber auch Sinn (zweiter DC, Entlastung des SBS etc.)
LG, Thomas
Hi Dani,
LG, Thomas
Das geht nicht... ein AD ist immer erforderlich.
ein AD will er ja einrichten, schreibt er. Oder habe ich da was falsch verstanden?LG, Thomas
Moin,
schau dir das mal an:
http://www.clearcenter.com/
http://www.clearcenter.com/Software/zarafa-collaboration-platform.html
Den kannst Du als Standalone konfigurieren, Zarafa mit entsprechend ausreichender Anzahl Userlizenzen installieren und dann ab in die DMZ damit.
Nachteil aus meiner Sicht sind die jährlich fällig werdenden Lizenzgebühren.
Gruß
Uwe
schau dir das mal an:
http://www.clearcenter.com/
http://www.clearcenter.com/Software/zarafa-collaboration-platform.html
Den kannst Du als Standalone konfigurieren, Zarafa mit entsprechend ausreichender Anzahl Userlizenzen installieren und dann ab in die DMZ damit.
Nachteil aus meiner Sicht sind die jährlich fällig werdenden Lizenzgebühren.
Gruß
Uwe
Zitat von @icerice:
Es geht in erster Linie darum den Exchange (Mailserver) vom Rest (DC,...) zu trennen. Der Mailserver soll in ne DMZ kommen -
allein schon aus Sicherheitsgründen.
Habt Ihr jetzt die Prismitis bekommen Es geht in erster Linie darum den Exchange (Mailserver) vom Rest (DC,...) zu trennen. Der Mailserver soll in ne DMZ kommen -
allein schon aus Sicherheitsgründen.
30 User (12 davon aber ausschließlich via ActiveSync angebunden)
Der Rest eben mit nem festen Rechner in der Firma also Domain.
SRV2012 Essentials (DC + Drucken)
Vergiss die essential-Geschichte ... ich glaube, ich habe das oben schon irgendwie dargestellt??Der Rest eben mit nem festen Rechner in der Firma also Domain.
SRV2012 Essentials (DC + Drucken)
Wie könnte eine rein Microsoft Lösung aussehen?
MS Server als DC, MS Server mit MX (von mir aus auch in der DMZ).Oder halt SBS 2011 - da hast Du alles, was Du brauchst ...
Ein Umstieg auf SBS2011 erfüllt nicht die gewünschte Trennung der Server - oder etwa doch?
Nein - dies ist auch nicht unbedingt notwendig. Vernünftige firewall vor den SBS und gut ist ...Für den SBS 2003 habe ich keine CAL mehr Deswegen muss er schnell abgelöst werden.
Wie das? Beim SBS 2003 laufen die CAL doch noch im Lizenzmanager ...?Rechne Dir die Kosten für zwei MS-Server + CAL + Exchange + CAL mal durch - Du wirst begeistert sein ...
Der Essential-Server ist für maximal 25 Nutzer lizensiert. Dies trifft auch zu, wenn er an einen DC gehangen wird. Mehr als 25 User im AD = Lizenzfehler. Ich weiss nicht, wie MS dass beim Essential treibt, eventuell muss der sogar DC mit FSMO sein ... ähnlich dem SBS, den er ja "ablösen" soll.
LG, Thomas
@marcus
Ist aber natürlich immer eine Kostenfrage und Wartungsaufwand. Wir nutzen als Reverse Proxy Squid 3.x.x. Spart uns einiges an Geld, laufende Kosten und Wartungsaufwand.
Grundsätzlich leg dich dir diesen Artikel ans Herz.
Grüße,
Dani
Würde aber evtl schon bei Exchange bleiben wollen. Wie könnte eine rein Microsoft Lösung aussehen?
Standard sollte sein: Firewall <-> Exchange 2013 in der Rolle Client Access (Reverse Proxy) <-> Firewall <-> Exchange 2013 mit der Rolle Mailbox.Ist aber natürlich immer eine Kostenfrage und Wartungsaufwand. Wir nutzen als Reverse Proxy Squid 3.x.x. Spart uns einiges an Geld, laufende Kosten und Wartungsaufwand.
Grundsätzlich leg dich dir diesen Artikel ans Herz.
Grüße,
Dani
Hallo,
ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.
Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...
Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.
Gruß
Filipp
ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.
Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...
Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.
Gruß
Filipp
Hall @filippg,
macht aber nur eines: Doppelten Verwaltungsaufwand - Eine ordentliche UTM vor das Netzwerk und die Server richtig absichern ist besser als zwei Netze, die autark von einander gewartet und abgesichert werden müssen. Je mehr Aufwand mit der Administration der Trennung verbunden ist je weniger Zeit hast du im schlimmsten Fall für die Absicherung nach außen, was dann zu Problemen führt.
Grüße,
Christian
certified IT
macht aber nur eines: Doppelten Verwaltungsaufwand - Eine ordentliche UTM vor das Netzwerk und die Server richtig absichern ist besser als zwei Netze, die autark von einander gewartet und abgesichert werden müssen. Je mehr Aufwand mit der Administration der Trennung verbunden ist je weniger Zeit hast du im schlimmsten Fall für die Absicherung nach außen, was dann zu Problemen führt.
Grüße,
Christian
certified IT
Zitat von @filippg:
Hallo,
ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.
Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between
Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not
supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...
Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.
Gruß
Filipp
Hallo,
ein Exchange in einer DMZ ist nicht supportet und tatsächlich auch keine gute Idee.
Starting with Exchange Server 2007 and current as of Exchange Server 2013, having network devices blocking ports/protocols between
Exchange servers within a single organization or between Exchange servers and domain controllers in an organization is not
supported.
http://blogs.technet.com/b/exchange/archive/2013/02/18/exchange-firewal ...
Wenn du natürlich in der DMZ einen eigenen AD-Forest (/eigene Exchange-Organisation) implementierst, geht das.
Gruß
Filipp
Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Zitat von @certifiedit.net:
Hallo chfr...,
weil es essentiell keinen Sinn macht, da der Exchange so sehr in das AD verwoben ist, dass es einen größerer Aufwand
ist dies ein zu mauern und diese wieder zu durchlöchern (=Sicherheitslecks), als es in dem Kontext über andere Mittel
abzusichern. => Scheinsicherheit.
Grüße
Hallo chfr...,
weil es essentiell keinen Sinn macht, da der Exchange so sehr in das AD verwoben ist, dass es einen größerer Aufwand
ist dies ein zu mauern und diese wieder zu durchlöchern (=Sicherheitslecks), als es in dem Kontext über andere Mittel
abzusichern. => Scheinsicherheit.
Grüße
Das ist Unfug. Ich kenne die Konfiguration mit dem SMTPd mit Commtouch o.ä. auf einer extra "utm"-Appliance auch, aber das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard. Das machen viele so. Ich hol mir doch kein Reverseproxy oder P-NAT rein damit die Handies und Outlooks auf ActiveSync und owa kommen.
@chfrwrz
Grüße,
Dani
Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Heute steh ich irgendwie auf dem Schlauch... Sorry. Kannst du es für mich anders formulieren?aber das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard.
Richtig, aber es ist eine Kostenfrrage. Wie verfügbar und redudant das Ganze aufgebaut sein muss.Ich hol mir doch kein Reverseproxy oder P-NAT rein damit die Handies und Outlooks auf ActiveSync und owa kommen.
Sondern? Der Exchange in der DMZ ist auch nicht mehr als ein Frontend und der im LAN das Backend.Grüße,
Dani
Hallo,
Ob das dann noch eine DMZ ist?
Gruß
Filipp
Und wieso kann man die DMZ-Router zur Innenseite hin nicht einfach so konfigurieren, dass sie alles benötigen was der Exchange braucht?
Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein Beitrag) (und NATting solltest du wohl auch nicht haben).Ob das dann noch eine DMZ ist?
[...]das Exchange-Transportserver in eine DMZ kommen ist bei größeren Setups mit Spamfilter als Exchange-Plugin totaler Standard
Ein Edge-Transport-Server wird in einer DMZ explizit unterstütz & ist auch genau dafür gemacht. Auf Postfächer kann man darüber aber nicht zugreifen (und darum ging es glaube ich).Gruß
Filipp
Hallo chf...,
soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.
Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?
Schönen Gruß,
Christian
soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.
Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?
Schönen Gruß,
Christian
Zitat von @certifiedit.net:
Hallo chf...,
soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.
Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart
nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?
Schönen Gruß,
Christian
Hallo chf...,
soll ich jetzt deine Beiträge auch alle negativ bewerten, weil sie mir nicht passen, gut, mach ich.
Klar, wenn du es zahlst. Hier wurde ein Essentials angedacht - merkst du was? Ich kann mit einer Cessna 4 Personen von Stuttgart
nach Memmingen fliegen oder mit einem Airbus A380. Was macht wohl mehr Sinn?
Schönen Gruß,
Christian
Ich habe Deine Beiträge nicht bewertet. Wobei dieser hier nichts mit dem Thema zu tun hat.
Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein Beitrag)
Nur zu einem reicht schon.Ob das dann noch eine DMZ ist?
Eine DMZ ist so definiert (o=LAN, x=Router mit Filter):
o1-x-o2-x-o3
^^ o2 ist hier die DMZ. Wenn Du in o2 einen Host bereitstellst ist der in der DMZ.
Ein Edge-Transport-Server wird in einer DMZ explizit unterstütz & ist auch genau dafür gemacht. Auf Postfächer
kann man darüber aber nicht zugreifen (und darum ging es glaube ich).
kann man darüber aber nicht zugreifen (und darum ging es glaube ich).
"Edge-Transport-Rolle" ist ein Name von Exch2007+2010 für einen SMTP-Konnektor. Anwendungsserver mit ActiveSync und OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
Hallo,
Grüße
Filipp
> Weil du dann einen Any-Freischaltung mindestens zwischen allen DCs und allen Exchange-Servern benötigst (siehe mein
Beitrag)
Nur zu einem reicht schon.
Nein. Lies bitte meinen Beitrag, den du oben auch zitiert hast, und notfalls lese eben den ganzen verlinkten Artikel. _Alle_ Exchangeserver müssen _alle_ anderen Exchangeserver und _alle_ DCs vollständig erreichen können.Beitrag)
Nur zu einem reicht schon.
Eine DMZ ist so definiert (o=LAN, x=Router mit Filter):
o1-x-o2-x-o3
Nein. Abgesehen davon, dass man keine "Router mit Filter" verwendet (ja, es gibt Router mit ACLs), geht es bei einer DMZ nicht darum, LAN-Segmente von einander abzuschotten, sondern darum, öffentliche und interne Netze zu trennen.o1-x-o2-x-o3
"Edge-Transport-Rolle" ist ein Name von Exch2007+2010 für einen SMTP-Konnektor.
Nein. Die Edge Transport Rolle ist eine eigene Serverrolle, die im Gegensatz zu allen anderen Exchange-Servern nicht AD-integriert ist, und schon deswegen nicht mit anderen Rollen kombiniert werden kann (während Hub-Transport-, Client-Access- und Mailbox-Rolle mit gewissen Einschränkungen alle gemeinsam auf einem Server laufen können)Anwendungsserver mit ActiveSync und
OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
Nein. Die urpsrüngliche Frage war nicht, ob man Edge-Transport und CAS kombinieren kann, sondern die Frage war, ob man Exchange "Standolne" in einer DMZ betreiben kann.OWA können da aber auch drauf und genau das ist die ursprüngliche Frage.
Grüße
Filipp