Exchange auf SBS 2011 eine bestimmte Netzwerkkarte zuweisen
Hallo an alle Fachleute,
meine Herausforderung ist die folgende:
Ich würde gerne den Datenstrom vom und zum Exchange, der auf einem SBS 2011 läuft, über ein anderes physikalisches Netzwerkinterface führen wie den restlichen Netzwerkverkehr.
Geht das, und wenn ja - wie?
Bisher ist mir noch nichts sinnvolles eingefallen...
Für alle, die (sich oder mich) fragen, wozu man das braucht:
Unsere UTM kann über ein Interface den SSL-Netzwerkverkehr entweder "deep" inspizieren (also das Zertifikat "knacken") - das hat Nachteile bei den Nutzern und verschiedenen Anwendungen.
Oder sie kann bei SSL nur eine Zertifikatsinspektion vornehmen - hier gibt es keine Einschränkungen.
Allerdings lassen sich bei per POP3S/SMTPS/IMAPS übertragenen Emails nur dann Spam- und Antivirenfilter anwenden, wenn die SSL deep inspection läuft.
Beide Varianten in 2 verschiedene policies zu packen und auf dem gleichen Interface laufen zu lassen geht nach bisherigen Tests nicht.
Ergo muß ich den Verkehr trennen, damit die UTM ihre Arbeit komplett machen kann.
Ich danke allen, die mich mit Ideen überhäufen
Beste Grüße,
GN
meine Herausforderung ist die folgende:
Ich würde gerne den Datenstrom vom und zum Exchange, der auf einem SBS 2011 läuft, über ein anderes physikalisches Netzwerkinterface führen wie den restlichen Netzwerkverkehr.
Geht das, und wenn ja - wie?
Bisher ist mir noch nichts sinnvolles eingefallen...
Für alle, die (sich oder mich) fragen, wozu man das braucht:
Unsere UTM kann über ein Interface den SSL-Netzwerkverkehr entweder "deep" inspizieren (also das Zertifikat "knacken") - das hat Nachteile bei den Nutzern und verschiedenen Anwendungen.
Oder sie kann bei SSL nur eine Zertifikatsinspektion vornehmen - hier gibt es keine Einschränkungen.
Allerdings lassen sich bei per POP3S/SMTPS/IMAPS übertragenen Emails nur dann Spam- und Antivirenfilter anwenden, wenn die SSL deep inspection läuft.
Beide Varianten in 2 verschiedene policies zu packen und auf dem gleichen Interface laufen zu lassen geht nach bisherigen Tests nicht.
Ergo muß ich den Verkehr trennen, damit die UTM ihre Arbeit komplett machen kann.
Ich danke allen, die mich mit Ideen überhäufen
Beste Grüße,
GN
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 327365
Url: https://administrator.de/forum/exchange-auf-sbs-2011-eine-bestimmte-netzwerkkarte-zuweisen-327365.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
Ja, händisch einrichten.
Gruß,
Peter
Ja, händisch einrichten.
Bisher ist mir noch nichts sinnvolles eingefallen...
Hat dein SBS denn überhaupt 2 Netzwerkkarten? dann wirst du feststellen das die Assistenten nicht genutzt werden dürfen. Die sind nämlich auf das vorhendensein von nur einer LAN Karte ausgelegt. Der SBS 2003 und dessen Assistenten konnten aber 2 LAN Karten. damit wirst du alless per hand und ohne Assistenten einrichten müssen - DNS, DHCP, (WINS), Sharepoint, Monitoring, SBS Interne SQL Instanzen, WSUS, evtl. RRAS, IIS und natürlich dein Exchange. Du hast dann einen Multihomed SBS 2011 - das ist nicht ganz trivial und eher nicht vorgesehen.Gruß,
Peter
Hallo,
- VLANs zur Trennung
- Layer3 Switch für das Routing und DHCP der VLANs
- Alle anderen NICs im BIOS deaktivieren damit die Assistenten durchklauen können
Gruß
Dobby
Ich würde gerne den Datenstrom vom und zum Exchange, der auf einem SBS 2011 läuft, über ein anderes physikalisches
Netzwerkinterface führen wie den restlichen Netzwerkverkehr.
Mit VLANs und einem Layer3 Switch ginge das.Netzwerkinterface führen wie den restlichen Netzwerkverkehr.
Geht das, und wenn ja - wie?
10 GBit/s NIC rein und dann VLANs anlegen und die anderen im BIOS deaktivieren.Bisher ist mir noch nichts sinnvolles eingefallen...
- 10 GBit/s NIC wegen des Durchsatzes- VLANs zur Trennung
- Layer3 Switch für das Routing und DHCP der VLANs
- Alle anderen NICs im BIOS deaktivieren damit die Assistenten durchklauen können
Gruß
Dobby
Aber vermutlich übersehe ich bei diesem Szenario was, oder?
Passiert dabei einmal etwas, nur einmal, dann hast Du die Probleme erst!!!! Wenn einmal etwas nicht passt unddie Software erkennt zwei NICs, dann spinnt der SBS richtig rum und versagt seinen Dienst.
Gruß
Dobby
Gibt es auf dem SBS 2011 die Möglichkeit, einem Dienst wie dem POP3-Connector eine spezifische Netzwerkkarte zuzuweisen und alle anderen Dienste von dieser Karte auszuschließen?
Ich denke nicht. Mit POP3-Connector ist der Conector gemeint, mit welchem von externen POP3-Mailboxen die Mails abgeholt werden?Falls ja: Dann ist das kein Server sondern eine Client-Anwendung. Und sowas bekommst Du nur über Routing auf eine bestimmte Netzkarte "geführt". Also wenn der SBS 2 NIC hat, je eine in einem anderen Subnet, dann muss der SBS die POP3-Server, welche der POP3-Connector abfragen soll, eben nur über Routen erreichen können/dürfen, welche über das Subnet der gewünschten NIC gehen.
E.
Hallo,
Beim SBS 2011 ist es per Design. Natürlich kann der darunterliegende Server 2008R2 mehr als eine NIC, aber die Asisstenten eines SBS 2011 können eben nur mit einer NIC. Wenn man komplett auf die Asisstenten verzichtet (ab sofort und für immer), kann ein Manuelles Einrichten von DNS, DHCP, (WINS), IIS, Sharepoint, SBS eigene SQL Instanzen, WSUS, Exchange usw. schon gemacht werden. Nur wer beherrscht das wenn er einen SBS einsetzt? Beim SBS 2003 konnten die Asisstenten sehr wohl mit mehrere NICs umgehen, da war ja auch ein ISA 2004 für vorgesehen (in der Premium Edition vom SBS 2003). Wurde aber mit SBS 2008 wieder auf eine NIC gebracht (und der ISA später eingestampft). Sollte aber irgenein Asisstent später mal angestossen werden, dann kann das ganze Kartenhaus zusammenfallen. Die Asisstenten kennen kein Pardon, spucken halt nur Fehler aus und nichts was vorher noch lief funktioniert dann wirklich
Gruß,
Peter
Beim SBS 2011 ist es per Design. Natürlich kann der darunterliegende Server 2008R2 mehr als eine NIC, aber die Asisstenten eines SBS 2011 können eben nur mit einer NIC. Wenn man komplett auf die Asisstenten verzichtet (ab sofort und für immer), kann ein Manuelles Einrichten von DNS, DHCP, (WINS), IIS, Sharepoint, SBS eigene SQL Instanzen, WSUS, Exchange usw. schon gemacht werden. Nur wer beherrscht das wenn er einen SBS einsetzt? Beim SBS 2003 konnten die Asisstenten sehr wohl mit mehrere NICs umgehen, da war ja auch ein ISA 2004 für vorgesehen (in der Premium Edition vom SBS 2003). Wurde aber mit SBS 2008 wieder auf eine NIC gebracht (und der ISA später eingestampft). Sollte aber irgenein Asisstent später mal angestossen werden, dann kann das ganze Kartenhaus zusammenfallen. Die Asisstenten kennen kein Pardon, spucken halt nur Fehler aus und nichts was vorher noch lief funktioniert dann wirklich
Gruß,
Peter
Ich weiß jetzt nicht, was "Unsere UTM" ist und ob Du mit POP3-Connector das meinst, was ich annehme.
Aber im Prinzip geht das so:
A hat 2 NIC
B hat 1 NIC
alle drei kommen ins selbe Segment (VLAN).
A1 und A2 bekommen je 1 IP-Adressen aus verschiedenen IP-Subnetzen.
B1 bekommt 2 IP-Adressen, je eine aus den beiden IP-Subnetzen.
Jetzt kann man auf B für bestimmte Ziele fixe Routen festlegen, jeweils mit einer der IP-Adressen von A als Next Hop.
Somit kann man steuern, dass der Datenverkehr von B zu bestimmten Zielen entweder über IP von A1 oder über IP von A2 gesendet wird.
Nun mögen mich die Netzwerk-Spezis unter Euch bitte nicht steinigen. Das ist "nur so eine Idee" ...
Aber im Prinzip geht das so:
A hat 2 NIC
B hat 1 NIC
alle drei kommen ins selbe Segment (VLAN).
A1 und A2 bekommen je 1 IP-Adressen aus verschiedenen IP-Subnetzen.
B1 bekommt 2 IP-Adressen, je eine aus den beiden IP-Subnetzen.
Jetzt kann man auf B für bestimmte Ziele fixe Routen festlegen, jeweils mit einer der IP-Adressen von A als Next Hop.
Somit kann man steuern, dass der Datenverkehr von B zu bestimmten Zielen entweder über IP von A1 oder über IP von A2 gesendet wird.
Nun mögen mich die Netzwerk-Spezis unter Euch bitte nicht steinigen. Das ist "nur so eine Idee" ...
Server A hat die NICs A1 und A2
Es wurde eigentlich schon mehrfach erwähnt, dass ein DC (egal ob SBS oder Standard) nur eine Netzwerkkarte habe soll. Wäre auch für deine Umgebung empfehlendswert.
Wenn man nun dem POP3 Connector sagen könnte "Bitte benutze ausschließlich A2", dann wäre mein Problem gelöst
Das ist der falsche Ansatz. Das Problem muss schon vorher gelöst werden und nicht erst am Endpunkt und dort mir dem Finger über den Ar... ins Auge.
Wobei ich mich frage ob sich für POP3 überhaupt der Aufwand lohnt, bzw. nicht sowieso fehl am Platz ist. Schließlich liegen die Daten beim Provider mit ziemlicher Sicherheit sowieso unverschlüsselt herum oder werden verschlüsselt angeleifert.
Wenn schon auf Sicherheit Wert gelegt wird, dann bitte gleich konsequent und durchgehend.
LG Günther
Deine Grundannahme ist falsch. Hier nochmal zum Verständnis:
Server A hat die NICs A1 und A2. Momentan ist nur A1 in Betrieb, über A2 soll zukünftig der Email-Verkehr eingehend (POP3 Connector) laufen.
UTM B (eine Fortinet Hardware Firewall) hat ebenfalls 2 NIC's: B1 macht keine SSL deep inspection, B2 führt diese jedoch durch.
Der Datenverkehr, wie ich in gern hätte, sieht so aus:
A1 <> B1 (für Dinge wie Datev, Internet & Co.)
A2 <> B2 (ausschließlich für (eingehenden) Email-Verkehr )
Wenn man nun dem POP3 Connector sagen könnte "Bitte benutze ausschließlich A2", dann wäre mein Problem gelöst
Ich muss gestern vergessen haben, meine Antwort abzusenden ... Server A hat die NICs A1 und A2. Momentan ist nur A1 in Betrieb, über A2 soll zukünftig der Email-Verkehr eingehend (POP3 Connector) laufen.
UTM B (eine Fortinet Hardware Firewall) hat ebenfalls 2 NIC's: B1 macht keine SSL deep inspection, B2 führt diese jedoch durch.
Der Datenverkehr, wie ich in gern hätte, sieht so aus:
A1 <> B1 (für Dinge wie Datev, Internet & Co.)
A2 <> B2 (ausschließlich für (eingehenden) Email-Verkehr )
Wenn man nun dem POP3 Connector sagen könnte "Bitte benutze ausschließlich A2", dann wäre mein Problem gelöst
Also heute noch einmal:
In meinem Bsp. war die UTM A und der SBS B.
Wenn Server Server an einer NIC 2 IP-Adressen, je eine aus einem Netz hat, dann
B-NIC1-IPnetz1
B-NIC1-IPnetz2
Und die UTM 2 NIC mit je einer Adresse aus je einem der Netze.
A-NIC1-IPnetz1
A-NIC2-IPnetz2
Und ich auf dem SBS für die POP3-Server draussen bei den Providern statische Routen festlege
route add POP3-Server-Provider1 mask 255.255.255.255 A-NIC2-IPnetz2
route add POP3-Server-Provider2 mask 255.255.255.255 A-NIC2-IPnetz2
Dann wird der POP3-Connector seine Anfragen an die externen POP3-Server immer über die 2. NIC der UTM senden.
Oder?
Der Haken dabei ist nur, dass man verhindern muss, dass sich der SBS mit beiden IP-Adressen ins DNS einträgt, da sonst die internen Clients Probleme bekommen.
Dieser Hinweis auch für "multihomed" DC: Alles kein Problem, solange man sicherstellt, dass die Clients immer eine IP-Adresse aufgelöst bekommen, über welche sie den DC erreichen können.
Es ist sehr wohl notwendig, eingehende Emails auf Viren und Spam zu prüfen - bevor sie auf den eigenen internen Server gelangen.
Dem stimme ich auch vollkommen zu. Aber die Überprüfung muss an der passenden stelle geschehen
Natürlich könnte ich einen Fortinet Secure-Email-Gateway mit der Fortigate verbinden und die
Nachrichtenüberprüfung dorthin auslagern (diese Lösung ist in der Fortigate explizit vorgesehen) - nur gibt es dafür eben kein Budget
Nachrichtenüberprüfung dorthin auslagern (diese Lösung ist in der Fortigate explizit vorgesehen) - nur gibt es dafür eben kein Budget
Und da eben liegt das Problem. Man kann nicht Sicherheit verlagen, aber dafür nichts ausgeben. Und, man kann dann nicht diese falsche Sparsamkeit mit einem Flickwerk lösen, das wahrscheinlich einige unangenehme Seiteneffekte mit sich bringt.
Schlussendlich stellt sich die Frage, was denn konsequent wäre in puncto Email-Sicherheit?
Zustellung der Nachrichten über SMTP, alles anderen macht nicht wirklich Sinn. In der DMZ kann dann ein Linux Server die notwendigen Dienste abwickeln (Spam, Viren was auch immer). Es gibt zu diesem Thema genügend HowTos hier am Board und für das nötige Budget sollte wohl auch in der sparsamten Firma vorhanden sein.
LG Günther