Egde und OWA in der DMZ
-
Sonntag, 13. Juni 2010 12:51
Hallo
Foldgende Netzwerkconfig soll auf gebaut werden:
Internet> Router (der hat eine Öffendliche IP) > ISA-2006 mit drei NIC`s ist als DMZ eingrichtet> in der DMZ soll der Exchange als Edge und Clientzugriff-server für OWA eingerichtet werden ist dies überhaupt möglich Edge und OWA zusammen.
Gruß
U.G
Antworten
-
Sonntag, 13. Juni 2010 14:08
"U.G" schrieb
Hi,Foldgende Netzwerkconfig soll auf gebaut werden:
Internet> Router (der hat eine Öffendliche IP) > ISA-2006 mit drei NIC`s
ist als DMZ eingrichtet> in der DMZ soll der Exchange als Edge und
Clientzugriff-server für OWA eingerichtet werden ist dies überhaupt
möglich Edge und OWA zusammen.Nein, der CAS ist in der DMZ auch fehlplatziert. Der Edge kann auch kein CAS sein. Wenn du unbedingt in der DMZ den CAS Zugang haben willst, wirst du das mit dem ISA selbst erledigen müssen (dazu ist der ja in der Lage). ;)
Hier nochmal in deutlicher Form: http://msexchangeteam.com/archive/2009/10/21/452929.aspx
Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.- Als Antwort markiert Christian WeihsMVP, Moderator Samstag, 18. Dezember 2010 18:52
-
Montag, 14. Juni 2010 13:55Moderator Hi Uwe,
Hallo Norbert,leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.
Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local
Der Edge bleibt ganz allein für sich und kommt nicht in die Domäne! Du verbindest ihn über ADAM mit deinem AD. Eine gute Anleitung gibt es hier:
Wenn du die Domäne hälst kann du sie auch als interne Domäne nutzen. Um etwas Licht ins dunkle zu bringen, findest du zu dem ganzen Thema hier ein paar mehr Infos:
http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/
Grüße
Christian
- Als Antwort markiert Christian WeihsMVP, Moderator Samstag, 18. Dezember 2010 18:53
Alle Antworten
-
Sonntag, 13. Juni 2010 14:08
"U.G" schrieb
Hi,Foldgende Netzwerkconfig soll auf gebaut werden:
Internet> Router (der hat eine Öffendliche IP) > ISA-2006 mit drei NIC`s
ist als DMZ eingrichtet> in der DMZ soll der Exchange als Edge und
Clientzugriff-server für OWA eingerichtet werden ist dies überhaupt
möglich Edge und OWA zusammen.Nein, der CAS ist in der DMZ auch fehlplatziert. Der Edge kann auch kein CAS sein. Wenn du unbedingt in der DMZ den CAS Zugang haben willst, wirst du das mit dem ISA selbst erledigen müssen (dazu ist der ja in der Lage). ;)
Hier nochmal in deutlicher Form: http://msexchangeteam.com/archive/2009/10/21/452929.aspx
Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.- Als Antwort markiert Christian WeihsMVP, Moderator Samstag, 18. Dezember 2010 18:52
-
Sonntag, 13. Juni 2010 14:36
Hallo
Danke für die Info.
Braucht der Edge eigendlich zwei NICs um die eingehende mails an den Internen Exchange (Hub) zu senden, oder geht das alles über nur eine. Weil ich frage deswegen weil
ich hab bei MS gelesen das der Edge zwei haben sollte und eine zweiter ISA stützt dann den Internen Exchange gegen den Edge ab.
Gruß
Uwe
-
Sonntag, 13. Juni 2010 15:00
"U.G" schrieb
Hi UG (wie wäre es mit nem richtigen Namen?),Danke für die Info.
Braucht der Edge eigendlich zwei NICs um die eingehende mails an den
Internen Exchange (Hub) zu senden, oder geht das alles über nur eine. Weil
ich frage deswegen weil
ich hab bei MS gelesen das der Edge zwei haben sollte und eine zweiter ISA
stützt dann den Internen Exchange gegen den Edge ab.Häh? Seit wann hat ein Server in einer DMZ denn zwei Netzwerkkarten? Wozu sollte das gut sein? Kannst du mal nen Link posten?
Um deine Frage zu beantworten: Natürlich braucht man keine zwei NICs im Edge, es kann aber je Konfiguration (NLB) durchaus sinnvoll sein. In deinem geschilderten Szenario 2. ISA gegen LAN wäre aber eine zweite NIC total überflüssig.Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done. -
Montag, 14. Juni 2010 13:01
"U.G" schrieb
Hi UG (wie wäre es mit nem richtigen Namen?),Danke für die Info.
Braucht der Edge eigendlich zwei NICs um die eingehende mails an den
Internen Exchange (Hub) zu senden, oder geht das alles über nur eine. Weil
ich frage deswegen weil
ich hab bei MS gelesen das der Edge zwei haben sollte und eine zweiter ISA
stützt dann den Internen Exchange gegen den Edge ab.Häh? Seit wann hat ein Server in einer DMZ denn zwei Netzwerkkarten? Wozu sollte das gut sein? Kannst du mal nen Link posten?
Um deine Frage zu beantworten: Natürlich braucht man keine zwei NICs im Edge, es kann aber je Konfiguration (NLB) durchaus sinnvoll sein. In deinem geschilderten Szenario 2. ISA gegen LAN wäre aber eine zweite NIC total überflüssig.Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
Hallo Norbert,leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.
Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local
Gruß
Uwe
-
Montag, 14. Juni 2010 13:55Moderator Hi Uwe,
Hallo Norbert,leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.
Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local
Der Edge bleibt ganz allein für sich und kommt nicht in die Domäne! Du verbindest ihn über ADAM mit deinem AD. Eine gute Anleitung gibt es hier:
Wenn du die Domäne hälst kann du sie auch als interne Domäne nutzen. Um etwas Licht ins dunkle zu bringen, findest du zu dem ganzen Thema hier ein paar mehr Infos:
http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/
Grüße
Christian
- Als Antwort markiert Christian WeihsMVP, Moderator Samstag, 18. Dezember 2010 18:53
-
Montag, 14. Juni 2010 15:27Hi Uwe,
Hallo Norbert,leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.
Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local
Der Edge bleibt ganz allein für sich und kommt nicht in die Domäne! Du verbindest ihn über ADAM mit deinem AD. Eine gute Anleitung gibt es hier:
Wenn du die Domäne hälst kann du sie auch als interne Domäne nutzen. Um etwas Licht ins dunkle zu bringen, findest du zu dem ganzen Thema hier ein paar mehr Infos:
http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/
Grüße
Christian
Hi ChristianDanke für info.
-
Montag, 14. Juni 2010 15:35
"Uwe.G" schrieb:
Hi,leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange
"Breitstellen" irgensowas ich weiß es nicht mehr.Würde mich trotzdem mal interessieren. :)
Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied
sein in der Internen Domäne oder kann er auch in der sogenannten
"ARBEITSGRUPPE" eigenständig bleiben.Bei Exchange 2007 darf er lt. Technet nicht mal Mitglied des selben Forest wie die Exchange Org sein.
Mich verwirrt etwas, das man die
Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp.
internedomäne.de sonder internedomäne.localDas hat wohl eher damit zu tun, dass damit viele DNS/Exchange/Windows Admins überfordert wären die Zonen korrekt zu trennen. ;) Funktionieren würde das mit Sicherheit.
Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done. -
Montag, 14. Juni 2010 15:56
"Uwe.G" schrieb:
Hi,leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange
"Breitstellen" irgensowas ich weiß es nicht mehr.Würde mich trotzdem mal interessieren. :)
Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied
sein in der Internen Domäne oder kann er auch in der sogenannten
"ARBEITSGRUPPE" eigenständig bleiben.Bei Exchange 2007 darf er lt. Technet nicht mal Mitglied des selben Forest wie die Exchange Org sein.
Mich verwirrt etwas, das man die
Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp.
internedomäne.de sonder internedomäne.localDas hat wohl eher damit zu tun, dass damit viele DNS/Exchange/Windows Admins überfordert wären die Zonen korrekt zu trennen. ;) Funktionieren würde das mit Sicherheit.
Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.Hi Norbert,
ich suche z.Zt. den Link mit der ausage für zwei NICs, bis jetzt habe ich Ihn nicht gefunden.
Du meinst die Interne Domäine sollte gleich lauten wie extern richtig.
wenn ich den Header von manchen Firmenmails an schaue, sehe ich bei machen mit was gesendet wurde und bei machnen wiederum nur den localhost 127.0.0.1 (soll ein Beispiel sein). Sowenig wie möglich preisgeben wenn möglich von der Internen AD.
Wie sieht es eigendlich mit der SPF Prüfung aus bei Exchange 2007/2010 aus.
-
Montag, 14. Juni 2010 18:38Moderator
Hi,
wo liest du das raus das die internet und die externe Domäne gleich/verschieden sein müssen/sollen? DNS ist halt anders zu behandeln je nachdem wie man es einrichtet.
Zum Header: was stört dich am Servernamen? Was genau soll man nicht preisgeben vom AD? Aus welchen Gründen?
SPF kann vom Hub-Transportserver erledigt werden wenn die Anti-Spam-Agents installiert sind.
Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein -
Montag, 14. Juni 2010 19:47
"Uwe.G" schrieb:
Hi,ich suche z.Zt. den Link mit der ausage für zwei NICs, bis jetzt habe ich
Ihn nicht gefunden.Eilt ja nicht. :)
Du meinst die Interne Domäine sollte gleich lauten wie extern richtig.
Nein, wo sagte/schrub ich sowas? Ich meinte nur, dass beides funktioniert wenn man weiß was man tut. ;)
wenn ich den Header von manchen Firmenmails an schaue, sehe ich bei machen
mit was gesendet wurde und bei machnen wiederum nur den localhost 127.0.0.1
(soll ein Beispiel sein). Sowenig wie möglich preisgeben wenn möglich von
der Internen AD.Aha und dazu braucht man was? Mit Sicherheit keine andereslautende Domain. ;)
Wie sieht es eigendlich mit der SPF Prüfung aus bei Exchange 2007/2010 aus.
Wie solls damit aussehen? Gut. Oder meinst du was Spezielles?
Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done. -
Freitag, 18. Juni 2010 21:42
"Uwe.G" schrieb:
Hi,ich suche z.Zt. den Link mit der ausage für zwei NICs, bis jetzt habe ich
Ihn nicht gefunden.Eilt ja nicht. :)
Du meinst die Interne Domäine sollte gleich lauten wie extern richtig.
Nein, wo sagte/schrub ich sowas? Ich meinte nur, dass beides funktioniert wenn man weiß was man tut. ;)
wenn ich den Header von manchen Firmenmails an schaue, sehe ich bei machen
mit was gesendet wurde und bei machnen wiederum nur den localhost 127.0.0.1
(soll ein Beispiel sein). Sowenig wie möglich preisgeben wenn möglich von
der Internen AD.Aha und dazu braucht man was? Mit Sicherheit keine andereslautende Domain. ;)
Wie sieht es eigendlich mit der SPF Prüfung aus bei Exchange 2007/2010 aus.
Wie solls damit aussehen? Gut. Oder meinst du was Spezielles?
Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
hallo Norbert,Dies meine ich was du 3 Post oben geschrieben hast. siehe unten
"Das hat wohl eher damit zu tun, dass damit viele DNS/Exchange/Windows Admins überfordert wären die Zonen korrekt zu trennen."
Das trennen von ex. zu Intern.
Was ich mit SPF, ob dies hier alle ExchangeAdmis einsetzen. Ich hatte bei meinem Hoster in der Faq gelesen das es noch nicht stark verbreitet ist.
Gruß
Uwe
-
Samstag, 19. Juni 2010 12:08
Am 18.06.2010 schrieb Uwe.G:
Hi,Das trennen von ex. zu Intern.
Ich verstehe nicht, worauf du hinauswillst.
Was ich mit SPF, ob dies hier alle ExchangeAdmis einsetzen. Ich hatte bei meinem Hoster in der Faq gelesen das es noch nicht stark verbreitet ist.
Laß mich raten, dein Hoster heißt 1&1? Die im Übrigen selbst einen SPF
Record pflegen und ihren Kunden davon abraten. ;)
Ich setze SPF Filterung ein, weil ich davon ausgehe, dass jemand der einen
SPF Record setzt sich der Konsequenzen die sein Handeln hat bewußt ist.
Falls nicht, hat man halt mehr Arbeit.Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done. -
Samstag, 19. Juni 2010 13:02
Am 18.06.2010 schrieb Uwe.G:
Hi,Das trennen von ex. zu Intern.
Ich verstehe nicht, worauf du hinauswillst.
Was ich mit SPF, ob dies hier alle ExchangeAdmis einsetzen. Ich hatte bei meinem Hoster in der Faq gelesen das es noch nicht stark verbreitet ist.
Laß mich raten, dein Hoster heißt 1&1? Die im Übrigen selbst einen SPF
Record pflegen und ihren Kunden davon abraten. ;)
Ich setze SPF Filterung ein, weil ich davon ausgehe, dass jemand der einen
SPF Record setzt sich der Konsequenzen die sein Handeln hat bewußt ist.
Falls nicht, hat man halt mehr Arbeit.Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.Hi,
Nein ist nicht 1&1. Mein Hoster rät nicht von der SPF ab im gegenteil er rät dazu.
Dann wird es vielleicht irgenwann mal wenig mit Spamschrott.
Noch was anderes, wie macht man das mit den Grauhinterlegten felder hir beim Zitieren. Das man sie trennen kann so wie du es im oberen gemacht hast.
Gß
Uwe
-
Samstag, 19. Juni 2010 16:35
Am 19.06.2010 schrieb Uwe.G:
Hi,Noch was anderes, wie macht man das mit den Grauhinterlegten felder hir beim Zitieren. Das man sie trennen kann so wie du es im oberen gemacht hast.
Man nehme: http://communitybridge.codeplex.com/ und einen Newsreader und
schon muß man sich mit dem "ekligen" Foreneditor nicht mehr rumplacken. ;)Bye
Norbert
Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done. -
Montag, 21. Juni 2010 07:02
Hallo Norbert,
hab den Link gefunden mit den (so verstehe ich es) zwei NICs beim Edge-Transporter.
"http://technet.microsoft.com/de-de/library/bb124896%28EXCHG.80%29.aspx"
unter "Konfigurieren der DNS-Einstellungen für die Serverfunktion Edge-Transporter"
zweiter abschnitt.
Gruß
Uwe
-
Montag, 21. Juni 2010 07:20Moderator
Hi,
da steht "Die Serverfunktion Edge-Transport wird normalerweise in einem Umkreisnetzwerk bereitgestellt" .
D.h. noch lange nicht das der Edge 2 konfigurierte Netzwerkinterfaces haben muß. Diese Konfiguration würde lediglich dann zutreffen wenn es zwischen Internet und internenm Netzwerk 2 verschiedene Firewalls geben würde (kommt nicht so oft vor) und dann noch ein Split Brain DNS auf dem DNS benötigt wird. Ich halte das für eine relativ schwierige Konfig.
Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein -
Montag, 21. Juni 2010 20:14
Am 21.06.2010 schrieb Walter Steinsdorfer [MVP]:
Hi,
da steht "Die Serverfunktion Edge-Transport wird normalerweise in einem Umkreisnetzwerk bereitgestellt" .
D.h. noch lange nicht das der Edge 2 konfigurierte Netzwerkinterfaces haben muß. Diese Konfiguration würde lediglich dann zutreffen wenn es zwischen Internet und internenm Netzwerk 2 verschiedene Firewalls geben würde (kommt nicht so oft vor) und dann noch ein Split Brain DNS auf dem DNS benötigt wird. Ich halte das für eine relativ schwierige Konfig.@Uwe: Danke erstmal fürs Suchen. :)
Die Serverfunktion Edge-Transport wird normalerweise in einem Umkreisnetzwerk bereitgestellt. Das bedeutet, dass der Edge-Transport-Server über Netzwerkschnittstellen verfügt, die mit mehreren Netzwerksegmenten verbunden sind. Jeder dieser Netzwerksegmente verfügt über eine eindeutige IP-Konfiguration. Die Netzwerkschnittstelle, die mit dem externen oder öffentlichen Netzwerksegment verbunden ist, sollte so konfiguriert sein, dass sie einen öffentlichen DNS-Server für die Namensauflösung verwendet. Auf diese Weise kann der Server SMTP-Domänennamen (Simple Mail Transfer Protocol) in MX-Ressourceneinträge auflösen und Nachrichten an das Internet routen.
Die Netzwerkschnittstelle, die mit dem internen oder privaten Netzwerksegment verbunden ist, sollte so konfiguriert sein, dass er einen DNS-Server im Umkreisnetzwerk verwendet oder über eine Hosts-Datei verfügt. Die Edge-Transport- und Hub-Transport-Server müssen in der Lage sein, sich gegenseitig mithilfe der DNS-Hostauflösung zu finden.Die schreiben da tatsächlich solchen B...s...t und niemand liest es. :) Aua.
Aber ich gehe trotz allem davon aus, dass diese Konfiguration in fast allen
Fällen total überflüssig ist und zudem normalerweise eher zu weiteren
Sicherheitsproblemen (zusätzlich zu DNS Problemen) führt, als dass das
stabil funktioniert.Bye
NorbertPS: Wer sagt es MS, dass diese Formulierung jeglichem sinnvollen DMZ Design
widerspricht, bzw. für eine sichere Konfiguration meiner Meinung nach
deutlich zu kurz beschrieben wird. ;)
Dilbert's words of wisdom #34:
When you don't know what to do, walk fast and look worried.- Bearbeitet Norbert Fehlauer [MVP]MVP Dienstag, 22. Juni 2010 14:41
-
Dienstag, 22. Juni 2010 08:13Moderator
Hi,
tja, kommt darauf an. Exchange oder TMG-PG? Ich versuchs mal einzukippen bei der Exchange PG, ob das Erfolg hat... Warten wir mal ab.
Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein -
Dienstag, 22. Juni 2010 08:42
Am 22.06.2010 schrieb Walter Steinsdorfer [MVP]:
Hi,tja, kommt darauf an. Exchange oder TMG-PG? Ich versuchs mal einzukippen bei der Exchange PG, ob das Erfolg hat... Warten wir mal ab.
Danke, wobei das aus Sicherheitsseite eigentlich egal sein sollte, da
wahrscheinlich beide PGs sagen werden, 2 NICs im Perimeter zum Überbrücken
der Perimeter Grenze ist eher "Blödsinn". ;)Bye
Norbert
Dilbert's words of wisdom #18:
Never argue with an idiot. They drag you down to their level then beat you
with experience.
.png){kind=spacer}
