locked
Infrastruktur Lync RRS feed

  • Frage

  • Hallo, ich habe eine Frage:
    Ist es möglich einen Edge/Frontend/ Mediation Rolle auf einen physischen Server hinter einem TMG bereitzustellen?


    Vielen Dank für alle Antworten
    • Bearbeitet Hei_G Montag, 19. Dezember 2011 14:11
    Montag, 19. Dezember 2011 14:10

Antworten

  • Eine saubere und sichere Umgebung setzt entweder eine Firewall (TMG etc) auf der internen und externen Seite der DMZ voraus. Aus Buget Gründen würde auch ein TMG reichen. Aber damit diese Umgebung fehlerfrei und supported läuft, bräuchte der TMG mehrere Netzwerkkarten (unterschiedliche Netze auf einer Karte führt zu Problemen und Sicherheitslücken)

    Netzwerkkarte 1 - Public Internet

    Netzwerkkarte 2 - Internal Netzwerk (Firmen LAN)

    Netzwerkkarte 3 - DMZ intern

    Netzwerkkarte 4 - DMZ extern

    Wenn in der DMZ nur der Edge stehen sollen, können die 3 und 4 direkt auf dem Edge konnektiert werden.

    Gruß
    Falk


    UC Blog http://blogs.pepperhost.de

    • Als Antwort markiert Hei_G Donnerstag, 8. März 2012 07:47
    Mittwoch, 7. März 2012 22:31

Alle Antworten

  • Nein, oder zumindest muss der Edge auf einem eigenen Server laufen. Der Lync Standardserver hat alle anderen Rollen und muss im AD integriert sein.
    regards Holger Technical Specialist UC
    Montag, 19. Dezember 2011 18:39
  • Hallo Holger, vielen Dank. Das heißt ich habe einen TMG mit drei Netzwerkarten und einer DMZ in der DMZ den Edge mit zwei Netzwerkarte. Eine Netzwerkkarte in der DMZ und eine Netwerkarte im internen LAN. MfG Hei_G
    Dienstag, 20. Dezember 2011 15:07
  • Ja genau, der Edge steht in der DMZ mit einer Lan und einer Netzwerkkarte in der DMZ.

     

     


    regards Holger Technical Specialist UC
    • Als Antwort vorgeschlagen kontraschub Mittwoch, 22. Februar 2012 11:33
    • Nicht als Antwort vorgeschlagen kontraschub Mittwoch, 22. Februar 2012 11:33
    Dienstag, 20. Dezember 2011 18:34
  • Hallo zusammen,

    diese Konstruktion finde ich aus Sicherheitsgründen bedenklich. Hackt sich jemand über eine Lync-Sicherheitslücke auf den Edge Server, so ist er unter Umgehung des TMG direkt im LAN. Du hättest also einen Bypass gelegt.

    Ich habe aus diesem Grund meinen Edge Server mit 2 NIC's ausgestattet, die beide in der DMZ sind. Am liebsten hätte ich eine Konfiguration mit nur einer NIC gehabt, was aber nicht möglich ist.

    Gruß Günther 

    Mittwoch, 22. Februar 2012 11:41
  • Hallo Günther,

    vielen Dank für deinen Hinweis. Wie verhält es sich wenn ich eine Firewall vor dem Lync Edge und TMG betreibe ?

    MfG 

    Mittwoch, 22. Februar 2012 12:54
  • Hallo Hei_G,

    eine zusätzliche Firewall vor dem TMG mach meiner Meinung nach nicht viel Sinn. Was Günther meint (und ich auch sinnvoll finde) ist, dass die "interne" Schnittstelle ebenfalls ins DMZ Netzwerk (beziehungsweise zusätzliches DMZ Netzwerk einrichtet - meine Implementierung). Dadurch ist die Netzwerkkommunikation nach "innen" zusätzlich nochmals geschützt. Das heißt bei einem erfolgreichen Hack auf den EDGE Server muss sich der Angreifer nochmals durch die Firewall biegen.

    Zum Verhalten, eine zusätzliche Firewall bedeutet nur dass ich die Packete noch mehr durchschiebe und immer mehr mit NAT und Co. aufpassen muss. ein TMG reicht normalerweise völlig aus, wenn dieser sauber konfiguriert wird.

    Grüße

    Markus

    Freitag, 2. März 2012 09:42
  • Hallo Markus,

    das heißt du hast für die beiden Netzwerkkarten (DMZ-IP's() vergeben oder ist die externe Karte des Edge direkt mit dem Internet verbunden?

    MfG Hei_G


    • Bearbeitet Hei_G Mittwoch, 7. März 2012 11:48
    Mittwoch, 7. März 2012 11:47
  • Hallo,

    vielleicht habe ich mich auch falsch ausgedrückt, der Edge hängt mit beiden Netzwerkkarten in der DMZ also eine Firewall Richtung Internet und eine Firewall Richtung LAN und es sind dann nur die benötigten Ports für die Kommunikation entsprechend geöffnet.


    regards Holger Technical Specialist UC

    Mittwoch, 7. März 2012 12:02
  • Hallo,

    das am Beispiel TMG mit einer DMZ (172.10.1.10/24) würden beide Netzwerkarten ein 172.10.1.xx IP-Adresse haben.
    Dann erstelle ich Regel von Extern zur DMZ und von der DMZ nach Intern.

    Verstehe ich das so richtig ?

    Mittwoch, 7. März 2012 14:51
  • Eine saubere und sichere Umgebung setzt entweder eine Firewall (TMG etc) auf der internen und externen Seite der DMZ voraus. Aus Buget Gründen würde auch ein TMG reichen. Aber damit diese Umgebung fehlerfrei und supported läuft, bräuchte der TMG mehrere Netzwerkkarten (unterschiedliche Netze auf einer Karte führt zu Problemen und Sicherheitslücken)

    Netzwerkkarte 1 - Public Internet

    Netzwerkkarte 2 - Internal Netzwerk (Firmen LAN)

    Netzwerkkarte 3 - DMZ intern

    Netzwerkkarte 4 - DMZ extern

    Wenn in der DMZ nur der Edge stehen sollen, können die 3 und 4 direkt auf dem Edge konnektiert werden.

    Gruß
    Falk


    UC Blog http://blogs.pepperhost.de

    • Als Antwort markiert Hei_G Donnerstag, 8. März 2012 07:47
    Mittwoch, 7. März 2012 22:31
  • Vielen Dank

    für alle Antworten .

    Hei_G

    Donnerstag, 8. März 2012 07:48