none
Egde und OWA in der DMZ RRS feed

  • Frage

  • Hallo

    Foldgende Netzwerkconfig soll auf gebaut werden: 

    Internet> Router (der hat eine Öffendliche IP) > ISA-2006 mit drei NIC`s ist als DMZ eingrichtet> in der DMZ soll der Exchange als Edge und Clientzugriff-server für OWA  eingerichtet werden ist dies überhaupt möglich Edge und OWA zusammen.

    Gruß

    U.G

    Sonntag, 13. Juni 2010 12:51

Antworten

  • "U.G" schrieb
    Hi,

    Foldgende Netzwerkconfig soll auf gebaut werden:

    Internet> Router (der hat eine Öffendliche IP) > ISA-2006 mit drei NIC`s
    ist als DMZ eingrichtet> in der DMZ soll der Exchange als Edge und
    Clientzugriff-server für OWA  eingerichtet werden ist dies überhaupt
    möglich Edge und OWA zusammen.

    Nein, der CAS ist in der DMZ auch fehlplatziert. Der Edge kann auch kein CAS sein. Wenn du unbedingt in der DMZ den CAS Zugang haben willst, wirst du das mit dem ISA selbst erledigen müssen (dazu ist der ja in der Lage). ;)

    Hier nochmal in deutlicher Form: http://msexchangeteam.com/archive/2009/10/21/452929.aspx

     

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Sonntag, 13. Juni 2010 14:08
  • Hi Uwe,


    Hallo Norbert,

    leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.

    Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local 

    Der Edge bleibt ganz allein für sich und kommt nicht in die Domäne! Du verbindest ihn über ADAM mit deinem AD. Eine gute Anleitung gibt es hier:

    http://www.msexchange.org/articles_tutorials/exchange-server-2007/planning-architecture/uncovering-exchange-2007-edge-transport-server-part1.html

    Wenn du die Domäne hälst kann du sie auch als interne Domäne nutzen. Um etwas Licht ins dunkle zu bringen, findest du zu dem ganzen Thema hier ein paar mehr Infos:

    http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

    Grüße

    Christian

    Montag, 14. Juni 2010 13:55
    Moderator

Alle Antworten

  • "U.G" schrieb
    Hi,

    Foldgende Netzwerkconfig soll auf gebaut werden:

    Internet> Router (der hat eine Öffendliche IP) > ISA-2006 mit drei NIC`s
    ist als DMZ eingrichtet> in der DMZ soll der Exchange als Edge und
    Clientzugriff-server für OWA  eingerichtet werden ist dies überhaupt
    möglich Edge und OWA zusammen.

    Nein, der CAS ist in der DMZ auch fehlplatziert. Der Edge kann auch kein CAS sein. Wenn du unbedingt in der DMZ den CAS Zugang haben willst, wirst du das mit dem ISA selbst erledigen müssen (dazu ist der ja in der Lage). ;)

    Hier nochmal in deutlicher Form: http://msexchangeteam.com/archive/2009/10/21/452929.aspx

     

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Sonntag, 13. Juni 2010 14:08
  • Hallo

    Danke für die Info.

    Braucht der Edge eigendlich zwei NICs um die eingehende mails an den Internen Exchange (Hub) zu senden, oder geht das alles über nur eine. Weil ich frage deswegen weil

    ich hab bei MS gelesen das der Edge zwei haben sollte und eine zweiter ISA stützt dann den Internen Exchange gegen den Edge ab.

    Gruß

    Uwe

    Sonntag, 13. Juni 2010 14:36
  • "U.G" schrieb
    Hi UG (wie wäre es mit nem richtigen Namen?),

    Danke für die Info.

    Braucht der Edge eigendlich zwei NICs um die eingehende mails an den
    Internen Exchange (Hub) zu senden, oder geht das alles über nur eine. Weil
    ich frage deswegen weil

    ich hab bei MS gelesen das der Edge zwei haben sollte und eine zweiter ISA
    stützt dann den Internen Exchange gegen den Edge ab.

    Häh? Seit wann hat ein Server in einer DMZ denn zwei Netzwerkkarten? Wozu sollte das gut sein? Kannst du mal nen Link posten?
    Um deine Frage zu beantworten: Natürlich braucht man keine zwei NICs im Edge, es kann aber je Konfiguration (NLB) durchaus sinnvoll sein. In deinem geschilderten Szenario 2. ISA gegen LAN wäre aber eine zweite NIC total überflüssig.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Sonntag, 13. Juni 2010 15:00
  • "U.G" schrieb
    Hi UG (wie wäre es mit nem richtigen Namen?),

    Danke für die Info.

    Braucht der Edge eigendlich zwei NICs um die eingehende mails an den
    Internen Exchange (Hub) zu senden, oder geht das alles über nur eine. Weil
    ich frage deswegen weil

    ich hab bei MS gelesen das der Edge zwei haben sollte und eine zweiter ISA
    stützt dann den Internen Exchange gegen den Edge ab.

    Häh? Seit wann hat ein Server in einer DMZ denn zwei Netzwerkkarten? Wozu sollte das gut sein? Kannst du mal nen Link posten?
    Um deine Frage zu beantworten: Natürlich braucht man keine zwei NICs im Edge, es kann aber je Konfiguration (NLB) durchaus sinnvoll sein. In deinem geschilderten Szenario 2. ISA gegen LAN wäre aber eine zweite NIC total überflüssig.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.


    Hallo Norbert,

    leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.

    Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local 

    Gruß

    Uwe

    Montag, 14. Juni 2010 13:01
  • Hi Uwe,


    Hallo Norbert,

    leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.

    Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local 

    Der Edge bleibt ganz allein für sich und kommt nicht in die Domäne! Du verbindest ihn über ADAM mit deinem AD. Eine gute Anleitung gibt es hier:

    http://www.msexchange.org/articles_tutorials/exchange-server-2007/planning-architecture/uncovering-exchange-2007-edge-transport-server-part1.html

    Wenn du die Domäne hälst kann du sie auch als interne Domäne nutzen. Um etwas Licht ins dunkle zu bringen, findest du zu dem ganzen Thema hier ein paar mehr Infos:

    http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

    Grüße

    Christian

    Montag, 14. Juni 2010 13:55
    Moderator
  • Hi Uwe,


    Hallo Norbert,

    leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange "Breitstellen" irgensowas ich weiß es nicht mehr.

    Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied sein in der Internen Domäne oder kann er auch in der sogenannten "ARBEITSGRUPPE" eigenständig bleiben. Mich verwirrt etwas, das man die Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp. internedomäne.de sonder internedomäne.local 

    Der Edge bleibt ganz allein für sich und kommt nicht in die Domäne! Du verbindest ihn über ADAM mit deinem AD. Eine gute Anleitung gibt es hier:

    http://www.msexchange.org/articles_tutorials/exchange-server-2007/planning-architecture/uncovering-exchange-2007-edge-transport-server-part1.html

    Wenn du die Domäne hälst kann du sie auch als interne Domäne nutzen. Um etwas Licht ins dunkle zu bringen, findest du zu dem ganzen Thema hier ein paar mehr Infos:

    http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

    Grüße

    Christian


    Hi Christian

    Danke für info.

     

    Montag, 14. Juni 2010 15:27
  • "Uwe.G" schrieb:
    Hi,

    leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange
    "Breitstellen" irgensowas ich weiß es nicht mehr.

    Würde mich trotzdem mal interessieren. :)

    Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied
    sein in der Internen Domäne oder kann er auch in der sogenannten
    "ARBEITSGRUPPE" eigenständig bleiben.

    Bei Exchange 2007 darf er lt. Technet nicht mal Mitglied des selben Forest wie die Exchange Org sein.

    Mich verwirrt etwas, das man die
    Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp.
    internedomäne.de sonder internedomäne.local

    Das hat wohl eher damit zu tun, dass damit viele DNS/Exchange/Windows Admins überfordert wären die Zonen korrekt zu trennen. ;) Funktionieren würde das mit Sicherheit.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Montag, 14. Juni 2010 15:35

  • "Uwe.G" schrieb:
    Hi,

    leider finde ich den Link nicht mehr, es wahr auf MS TechNet unter Exchange
    "Breitstellen" irgensowas ich weiß es nicht mehr.

    Würde mich trotzdem mal interessieren. :)

    Wie ist es eignendlich mit dem FQDN Name vom Edge, muss der Edge Mitglied
    sein in der Internen Domäne oder kann er auch in der sogenannten
    "ARBEITSGRUPPE" eigenständig bleiben.

    Bei Exchange 2007 darf er lt. Technet nicht mal Mitglied des selben Forest wie die Exchange Org sein.

    Mich verwirrt etwas, das man die
    Interne Domäne nicht mit der Öffendlichen FQDN endung bezeichen soll. Bsp.
    internedomäne.de sonder internedomäne.local

    Das hat wohl eher damit zu tun, dass damit viele DNS/Exchange/Windows Admins überfordert wären die Zonen korrekt zu trennen. ;) Funktionieren würde das mit Sicherheit.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.

    Hi Norbert,

    ich suche z.Zt. den Link mit der ausage für zwei NICs, bis jetzt habe ich Ihn nicht gefunden.

    Du meinst die Interne Domäine sollte gleich lauten wie extern richtig.

    wenn ich den Header von manchen Firmenmails an schaue, sehe ich bei machen mit was gesendet wurde und bei machnen wiederum nur den localhost 127.0.0.1 (soll ein Beispiel sein). Sowenig wie möglich preisgeben wenn möglich von der Internen AD.

    Wie sieht es eigendlich mit der SPF Prüfung aus bei Exchange 2007/2010 aus.

    Montag, 14. Juni 2010 15:56
  • Hi,

    wo liest du das raus das die internet und die externe Domäne gleich/verschieden sein müssen/sollen? DNS ist halt anders zu behandeln je nachdem wie man es einrichtet.

    Zum Header: was stört dich am Servernamen? Was genau soll man nicht preisgeben vom AD? Aus welchen Gründen?

    SPF kann vom Hub-Transportserver erledigt werden wenn die Anti-Spam-Agents installiert sind.

     


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Montag, 14. Juni 2010 18:38
    Moderator
  • "Uwe.G" schrieb:
    Hi,

    ich suche z.Zt. den Link mit der ausage für zwei NICs, bis jetzt habe ich
    Ihn nicht gefunden.

    Eilt ja nicht. :)

    Du meinst die Interne Domäine sollte gleich lauten wie extern richtig.

    Nein, wo sagte/schrub ich sowas? Ich meinte nur, dass beides funktioniert wenn man weiß was man tut. ;)

    wenn ich den Header von manchen Firmenmails an schaue, sehe ich bei machen
    mit was gesendet wurde und bei machnen wiederum nur den localhost 127.0.0.1
    (soll ein Beispiel sein). Sowenig wie möglich preisgeben wenn möglich von
    der Internen AD.

    Aha und dazu braucht man was? Mit Sicherheit keine andereslautende Domain. ;)

    Wie sieht es eigendlich mit der SPF Prüfung aus bei Exchange 2007/2010 aus.

    Wie solls damit aussehen? Gut. Oder meinst du was Spezielles?

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Montag, 14. Juni 2010 19:47
  • "Uwe.G" schrieb:
    Hi,

    ich suche z.Zt. den Link mit der ausage für zwei NICs, bis jetzt habe ich
    Ihn nicht gefunden.

    Eilt ja nicht. :)

    Du meinst die Interne Domäine sollte gleich lauten wie extern richtig.

    Nein, wo sagte/schrub ich sowas? Ich meinte nur, dass beides funktioniert wenn man weiß was man tut. ;)

    wenn ich den Header von manchen Firmenmails an schaue, sehe ich bei machen
    mit was gesendet wurde und bei machnen wiederum nur den localhost 127.0.0.1
    (soll ein Beispiel sein). Sowenig wie möglich preisgeben wenn möglich von
    der Internen AD.

    Aha und dazu braucht man was? Mit Sicherheit keine andereslautende Domain. ;)

    Wie sieht es eigendlich mit der SPF Prüfung aus bei Exchange 2007/2010 aus.

    Wie solls damit aussehen? Gut. Oder meinst du was Spezielles?

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.


    hallo Norbert,

    Dies meine ich was du 3 Post oben geschrieben hast. siehe unten

    "Das hat wohl eher damit zu tun, dass damit viele DNS/Exchange/Windows Admins überfordert wären die Zonen korrekt zu trennen."

    Das trennen von ex. zu Intern.

    Was ich  mit SPF, ob dies hier alle ExchangeAdmis einsetzen. Ich hatte bei meinem Hoster in der Faq gelesen das es noch nicht stark verbreitet ist.

    Gruß

    Uwe

    Freitag, 18. Juni 2010 21:42
  • Am 18.06.2010 schrieb Uwe.G:
    Hi,

    Das trennen von ex. zu Intern.

    Ich verstehe nicht, worauf du hinauswillst.

    Was ich  mit SPF, ob dies hier alle ExchangeAdmis einsetzen. Ich hatte bei meinem Hoster in der Faq gelesen das es noch nicht stark verbreitet ist.

    Laß mich raten, dein Hoster heißt 1&1? Die im Übrigen selbst einen SPF
    Record pflegen und ihren Kunden davon abraten. ;)
    Ich setze SPF Filterung ein, weil ich davon ausgehe, dass jemand der einen
    SPF Record setzt sich der Konsequenzen die sein Handeln hat bewußt ist.
    Falls nicht, hat man halt mehr Arbeit.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Samstag, 19. Juni 2010 12:08
  • Am 18.06.2010 schrieb Uwe.G:
    Hi,

    Das trennen von ex. zu Intern.

    Ich verstehe nicht, worauf du hinauswillst.

    Was ich  mit SPF, ob dies hier alle ExchangeAdmis einsetzen. Ich hatte bei meinem Hoster in der Faq gelesen das es noch nicht stark verbreitet ist.

    Laß mich raten, dein Hoster heißt 1&1? Die im Übrigen selbst einen SPF
    Record pflegen und ihren Kunden davon abraten. ;)
    Ich setze SPF Filterung ein, weil ich davon ausgehe, dass jemand der einen
    SPF Record setzt sich der Konsequenzen die sein Handeln hat bewußt ist.
    Falls nicht, hat man halt mehr Arbeit.

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.

    Hi,

    Nein ist nicht 1&1. Mein Hoster rät nicht von der SPF ab im gegenteil er rät dazu.

    Dann wird es vielleicht irgenwann mal wenig mit Spamschrott.

    Noch was anderes, wie macht man das mit den Grauhinterlegten felder hir beim Zitieren. Das man sie trennen kann so wie du es im oberen gemacht hast.

    Uwe

    Samstag, 19. Juni 2010 13:02
  • Am 19.06.2010 schrieb Uwe.G:
    Hi,

    Noch was anderes, wie macht man das mit den Grauhinterlegten felder hir beim Zitieren. Das man sie trennen kann so wie du es im oberen gemacht hast.

    Man nehme: http://communitybridge.codeplex.com/ und einen Newsreader und
    schon muß man sich mit dem "ekligen" Foreneditor nicht mehr rumplacken. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Samstag, 19. Juni 2010 16:35
  • Hallo Norbert,

    hab den Link gefunden mit den (so verstehe ich es) zwei NICs beim Edge-Transporter.

    "http://technet.microsoft.com/de-de/library/bb124896%28EXCHG.80%29.aspx"

    unter "Konfigurieren der DNS-Einstellungen für die Serverfunktion Edge-Transporter"

    zweiter abschnitt.

     

    Gruß

    Uwe

    Montag, 21. Juni 2010 07:02
  • Hi,

     

    da steht "Die Serverfunktion Edge-Transport wird normalerweise in einem Umkreisnetzwerk bereitgestellt" .

    D.h. noch lange nicht das der Edge 2 konfigurierte Netzwerkinterfaces haben muß. Diese Konfiguration würde lediglich dann zutreffen wenn es zwischen Internet und internenm Netzwerk 2 verschiedene Firewalls geben würde (kommt nicht so oft vor) und dann noch ein Split Brain DNS auf dem DNS benötigt wird. Ich halte das für eine relativ schwierige Konfig.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Montag, 21. Juni 2010 07:20
    Moderator
  • Am 21.06.2010 schrieb Walter Steinsdorfer [MVP]:

    Hi,

    da steht "Die Serverfunktion Edge-Transport wird normalerweise in einem Umkreisnetzwerk bereitgestellt" .

    D.h. noch lange nicht das der Edge 2 konfigurierte Netzwerkinterfaces haben muß. Diese Konfiguration würde lediglich dann zutreffen wenn es zwischen Internet und internenm Netzwerk 2 verschiedene Firewalls geben würde (kommt nicht so oft vor) und dann noch ein Split Brain DNS auf dem DNS benötigt wird. Ich halte das für eine relativ schwierige Konfig.

    @Uwe: Danke erstmal fürs Suchen. :)

    Die Serverfunktion Edge-Transport wird normalerweise in einem Umkreisnetzwerk bereitgestellt. Das bedeutet, dass der Edge-Transport-Server über Netzwerkschnittstellen verfügt, die mit mehreren Netzwerksegmenten verbunden sind. Jeder dieser Netzwerksegmente verfügt über eine eindeutige IP-Konfiguration. Die Netzwerkschnittstelle, die mit dem externen oder öffentlichen Netzwerksegment verbunden ist, sollte so konfiguriert sein, dass sie einen öffentlichen DNS-Server für die Namensauflösung verwendet. Auf diese Weise kann der Server SMTP-Domänennamen (Simple Mail Transfer Protocol) in MX-Ressourceneinträge auflösen und Nachrichten an das Internet routen.
    Die Netzwerkschnittstelle, die mit dem internen oder privaten Netzwerksegment verbunden ist, sollte so konfiguriert sein, dass er einen DNS-Server im Umkreisnetzwerk verwendet oder über eine Hosts-Datei verfügt. Die Edge-Transport- und Hub-Transport-Server müssen in der Lage sein, sich gegenseitig mithilfe der DNS-Hostauflösung zu finden.

    Die schreiben da tatsächlich solchen B...s...t und niemand liest es. :) Aua.
    Aber ich gehe trotz allem davon aus, dass diese Konfiguration in fast allen
    Fällen total überflüssig ist und zudem normalerweise eher zu weiteren
    Sicherheitsproblemen (zusätzlich zu DNS Problemen) führt, als dass das
    stabil funktioniert.

    Bye
    Norbert

    PS: Wer sagt es MS, dass diese Formulierung jeglichem sinnvollen DMZ Design
    widerspricht, bzw. für eine sichere Konfiguration meiner Meinung nach
    deutlich zu kurz beschrieben wird. ;)


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Montag, 21. Juni 2010 20:14
  • Hi,

    tja, kommt darauf an. Exchange oder TMG-PG? Ich versuchs mal einzukippen bei der Exchange PG, ob das Erfolg hat... Warten wir mal ab.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Dienstag, 22. Juni 2010 08:13
    Moderator
  • Am 22.06.2010 schrieb Walter Steinsdorfer [MVP]:
    Hi,

    tja, kommt darauf an. Exchange oder TMG-PG? Ich versuchs mal einzukippen bei der Exchange PG, ob das Erfolg hat... Warten wir mal ab.

    Danke, wobei das aus Sicherheitsseite eigentlich egal sein sollte, da
    wahrscheinlich beide PGs sagen werden, 2 NICs im Perimeter zum Überbrücken
    der Perimeter Grenze ist eher "Blödsinn". ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Dienstag, 22. Juni 2010 08:42