none
Ein ISA 2004 zwei Domänen, Veröffentlichen von Exchange RRS feed

  • Frage

  • Hallo zusammen

     

    Folgende Situation, zwei physisch getrennte Systeme (Domänen), beide Systeme stehen aber im selben Raum,
    beide Systeme haben einen eigenen Internetzugang.

     

    System 1:

    Domain1.local, Subnet 10.0.51.0/24, Gateway = ISA 2004 Standard (Domänen-Mitglied)

     

    System 2:

    Domain2.local, Subnet 10.0.50.0/24, Exchange 2003, Gateway = ZyWALL

     

    System 1 wird als ASP-System betrieben auf welchem sich die Kunden per VPN (PPTP und L2TP) einwählen können um via TS auf ein ERP-System zuzugreifen.

    System 2 ist mit dem ISA von System 1 verbunden (dediziert NIC im ISA-Server), da die Benutzer aus System 2 ebenfalls RDP-Zugriff auf den TS in System 1 benötigen..

    Nun soll der Exchangeserver aus System 2 veröffentlich werden (nur ActiveSync) und dies wenn möglich über den bestehenden ISA-Server von System 1.

     

    Das müsste doch eigentlich gehen oder?

     

    Gruss

    Roger Hungerbühler

    Freitag, 11. Juni 2010 09:15

Antworten

Alle Antworten

  • Hi Roger,

    ja das geht. Mit Hilfe von LDAP oder RADIUS, kannst du sogar die Benutzer gegen das AD der zweiten Domäne direkt am ISA authentifizieren. Alternativ anonym an den Exchange weiterleiten, wobei erste Methode die bessere ist.

    Hier eine Anleitung dazu, wie du vorgehen musst. Ist zwar für OWA aber gilt für EAS genau so.

    http://www.msisafaq.de/anleitungen/2006/Firewallrichtlinien/OWALDAP.htm

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Freitag, 11. Juni 2010 09:36
    Moderator
  • Hi,

    mit ISA Server musst Du das am besten per unterschiedlichen LDAP Sets loesen, welche auf unterschiedliche Authentifizierungsserver zeigen. In den Firewallregeln kannst Du denn unterschiedliche LDAP User Sets hinterlegen.
    Wenn es noch etwas komforabler sein soll, kannst Du es auch in Form von Portalen mit Forefront UAG veroeffentlichen


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 10:14
    Moderator
  • Hallo Christian

    Danke für die Info und den Link, das funktioniert so aber offenbar erst mit ISA 2006, wo konfiguriere ich im ISA 2004 den LDAP-Zugriff?

    Gruss
    Roger

    Freitag, 11. Juni 2010 11:34
  • Hi Roger,

    ah du hast noch ISA 2004, dann mal schnell auf TMG updaten ;-)

    In ISA 2004 geht leider nur RADIUS als alternative Authentifizierungsmethode.

    Schau hierzu mal folgende Anleitung an:

    http://www.msisafaq.de/anleitungen/2004/Konfiguration/ISAIAS.htm

    Gruß

    Christian


    Christian Groebner MVP Forefront
    • Als Antwort markiert RogerHu Dienstag, 15. Juni 2010 12:12
    Freitag, 11. Juni 2010 11:52
    Moderator
  • Hallo Christian

    Da es eigentlich vor Allem um einen einzelnen Benutzer geht, ist die GEschichte mit IAS wohl etwas zu aufwändig.
    Aus dem gleichen Grund dürfte auch ein Update auf TMG nicht in Frage kommen.

    Wobei, gibt es für ISA/TMG überhaupt Updatelizenzen?

    Gruss
    Roger

     

    Freitag, 11. Juni 2010 12:29
  • Danke auch an Dich Marc, leider haben wir bei diesem Kunden einen ISA 2004 im Einsatz.

    Wie es aussieht wird wohl vorerst nichts aus dem "Projekt", da der Aufwand in keinem Verhältnis zum Aufwand steht.

    Gruss
    Roger

     

    Freitag, 11. Juni 2010 12:31
  • Hi,

    eine Update Lizenz gibt es nicht, es sei denn Du hast Software Assurance.
    Alternativ kannst Du Dir auch mal die ISA/TMG Applainces angucken, da gibt es schon gute ANgebote und bei einem Anbieter auch ein ANgebot fuer eine Appliance bis 25 User zu einem Super Preis


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 12:33
    Moderator
  • Hallo

     

    Eine SA hat der Kunde nicht, der bestehende ISA ist übrigens eine Aplpiance von HP.

    Von den anderen Appliance-Anbietern lasse ich mittleweile lieber die Finger, bis auf die HP Appliance (die es leider nicht mehr gibt) konnte mich keine so recht überzeugen, wir haben nach langer Suche bei zwei anderen Kunden je eine Pyramid im Einsatz, die eine hatte schon zwei HDD Ausfälle und die andere hat nach etwas mehr als 1 Jahr komplettt das Zeitliche gesegnet.

    Der Garantieaustausch ist jeweils ein reiner Alptraum (kein Ansprechpartner in der Schweiz) trotz Garantieerweiterung.

    Die HP Appliance läuft immerhin schon über 5 Jahre ohne das geringste Problem und da diese auf einem Standard Proliant Server absiert ist auch die Beschaffung der Ersatzteile kein Problem und für die Abwicklung des Servicevertrages hat der Kunden einen schweizer Ansprechpartner.

    25 User würden übrigens auch nicht weit reichen, da der ISA ja wie gesagt in erster Linie ein ASP-System als Firewall und VPN-Server bedient und mit der neuen SaaS-Lösung, die diesen Monat in Betrieb genommen werden soll, überschreitet die Anzahl an Benutzern diese 25 bereits deutlich :-)

     

    Gruss
    Roger

    Freitag, 11. Juni 2010 13:21