locked
TMG und Exchange 2010 Publishing - HTS RRS feed

  • Frage

  • Hallo zusammen,

    ich hirne über ein paar Details nach... vielleicht kann mir jemand auf die Sprünge helfen. Lauf Werner, lauf... :-)

     

    Über einen TMG als Backfirewall soll CAS Array (WNLB) für EAS, OWA und OA veröffentlicht werden. Die zwei CAS Server haben noch die HTS Rolle und im Hintergrund eine DAG.

    Der TMG dient nur als Proxy bzw. Smartrelay, hat zwei Nics, eine ins interne Netz und eine zur Edge-Firewall (kein MS). Keine Exchange Edge Rolle auf dem TMG.

    Also das CAS Array über den NLB Namen und VIP veröffentlichen führt dann zu einem Lastenausgleich als auch Ausfallsicherheit (klar, wenn der TGM himmelt, dann ist Essig).

    Wie kann ich das mit der relativen Ausfallsicherheit und Lastverteilung für die HTS Rolle ebenfalls erreichen, wenn Mails über den TMG eingehen?

     

    Weil der TMG als Backfirewall konfiguriert ist, habe ich (dem Namen nach) ein Perimeter Netzwerk. Das ist aber wirklich nur "Draht" und nirgends ein Server connected, da die DMZ "wo anders liegt". Wo ich mir unsicher bin:

    Wenn intern: private IP und Perimeter: private IP und die Edgefirewall NAT macht, dann ist es von der Network Rule egal, ob Route oder NAT zwischen intern und Perimeter, oder?

    Die Network Rule Perimeter-External kann ich für den Fall vernachlässigen oder gar löschen?

     

    Grüße

    Werner

     

     

     

     

     

     

     

     

    Dienstag, 31. Mai 2011 18:09

Antworten

  • Hi Werner,

    >Wie kann ich das mit der relativen Ausfallsicherheit und Lastverteilung für die HTS Rolle ebenfalls erreichen, wenn Mails über den TMG eingehen?

    Ich würde das NLB ebenfalls für Port 25 konfigurieren, somit bekommt entweder der eine oder der andere HT die Mail.

    >Wenn intern: private IP und Perimeter: private IP und die Edgefirewall NAT macht, dann ist es von der Network Rule egal, ob Route oder NAT zwischen intern und Perimeter, oder?

    Wenn du zwischen intern und extern routest, dann musst du auf der Edgefirewall routen für die internen Netzwerke definieren. Bei NAT kannst du dir das sparen. Ich persönlich halte NAT für sinnvoller, weil du da mit Webveröffentlichungen arbeiten kannst und nicht mit Zugriffsregeln, was wesentlich mehr Sicherheit bietet.

    >Die Network Rule Perimeter-External kann ich für den Fall vernachlässigen oder gar löschen?

    Das Perimeter-Netzwerk ist doch zwischen TMG und der Frontend-Firewall, oder? Wenn ja, dann ist das überflüssig.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    Dienstag, 31. Mai 2011 18:53
  • HI,

    wenn Du den TMG als Backfirewall konfiguriert hast, kannst Du die Perimeter Netzwerkregel loeschen, also nur INTERNAL und EXTERNAL. Veroeffentlichen tust Du dann OWA/EAS etc. ueber die VIP des NLB CAS Arrays. Zusaetzlich erstellst Du eine SMTP Serververoeffentlichungsregel, welche Du ebenfalls auf die VIP des CAS/HTS NLB Array zeigen laesst. Den Exchange Server Empfangsconnector fuer die NLB VIP konfigurierst Du so, dass dieser Mails vom TMG Server annimmt. Im SMTP Sendeconnector stehen die beiden HTS Server als Quellserver und am TMG erstellst Du eine SMTP Zugriffsregel fuer ausgehenden SMTP Verkehr und tragest dort am TMG in der Regel die dedizierten IP des HTS Server ein, sowie die VIP des HTS Array


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 31. Mai 2011 19:11

Alle Antworten

  • Hi Werner,

    >Wie kann ich das mit der relativen Ausfallsicherheit und Lastverteilung für die HTS Rolle ebenfalls erreichen, wenn Mails über den TMG eingehen?

    Ich würde das NLB ebenfalls für Port 25 konfigurieren, somit bekommt entweder der eine oder der andere HT die Mail.

    >Wenn intern: private IP und Perimeter: private IP und die Edgefirewall NAT macht, dann ist es von der Network Rule egal, ob Route oder NAT zwischen intern und Perimeter, oder?

    Wenn du zwischen intern und extern routest, dann musst du auf der Edgefirewall routen für die internen Netzwerke definieren. Bei NAT kannst du dir das sparen. Ich persönlich halte NAT für sinnvoller, weil du da mit Webveröffentlichungen arbeiten kannst und nicht mit Zugriffsregeln, was wesentlich mehr Sicherheit bietet.

    >Die Network Rule Perimeter-External kann ich für den Fall vernachlässigen oder gar löschen?

    Das Perimeter-Netzwerk ist doch zwischen TMG und der Frontend-Firewall, oder? Wenn ja, dann ist das überflüssig.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    Dienstag, 31. Mai 2011 18:53
  • HI,

    wenn Du den TMG als Backfirewall konfiguriert hast, kannst Du die Perimeter Netzwerkregel loeschen, also nur INTERNAL und EXTERNAL. Veroeffentlichen tust Du dann OWA/EAS etc. ueber die VIP des NLB CAS Arrays. Zusaetzlich erstellst Du eine SMTP Serververoeffentlichungsregel, welche Du ebenfalls auf die VIP des CAS/HTS NLB Array zeigen laesst. Den Exchange Server Empfangsconnector fuer die NLB VIP konfigurierst Du so, dass dieser Mails vom TMG Server annimmt. Im SMTP Sendeconnector stehen die beiden HTS Server als Quellserver und am TMG erstellst Du eine SMTP Zugriffsregel fuer ausgehenden SMTP Verkehr und tragest dort am TMG in der Regel die dedizierten IP des HTS Server ein, sowie die VIP des HTS Array


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 31. Mai 2011 19:11
  • Vielen Dank ihr zwei - das hat geholfen! Muss das mal hier umsetzen...

     

    Grüße

    Werner

    Dienstag, 31. Mai 2011 19:17