none
Exchange Server 2013 SP1: CAS Role en DMZ (perimetro)???? RRS feed

  • Pregunta

  • Buen día;

    Me encuentro en el proceso de implementación de Exchange Server 2013 como solución de mensajería; la arquitectura general a implementar se basa en un par de Mailbox en DAG y otro par de servidores para el rol de CAS (todos virtuales); el rol de Edge lo ejercerá una solución antispam de terceros; he estado leyendo un poco y veo que en Exch 2013 no se recomienda el CAS rol en una red perimetral (DMZ); en este sentido quería consultarles opinión al respecto y si conoce la razón que sustenta esta recomendación.

    Los usuarios del servicio están distribuidos en una localidad principal y alrededor de 30 localidades remotas (estas ultimas accederán a servicio bien sea vía Outlook y OWA).

    Sí tiene a la mano algún tipo de documentación que sustente el hecho de mantener el CAS Rol dentro de la red interna mucho se los agradecería.

    Mi duda básicamente viene porque si el CAS solo maneja el acceso OWA (quizás cobra sentido tenerlo en la DMZ); sin embargo también este rol atendería los usuarios que se conecten utilizando Outlook (RPC y/o RPC/HTTPS).

    Gracias de antemano.

    Banier.


    Banier García.

    jueves, 4 de febrero de 2016 21:54

Respuestas

  • Hola Banier,

    El Client Access NO debe estar en tu DMZ. La razón de esto es que el CAS tiene constante comunicación con el directorio activo para autenticaciones ( Entre IIS y AD) y de igual manera realiza queries a tu catalogo global para búsqueda de servidores al momento de intentar realizar la conexión un buzón. 

    Tener un CAS en la DMZ es un ambiente no soportado por Microsoft. El unico rol que se soporta y que por diseño esta creado para estar en DMZ es el Edge. Ya que cuenta con una version light de la base de datos de AD y no necesita hacer queries al mismo

    El rol de CAS no solo maneja el acceso a OWA, dentro de sus directorios virtuales estan las conexiones/autenticaciones de Active Sync, acceso remoto a Powershell, autodiscover, servicios Web..etc

    Al poner un CAS en la DMZ comprometes la seguridad de tu organización/usuarios. El work-around que Microsoft Da es poner un reverse-proxy pero siendo honestos, solo estarías aumentando la complejidad de tu ambiente

    Te dejo este articulo del equipo de desarrollo de Exchange en donde indican lo mismo que acabo de decir, que es un ambiente no soportado y que no recomiendan poner el CAs en el perimetro

    Saludos


    Saludos | Senior Messaging Engineer Tier 3 | MCC MCT MCITP MCSA MCSE MVP




    • Editado Geovany Acevedo viernes, 5 de febrero de 2016 0:22 typo
    • Propuesto como respuesta Moderador M viernes, 5 de febrero de 2016 15:32
    • Marcado como respuesta Banier sábado, 6 de febrero de 2016 16:21
    viernes, 5 de febrero de 2016 0:16