none
Exchange 2010 consigli RRS feed

  • Domanda

  • Salve, a giorni dovrò installare exchange su una macchina...

    spero di non scrivere banalità... vi chiedo cose che possono sembrare un po scontate!

    avevo pensato di fare in questo modo...
    sul server LAN mettere l'applicazione per la gestione della posta, mentre sul server in DMZ installare solo l'applicativo per OWA, in modo da dare la possibilità di accedere dall'esterno senza l'ausilio di un client vpn.

    poi ovviamente dovrò fare le dovute regole sul firewall per le query da OWA a Exchange.

    ho sempre lavorato con exchange gia installati, e ho sempre configurato exchange della SBS. questa mia configurazione è fattibile, facilmente configurabile?

    che requisiti deve avere la macchina esterna x OWA?

    immagino che in fase di installazione ci sia la possibilità di installare i diversi ruoli nel server? e creare quello interno con i ruoli "server cassette postali", "server accesso client" e "server hub" mentre quello esteno con il ruolo "server edge".

    cmq fatemi sapere cosa ne pensate, oppure consigliatemi un'infrastruttura "da manuale" che non preveta però l'utilizzo di ISA
    domenica 14 marzo 2010 17:41

Risposte

  • Come reverse proxy in alternativa ad ISA o Forefront TMG puoi utilizzare Squid
    http://blog.hongens.nl/guides/protect-owa-using-a-reverse-proxy/

    Collocare un qualsiasi ruolo al fuori del ruolo Edge in DMZ non è una buona idea.

    "Installation of a Client Access server in a perimeter network is not supported. The Client Access server must be a member of an Active Directory directory service domain, and the Client Access server machine account must be a member of the Exchange Servers Active Directory security group. This security group has read and write access to all Exchange servers within your organization. Communications between the Client Access server and the Mailbox servers within the organization occurs over RPC. It is because of these requirements that installing a Client Access server in a perimeter network is not supported"
    http://blogs.msdn.com/brad_hughes/archive/2008/05/05/how-not-to-deploy-client-access-servers.aspx
     

    In Microsoft Exchange Server 2010, il ruolo del server Trasporto Edge viene distribuito nella rete perimetrale dell'organizzazione. Progettato per ridurre al minimo la superficie di attacco, il server Trasporto Edge gestisce tutto il flusso di posta Internet, che fornisce i servizi di inoltro SMTP e smart host per l'organizzazione di Exchange. Ulteriori livelli di sicurezza e protezione dei messaggi sono forniti da una serie di agenti eseguiti sul server Trasporto Edge, che agiscono sui messaggi mentre questi vengono elaborati dai componenti di trasporto dei messaggi. Tali agenti supportano le funzionalità che forniscono protezione contro i virus e la posta indesiderata e applicano le regole di trasporto per controllare il flusso dei messaggi.

    Il computer in cui è installato il ruolo del server Trasporto Edge non può accedere ad Active Directory. Tutte le informazioni sulla configurazione e sui destinatari sono archiviate in Active Directory Lightweight Directory Services (AD LDS). Per l'esecuzione di attività di ricerca dei destinatari da parte del server Edge Transport, sono necessari dati presenti in Active Directory. Questi dati vengono sincronizzati con il server Trasporto Edge utilizzando EdgeSync. EdgeSync è un insieme di processi eseguiti su un computer in cui è installato il ruolo del server Trasporto Hub per stabilire la replica unidirezionale delle informazioni su destinatari e configurazione da Active Directory all'istanza dei servizi AD LDS su un server Trasporto Edge. Il servizio Microsoft Exchange EdgeSync copia solo le informazioni necessarie al server Trasporto Edge per eseguire le attività di configurazione della protezione da posta indesiderata e le informazioni sulla configurazione del connettore necessario per attivare il flusso di posta end-to-end. Il servizio Microsoft Exchange EdgeSync esegue gli aggiornamenti pianificati in modo da mantenere aggiornate le informazioni contenute nei servizi AD LDS.

    È possibile installare più server Edge Transport nella rete perimetrale. La distribuzione di più server Trasporto Edge mette a disposizione la ridondanza e le capacità di failover per il flusso di messaggi in entrata. È possibile bilanciare il carico del traffico SMTP dell'organizzazione tra i server Trasporto Edge definendo più record di risorse Mail Exchange (MX) con la stessa priorità nel database Domain Name System (DNS) per il dominio di posta. È possibile ottenere una configurazione coerente tra più server Edge Transport utilizzando script di configurazione clonati.

    http://technet.microsoft.com/en-us/library/bb124701.aspx


    Andrea Gallazzi
    http://andreagx.blogspot.com

    • Proposto come risposta Andreagx lunedì 15 marzo 2010 16:42
    • Contrassegnato come risposta Andreagx giovedì 2 settembre 2010 19:41
    lunedì 15 marzo 2010 16:26

Tutte le risposte

  • Il ruolo Client Access e di conseguenza Outlook Web App non può essere installato in DMZ, dovrai utilizzare un reverse proxy.
    http://technet.microsoft.com/en-us/library/bb266987.aspx

    L'unico ruolo di Exchange Server configurabile in DMZ è Edge.

    ciao



    Andrea Gallazzi
    http://andreagx.blogspot.com

    lunedì 15 marzo 2010 09:23
  • ok, allora se devo mettere per forza il ruolo Clent Access all'interno della rete, senza avere ISA come faccio a rendere pubblica la posta sul web senza usare un client VPN?

    studierò la possibilità del reverse proxy, ma pensavo... e se io in dmz installo un intero exchange, senza il server delle cassette postali e poi gli dico di puntare a un server interno? nn so l'ho buttata li...

    in poche parole il ruolo Edge a cosa serve?

    grazie
    lunedì 15 marzo 2010 15:50
  • Come reverse proxy in alternativa ad ISA o Forefront TMG puoi utilizzare Squid
    http://blog.hongens.nl/guides/protect-owa-using-a-reverse-proxy/

    Collocare un qualsiasi ruolo al fuori del ruolo Edge in DMZ non è una buona idea.

    "Installation of a Client Access server in a perimeter network is not supported. The Client Access server must be a member of an Active Directory directory service domain, and the Client Access server machine account must be a member of the Exchange Servers Active Directory security group. This security group has read and write access to all Exchange servers within your organization. Communications between the Client Access server and the Mailbox servers within the organization occurs over RPC. It is because of these requirements that installing a Client Access server in a perimeter network is not supported"
    http://blogs.msdn.com/brad_hughes/archive/2008/05/05/how-not-to-deploy-client-access-servers.aspx
     

    In Microsoft Exchange Server 2010, il ruolo del server Trasporto Edge viene distribuito nella rete perimetrale dell'organizzazione. Progettato per ridurre al minimo la superficie di attacco, il server Trasporto Edge gestisce tutto il flusso di posta Internet, che fornisce i servizi di inoltro SMTP e smart host per l'organizzazione di Exchange. Ulteriori livelli di sicurezza e protezione dei messaggi sono forniti da una serie di agenti eseguiti sul server Trasporto Edge, che agiscono sui messaggi mentre questi vengono elaborati dai componenti di trasporto dei messaggi. Tali agenti supportano le funzionalità che forniscono protezione contro i virus e la posta indesiderata e applicano le regole di trasporto per controllare il flusso dei messaggi.

    Il computer in cui è installato il ruolo del server Trasporto Edge non può accedere ad Active Directory. Tutte le informazioni sulla configurazione e sui destinatari sono archiviate in Active Directory Lightweight Directory Services (AD LDS). Per l'esecuzione di attività di ricerca dei destinatari da parte del server Edge Transport, sono necessari dati presenti in Active Directory. Questi dati vengono sincronizzati con il server Trasporto Edge utilizzando EdgeSync. EdgeSync è un insieme di processi eseguiti su un computer in cui è installato il ruolo del server Trasporto Hub per stabilire la replica unidirezionale delle informazioni su destinatari e configurazione da Active Directory all'istanza dei servizi AD LDS su un server Trasporto Edge. Il servizio Microsoft Exchange EdgeSync copia solo le informazioni necessarie al server Trasporto Edge per eseguire le attività di configurazione della protezione da posta indesiderata e le informazioni sulla configurazione del connettore necessario per attivare il flusso di posta end-to-end. Il servizio Microsoft Exchange EdgeSync esegue gli aggiornamenti pianificati in modo da mantenere aggiornate le informazioni contenute nei servizi AD LDS.

    È possibile installare più server Edge Transport nella rete perimetrale. La distribuzione di più server Trasporto Edge mette a disposizione la ridondanza e le capacità di failover per il flusso di messaggi in entrata. È possibile bilanciare il carico del traffico SMTP dell'organizzazione tra i server Trasporto Edge definendo più record di risorse Mail Exchange (MX) con la stessa priorità nel database Domain Name System (DNS) per il dominio di posta. È possibile ottenere una configurazione coerente tra più server Edge Transport utilizzando script di configurazione clonati.

    http://technet.microsoft.com/en-us/library/bb124701.aspx


    Andrea Gallazzi
    http://andreagx.blogspot.com

    • Proposto come risposta Andreagx lunedì 15 marzo 2010 16:42
    • Contrassegnato come risposta Andreagx giovedì 2 settembre 2010 19:41
    lunedì 15 marzo 2010 16:26
  • io ho iptables, basta per l'accesso? con Exchange 2003 avevo semplicemente aperto la porta 80 e la 443

    potete cortesmente essermi di auto?

    vorrei abilitare:
    1. accesso OWA
    2. Accesso tramite Iphone e Ipad

    entrambe le connessioni funzionano dall'interno della mia rete

    grazie

    giovedì 30 giugno 2011 11:55
  • Basta solo settare le regole a dovere per porta 443

    all'incirca come sotto:

    # regola WAN to LAN

    iptables -A INPUT -p TCP --dport 443 -i ${WAN} -j ACCEPT
     
    poi chiaramente ti crei anche la regola di nat.

    Per le prossime volte ti suggerisco di aprire un nuovo 3D.

    HTH


    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    giovedì 30 giugno 2011 14:34