учитывая что работа dns не имеет к TMG никакого отношения, то релизовать можно любой случай:
1. доменные dns пересылают запросы напрямую в интернет(на корневые с рекурсией или на dns провайдера) и ответы получают оттуда же
2. доменные dns шлют на кеширующий на backend, а он в интернет
3. доменные на frontend, а он в интернет
4. доменные на backend, он на frontend, а он в интернет
первый самый простой, правильный и распространенный. по всем остальным надо придумать ответ на вопрос "а зачем?"
Вообще говоря мы же тут рассматриваем схему именно использования двух ISA с DMZ, значит запрос в инет должен проходить через оба ISA, туда и обратно ?
1. Вообще то по соображением безопасности, внутренний DNS который стоит вместе с AD не должен разрешать имена на прямую в интернет и тем более использовать рекурсию!
Если в DNS AD ввести айпи адреса ISP, то тогда какой толк от DMZ в котором будет стоять EDGE и через него должен будет ходить почтовый трафик-который в свою очередь должен
сначала попадать на FrontEnd Firewall в первую очередь ?
2. Второй вариант более предпочтительнее!Об этом вообще то написано в книге Томаса В.Шиндера по ISA 2004,
КОНЕЧНО С ПОМЕТКОЙ-как один из предлагаемых и так же правильных!
Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!
да что вы пристали к бедной исе с этим дурацким днс? ISA это firewall и proxy, никаких функций dns (ни сервера, ни форвардера) она не несет и нести не должна, ни в каких конфигурациях, даже если их будет 10 штук друг за другом стоять.
поэтому для исы dns запрос не выглядит как запрос, а просто тупой коннект по udp53 от внутреннего ip на внешний ip, и ее задача сводится только к решению пустить коннект или нет. в текущей задаче достаточно на исе разрешить протокол dns от контроллеров наружу
1. откуда эти соображения безопасности взялись? нет ничего опасного в том что внутренний dns отправит запрос наружу и получит ответ. вот в обратную сторону действительно нежелательно открывать - могут атаковать или заддосить.
и причем тут вообще Edge и DMZ? они никакого отношения к теме прохождения dns трафика не имеют, можешь их мысленно выкинуть и считать что у тебя просто иса с доменом (количество ис на задачу не влияют).
2. вариантов много, но чтобы городить эту ересь надо сначала обосновать - просто так нагружать ису ненужными сложностями опасно, это все таки средство защиты, а лишний сервис, такой как dns, это лишняя потенциальная дыра. кеширующие dns сервера
используют, например, при очень большом количестве запросов, чтобы не нагружать контроллеры рекурсией, а в обычных случаях достаточно на контроллерах форвардить на ISP (особенно если он один и автономных систем нет)
>>Просто в ISA нет же встроенного DNS Forwarder, в отличие от KERIO. Либо я что-то упускаю ?
и не будет, не надо сравнивать корпоративный продукт с поделками для домохозяек типа керио или пластиковых вайфай роутеров. если нужно поставить кеширующий dns то ставить родной виндовый (или любой сторонний) dns сервер и все
да что вы пристали к бедной исе с этим дурацким днс? ISA это firewall и proxy, никаких функций dns (ни сервера, ни форвардера) она не несет и нести не должна, ни в каких конфигурациях, даже если их будет
10 штук друг за другом стоять.
Здесь согласен, переборщил!
откуда эти соображения безопасности взялись? нет ничего опасного в том что внутренний dns отправит запрос наружу и получит ответ. вот в обратную сторону действительно нежелательно открывать - могут атаковать или заддосить.
и причем тут вообще Edge и DMZ? они никакого отношения к теме прохождения dns трафика не имеют, можешь их мысленно выкинуть и считать что у тебя просто иса с доменом (количество ис на задачу не влияют).
Может наверное все таки так EDGE и CAS сервер будут находится в DMZ и будут публиковаться через ISA Firewall правилами доступа по протоколу SMTP.
вариантов много, но чтобы городить эту ересь надо сначала обосновать - просто так нагружать ису ненужными сложностями опасно, это все таки средство защиты, а лишний сервис, такой как dns, это лишняя потенциальная
дыра. кеширующие dns сервера используют, например, при очень большом количестве запросов, чтобы не нагружать контроллеры рекурсией, а в обычных случаях достаточно на контроллерах форвардить на ISP (особенно если он один и автономных систем нет)
Давайте так, это не аргументы, это то что я хочу попробовать, всего лишь тестовая сеть. И я определил работу некоторых ИТ-сервисов , которые будут работать для этой сети: MS Exchange c разнесением ролей CAS и EDGE в сегмент DMZ, далее публикация OWA,
VPN доступ, может еще WEB-сервер будет, который необходимо будет так же опубликовать и вынести в DMZ. Разве этого не достаточно ? Можно успешно и с одним пограничным ISA Firewall жить, как на данный момент живет наша инфраструктура и вынести роль EDGE просто
на отдельный компьютер в не домена и можно даже сделать топологию 3-LEG!
Но я озадачился как раз на топологию Back-to-Back, что здесь еще необходимо аргументировать ? Согласен городить лишний раз нет необходимости, но Expiriens не помешает, не правда ли ?
не надо сравнивать корпоративный продукт с поделками для домохозяек типа керио или пластиковых вайфай роутеров. если нужно поставить кеширующий dns то ставить родной виндовый (или любой сторонний) dns сервер и
все
Да не сказал бы конечно что уж kERIO для домохозяек, доводилось работать с KERIO где 200-300 пользователей было. Но конечно если вся инфраструктура построена на продуктах от определенного вендора, такого как Microsoft, то тут конечно куда лучьше и
прозрачнее будет поставить именно ISA Firewall.
В общем спасибо за ваши мнения высказанные вами, они идут только на пользу!
В общем будем адекватно разбираться..
Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!
