Re: Netzschema



Wenn du den SMTP Server in der DMZ zusätzlich auch als OWA Server verwenden möchtest, bedeutet das zwangsläufig, dass du Exchange installieren musst. Insofern braucht der DMZ Exchange auch entsprechende Zugriffe auf das AD. Das bedeutet, dass du durch den ISA Server etliche Kommunikationsverbindungen zu deiner Domain zulassen musst. Wenn ich nun davon ausgehe, dass auf irgendeinem Weg dein OWA Server gehackt werden sollte, dann kann der Eindringling ebensogut deine gesamte Domain übernehmen, egal ob eine DMZ vorhanden ist oder nicht. Denke an das Regelwerk, das nötig ist, um alleine den Intra-Domain-Traffic zu routen, zusätzlich zu den SMTP und Publishing-Regeln. Fehler passieren dabei leichter.
Stell doch deinen OWA Server in die Domain und publishe SMTP und OWA durch den ISA Server. Wenn jetzt deinen OWA Server jemand hackt, dann macht das auch keinen Unterschied, ihm gehört wahrscheinlich die komplette Domain! Ich empfehle dir so wenig Regeln wie möglich und das Design so durchsichtig wie möglich. Ich finde du machst dir mit der DMZ und dem Exchange OWA Frontend das Leben nur unnötig schwer, ohne mehr Schutz zu erreichen.
Ciao
Andreas Hecker
"Claus" <cldd@xxxxxxxxxx> schrieb im Newsbeitrag news:up1nMwyEHHA.4608@xxxxxxxxxxxxxxxxxxxxxxx
Hi Jens,
Vorab Danke für deine Schnelle Info.

Du meinst das GW für die Clients. Ups fehler von mir, klar das die Clients die IP von der Interen NIC vom ISA
als GW brauchen. Was meinst du mit " Was ist das fuer ein SMTP Server" ?

Der Smtp in der DMZ soll mein Mailrelay (Senden über Smarthost) werden und auf dem soll noch das OWA vom Exchange Installiert werden.
Das die NIC von der DMZ kein GW braucht hab ich nicht gewusst.

Ich hatte diese config schon einmal zusammen gebaut aber ohne die DMZ und den Exchange.
Ich wollte es so das der AD zwei NICs hat und das alle anfragen von den Clients durch den AD gehen, der AD kam ins Internet
die Clients leider nicht, so wie ich herraus gefunden habe fehte mir die Ständige Route für hin und zurück. Irgend wie hab ich das mit dem Routing
noch nicht ganz gefuttert.

Wie kommen die mails zum Exchange und wie kann der Exchange den smtp nutzen.
Weil der ISA macht ja bei der Installtion alle NICs dicht. aber der smtp und der ISA brauchen ja den zugriff auf den ADC richtig.?
ich hatte den ISA auch schon auf einer Maschine zusammen mit dem AD-DNS usw. da muste ich eine zugriffsregel erstellen
die den Gesamten internen Datenverkehr von Intern und Localhost zulässt.
Gruss
Claus


"Jens Baier" <jensbaier@xxxxxxxxxxxx> schrieb im Newsbeitrag news:7FDE57E0-ECBB-404F-8C99-FD9AFCB341AB@xxxxxxxxxxxxxxxx
Hi,

wollte mal wissen was die ISA Newsgemeinde von diesem Netzwerkaufbau
haltet.

OK, aber woher kommt das GW 192.168.2.40 auf einigen Rechnern? Das GW muesste das interne Interface vom ISA sein also 192.168.1.30
Zum DMZ Design? Was ist das fuer ein SMTP Server? Welchen Zusammenhang hat der mit dem Exchange? Ist der SMTP Server in der DMZ Dein Mailrelay?
Die DMZ Netzwerkkarte braucht kein Default Gateway. Windows unterstuetzt nicht multiple DG.
Sonst soweit OK. Abhaengig vom Einsatzzweck und Deinem Schutzbeduerfnis kann man damit anfangen?
War das die einzige Frage oder worum geht es konkret?

Gruss Jens
www.nt-faq.de



.



Relevant Pages

  • RE: Webserver on a DMZ still needed?
    ... Certainly your suggestion to have a email server in a DMZ but still have ... having the exchange server on the internal LAN with only the smtp ports ... Talking of the financial cost of setup by the book vs the security cost ...
    (Security-Basics)
  • [NT] Vulnerability in Exchange Server Could Allow Arbitrary Code Execution (MS03-046)
    ... Get your security news from a reliable source. ... In Exchange Server 5.5, a security vulnerability exists in the Internet ... an unauthenticated attacker to connect to the SMTP port on an Exchange ...
    (Securiteam)
  • RE: SMTP error (only from Outlook)
    ... This issue appeared on specify user or all SMTP clients? ... If yes, in Exchange System ... Is there any local bridgehead server listed in "Local ... to over three dozen open relay block lists. ...
    (microsoft.public.windows.server.sbs)
  • RE: strange email errors
    ... you to check the relay configuration on the SBS server. ... please restart the SMTP virtue server and Exchange ... Please also refer to the following steps to create a new SMTP Connector to ...
    (microsoft.public.windows.server.sbs)
  • Re: Exchange issues
    ... Are you up to date on all your Service Packs, both Windows and Exchange? ... > all traffic on port 25 to the SBS Exhange server. ... I suspected SMTP relaying becuase ... > You should verify that the server really isn't an open relay: ...
    (microsoft.public.exchange2000.admin)