Re: Netzschema



Wenn du den SMTP Server in der DMZ zusätzlich auch als OWA Server verwenden möchtest, bedeutet das zwangsläufig, dass du Exchange installieren musst. Insofern braucht der DMZ Exchange auch entsprechende Zugriffe auf das AD. Das bedeutet, dass du durch den ISA Server etliche Kommunikationsverbindungen zu deiner Domain zulassen musst. Wenn ich nun davon ausgehe, dass auf irgendeinem Weg dein OWA Server gehackt werden sollte, dann kann der Eindringling ebensogut deine gesamte Domain übernehmen, egal ob eine DMZ vorhanden ist oder nicht. Denke an das Regelwerk, das nötig ist, um alleine den Intra-Domain-Traffic zu routen, zusätzlich zu den SMTP und Publishing-Regeln. Fehler passieren dabei leichter.
Stell doch deinen OWA Server in die Domain und publishe SMTP und OWA durch den ISA Server. Wenn jetzt deinen OWA Server jemand hackt, dann macht das auch keinen Unterschied, ihm gehört wahrscheinlich die komplette Domain! Ich empfehle dir so wenig Regeln wie möglich und das Design so durchsichtig wie möglich. Ich finde du machst dir mit der DMZ und dem Exchange OWA Frontend das Leben nur unnötig schwer, ohne mehr Schutz zu erreichen.
Ciao
Andreas Hecker
"Claus" <cldd@xxxxxxxxxx> schrieb im Newsbeitrag news:up1nMwyEHHA.4608@xxxxxxxxxxxxxxxxxxxxxxx
Hi Jens,
Vorab Danke für deine Schnelle Info.

Du meinst das GW für die Clients. Ups fehler von mir, klar das die Clients die IP von der Interen NIC vom ISA
als GW brauchen. Was meinst du mit " Was ist das fuer ein SMTP Server" ?

Der Smtp in der DMZ soll mein Mailrelay (Senden über Smarthost) werden und auf dem soll noch das OWA vom Exchange Installiert werden.
Das die NIC von der DMZ kein GW braucht hab ich nicht gewusst.

Ich hatte diese config schon einmal zusammen gebaut aber ohne die DMZ und den Exchange.
Ich wollte es so das der AD zwei NICs hat und das alle anfragen von den Clients durch den AD gehen, der AD kam ins Internet
die Clients leider nicht, so wie ich herraus gefunden habe fehte mir die Ständige Route für hin und zurück. Irgend wie hab ich das mit dem Routing
noch nicht ganz gefuttert.

Wie kommen die mails zum Exchange und wie kann der Exchange den smtp nutzen.
Weil der ISA macht ja bei der Installtion alle NICs dicht. aber der smtp und der ISA brauchen ja den zugriff auf den ADC richtig.?
ich hatte den ISA auch schon auf einer Maschine zusammen mit dem AD-DNS usw. da muste ich eine zugriffsregel erstellen
die den Gesamten internen Datenverkehr von Intern und Localhost zulässt.
Gruss
Claus


"Jens Baier" <jensbaier@xxxxxxxxxxxx> schrieb im Newsbeitrag news:7FDE57E0-ECBB-404F-8C99-FD9AFCB341AB@xxxxxxxxxxxxxxxx
Hi,

wollte mal wissen was die ISA Newsgemeinde von diesem Netzwerkaufbau
haltet.

OK, aber woher kommt das GW 192.168.2.40 auf einigen Rechnern? Das GW muesste das interne Interface vom ISA sein also 192.168.1.30
Zum DMZ Design? Was ist das fuer ein SMTP Server? Welchen Zusammenhang hat der mit dem Exchange? Ist der SMTP Server in der DMZ Dein Mailrelay?
Die DMZ Netzwerkkarte braucht kein Default Gateway. Windows unterstuetzt nicht multiple DG.
Sonst soweit OK. Abhaengig vom Einsatzzweck und Deinem Schutzbeduerfnis kann man damit anfangen?
War das die einzige Frage oder worum geht es konkret?

Gruss Jens
www.nt-faq.de



.