Re: Netzschema
- From: "Jens Baier" <jensbaier@xxxxxxxxxxxx>
- Date: Wed, 29 Nov 2006 07:33:47 +0100
Hi,
Der Smtp in der DMZ soll mein Mailrelay (Senden über Smarthost) werden und auf dem soll noch das OWA vom Exchange Installiert werden.
wenn Du ein reines Mail Relay betreiben wuerdest, dann koennte man das mit der DMZ machen, zumal der Mailrelay dann auch noch Thirdparty Filter gegen SPAM haben koennte. Da Du aber OWA auch haben willst, wird das ganze etwas aufwaendiger, da OWA auch Exchange bedeutet und der braucht AD.
Ne Loesung waere eine eigene Domaene in der DMZ mit eigener Exchange Routinggruppe und dann verschluesselter SMTP Replikation, das ist in Deinem Fall aber wirklich zu aufwaendig
Wenn es Dir nicht auf Zeit ankommt mit der Umsetzung kannst Du Dir auch mal Exchange 2007 anschauen. Da gibt es die Edge Rolle mit der Du einen Exchange Server in die DMZ packen kannst ohne AD Mitgliedschaft mit ner Menge Filtermoeglichkeiten und in Zukunft auch Forefront (das ehemalige Sybari)
Ich hatte diese config schon einmal zusammen gebaut aber ohne die DMZ und den Exchange.
ueber den Sinn oder Unsinn einer DMZ streiten sich die Experten schon ewig. Die 3-Abschnitt Perimeter Firewall die Du bauen willst, wird haeufig auch als "Poor Mans Firewall" bezeichnet. Wenn Du wirkliche DMZ benoetigst bieten sich Front- und Backfirewall an und dann am besten von verschiedenen Herstellern.
Ich wollte es so das der AD zwei NICs hat und das alle anfragen von den Clients durch den AD gehen, der AD kam ins Internet
die Clients leider nicht, so wie ich herraus gefunden habe fehte mir die Ständige Route für hin und zurück. Irgend wie hab ich das mit dem Routing
noch nicht ganz gefuttert.
das ist nicht notwendig. Firewall Funktionalitaet macht ja der ISA
Wie kommen die mails zum Exchange und wie kann der Exchange den smtp nutzen.
Weil der ISA macht ja bei der Installtion alle NICs dicht. aber der smtp und der ISA brauchen ja den zugriff auf den ADC richtig.?
Wenn es nur um Mailrelay geht, kannst Du fast jeden beliebigen MTA nehmen. Wenn Du bei Windows bleiben willst, geht auch ein Standalone Windows Server mit installierrtem SMTP Dienst. Der ISA braucht AD Zugriff wenn Du zum Beispiel mit Benutzer Auth. am ISA arbeiten willst. Ist asber kein Problem da ISA den Zugriff durch Systemrichtlinien auf das AD erlaubt.
ich hatte den ISA auch schon auf einer Maschine zusammen mit dem AD-DNS usw. da muste ich eine zugriffsregel erstellen
die den Gesamten internen Datenverkehr von Intern und Localhost zulässt.
das ist schon malo ne ganz schlechte Idee. ISA ist eine Firewall und kein Anwendungsserver. Eine Regel die alles erlaubt haette nicht sein muessen, jedoch haettest Du schon ne Menge Ports oeffnen muessen.
Ich an Deiner Stelle wuerde den Exchange Server direkt veroeffentlichen mit Hilfe von ISA Server und die DMZ weglassen, zumal wenn ich das richtig sehe das ganze Szenario auch mehr eine Testumgebung fuer Dich ist oder?
Gruss Jens
www.nt-faq.de
.
- Follow-Ups:
- Re: Netzschema
- From: Claus
- Re: Netzschema
- References:
- Netzschema
- From: Claus
- Re: Netzschema
- From: Jens Baier
- Re: Netzschema
- From: Claus
- Netzschema
- Prev by Date: Re: Netzschema
- Next by Date: Re: von ISA2000 auf ISA2006
- Previous by thread: Re: Netzschema
- Next by thread: Re: Netzschema
- Index(es):
Relevant Pages
|
