“Onde” colocar as funções de servidor do Exchange 2007 na rede

2

Estou lendo a documentação para implantar o Exchange 2007 e estou intrigado com uma seção. Eu estava pretendendo colocar o papel Edge em sua própria máquina não-domínio na DMZ, e as funções restantes em outra máquina na DMZ. O pensamento era que a função de borda teria apenas as portas necessárias abertas para a entrega de mensagens, e seria capaz de acessar o servidor de back-end que hospeda as outras funções, pois elas estão no mesmo segmento de rede. O servidor de back-end estaria executando a função CAS (entre outros), fornecendo o OWA e o Exchange Activesync por meio do firewall. As únicas portas abertas da DMZ para a rede privada interna seriam as portas necessárias para a autenticação do AD para o servidor de backend.

O problema vem do fato de que tudo que estou lendo diz que a função de borda deve estar na DMZ, conforme descrito, mas que as funções restantes não devem estar na DMZ, mas na LAN privada. Ele continua dizendo que o OWA e o Exchange ActiveSync devem ser publicados em relação ao ISA ou expostos diretamente à Internet. Eu não tenho (ou particularmente quero) servidor ISA, e parece contra-intuitivo para expor um servidor na rede privada diretamente para a internet.

Estou lendo mal isso? Devo colocar o servidor backend no DMZ como planejado e terminar com isso?

    
por Chris Wooton 20.01.2010 / 15:50

2 respostas

1

A razão pela qual a Microsoft recomenda usar o ISA para publicar o OWA na Internet é superar a sensação de "counterintuituve" que você está tendo: expor um servidor na LAN diretamente à Internet (pelo menos, na camada 3 ).

Eu não colocaria meu servidor de back-end hospedando as outras funções do Exchange na DMZ, se não por outro motivo, não acho que eu queira expor meu dispositivo de firewall a todo o tráfego do cliente Outlook de computadores na LAN.

Se você não se sentir confortável em expor o servidor que hospeda o OWA e o ActiveSync na camada 3, pegue algum proxy HTTP de código aberto e coloque-o entre a Internet e a LAN para proxy HTTP no OWA.

    
por 20.01.2010 / 16:34
1

Dependendo do seu tamanho e amp; necessidades, você pode apenas querer pular a função de borda e ir com um filtro de vírus / spam de terceiros (appriver, postini, etc). Nós fomos nessa rota, já que era a única funcionalidade Edge que nós precisamos, e eu particularmente não me sentia como usar o servidor ISA.

    
por 26.02.2010 / 21:45