“Onde” colocar as funções de servidor do Exchange 2007 na rede

Question

“Onde” colocar as funções de servidor do Exchange 2007 na rede

#1 resposta do (1 votos)
#2 resposta do (1 votos)

2

Estou lendo a documentação para implantar o Exchange 2007 e estou intrigado com uma seção. Eu estava pretendendo colocar o papel Edge em sua própria máquina não-domínio na DMZ, e as funções restantes em outra máquina na DMZ. O pensamento era que a função de borda teria apenas as portas necessárias abertas para a entrega de mensagens, e seria capaz de acessar o servidor de back-end que hospeda as outras funções, pois elas estão no mesmo segmento de rede. O servidor de back-end estaria executando a função CAS (entre outros), fornecendo o OWA e o Exchange Activesync por meio do firewall. As únicas portas abertas da DMZ para a rede privada interna seriam as portas necessárias para a autenticação do AD para o servidor de backend.

O problema vem do fato de que tudo que estou lendo diz que a função de borda deve estar na DMZ, conforme descrito, mas que as funções restantes não devem estar na DMZ, mas na LAN privada. Ele continua dizendo que o OWA e o Exchange ActiveSync devem ser publicados em relação ao ISA ou expostos diretamente à Internet. Eu não tenho (ou particularmente quero) servidor ISA, e parece contra-intuitivo para expor um servidor na rede privada diretamente para a internet.

Estou lendo mal isso? Devo colocar o servidor backend no DMZ como planejado e terminar com isso?

firewall exchange-2007

por Chris Wooton 20.01.2010 / 15:50

2 respostas

1

Dependendo do seu tamanho e amp; necessidades, você pode apenas querer pular a função de borda e ir com um filtro de vírus / spam de terceiros (appriver, postini, etc). Nós fomos nessa rota, já que era a única funcionalidade Edge que nós precisamos, e eu particularmente não me sentia como usar o servidor ISA.

por 26.02.2010 / 21:45

Tags firewall exchange-2007

.htaccess RewriteEngine em quebras CGI Application Por que estou recebendo erros na minha configuração de switching de conteúdo HAProxy?

score 1 · Accepted Answer

A razão pela qual a Microsoft recomenda usar o ISA para publicar o OWA na Internet é superar a sensação de "counterintuituve" que você está tendo: expor um servidor na LAN diretamente à Internet (pelo menos, na camada 3 ).

Eu não colocaria meu servidor de back-end hospedando as outras funções do Exchange na DMZ, se não por outro motivo, não acho que eu queira expor meu dispositivo de firewall a todo o tráfego do cliente Outlook de computadores na LAN.

Se você não se sentir confortável em expor o servidor que hospeda o OWA e o ActiveSync na camada 3, pegue algum proxy HTTP de código aberto e coloque-o entre a Internet e a LAN para proxy HTTP no OWA.