Alguém tem experiência com a exposição do acesso à Web (OWA) de um servidor Exchange 2010 por meio de um Cisco ASA (meu objetivo é algo como uma DMZ)? Se sim, você poderia me dar algum conselho? Eu sei que o Exchange não suporta DMZ e que a MS recomenda o uso de TMG. Ainda assim, eu gostaria de saber se alguém conseguiu isso (eu tentei e não fui muito bem sucedida até agora). Ou seria melhor abandonar (ler: vender) o ASA e usar um servidor TMG? Estamos completamente no Windows Server 2008 R2 e em alguns servidores 2003 restantes, sendo executados principalmente como servidores de arquivos. Nós não usamos muito os recursos da VPN no momento, mas planejamos fazer isso no futuro, mas o OWA deve estar lá se a VPN não for possível de fora.
Muito obrigado!
Não despeje seu ASA. O TMG é muito fácil de gerenciar dentro do seu DMZ do ASA. O TMG terá que ser dual-homed ... ou seja, ter um pé na sua rede DMZ E na sua rede interna. Configurá-lo é muito fácil e o TMG facilita a publicação do OWA na Web. Lembre-se de que os servidores dual-homed só gostam de ter um gateway padrão, portanto, esteja ciente disso ou pode causar problemas.
Eu defini esse cenário exatamente e funciona como um encanto.
Para segurança decente, você deve considerar o uso de um servidor Microsoft ISA na DMZ e abrir o acesso externo à caixa ISA, em vez de acesso direto à sua caixa do Exchange. Na caixa ISA, você permite conexões http / https de volta ao seu servidor Exchange e configura o ISA para inverter as solicitações. O ISA também pode fazer autenticação baseada em formulários para dar ao usuário um prompt de login mais agradável.
Se você não se importa em usar um produto gratuito, o Apache HTTPD (no Linux ou no Windows) pode obviamente fazer isso, mas a solução padrão da Microsoft seria o ISA Server.
A solução da ASA para este cenário é "Clientless SSL VPN" (também conhecida como "WebVPN"). O ASA irá executar um servidor HTTPS e lidar com a autenticação. Em seguida, inverta os proxies HTTP de volta para o servidor interno, com SSO, se necessário.
A vantagem disso é que você está apenas expondo o ASA ao mundo externo (em vez de acesso HTTP completo ao seu servidor de e-mail), e eles só obtêm acesso "mais profundo" após a autenticação.
É bastante interessante e oferece muito mais funcionalidade (também há applets SSH e RDP disponíveis), mas requer licenças adicionais. Dependendo do número de usuários, isso pode torná-lo uma opção menos atraente (foi o que aconteceu comigo)