Je nach der Netzwerkarchitektur und den Geschäftsabläufen eines Unternehmens kann es vorteilhaft oder sogar notwendig sein, einen Exchange 2000 Server in einer demilitarisierten Zone (DMZ) einzurichten.
Dies bietet eine bequeme Lösung für das Hosten interner und externer Client-Mail-Dienste, während direkte Verbindungen zwischen externen Clients und internen Netzwerken unterbunden werden.
Allerdings kann diese Art von logischem Design die vorhandene Sicherheitskonfiguration beeinträchtigen, falls man nicht genau weiß, welche Ports und Protokolle geöffnet sein müssen und in welche Richtungen der Datenfluss erfolgt. Das Verfahren, um eine solche Kommunikation zu ermöglichen, ist recht unkompliziert – aber man muss daran denken, dass dieses Puzzle zwei Teile hat:
- Der Windows 2000 Server muss durch die Firewall hindurch mit dem Domain-Controller kommunizieren, um die Client-Requests nach E-Mail-Diensten zu authentifizieren und validieren.
- Die Clients müssen mit dem Exchange 2000 Server kommunizieren können, der sich nun in der DMZ befindet.
Neueste Kommentare
2 Kommentare zu Windows und Exchange 2000 durch die Firewall konfigurieren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Exchange Server in der DMZ
Nach meiner Meinung hat ein EMail-Server in einer DMZ nichts verloren, da ja die Inhalte aller Postfächer und öffentlicher Ordner i.d.R. ebenfalls auf diesem Server liegen.
Besser ist es wohl einen Relay-Server in die DMZ zu stellen der zum einen EMails via SMTP an den Exchange Server im LAN weiterleitet bzw. für diesen als Smarthost zum Versenden funktioniert. Somit müssen nur die Ports für SMTP und DNS freigegeben werden, also erheblich weniger Koinfigurationsarbeit bei höherer Sicherheit. Ausserdem können bereits auf dem Relay-Server Prüfungen auf Viren bzw. Spam durchgeführt werden und so den eigentlichen Mailserver und die (hoffentlich) dort installierten Sicherheitsmechanismen entlasten.
AW: Exchange Server in der DMZ
In der Regel wird man diese Konfiguration mit der Front-End – Back-End Strategie bewerkstelligen (OWA). Firewall 1 (Port 80) -> Exchange (Front-End -> Firewall 2 (im Artikel genannte Ports) -> Produktiv Netz. Diese Konstellation ist in der Regel relativ sicher. Die Postfächer und die Öffentlichen Ordner liegen effektiv hinter der Firewall 2 auf dem Produktiv Server und sind somit geschützt. Der IIS sollte aber mit den Patches auf dem laufenden sein (URL Lockdown, Hotfixes, etc). Man kann aber auch anstatt der Firewall 2 einen ISA Server im Reverse Proxy Modus betreiben. Mit dieser Variante kann man sich den Front-End Server sparen.
Letztendlich ist es eine Abwägung zwischen Kosten und Sicherheit, für welche Variante man sich entscheidet.
Bei Front-End Back-End benötigt man zwei Exchangeserver Lizenzen. Der Front-End muss ein Advanced oder Enterprise Server sein (bis Exchange 2000, bei Exchange 2003 ist die Funktion schon in der Standard Version vorhanden).