Hoi,
we zijn hier bezig met een Webmail opstelling.
Situatie:
- Netwerk met een 15 tal verschillende sites. In elke site staat altijd een domain controller (15 stuks) en soms een exchange server (7 stuks)
- Alle domain controllers draaien Windows 2000 Service Pack 4 met uiteraard Active Directory
- Alle Exchange server draaien Exchange 2003 op Windows 2000 Service Pack 4
- Tussen de verschillende Exchange server bestaan verschillende Routing Groups/Connectors om het verkeer te optimaliseren.
Nu is de testopzet de volgende (wat goed werkt).
- Exchange 2003 Front End server is geinstalleerd in DMZ Zone. Van buitenaf staat enkel poort 443 (SSL) open naar die Front End Server. Vanaf deze Front End server staan enkele poorten open naar het interne netwerk (oa. 53, 389, 3269, 88 naar 1 Domain Controller).
- Vanaf de Front End server server naar het interne netwerk is verkeer naar ELKE exchange server in de organizatie toegelaten op poort 80. Dit om alle mailboxen te kunnen openen binnen heel de organizatie.
Nu is het dit laatste wat me niet 100% aanstaat. Ik had het mooier gevonden als ik vanaf de Front End server slechts communicatie over poort 80 naar 1 Back End server toelaat. Als we dit instellen in de firewall werkt alles goed zolang we mailboxen openen die op die ene Back End server staan. Openen we een andere dan krijgen we een 'Service Unavailable' foutmelding in Internet Explorer. Dit lijkt me ergens ook logisch omdat de Front End server de correcte Back End server niet kan bereiken.
Kan er ergens in Exchange iets worden geforceerd dat alle verkeer van de Front End server via 1 Back End Server verloopt? Als we dan bv. een mailbox openen die op een andere exchange server staat, dan loopt de communicatie via Front End - Back End (waar comm. via prt. 80 mogelijk is) - Back End waar mailbox opstaat.
Dit alles om het verkeer van Front End naar binnen toe slechts naar 1 toestel toe te laten (wat me toch veiliger lijkt dan poort 80 open te zetten naar alle exchange servers).
Opmerkingen/suggesties welkom!
we zijn hier bezig met een Webmail opstelling.
Situatie:
- Netwerk met een 15 tal verschillende sites. In elke site staat altijd een domain controller (15 stuks) en soms een exchange server (7 stuks)
- Alle domain controllers draaien Windows 2000 Service Pack 4 met uiteraard Active Directory
- Alle Exchange server draaien Exchange 2003 op Windows 2000 Service Pack 4
- Tussen de verschillende Exchange server bestaan verschillende Routing Groups/Connectors om het verkeer te optimaliseren.
Nu is de testopzet de volgende (wat goed werkt).
- Exchange 2003 Front End server is geinstalleerd in DMZ Zone. Van buitenaf staat enkel poort 443 (SSL) open naar die Front End Server. Vanaf deze Front End server staan enkele poorten open naar het interne netwerk (oa. 53, 389, 3269, 88 naar 1 Domain Controller).
- Vanaf de Front End server server naar het interne netwerk is verkeer naar ELKE exchange server in de organizatie toegelaten op poort 80. Dit om alle mailboxen te kunnen openen binnen heel de organizatie.
Nu is het dit laatste wat me niet 100% aanstaat. Ik had het mooier gevonden als ik vanaf de Front End server slechts communicatie over poort 80 naar 1 Back End server toelaat. Als we dit instellen in de firewall werkt alles goed zolang we mailboxen openen die op die ene Back End server staan. Openen we een andere dan krijgen we een 'Service Unavailable' foutmelding in Internet Explorer. Dit lijkt me ergens ook logisch omdat de Front End server de correcte Back End server niet kan bereiken.
Kan er ergens in Exchange iets worden geforceerd dat alle verkeer van de Front End server via 1 Back End Server verloopt? Als we dan bv. een mailbox openen die op een andere exchange server staat, dan loopt de communicatie via Front End - Back End (waar comm. via prt. 80 mogelijk is) - Back End waar mailbox opstaat.
Dit alles om het verkeer van Front End naar binnen toe slechts naar 1 toestel toe te laten (wat me toch veiliger lijkt dan poort 80 open te zetten naar alle exchange servers).
Opmerkingen/suggesties welkom!
:strip_exif()/u/24090/hekje.gif?f=community)
:strip_icc():strip_exif()/u/12176/workrave2.jpg?f=community)
/u/38159/DirkJan.png?f=community)
