Softpicks.Net Deutsch

[Roger Wassner]

Hallo,

> welche Lösung eignet sich besser:
> ISA-Server als Reverse-Proxy davor, oder ein zweiter Exchange in
> Front-End-Backend Konfiguration?

Das sicherste aber auch aufwendigste (Buget, Hardware usw) ist

ISA------FE------BE

Am besten ist, wenn man sich dazu etwas einliesst, eine Weile beschäftigt
und dann die Bugetfragen und Aufwände abschätzt. Sicherlich kann man auch
mit einem SMTP Port 25 TCP arbeiten. Es kommt darauf an, was man will, wie
sicher oder wie "abgesichert" man das betreiben möchte.

Am besten stöberst Du mal durch die Whitepapers.
Dann kannst Du auch konkretere Fragen stellen :-)


Grüsse
Roger


.

[Joachim Conrad]

Hallo Walter,

Walter Steinsdorfer schrieb:

> das kommt jetzt darauf an, was für Anforderungen du an dein Mailrelay
> stellst. Das wird allerdings nicht viel helfen wenn du das hier
> postest, die Arbeit zu entscheiden können wir dir schlecht abnehmen.
> Vor dem Exchange brauchst du auf jeden Fall eine Firewall, ob die ISA
> oder anders heisst ist erstmal egal.

Vielleicht ein wenig OT. Apropo ISA. Bislang habe ich eigentlich einen
Bogen um eine Firewall aus dem Hause MS gemacht, aber nun interessiert
es mich doch, gerade in Bezug auf OWA. Habe hier schon einiges über ISA
als Reverse-Proxy gelesen, aber dann heute morgen dies hier:

Zitat von: http://www.tecchannel.de/betriebssysteme/1424/9.html

"Grundsätzlich handelt es sich beim ISA-Server um eine vielseitige
Firewall mit einem Webcache, die den Vergleich mit anderen Systemen
nicht zu scheuen braucht. Von Vorteil sind die direkte Einbindung des
Servers in das Active Directory und die Unterstützung durch eine Reihe
von Wizards. Spezialisierte Anwendungen, wie beispielsweise ein
Reverse-Proxy, lassen sich damit allerdings nicht realisieren."

Was ist davon zu halten?

Tschau
Joachim
--
Joachim Conrad
Antworten bitte nur in der NG
Die genannte E-Mail Adresse existiert, die Eingänge werden
allerdings automatisch gelöscht.

.

[Norbert Fehlauer [MVP]]

Bernd Kruczek - [MVP Exchange] wrote:
Hi,

> Na ja, einen FE brauchst du eigentlich nur, wenn hinter dem FE mehrere
> BE's stehen und du den OWA Zugriff über den FE leitest.

Oder der BE ein Cluster ist und man den IMF nutzen will ;)

Bye
Norbert

.

[Norbert Fehlauer [MVP]]

Timo Kohlbacher wrote:
Hi Timo,

> Jetzt ist eben die Frage: Macht es irgendeinen Sinn einen teueren
> Enterprise-Exchange nur als Web-Interface an die vordere Stelle zu
> stellen?

Nein, abgesehen davon dass du bei Exchange 2003 auch den Standard Server als
Frontend betreiben kannst.

> Oder is da ein ISA sinnvoller?

In deinem Fall sieht es zumindest so aus.

Bye
Norbert

.

[Olaf Kapinski]

Nabend Bernd!

>> Wann nimmt man was? Und was sind die Vor- und Nachteile dieser beiden
>> Möglichkeiten?
>
> Na ja, einen FE brauchst du eigentlich nur, wenn hinter dem FE mehrere
> BE's stehen und du den OWA Zugriff über den FE leitest. Dann müssen sich
> die User nur eine URL merken. Der zweite Grund für einen Frontend, RPC
> über HTTP, zieht nicht mehr so sehr, da dass ISA auch kann, und dazu dann
> kein FE mehr benötigt wird.
>
> Triffen diese speziellen Anforderungen nicht zu auf dich, halte ich die
> Kombi ISA -> Exchange für empfehlenswert. Falls dein Geldbeutel das
> hergibt, kannst du noch zwichen ISA und Exchange ein SMTP Gateway bauen,
> auf dem dann Viren und Spamprüfung laufen.

Die Anforderung ist, dass nur der https-Datenstrom zum Exchange soll, dieser
aber nicht direkt ansprechbar sein soll. Ich bin mir nun nicht mehr sicher,
was der ISA an der Stelle wirklich macht: Ist das reines Portforwarding oder
schaut der schon IN den html-Strom und schmeißt falsche Sachen raus?

Eine FE-BE hat eben (m.E.) den Charme, dass der FE mit dem Client spricht
und der BE nur das bekommt, was der FE losschickt, also nicht den
eventuellen "bösen" html-Mist.

Grüße

OLAF


.

[Oliver Schluga]

Hallo Olaf!

Olaf Kapinski wrote:
>
> Die Anforderung ist, dass nur der https-Datenstrom zum Exchange soll, dieser
> aber nicht direkt ansprechbar sein soll. Ich bin mir nun nicht mehr sicher,
> was der ISA an der Stelle wirklich macht: Ist das reines Portforwarding oder
> schaut der schon IN den html-Strom und schmeißt falsche Sachen raus?

Der ISA Server ist eine deep-inspection-fw, er ist also in der Lage http
zu verstehen - selbst wenn das via https geschieht.

dann endet der https-tunnel an der ISA FW, wird decodiert, und ggf
wieder via https an einen Exchange weitergeleitet.

> Eine FE-BE hat eben (m.E.) den Charme, dass der FE mit dem Client spricht
> und der BE nur das bekommt, was der FE losschickt, also nicht den
> eventuellen "bösen" html-Mist.

Die FE-BE Lösung halte ich nur dann für sinnfoll, wenn sich dahinter
mehrere Exchange Server befinden oder eine entsprechende Useranzahl
erreicht ist.

BTW: böser html mist...html ist eine Seitenbeschreibungssprache, im Fall
von OWA wird diese vom Server zum Client geschickt - das ist sicher
nicht "böse"

was vielleicht "böse" sein kann ist der IP/TCP mist, um es in deinen
worten zu formulieren!

lg
Oliver

--
Oliver Schluga
MCSE+MCSA messaging
.

[Oliver Schluga]

Hallo Olaf!

Olaf Kapinski wrote:
>
>
> Die Anforderung ist, dass nur der https-Datenstrom zum Exchange soll, dieser
> aber nicht direkt ansprechbar sein soll. Ich bin mir nun nicht mehr sicher,
> was der ISA an der Stelle wirklich macht: Ist das reines Portforwarding oder
> schaut der schon IN den html-Strom und schmeißt falsche Sachen raus?

und die Mails werden via Pop3 abgeholt, oder was?

und ja, selbstverständlich gilt das deep inspection auch für smtp, du
kannst sogar eigene filter hineinhängen (LDAP-Abfragen, AntiVirus und
-Spam)...

die ISA-Server Newsgroup kann dir da sicher weiterhelfen

lg
Oliver


--
Oliver Schluga
MCSE+MCSA messaging
.

[Norbert Fehlauer [MVP]]

Olaf Kapinski wrote:
Hi Olaf,

> Ne, das stimmt nicht. Der Frontend muss ein Enterprise sein, deswegen
> läuft die Diskussion ja (Der ist einfach zu teuer...).

Doch das stimmt. Der Exchange 2003 kann das auch in der Standard Version.
Und ja, der kann auch Frontend eines Exchange 2000 Backends sein.

Bye
Norbert
--
Dilbert's words of wisdom #18: Never argue with an idiot. They drag you
down to their level then beat you with experience.

.

[Roger Wassner]

Hallo Olaf,

> Ich habe zwei Schulungsbücher für den 2003er, da stand
> das so drin.

welche sind dass ? Dann kann ich mal nach sehen, ich habe in einem CTEC
Zugriff auf diese Ausgaben. Wenn dem wirklich so ist kann ich ein
"Korrektur" Vorschlag einreichen.

Schau mal bitte
- welcher Kurs
- Sprachausgabe
- Ausgabe (Auflage)

Grüsse
Roger


.

[Roger Wassner]

> kannst du noch zwichen ISA und Exchange ein SMTP Gateway bauen,
> auf dem dann Viren und Spamprüfung laufen.

das möchte ich mit kurzen Worten um weitere "ausgesprochene" Informationen
ergänzen:
Für den ISA gibs gute und interessante Application Filters ("Plugins").
Zumindest für den ISA 2000, aber für den 2004 wird es die meisten auch schon
geben. Oder zumindst bald.


Grüsse
Roger


.

[Olaf Kapinski]

Nabend!

"Roger Wassner" <anonymous [at] discussions.microsoft.com> schrieb im Newsbeitrag
news:%23itCAFw0EHA.1564 [at] TK2MSFTNGP09.phx.gbl...
> Hallo Olaf,
>
>> Ich habe zwei Schulungsbücher für den 2003er, da stand
>> das so drin.
>
> welche sind dass ? Dann kann ich mal nach sehen, ich habe in einem CTEC
> Zugriff auf diese Ausgaben. Wenn dem wirklich so ist kann ich ein
> "Korrektur" Vorschlag einreichen.
>
> Schau mal bitte
> - welcher Kurs
> - Sprachausgabe
> - Ausgabe (Auflage)

"Exchange Server 2003 und Outlook" vom Markt und Technik Verlag, S 455
das andere ist blau, englisch und steht in der Firma.

Grüße

OLAF


.

[Olaf Kapinski]

Nabend!

Wird langsam OT, ich weiss. Daher nur noch eine Frage


> Der ISA Server ist eine deep-inspection-fw, er ist also in der Lage http
> zu verstehen - selbst wenn das via https geschieht.
>
> dann endet der https-tunnel an der ISA FW, wird decodiert, und ggf wieder
> via https an einen Exchange weitergeleitet.

Also ist ISA an der Stelle tatsächlich ein Layer7-Proxy? Der versteht also
html spricht dann seinerseits mit dem Exchange? So ganz waren wir uns
darüber nicht mehr sicher.


> BTW: böser html mist...html ist eine Seitenbeschreibungssprache, im Fall
> von OWA wird diese vom Server zum Client geschickt - das ist sicher nicht
> "böse"
>
> was vielleicht "böse" sein kann ist der IP/TCP mist, um es in deinen
> worten zu formulieren!

Ich will auf die Versuche hinaus, mit seltsamen html-Requests den ISS aus
dem Tritt zu bringen (URL\..\..\..\ und sowas). Wenn es da wieder eine
Schwachstelle geben wird, möchte ich die nicht gleich am Exchange haben,
sondern auf einem vorgelagerten System.

War vieleicht etwas unklar ausgedrückt, sorry.

OLAF


.

[Roger Wassner]

Hallo Olaf,

> "Exchange Server 2003 und Outlook" vom Markt und Technik Verlag, S 455
> das andere ist blau, englisch und steht in der Firma.

ja das steht da in der Tat drin,
Kap 13.5 Seite 455 -- Ausgabe 2004
"In einer FE/BE Architektur kann ein Exchange 2003 Standart-Server nur
Backend Server sein".

Das ist natürlich falsch und peinlich dazu. Aber wenn es keiner merkt, gut
für "Markt&Technik", schlecht für den Dienstleister/Admin, der es
implementieren muss und gerade die falsche Version lizensiert und
installiert hat. Die Enterprise Version ist doch teuerer als die
Standartversion.

Aber gleich davon auszugehen, dass das richtig ist ?!
Ok, aber

Das war bei Exchange 2000 tatsächlich so.
Ob der author davon ausgeht, es wird sich "schon nicht" geändert haben ?
(Best Match bisher: "Na der 2003er Surfer sieht genauso aus wie 'de
zwodausender". Das hat mal Jemand zu mir zum Thema Änderungen gesagt, als
wir uns damals das neue Produkt angesehen haben. Es wäre nicht "viel"
anders. Ok, die Anordnung der Symbole usw. Ich bin dann auch raus.) Dann
setzt er für den Remote-Admin RDP Modus (ex- Terminalserver) bestimmt auch
beim 2003er Server einen Haken in der Systemsteuerung und klickt die Meldung
"Wollen Sie WIRKLICH einen Application Terminalserver ???" weg ...


Grüsse
Roger


.

[Roger Wassner]

Hallo Olli,

> Im worst case böse sind:
> ActiveX
> JavaScript
> JScript
> VBScript

Sollte man fairerweise nicht erwähnen, dass die kriminelle Energie vom
Entwickler, die sich diese Techniken zunutze machen, steckt ? ;)

Messer und automatische Waffen sind auch nicht böse.
Sorry für die Haarspalterei, aber ich bin gern erklärend tätig. Man will ja
zur Verbesserung der Welt beitragen !


Grüsse
Roger


.

[Roger Wassner]

> Alles eine Frage des Geldbeutels :-)

Wie so oft.
Aber wichtig ist, dass es MÖGLICH ist, zu tun usw.

Schlimmer wäre, wenn Geld keine Rolle spielt und man aber was haben will,
was es nicht gibt !
(Oder properitär lösen muss)


Grüsse
Roger


.