Windows und Exchange 2000 durch die Firewall konfigurieren

Ein Windows- oder Exchange-Server in einer demilitarisierten Zone erleichtert die Kommunikation, ohne das Netzwerk preiszugeben. Die Konfiguration ist etwas heikel, anhand dieses Artikels aber kein Problem.

Je nach der Netzwerkarchitektur und den Geschäftsabläufen eines Unternehmens kann es vorteilhaft oder sogar notwendig sein, einen Exchange 2000 Server in einer demilitarisierten Zone (DMZ) einzurichten.

Dies bietet eine bequeme Lösung für das Hosten interner und externer Client-Mail-Dienste, während direkte Verbindungen zwischen externen Clients und internen Netzwerken unterbunden werden.

Allerdings kann diese Art von logischem Design die vorhandene Sicherheitskonfiguration beeinträchtigen, falls man nicht genau weiß, welche Ports und Protokolle geöffnet sein müssen und in welche Richtungen der Datenfluss erfolgt. Das Verfahren, um eine solche Kommunikation zu ermöglichen, ist recht unkompliziert – aber man muss daran denken, dass dieses Puzzle zwei Teile hat:

  • Der Windows 2000 Server muss durch die Firewall hindurch mit dem Domain-Controller kommunizieren, um die Client-Requests nach E-Mail-Diensten zu authentifizieren und validieren.
  • Die Clients müssen mit dem Exchange 2000 Server kommunizieren können, der sich nun in der DMZ befindet.

Themenseiten: Betriebssystem, Microsoft, Windows, Windows NT, Windows XP

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Windows und Exchange 2000 durch die Firewall konfigurieren

Kommentar hinzufügen
  • Am 29. Oktober 2003 um 0:03 von Werner Wohlmut

    Exchange Server in der DMZ
    Nach meiner Meinung hat ein EMail-Server in einer DMZ nichts verloren, da ja die Inhalte aller Postfächer und öffentlicher Ordner i.d.R. ebenfalls auf diesem Server liegen.

    Besser ist es wohl einen Relay-Server in die DMZ zu stellen der zum einen EMails via SMTP an den Exchange Server im LAN weiterleitet bzw. für diesen als Smarthost zum Versenden funktioniert. Somit müssen nur die Ports für SMTP und DNS freigegeben werden, also erheblich weniger Koinfigurationsarbeit bei höherer Sicherheit. Ausserdem können bereits auf dem Relay-Server Prüfungen auf Viren bzw. Spam durchgeführt werden und so den eigentlichen Mailserver und die (hoffentlich) dort installierten Sicherheitsmechanismen entlasten.

    • Am 29. Oktober 2003 um 0:40 von Udo Buedel

      AW: Exchange Server in der DMZ
      In der Regel wird man diese Konfiguration mit der Front-End – Back-End Strategie bewerkstelligen (OWA). Firewall 1 (Port 80) -> Exchange (Front-End -> Firewall 2 (im Artikel genannte Ports) -> Produktiv Netz. Diese Konstellation ist in der Regel relativ sicher. Die Postfächer und die Öffentlichen Ordner liegen effektiv hinter der Firewall 2 auf dem Produktiv Server und sind somit geschützt. Der IIS sollte aber mit den Patches auf dem laufenden sein (URL Lockdown, Hotfixes, etc). Man kann aber auch anstatt der Firewall 2 einen ISA Server im Reverse Proxy Modus betreiben. Mit dieser Variante kann man sich den Front-End Server sparen.

      Letztendlich ist es eine Abwägung zwischen Kosten und Sicherheit, für welche Variante man sich entscheidet.
      Bei Front-End Back-End benötigt man zwei Exchangeserver Lizenzen. Der Front-End muss ein Advanced oder Enterprise Server sein (bis Exchange 2000, bei Exchange 2003 ist die Funktion schon in der Standard Version vorhanden).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *