Какова цель серверов Exchange Frontend в этой конфигурации?
Конфигурация: SMB с одним серверным кластером Exchange. Узлы сервера ISA с опубликованными веб-сайтами OWA / RPC / и т. Д. Кластер расположен в коло, и пользователи по всему миру подключаются к нему через OWA или RPC через HTTPS. Postini имеет основную запись MX и отправляет почту через ISA-сервер на сервер Exchange.
Итак ... какова цель одного или нескольких внешних серверов в такой конфигурации, как эта? Есть ли? Я не могу ничего придумать, поэтому подумал, что перепроверяю и спрошу.
Ну, сервер переднего плана должен находиться в DMZ, так как вы не хотите, чтобы внешний интернет-трафик напрямую подключался к вашему серверу Exchange. Вся идея DMZ заключается в отсутствии соединения с внутренней сетью. Но с такой настройкой у вас есть доступ к точечному отверстию от внешнего интерфейса к серверу Exchange. По-прежнему гораздо безопаснее, чем наличие IIS и связанных с ним служб на вашем сервере Exchange. Также имеет отношение к производительности и балансировке нагрузки. Возможно, это не все причины, но это хорошее начало ...
Хорошо, я определил, что из-за отсутствия ответа на этот пост в этой конфигурации нет "необходимости" во внешнем сервере. Но один из IM, который я получил по этому поводу от моего приятеля Джереми, указал на то, что я просмотрел ...
В этой конфигурации интерфейсный сервер практически не обеспечит преимущества в безопасности, вам придется пройти через межсетевые экраны с отслеживанием состояния и без отслеживания состояния и балансировщики нагрузки, прежде чем разговаривать с IIS 7 (который довольно надежен, как есть, даже без отслеживания состояния и приложения межсетевые экраны). НО другой уровень или другая группа машин - это еще один уровень безопасности, хотя безопасность через неясность. Таким образом, хотя и минимально, интерфейс добавляет "некоторую" неясность / безопасность.
Я все еще не решил, что буду делать, так как мне кажется, что все порты, которые открываются для внешнего интерфейса в DMZ, чтобы общаться с сервером, и контроллеры домена / GC достаточно для кого-то, чтобы сделать следующий переход, в конце концов они только что прошли как минимум 3 уровня безопасности, пройдя через другой, тот, который имеет полдюжины портов и как минимум 3 открытых протокола, это не самая сложная часть, если вы зашли так далеко.