Я читаю документацию по развертыванию Exchange 2007, и меня озадачивает один раздел. Я намеревался разместить роль Edge на собственном компьютере вне домена в DMZ, а остальные роли на другом компьютере в DMZ. Идея заключалась в том, что для пограничной роли будут открыты только необходимые порты для доставки почты, и она сможет получить доступ к внутреннему серверу, на котором размещены другие роли, поскольку они находятся в одном сегменте сети. Внутренний сервер будет выполнять роль CAS (среди прочего), обеспечивая OWA и Exchange Activesync через брандмауэр. Единственные порты, открытые из DMZ во внутреннюю частную сеть, будут портами, необходимыми для аутентификации AD для внутреннего сервера.
Проблема возникает из-за того, что все, что я читаю, говорит, что пограничная роль должна находиться в DMZ, как описано, но что оставшиеся роли должны находиться не в DMZ, а в частной LAN. Далее говорится, что OWA и Exchange ActiveSync должны публиковаться в ISA или напрямую в Интернете. У меня нет (или особенно не хочу) ISA-сервера, и мне кажется нелогичным открывать доступ к серверу в частной локальной сети напрямую в Интернет.
Я неправильно это читаю? Должен ли я просто поместить внутренний сервер в DMZ, как планировалось, и покончить с этим?
В зависимости от вашего размера и потребностей вы можете просто пропустить роль Edge и использовать сторонний фильтр вирусов / спама (appriver, postini и т. Д.). Мы пошли по этому пути, поскольку это была единственная функция Edge, которая нам нужна, и мне тоже не особо хотелось использовать ISA-сервер.
Причина, по которой Microsoft рекомендует вам использовать ISA для публикации OWA в Интернете, заключается в том, чтобы преодолеть "контринтуитивное" ощущение, которое вы испытываете по поводу прямого доступа к Интернету сервера в локальной сети (по крайней мере, на уровне 3).
Я бы не стал помещать свой бэкэнд-сервер, на котором размещены другие роли Exchange, в DMZ, если только по той причине, что я не думаю, что захочу открыть доступ к своему брандмауэру для всего клиентского трафика Outlook с компьютеров в локальной сети.
Если вам неудобно выставлять сервер, на котором размещены OWA и ActiveSync, на уровне 3, возьмите HTTP-прокси с открытым исходным кодом и поместите его между Интернетом и локальной сетью, чтобы прокси HTTP в OWA.