Neuer Exchange 2013 mit ADS Anbindung - Zusätzlicher Edge-Server nötig?

LaMagra-X

LaMagra-X

Enthusiast
Thread Starter
Mitglied seit
17.01.2004
Beiträge
5.578
Ort
127.0.0.1
Hallo zusammen.
Ich möchte gerne einen eigenen Exchange hosten. Es soll künftig ein Exchange-Server + AD Domaincontroller (beide Server 2012) geben.

Der DC soll im internen Netzwerk und der Exchange-Server in der DMZ sein. Jetzt gibt es da wohl noch die Möglichkeit den Exchange aufzuteilen...den Edge-Transport-Server in die DMZ und den eigentlichen Mailserver dann auch ins interne Netz.

Stimmt das so? Und wenn ja, brauche ich dann für den DMZ-Server wieder einen kompletten Server (mit OS und Exchange) inklusive weiterer Lizenz?

Danke und Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also wenn mich nicht alles täuscht, brauchst du ne weitere Lizenz fürs OS und den Exchange...

Für privat würde ich mir das aber überlegen, ob der Aufwand überhaupt lohnt.
Dazu kommt die Tatsache, Exchange 2013 sowie 2012 Server sind aktuell in meinen Augen noch nicht zu empfehlen... Das ganze hat noch ein paar Kinderkrankheiten. Zum Testen/Evaluieren OK, aber nicht für nen quasi live Betrieb.


Man könnte aber beispielsweise auch die Edge Rolle so weglassen, den Exchange ins interne LAN stellen und ein Mailgateway auf Linux Basis in eine DMZ stellen.
Alternative ne Art Security Appliance ala Astaro diese Arbeit übernehmen lassen.


Was aber viel wichtiger ist, wie stellst du dir das mit dem Mailempfang vor?
Wenn du den Spaß nicht gerade in einem RZ hosten willst, sondern das bei dir Zuhause steht, wirst du grundsätzlich erstmal vor dem Problem stehen, das ein Senden an eine dynamische IP schlicht schwierig bis unmöglich wird. Auch der Umweg über dynDNS und Co. hilft da nicht wirklich weiter (weil DNS Replizierung eher lange dauert)
Dazu kommt die Tatsache, das SMTP Traffic ausgehend von privaten dynamischen IPs von vielen Mailservern im INet schlicht abgelehnt wird. Manche lehnen auch ab, wenn du keinen RDNS Eintrag gesetzt hast usw.

Heist also, in meinen Augen bietet es sich schlicht an, hier über nen Mailserver bei nem Hoster zu gehen. Der die Mails empfängt und bunkert bzw. der als Smarthost fürs Senden deiner Mails fungiert.
Wie du die Mails dort dann abholst (POP3, IMAP) oder ob du dir diese dann zu deinem Exchange weiter leitest, ist primär erstmal uninteressant.


PS: ich mache das bei mir übrigens genau so.
Ich habe ein Webpack bei Hosteurope gemietet für ein paar wenige Euro im Monat. Dort liegt auch meine public Domain. Der Hosteurope Mailer empfängt meine Mails und ich hole sie mir via Fetchmail auf ner Linux Kiste von Zuhause ab. Dazu sammelt mir die Linuxkiste noch alle möglichen public Postfächer diverser Webmailer ein (AOL, Webmail, googlemail usw.)
Fetchmail schickt den Spaß dann durch ne ASG, welche die Virenprüfung vornimmt, und die ASG schickt sie zu meinem Exchange.
Rausgehend schickt der Exchange via SMTP den Spaß an die ASG, welche die Virenprüfung vornimmt und diese leitet dann an den Smarthost bei Hosteurope weiter. Welcher die Mail dann im INet breit schickt...
Funkt wie sau und läuft seit mittlerweile gut 2 Jahren so ;)
Die Linux Kiste sowie die ASG stehen in ner seperaten DMZ@Home.
Webmailzugriff geht über nen ISA Server, welcher ebenso in der DMZ steht. Der Exchange steht intern im LAN ohne dediziertes "Bein" vom INet auf ihn selbst.
 
Als Smarthost bzw. Relay hatte bei mir übrigens jahrelang ein kostenloses Konto bei arcor gute Dienste geleistet.
Andere Anbieter hatten das entweder gleich verboten oder die Absenderadressen umgeschrieben.
 
Also es geht nicht um private Zwecke.

Es gibt bereits eine externe IP Adresse sowie eine zugehörige Domain. Es fehlen nur noch die MX Records.

Es geht mir jetzt rein um den Aufbau. Ein Mailrelay à la Postfix möchte ich momentan nicht einsetzen.

Gibts denn beim Exchange 2013 noch diese Edge-Server-Rolle (gabs glaub beim 2010)? Und wenn ja, wie sieht die Lizenzierung aus?

Und dann muss ich noch wissen, welche Ports man dann von der DMZ ans interne LAN weiterleiten muss.


Danke und Grüße
 
nein edge rolle gibt es derzeit nicht, ms sagt man kann bei bedarf nen 2007er oder 2010er als edge nutzen (aber eigentlich fehlt für eine saubere koexistenz für 2007/2010+2013 derzeit noch das nächste sp für die 2 älteren)...obs bei 2013 noch nachgeliefert wird, fraglich...künftig wirds die rolle recht sicher nicht mehr geben.

der edge müsste wie ein frontend server lizenziert werden, windows + exchange, je nachdem ob du virtualisierst oder nicht sind da halt seperat für das eine oder andere nötig oder auch nciht.

Zu den ports Planning for Edge Transport Servers: Exchange 2010 Help
 
Danke für die Infos.

Aber dann muss der Exchange ja direkt in die DMZ, oder!? (sofern man kein zusätzliches Mailrelay nutzt)

Und welche Ports müssen dann von der DMZ ins LAN freigeschaltet werden? Der Exchange muss ja Domain-Mitglied sein.

Habe so Szenario leider noch nicht gehabt und hoffe deswegen auf eure Hilfe...

EDIT: Im Link steht ja schon einiges :)
 
Zuletzt bearbeitet:
Der Exchange muss natürlich nicht in die DMZ ;)
Wenn du es professionell bauen willst, baust du dir selbst ein Relay in die DMZ. Wie auch immer das ausschaut... (Stichwort Mailgateway mit Securityprüfungen)
Ansonsten bleiben für externe Zugriffe noch der TMG bzw. der UAG zu nennen. Beide aus der "Forefront" Familie von MS.



Aber eventuell ist es Ratsamer, wenn du ein paar mehr Infos über das Vorhaben fallen lässt, bzw. was du genau vor hast. Dann kann man auch etwas weitreichender planen bzw. empfehlen.
 
Hi.
Kannst du das etwas genauer sagen? Was hats mit TMG und UAG auf sich?

Mein Plan war nun, den Exchange in die DMZ zu hängen und wohl oder übel die Ports ins LAN zu öffnen, weil ich zunächst rein zusätzliches Mail Relay einsetzen möchte.

Grüße
 
tmg ist ein abgekündigtes anwendungsfirewallprodukt von MS
uag baut darauf auf (nicht abgekündigt), ist aber eher ne appliance und fokusiert viel mehr die anwendungsbereitstellung nach drausen als den umgekehrten weg...umsetzen lässt sich das aber auch.

es macht kein sinn ein vollwertigen Exchange in die dmz zu hängen...und ein 2ter Exchange als quasi relay kostet mehr als übliche relaylösungen, es hört sich eh nach ner kleineren Umgebung an und da würde ich kein großes Problem darin sehen den smtp verkehr direkt auf dem Exchange aufschlagen zu lassen...Exchange hat sich bis dato sowieso als sehr robustes stück Software etabliert
 
Zuletzt bearbeitet:
Okay, danke für die Einschätzung.

Heißt konkret: Exchange ins LAN und SMTP Port direkt ins LAN öffnen?

Was dann noch sein soll: Active-Sync (für iPhone, etc.) und OWA. Auch unproblematisch wenn der Server im LAN steht?



PS: Ja, ist eine kleinere Umgebung mit momentan 30 Usern.
 
Bezüglich eas/owa wär natürlich eine anwendungsfirewall die, die verbindungen von drausen direkt terminiert/authentifziiert besser und auch ein frontend server aber wirklich schmerzen würde mich persönlich nicht wenn man von drausen direkt auf den exchange kommt....
 
Naja jeder hat andere Vorstellungen von Sicherheit. Bei uns müssen die Handy sogar einen VPN aufbauen bevor sie an den Exchange kommen.

Gesendet von meinem HTC EVO 3D X515m mit der Hardwareluxx App
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh