Установка Windows DC, обмен в DMZ

Question

Установка Windows DC, обмен в DMZ

У меня есть один парень в моей компании, который говорит мне, что я должен поместить FF:TMG между моим основным выходящим в Интернет брандмауэром (Cisco 5510) и подключить свой сервер Exchange и DC к внутренней сети.

У меня есть другой парень, который говорит мне, что я должен поместить сервер Exchange и DC в DMZ

Мне не особенно нравится идея иметь свои почтовые ящики и имена пользователей / пароли DC в DMZ, и я думаю, что аутентификация Windows потребовала бы от меня открытия стольких портов между моей DMZ и моей внутренней сетью, что это было бы спорным моментом, чтобы иметь это там в любом случае.

Какие есть мысли? Как у вас это настроено?

2

active-directory security exchange dmz microsoft-forefront

Источник

blsub6 21 дек '10 в 19:11

4 ответа

Решение

Все скажут вам одно и то же - никогда не ставьте DC на DMZ. Храните ваш Exchange и все контроллеры домена во внутренней сети, защищенные за вашим брандмауэром /FF:TMG. Просто как тот.

1

Источник

charnley 21 дек '10 в 19:19

В какой-то момент моя команда обсуждала размещение поля типа Forefront / ISA в DMZ, на которое будет направляться весь входящий трафик до его перенаправления во внутреннюю сеть. Моя цель состояла в том, чтобы опубликовать Exchange 2003 через демилитаризованную зону и очистить весь трафик до того, как он достигнет моей внутренней сети, без необходимости заменять наш PIX или иным образом вносить существенные изменения в инфраструктуру.

Это сработало в моей тестовой среде: открылись только 23 и 443 в DMZ и только 23 и 443 во внутренней сети.

1

Источник

Tim Brigham 10 авг '11 в 18:47

Единственная роль Exchange, которую Microsoft будет поддерживать в демилитаризованной зоне, - это роль пограничного транспорта. Все остальное должно быть во внутренней сети.

Кроме того, любой, кто сказал бы вам, чтобы поместить DC в DMZ, нуждается в серьезном изучении Active Directory и безопасности. Ударьте его по лицу пару раз для нас.

0

Источник

Jason Berg 21 дек '10 в 19:24

Другие вопросы по тегам active-directory security exchange dmz microsoft-forefront

sysadmin1138 21 дек '10 в 19:25 2010-12-21 19:25 · Accepted Answer · 2010-12-21 19:25

обмен

Это зависит от того, какую версию Exchange вы используете. Если у вас Exchange 2007 или 2010, существует роль, специально созданная для жизни в демилитаризованной зоне: пограничный сервер. Поместите этот сервер в DMZ и настройте правильные порты между этим сервером и вашими частными сетевыми транспортными серверами Exchange. Если у вас есть Exchange 2000/2003, то с точки зрения InfoSec не существует хорошего решения, вы в значительной степени застряли, открыв SMTP (и TCP/443, если вы используете OWA) для готовой машины.

ОБЪЯВЛЕНИЕ

Опять же, зависит от вашей версии Exchange. Если вы находитесь на 2007/2010, сервер Edge предназначен для работы без какого-либо оперативного подключения к реальному контроллеру домена, поэтому абсолютно не нужно устанавливать DC в DMZ. Если вы используете 2000/2003, то сервер, который получает интернет-почту, должен быть каким-либо образом подключен к домену, например, к DC в DMZ (но без открытых портов DMZ/Internet firewall) или к DC в частной сети. способ DMZ/Private firewall policy разрешающий трафик.

Имейте в виду, что "DMZ" не означает "все открытые порты", вы можете открыть только те порты, которые необходимы для межсетевых экранов DMZ / Internet и Private/DMZ. Вы можете сохранить сервер Exchange 2000/2003 в демилитаризованной зоне и проделать дыры в своем частном брандмауэре / брандмауэре, чтобы он мог обмениваться данными с контроллерами домена в частной сети. Да, это ступенька к взлому вашего DC, но если это действительно касается, вы переходите на Exchange 2010, где Microsoft разработала гораздо лучшее решение проблемы.