DMZ ve Exchange ile İlgili
- Kim tarafından: mshowto_twitter
- Kategori: Network
DMZ olan bir yapıda exchange server nasıl publish edilir bunu öğrenmek istiyorum.110,25,80 gibi portları açmamız gerekiyor.Sonuç itibarı ile exchange server DC olduğu için bir güvenlik açığı yaratmış olmuyormuyuz? Yada OWA ve smtp başka bir server üzerinde çalışabilirmi nasıl yapılabilir bu konu ile ilgili bilgisi olan arkadaşlardan fikirlerini bekliyorum iyi çalışmalar.
mshowto_twitter
7 ay önce gönderildi
Merhaba Baris Bey,
OWA yi farkli bir sunucuda tutabilirsiniz. Bunun icin yapmaniz gereken tek sey, OWA nin calisacagi exchange server i front-end olarak tanimlamaniz. Bunun disinda DMZ de duran bir Exchange ile ayni sistem de DC calismasi tabiki guvenlik seviyesini bir kac kademe asagi cekecektir.
Gorusmek uzere,
Emre Aydın
mshowto_twitter
7 ay önce gönderildi
Peki sizce hangisi kullanmalıyım şu anda Dc olarak çalışan exchange sunucumu member server mı yapmalıyım (Yada bu mümkünmü?) Yoksa OWA’yı farklı bir sunucudamı tutmalıyım ama bu bana pek bir çözüm sağlamayacaktır herhalde sonuç itibarı ile smtp portuna dışarıdan yine ulaşım olacaktır.(Veya smtp sunucumuda farklı tutabilirmiyim?) Cevaplarınız için şimdiden teşekürler.
mshowto_twitter
7 ay önce gönderildi
Merhaba tekrar,
Exc. 2003′de SMTP yi varolan yapidan ayirmak cok mumkun degil. Exc. 2007′de zaten her rol ayri sunucuya kurulabiliyor. Yada farkli bir cozum yine exc. 2007 ile forefront kullanmaniz olacak. Bu sekilde disardan baglanilacak herkes icin sadece HTTPS kullanmaniz yeterli oluyor.
Kisacasi su andaki varolan yapi icersinde yapilabilecekler asagidaki gibi olabilir;
Front-End exc. 2003 sunucunuzu DMZ de bir member server uzerine kurun.
OWA yi bu front-end i kullanacak sekilde disari publish edin.
Local de asil exc. 2003 u ve dilediginiz sayida DC tutun.
Kolay gelsin,
Emre AYDIN
mshowto_twitter
7 ay önce gönderildi
Emre bey söylediğiniz gibi yaptım front-end server kurup owa’yı orada publish ettim.Fakat şimdide bu sunucu üzerinde terminal server ile oturum açamıyorum çok vakit alıyor sanıyorum rpc sunusu ile haberleşemiyor bu tip hatalar veriyo ara sıra. Hangi portlara izin vermeliyim DMZ’den Local’e microsoft’un sitesinde yazan bütün portlara izin verdim acaba atladığım bir yermi var?Aşağıda izin verdiğim port numaraları var.Yardımcı olursanız sevinirim iyi çalışmalar.
DNS:53
Ipsec:500
Kerberos : 88 tcp/udp
Ldap Directory: 389 Tcp/Udp
Ldap SSL:636 Tcp/Udp
Global Catalog : 3268-3269
Rpc:135 Tcp
1600 Tcp
Ip:51
Ip:50
Smtp:25
Bu kadar çok port açmak normalmi?
Yardımlarınız için şimdiden teşekkür ederim.
mshowto_twitter
7 ay önce gönderildi
Baris Bey Merhabalar tekrar,
Acilmasi gereken protokoller Front-end Exchange Server’dan DC’ye:
Kerberos-Adm (UDP)
Kerberos-Sec (TCP)
Kerberos-Sec (UDP)
LDAP
LDAP (UDP)
LDAP GC (Global Catalog)
Microsoft CIFS (TCP)
Microsoft CIFS (UDP)
NTP (UDP)
RPC (all interfaces)
DNS
İkinci bir rule ile front-end Exchange Server’dan Back-end Exchange Server’a asagidaki protocoller:
HTTP
IMAP4
POP3
Link State-Algorithm Routing
SMTP protokolunu DMZ de duran SMTP Relay hizmeti sunan farkli bir sunucu ile ayirmakta mumkun. ISA tarafinda asagidaki makale dizisi yardimci olacaktir.
Exchange tarafinda aagidaki makale dizisi yardimci olacaktir:
Terminal Server’ı ISA dan publish ettikten sonra baglanirken nasil bir hata donuyor?
Kolay gelsin,
Emre.
Son Sorulan Sorular
DMZ olan bir yapıda exchange server nasıl publish edilir bunu öğrenmek istiyorum.110,25,80 gibi portları açmamız gerekiyor.Sonuç itibarı ile exchange server DC olduğu için bir güvenlik açığı yaratmış olmuyormuyuz? Yada OWA ve smtp başka bir server üzerinde çalışabilirmi nasıl yapılabilir bu konu ile ilgili bilgisi olan arkadaşlardan fikirlerini bekliyorum iyi çalışmalar.
mshowto_twitter
7 ay önce gönderildi
Merhaba Baris Bey,
OWA yi farkli bir sunucuda tutabilirsiniz. Bunun icin yapmaniz gereken tek sey, OWA nin calisacagi exchange server i front-end olarak tanimlamaniz. Bunun disinda DMZ de duran bir Exchange ile ayni sistem de DC calismasi tabiki guvenlik seviyesini bir kac kademe asagi cekecektir.
Gorusmek uzere,
Emre Aydın
mshowto_twitter
7 ay önce gönderildi
Peki sizce hangisi kullanmalıyım şu anda Dc olarak çalışan exchange sunucumu member server mı yapmalıyım (Yada bu mümkünmü?) Yoksa OWA’yı farklı bir sunucudamı tutmalıyım ama bu bana pek bir çözüm sağlamayacaktır herhalde sonuç itibarı ile smtp portuna dışarıdan yine ulaşım olacaktır.(Veya smtp sunucumuda farklı tutabilirmiyim?) Cevaplarınız için şimdiden teşekürler.
mshowto_twitter
7 ay önce gönderildi
Merhaba tekrar,
Exc. 2003′de SMTP yi varolan yapidan ayirmak cok mumkun degil. Exc. 2007′de zaten her rol ayri sunucuya kurulabiliyor. Yada farkli bir cozum yine exc. 2007 ile forefront kullanmaniz olacak. Bu sekilde disardan baglanilacak herkes icin sadece HTTPS kullanmaniz yeterli oluyor.
Kisacasi su andaki varolan yapi icersinde yapilabilecekler asagidaki gibi olabilir;
Front-End exc. 2003 sunucunuzu DMZ de bir member server uzerine kurun.
OWA yi bu front-end i kullanacak sekilde disari publish edin.
Local de asil exc. 2003 u ve dilediginiz sayida DC tutun.
Kolay gelsin,
Emre AYDIN
mshowto_twitter
7 ay önce gönderildi
Emre bey söylediğiniz gibi yaptım front-end server kurup owa’yı orada publish ettim.Fakat şimdide bu sunucu üzerinde terminal server ile oturum açamıyorum çok vakit alıyor sanıyorum rpc sunusu ile haberleşemiyor bu tip hatalar veriyo ara sıra. Hangi portlara izin vermeliyim DMZ’den Local’e microsoft’un sitesinde yazan bütün portlara izin verdim acaba atladığım bir yermi var?Aşağıda izin verdiğim port numaraları var.Yardımcı olursanız sevinirim iyi çalışmalar.
DNS:53
Ipsec:500
Kerberos : 88 tcp/udp
Ldap Directory: 389 Tcp/Udp
Ldap SSL:636 Tcp/Udp
Global Catalog : 3268-3269
Rpc:135 Tcp
1600 Tcp
Ip:51
Ip:50
Smtp:25
Bu kadar çok port açmak normalmi?
Yardımlarınız için şimdiden teşekkür ederim.
mshowto_twitter
7 ay önce gönderildi
Baris Bey Merhabalar tekrar,
Acilmasi gereken protokoller Front-end Exchange Server’dan DC’ye:
Kerberos-Adm (UDP)
Kerberos-Sec (TCP)
Kerberos-Sec (UDP)
LDAP
LDAP (UDP)
LDAP GC (Global Catalog)
Microsoft CIFS (TCP)
Microsoft CIFS (UDP)
NTP (UDP)
RPC (all interfaces)
DNS
İkinci bir rule ile front-end Exchange Server’dan Back-end Exchange Server’a asagidaki protocoller:
HTTP
IMAP4
POP3
Link State-Algorithm Routing
SMTP protokolunu DMZ de duran SMTP Relay hizmeti sunan farkli bir sunucu ile ayirmakta mumkun. ISA tarafinda asagidaki makale dizisi yardimci olacaktir.
Exchange tarafinda aagidaki makale dizisi yardimci olacaktir:
Terminal Server’ı ISA dan publish ettikten sonra baglanirken nasil bir hata donuyor?
Kolay gelsin,
Emre.
mshowto_twitter
7 ay önce gönderildi
öncelikle DMZ e almak o server’ı network’ünüzden izole edip network’ünüzü korumak adına yapılmış bir uygulamadır.
exchange server’ı nızı illa DC olarak yapılandırmanıza gerek yok. member server olarak da konfigüre edebilirsiniz.
http://www.petri.co.il/exchange.htm
linkini incelemenizi öneririm.
Ahmet Mutlu