Client-Access-Role in der DMZ?

Willmar · 30. August 2007

Hallo all 2007-Profi's,

Die EDGE-Role in der DMZ ist ja kein Problem, Kunde will aber die Client-Access-Role in die DMZ stellen, um "gesichert" mit externen POP3-Clients und Windows Mobile 5 oder 6 arbeiten zu können.

Was haltet Ihr davon?

Jürgen · 30. August 2007

Hallo,

ich halte aus Sicherheitstechnischen Gründen nichts davon.

Die Ports müssen eh aufgemacht werden, und daher sehe ich keinen Grund einen Server mit der CAS Rolle in die DMZ zu setzen.

gessner · 30. August 2007

Hi,
wir hatte auch erst vor einen CAS (Client-Access-Server) in die DMZ zu stellen, aber bei dem Versuch den CAS in die Exchange-Organisation zu bekommen ist es schon gescheitert. Wir wollten aus der Firewall keinen schweizer Käse machen. Der CAS kommuniziert mit dem Mailbox-Server über RPC (sicherlich kann man die Ports einschränken, aber es sind trotzdem noch zu viele offen). Ausserdem müssen die ganzen Ports für die Kommunikation mit den Domain-Controllern erlaubt werden.
Wir haben uns dann dafür entschlossen einen ISA2006 in die DMZ zu stellen, der sich um die Bereitstellung der Dienste (bisher allerdings nur OWA) kümmert.

Willmar · 31. August 2007

Hallo Ihr Beiden,

besten Dank - Ihr habt meine Meinung damit nur bestätigt.

Teilen