نحوی ایجاد دسترسی به outlook web app از طریق اینترنت
سلام دوستان یک سناریو در مورد exchange 2013 sp1 دارم می خوام تجربه و نظر دوستان رو در این زمینه مطلع بشم اول یک عکس از این طراحی براتون بزارم
همینطور که توی عکس می بینید یک DC و یک سرور که رول های mailbox و cas روی اون نصب شده داریم و در قسمت شبکه داخلی قرار داره و یک سرور که نقش edge transport جهت برقرار کردن ارتباط سرور ایمیل ما با دنیای بیرون داره توی قسمت DMZ
در این حالت همه چی درست کار می کنه و کاربرا می تونن از شبکه داخلی به بیرون ایمیل ارسال و دریافت کنند
حالا می خوایم که کاربر بتونه از طریق اینترنت هم به ایمیلش دسترسی داشته باشه
توی این حالت روی فایروال بیرونی پورت 25 برای ارسال و دریافت ایمیل باز هست و حالا برای دسترسی به OWA باید پورت 443 را باز کنم اما مشکلی که هست سروری که روی اون نقش CAS نصب میشه باید عضو دامین باشه در نتیجه نمی تونم اونو توی محیط DMZ قرار بدم و پورت مورد نیاز اکتیودایرکتوری باز بزارم
جستجوهایی که کردم استفاده از سرویس federation را پیشنهاد دادن که دردسرهای خاص خودشو داره مثلا برای اون باید یک سرور توی محیط inside و یک سرور توی محیط DMZ قرار بدم و همچنین نیاز به Certificate داره
خلاصه دنبال یک راه حل امن و راحت تر هستم
6 پاسخ
خدمت دوستمون برادر جعفر عرض کنم که رول EDGE برای ارتباط ایمیل با محیط بیرون هستش
شما نمیتونی از این رول برای استفاده ملت از outlook anywhere و OWA استفاده کنی!
در واقع کسی که بخواد بیاد از OWA شما استفاده کنه الا و للا باید بیاد سراغ سرور CAS شما که داخلی هستش!!
برای حل مشکلات امنیتی این قضیه باید از یک فایروال استفاده کنی که همونطور که دوستمون امیر خان اشاره کردن مثلاً میتونی از TMG استفاده کنی که یک سری ابزار مخصوص این کار داره
پس اینجوری میشه سناریو:
وقتی ایمیل میاد، میره سراغ EDGE شما و سرور Edge اون رو به Hub میده
وقتی کاربر میخواد بیاد بره توی OWA میاد توی فایروال شما و اون با NAT و PAT میفرستتش سراغ CAS سرور شما
خوش باشی!
بلاخره بعد از کلی گشتن و تست کردن راه حل مورد نظرم رو پیدا کردم
با استفاده از سرویس WebVPN سیسکو تونستم این سرویس رو پیاده کنم
ممنون از همه دوستان بابت نظراتشون
ممنون از نظرت اما گذاشتن یک RODC تو dmz نیاز به باز گذاشتن پورت های مرتبط به اکتیودایرکتوری داره که به لحاظ امنیتی درست نیست
مهندس من جزوه رو نگاه کردم روش اینجوری خط ابی مسیر از بیرون وصل شدن به داخله
این روش تو خود کتاب اکسچنج و tmg هم پیشنهاد شده
درخواست باید بیاد مثلا روی tmg لبه ی lan بعد publishing بشه به سمت dmz و فقط tmg داخل dmz حق داره به cas وصل شه
در ضمن dc رو پشت cas قرار بدید
برای ارتباط با داخل و خارج از organization باید send و recive و connector تعریف کنید
برای دست بیرونی lan هم برای امنیت بیشتر میتونید از junper یا ASA استفاده کنید
مسیر قرمز توی عکس هم شرح میده از داخل به خارج از چه مسیرایی باید رد شه تا بتونه EMAIL بده
برای امنیت خاطر بیشتر هم میتونید بین CAS و DC یه IPSEC بزنید
ترافیک بین dc و rodc هم میشه یا همین روش ipsec زد
خود ex یه قابلیت گزاشته ولی من الان حضور ذهن ندارم
ولی شما میتونید یه rodc توی dmz بزارید و ارتباطش رو با edge از ipsec رو ssl رد کنید