我正在阅读有关部署 Exchange 2007 的文档,但有一节让我感到困惑。我打算将 Edge 角色放在 DMZ 中其自己的非域计算机上,将其余角色放在 DMZ 中的另一台计算机上。我的想法是,Edge 角色只会打开邮件传递所需的端口,并且它将能够访问托管其他角色的后端服务器,因为它们位于同一网络段中。后端服务器将运行 CAS 角色(以及其他角色),通过防火墙提供 OWA 和 Exchange Activesync。从 DMZ 到内部专用网络的唯一开放端口将是后端服务器的 AD 身份验证所需的端口。
问题在于,我读到的所有内容都表明边缘角色应该位于 DMZ 中,但其余角色不应该位于 DMZ 中,而应该位于私有 LAN 中。它继续说 OWA 和 Exchange ActiveSync 应该通过 ISA 发布,或直接暴露在互联网上。我没有(或特别想要)ISA 服务器,将私有 LAN 上的服务器直接暴露在互联网上似乎违反直觉。
我是不是理解错了?我是否应该按照计划将后端服务器放入 DMZ 中,然后就完事了?
答案1
Microsoft 建议您使用 ISA 将 OWA 发布到 Internet 的原因是为了克服您将 LAN 上的服务器直接暴露到 Internet(至少在第 3 层)的“违反直觉”的感觉。
我不会将托管其他 Exchange 角色的后端服务器放入 DMZ,如果没有其他原因,我认为我不想将防火墙设备暴露给来自 LAN 上计算机的所有 Outlook 客户端流量。
如果您不愿意在第 3 层公开托管 OWA 和 ActiveSync 的服务器,请获取一些开源 HTTP 代理并将其放置在 Internet 和 LAN 之间,以将 HTTP 代理到 OWA。
答案2
根据您的规模和需求,您可能只想跳过边缘角色并使用第三方病毒/垃圾邮件过滤器(appriver、postini 等)。我们选择了这条路线,因为这是我们唯一需要的边缘功能,而且我也不特别想使用 ISA 服务器。