我正在阅读部署Exchange 2007的文档,我对一个部分感到困惑。 我打算将Edgeangular色放在DMZ中的自己的非域计算机上,而DMZ中另一台计算机上的其余angular色也放在这个angular色上。 这个想法是,边缘angular色只有必要的邮件端口才能发送邮件,并且由于它们位于同一个网段,所以它将能够访问主pipe其他angular色的后端服务器。 后端服务器将运行CASangular色(等等),通过防火墙提供OWA和Exchange Activesync。 从DMZ打开到内部专用networking的唯一端口将是后端服务器的ADauthentication所需的端口。
问题来自于我读到的所有内容都说边缘angular色应该在DMZ中描述,但其余angular色不应该在DMZ中,而应该在私有LAN中。 它继续说,OWA和Exchange ActiveSync应该发布到ISA,或者直接暴露在互联网上。 我没有(或者特别想要)ISA服务器,而且直接将私有局域网上的服务器直接暴露给互联网似乎是不直观的。
我在误读吗? 我应该按照计划将后端服务器放在DMZ中,并且完成它吗?
微软推荐你使用ISA来向互联网发布OWA的原因是为了克服你对互联网(至less在第三层)直接向互联网上的服务器暴露的“反欺骗”感觉。
我不会把我的后端服务器托pipe其他Exchangeangular色到DMZ,如果没有其他原因,我不想将我的防火墙设备暴露给LAN上的计算机的所有Outlook客户端通信。
如果您不习惯在第3层公开承载OWA和ActiveSync的服务器,请抓住一些开源的HTTP代理,并将其放置在Internet和LAN之间,以将HTTP代理到OWA中。
根据您的规模和需求,您可能只想跳过边缘angular色,并使用第三方病毒/垃圾邮件filter(appriver,postini等)。 我们走了这条路,因为它是我们唯一需要的Edgefunction,而且我也没有特别的感觉就像使用ISA服务器一样。