Contrôleur de domaine + Exchange + ISA avec 2 serveurs....

Contrôleur de domaine + Exchange + ISA avec 2 serveurs.... - Windows & Software

Marsh Posté le 02-01-2003 à 11:16:47    

Salut,
 
J'ai deux serveurs à ma disposition et je dois y faire tourner:  Exchange 2000 + ISA Server + 1 ou 2 contrôleur(s) de domaine. Selon vous quelle solution dois-je adopter ? Exchange + ISA sur le même serveur et le CD sur l'autre serveur; ou alors CD + ISA et Exchange sur l'autre serveur; ou CD + Exchange et ISA sur l'autre ? Quelle est la meilleure configuration selon vous ? Je sais que le top serait 3 serveurs mais bon j'en ai que deux pour réaliser cela...
 
:hello: et bonne année.


Message édité par Webman le 02-01-2003 à 11:26:48
Reply

Marsh Posté le 02-01-2003 à 11:16:47   

Reply

Marsh Posté le 02-01-2003 à 14:52:44    

:bounce:

Reply

Marsh Posté le 02-01-2003 à 15:24:05    

La solution ideale pour ce type de config serai 3 serveurs... :  
 - un serveur frontal avec ISA qui a trois pattes : un sur le web, une sur le reseau privée, l'autre sur la DMZ.
 - un serveur sur le reseau privé qui te fait DC
 - un serveur sur laDMZ qui fait messageire avec Exchange
 
Cette solution est la plus adaptée à une solution securisée... (a condition que des gens consultent leurs mails de l'exterieur.)
Cela donnerai :  

                                  |==> Reseau privee : DC
Internet <====> Passeralle ISA <==|
                                   |==> DMZ : Messageire Exchange


Detail un peut la config de ts serveur STP...


Message édité par Chacal2k le 02-01-2003 à 15:25:00

---------------
L’Homme, 4 lettres. Bientôt quelques chiffres, MERCI Jean-Marie…
Reply

Marsh Posté le 02-01-2003 à 15:34:55    

Ma config est jouable en faite car ISA peut tourner seul sous 2k serveur sur une toute petite machine... style PII400


---------------
L’Homme, 4 lettres. Bientôt quelques chiffres, MERCI Jean-Marie…
Reply

Marsh Posté le 02-01-2003 à 15:37:48    

Hello chacal2k,
 
Je ne comprends pas pourquoi tu isoles le serveur Exchange du Lan où est situé le DC.
 
Le serveur Exchange devra être accédé par les utilisateurs du LAN.
Il faudra donc laisser passer la communication Netbios, MAPI (si ancien client de messagerie) + toute la comme concernant l'AD (LDAP, RPC, ...)
 
C'est pour ma culture.
 
WW

Reply

Marsh Posté le 02-01-2003 à 15:39:25    

WestWood a écrit :

Hello chacal2k,
 
Je ne comprends pas pourquoi tu isoles le serveur Exchange du Lan où est situé le DC.
 
Le serveur Exchange devra être accédé par les utilisateurs du LAN.
Il faudra donc laisser passer la communication Netbios, MAPI (si ancien client de messagerie) + toute la comme concernant l'AD (LDAP, RPC, ...)
 
C'est pour ma culture.
 
WW


Est-ce que des gens de l'exterieurs : style des commerciaux en deplacement devront avoir acces aux info du serveur Exchange???


---------------
L’Homme, 4 lettres. Bientôt quelques chiffres, MERCI Jean-Marie…
Reply

Marsh Posté le 02-01-2003 à 15:43:14    

A mon avis, il serait intéressant pour Webman d'envisager cette possibilité.
Mais ceci ne pose pas de problème puisque un serveur Exchange+IIS fonctionne en Front End / Back End par défaut.
Il suffira de publier le site via le ISA.
 
Mais je vois toujours pas l'intérêt de surcharger en routage de ISA juste pour isoler l'Exchange.
Je comprendrai si on avait un serveur avec connecteur SMTP+antivirus uniquement, non ?
 
WW

Reply

Marsh Posté le 02-01-2003 à 15:45:26    

WestWood a écrit :

A mon avis, il serait intéressant pour Webman d'envisager cette possibilité.
Mais ceci ne pose pas de problème puisque un serveur Exchange+IIS fonctionne en Front End / Back End par défaut.
Il suffira de publier le site via le ISA.
 
Mais je vois toujours pas l'intérêt de surcharger en routage de ISA juste pour isoler l'Exchange.
Je comprendrai si on avait un serveur avec connecteur SMTP+antivirus uniquement, non ?
 
WW


Je pense que si il y a enormement de requete externes C plus sur... de l'isoler dans une zone hermetique...


---------------
L’Homme, 4 lettres. Bientôt quelques chiffres, MERCI Jean-Marie…
Reply

Marsh Posté le 02-01-2003 à 15:59:05    

A mon avis, mais cela sera fonction du nombre d'utilisateurs, il y a aura toujours + de requêtes internes que externes.
 
Je m'explique :
En interne les clients de messagerie sont tout le temps connecté au serveur. La moindre action sur l'interface d'outlook (calendrier, ouverture d'un dossier - non local (pst)-) entraîne une série de requête RPC. De plus ces requêtes orientées LAN sont très lourdes.
Il faut aussi considérer le trafic purement interne mail de bidule à truc pour l'inviter au café.
Il faut aussi considérer le pooling du client de messagerie qui va périodiquement consulter le serveur pour savoir si un message a été reçu.
 
En externe il faut envisager deux trafics  
1/ SMTP envoi et réception des mails à destination ou en provenance de l'externe
2/ Consultation via OWA du serveur (accès léger au serveur Exchange sans pooling de la connexion)
 
A mon avis le trafic interne et bien plus lourd que le trafic externe.
 
non ?
 
WW

Reply

Marsh Posté le 02-01-2003 à 16:01:52    

Chacal2k a écrit :


Je pense que si il y a enormement de requete externes C plus sur... de l'isoler dans une zone hermetique...


 
Les requêtes ne se compteront pas par centaines de milliers... car je fais ca dans un but pédagogique... Comme j'effectue une formation par correspondance le seul matos auquel j'ai accès c'est le mien...
 
Donc en clair je comptais faire cela:
 
Internet <----> ISA + Exchange <---> CD
 
Pour le serveur ISA + Exchange c'est un Athlon 1400 + la RAM qu'il faut.
Pour le controleur de domaine c'est un PII 333 + 384Mo de RAM. Sur ce CD il est également installé un serveur HTTP sous IIS, un serveur FTP et un serveur TS.
 
Actuellement mon réseau c'est cela:
Internet <----> CD >---->
Et je voudrais avoir ca:
Internet <----> ISA + Exchange <---> CD
 
J'aurais donc du poser ma question autrement... en fait je veux savoir si il n'est pas "déconseillé", du point de vue de la strucuture du réseau, de faire cela.

Reply

Marsh Posté le 02-01-2003 à 16:01:52   

Reply

Marsh Posté le 02-01-2003 à 16:02:42    

Précisiion: il y aura deux clients en interne, et 3 ou 4 clients distants.

Reply

Marsh Posté le 02-01-2003 à 16:06:38    

A mon avis vu le nombre de client met plutôt le DC et le Exchange ensemble et le ISA seul.
 
 
Si tu as ADSL ou équivalent configure le ISA en Firewall uniquement (non membre de l'AD si tu veux plus de sécurité ou membre de l'AD si tu veux faire du filtrage de contenu).
 
En plaçant l'Exchange sur le DC tu optimizes la charge engendrée par les requêtes d'accès à l'AD. Et pour deux users cela ne sera pas trop grave d'avoir deux bases de données sur une même machine.
 
WW


Message édité par WESTWOOD le 02-01-2003 à 16:07:18
Reply

Marsh Posté le 02-01-2003 à 16:14:18    

WestWood a écrit :

A mon avis vu le nombre de client met plutôt le DC et le Exchange ensemble et le ISA seul.
 
 
Si tu as ADSL ou équivalent configure le ISA en Firewall uniquement (non membre de l'AD si tu veux plus de sécurité ou membre de l'AD si tu veux faire du filtrage de contenu).
 
En plaçant l'Exchange sur le DC du optimize la charge engendrée par les requêtes d'accès à l'AD. Et pour deux users cela ne sera pas trop grave d'avoir deux bases de données sur une même machine.
 
WW


 
Ok merci de tes précieux conseils :jap:
Sinon pourquoi du fait que je sois en ADSL tu me conseille de mettre ISA en Firewall uniquement ? le fait d'etre en ADSL est il problèmatique avec le fait d'utiliser ISA également comme serveur de cache ?
 
Une autre petite question: en quoi le fait d'intégrer le serveur ISA dans l'AD est moins sûr ? C'est du au fait qu'en cas d'accès extérieur frauduleux il y a ansi une grosse porte ouverte sur la base d'AD ou alors c'est autre chose ?
 
Une dernière question: est'il envisageable (en dehors de la puissance necessauire) de faire tourner ISA et un contoleur de domaine sur le même serveur ou alors cela peut etre source de problème ? car si c'est possible je pourrais me retrouver avec 2 CD et ainsi je pourrais gérer la réplication de l'AD.
 
En tout cas encore merci WW pour ton aide ! Merci également à Chacal2K :jap:

Reply

Marsh Posté le 02-01-2003 à 16:22:04    

1/

Citation :

Sinon pourquoi du fait que je sois en ADSL tu me conseille de mettre ISA en Firewall uniquement ? le fait d'etre en ADSL est il problèmatique avec le fait d'utiliser ISA également comme serveur de cache ?


Il n'y a pas de problème particulier à faire tourner ISA en cache avec une connexion ADSL.
Mais cela se jusitifie moins surtout vu ton nombre de client.
Il y a de faibles probabilités pour que ton cache soit pertinent avec deux utilisateurs. (faibles probabilités que vous consultiez les mêmes sites)
En clair le cache est proportionnellement plus intéressant plus le nombre d'utilisateur est grand.
 
2/

Citation :

Une autre petite question: en quoi le fait d'intégrer le serveur ISA dans l'AD est moins sûr ? C'est du au fait qu'en cas d'accès extérieur frauduleux il y a ansi une grosse porte ouverte sur la base d'AD ou alors c'est autre chose ?


Oui.
Le fait que le ISA soit intégré à l'AD donne un grand nombre d'information localement sur le ISA serveur pour continuer l'attaque sur ton réseau.
A commencer par le nom de domaine et le compte administrateur de l'AD qui se retrouvera très probablement dans le groupe administrateurs locaux de ton ISA (si tu laisses la configuration par défaut).
 
3/

Citation :

Une dernière question: est'il envisageable (en dehors de la puissance necessauire) de faire tourner ISA et un contoleur de domaine sur le même serveur ou alors cela peut etre source de problème ? car si c'est possible je pourrais me retrouver avec 2 CD et ainsi je pourrais gérer la réplication de l'AD.


Oui tu peux.
Mais sur l'aspect sécurité c'est zéro.
Si une personne arrive à pénétrer ton ISA, il possède un accès local à l'AD.
 
WW

Reply

Marsh Posté le 02-01-2003 à 16:28:33    

Ok ! merci beaucoup de ton aide ! :jap:
Finalement je vais opter pour le schéma suivant:
Internet <---> ISA (uniquement Firewall et non intégré à AD) <---> CD + Exchange
 
Avec ISA sur le PII 333 et CD + Exchange sur l'Athlon.
Le seul problème c'est qu'actuellement j'ai deux conrôleurs de domaine et que le maître d'opération est le PII 333 (celui destiné à ISA), je voudrais donc savoir si le transfert d'un contrôleur de domaine à un autre du rôle de maître d'opération est réalisable de manière "certaine" ou alors si cela tient du bidouillage ?
 
:hello:


Message édité par Webman le 02-01-2003 à 16:35:16
Reply

Marsh Posté le 02-01-2003 à 16:55:01    

Une bonne piste sur le sujet :
 
Flexible Single Master Operation Transfer and Seizure Process
http://support.microsoft.com/defau [...] us;q223787
 
Ne pas oublier le Wins (si installé) et le DNS/DHCP.
 
 
WW

Reply

Marsh Posté le 02-01-2003 à 16:58:45    

Merci pour ta réponse et le lien ! :jap:
Ah oui c vrai !!! je pensais au DHCP mais plus au DNS, cela aurait pu être facheux de plus avoir de DNS sur le domaine :D:D !!! Sinon pour le WINS pas de problème... je ne l'utilise pas :)
Il me semble avoir lu qu'il est possible de transférer la config d'un serveur DHCP, je vais faire des rechecrhes et aussi pour le DNS !
 
:hello::jap::jap:


Message édité par Webman le 02-01-2003 à 16:59:42
Reply

Marsh Posté le 02-01-2003 à 17:05:32    

Pour le transfert de la base DHCP :
http://www.eng.uwaterloo.ca/~hon/w [...] HOWTO.html

Reply

Marsh Posté le 02-01-2003 à 17:06:15    


 
C'est parfait !! Merci :jap::jap:
 
:hello:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed