Bonjouurrrrr
 
Sujet du jour    
 
On a un serveur Exchange, installé sur un serveur dédié, controleur de domaine.
Le but est maintenant de l'ouvrir à l'extérieur, pour que nos utilisateur équipé de pc portables réussissent à relever leurs calendrier Outlook, le mettre à jours, etc...
 
Je ne sais pas pourquoi, mais ca me parait une mauvaise idée de mettre ce serveur en frontal derrière mon routeur en routant les ports nécessaires.  
 
Vous me conseilleriez de mettre quoi en place comme architecture ?
 
Merci d'avance de vos conseils

Recommandation Microsoft (jusqu'à la version 2003, après je ne connais pas leurs recommandations):
1 serveur Exchange derriere le parefeu
1 serveur Exchange avec OWA activé en DMZ
=> 2 x plus de serveurs et 2 x plus de licence!

Heu, youhou...

Exchange + owa en frontal, puis mon exchange derrière.
A tout hasard, comment l'exchange en DMZ il trouve les infos qui vont bien pour les transférs ? Quand je vais installer le deuxième exchange (celui en dmz), je le mettrais pas controleur de domaine, mais je vais devoir l'intégrer à mon domaine non ?

quelle version dejà ? ca a changé en 2007

Avec le RPC over HTTP, seul le port 443 est nécessaire.

n'empeche que jamais je mettrai une redirection de port vers un DC ...

2003 64bit  

443 entre quoi et quoi ?

exchange 2003 ou windows 2003 tu parles ?
 
443 entre le client et le serveur biensur

Win 2003

Toute ton infra en interne, avec un reverse proxy en DMZ.
MS va recommander un ISA, mais ca fonctionne aussi avec un apache.

pas le rpcohttp (dans les dernières verisons d'apache [en tt cas il y a 2 ans], par contre squid ça marche)

Il y a des subtilités pour le RPCoHTTP avec Exchange 2010. IIS en reverse proxy doit utiliser le plugin qui va bien (RPC over HTTP proxy).
 
Mais n'importe quel load balancer ou reverse proxy bien configuré peut détecter le trafic RPCoHTTP via le User-Agent. Voilà le header type :
 
RPC_IN_DATA /rpc/rpcproxy.dll?exch-ace-tme.com:6004  
HTTP/1.1
Accept: application/rpc
User-Agent: MSRPC
[...]
Authorization: Basic blablablabla==

J'avais écrit sur un forum à l'époque (2008) :
 
In fact, in Apache 2.0.55, the functionnality changed and it is not possible to make it work since this release.
You can have a loot there : http://www.techlists.org/archives/ [...] 0270.shtml
and in the bugzilla : https://issues.apache.org/bugzilla/ [...] i?id=40029
 
 
Je sais pas si ça a changé depuis
 
 
C'est quoi les subtilités en Exchange 2010 dreamer18 ?

Il me semble que le middle tier a changé entre 2007 et 2010. faudrait queje me penche dessus en détail pour voir les différences, je crois que les clients MAPI ne discutent plus avec les mailbox en direct mais passent par un reverse proxy applicatif situé dans le middle tier.

Exact, c'est le seveur CAS qui est maintenant un vrai middle tier : MAPI, RPCoHTTP, OWA, Web services, Active sync.
 
Seul l'accès en MAPI sur les public folders se fait directement sur les serveurs de mailbox. En 2007, tout le MAPI était sur les mailbox.

Pour ma part, c'est un Exchange 2007

ouais donc reverse proxy et utilisation de rpcohttps

En essayant d'être exhaustif :  
 
Placer un 2003 server en dmz
Y installer exchange ( ? )
Y installer rpcohttps ( ? )
Y mettre un reverse proxy ( qui par exemple sur un 2k3 ? )
 
Rediriger le 443 vers ce serveur en dmz.
 
Ouvrir un port (ou plusieurs ?)  entre mon serveur en dmz et mon exchange actuel ?
 
Puis champagne ?

installer un 2003 ou autre, installer un reverse proxy, rediriger le 443 vers ce serveur, ouvrir le 443 (voir autre en fn de l'auth) entre le serveur en dmz et exchange

heu, c'est tout ? Vais ptet essayer ca avec un squid alors ! Je pensais pas que c'était si con que ça...

ouais c'est tout.

Allez go, je me lance dans la bataille :
 
J'ai une debian de prête,  
apt-get install squid > Ok
 
Ca c'est bon.
 
Le suite, je suis tombé la dessus.
Il "suffit" d'ajouter ces lignes dans mon squid.conf ?
http://wiki.squid-cache.org/Config [...] xchangeRpc

à toi de voir si tu veux du squid ou squid3.
 
Après à qq opérations près ouais c'est ça.

je viens de créer un topic ici dédié à cette question
 
http://forum.hardware.fr/hfr/syste [...] htm#t67904

Je up ce topic, pour avoir une précision.
 
On va s'orienter vers un Isa serveur pour la partie frontale.
 
J'ai déjà mon exchange 2007 sur un 2003Server.
 
Concrètement, il me faut quoi ?  
 
- Un serveur, sur 2003/2008, hors domaine ? membre du domaine ? (bien sur pas Controleur de domaine).
- Une licence Isa serveur
 
Ca sera tout ?
Niveeu perfs, c'est gourmand ?  
 
Merci de vos conseils

Question subsidiaire, ca coute combien isa server ?

cher, trop cher pour ce que ca fait ? surtout dans ta config ?

   
C'est cher pour ce que c'est, c'est un fait, mais c'est combien ?

http://www.microsoft.com/forefront [...] px?pf=true

Non mais c'est une blague        
kaka là...

Je m'en sors pas de la conf avec un squid.
 
J'ai pas d'autres solutions ?

apache ?

Sur ce meme topic :
 
http://forum.hardware.fr/forum2.ph [...] s=0#t67268
 
Ca semble dire que ca ne fonctionne pas, non ?

Si je comprends bien, c'est hors de prix d'ouvrir un exchange à l'extérieur avec une solution microsoft, ou un truc plus ou moins recommandé par Bill ?

Ma conf Squid3.1 (avec support ssl) :

 
   
Je vais essayer celle là. Mais j'en ai tellement essayé des choses sur squid

Bonjour,
Je déterre ce topic pour savoir si une solution a été trouvé.  
 
J'ai une question complémentaire, je ne connais pas exchange mais un prestataire me demande des modificaitons sur le parefeux pour donner acces directement de l'extérieur vers le réseau interne.
 
Dans nos réseaux nous avons plutôt l'habitude de mette un frontal en DMZ pour donner l'accès à des services internes.  
C'est cette machine en dmz qui est accessible de l'extérieur.  
C'est également cette machine qui qui doit communiquer avec l'interieur.
 
D'après le prestataire cette configuration n'est pas possible avec exchange. Je suis étonné.
 
Nous avions un test en cours avec ce un serveur exchange en dmz et tout un tas de port ouvert entre dmz et serveurs en prod (dns 53), ldap(389), port echange (3268 ), 123, 445, 139, 137,138 ...)
 
Je trouve cela un peu large en ouverture et peu sécure comme configuration.  
Je suis étonné que le serveur exchange soit unique et dans la dmz.
Que ce serveur unique soit intégré AD (d'ou la communication sur plein de port).
 
En clair je suis étonné qu'il n'y ai pas de schéma plus sécure chez microsoft d'apres le presta. Qu'est ce donc que le serveur CAS, qu'est ce que les forefront serveur microsoft.
Pourquoi tant de port à ouvrir.
 
La configuration actuel est sous exchange 2007 mais une montée en version n'est pas à exclure.
 
Notre parefeu/proxy/reverse est sous linux (iptable, squid, nginx ...)
 
merci de vos lumières sur une configuration propre de exchange ouvert sur le monde

Non ça se fait pas un exchange en DMZ.
Un Exchange ça se met en interne, sauf le role Edge (passerelle SMTP antispam, mais ça fait pas de publication client).
 
Si tu veux un accès externe, tu mets un reverse proxy et une passerelle SMTP (ou tu publies directement le smtp d'exchange). Pour le reverse proxy, la solution MS c'est Forefront TMG, voir UAG si tu veux aller plus loin. Sinon tu en as d'autres

c'est bien ce que je pensais, pas de serveur exchange en dmz.
 
Le besoin d'accès depuis l'extérieur se fait via OWA, peut etre outlook je verrai ca cette semaine.
 
Donc si je comprends bien il est possible d'avoir exchange à l'interieur du reseau et en dmz je met un serveur tier.
 
Quels sont les ports à ouvrir dans ce cas entre dmz et réseau interne ? et entre dmz et extérieur.
 
Pour info le presta a mis en plus un IMSS (InterScan Messaging Security Suite) pour l'antispam.
 
Quand tu parles de reverse proxy ce serait plutot directement entre exterieur et exchange ?
Visiblement ce qui pose problème est le passage par le point dmz. Je pensais que dans la version 2010 il y avait ce type de role avec le serveur CAS pour mettre un serveur en DMZ et ne pas exposer le serveur exchange.
 
Merci pour ta réponse, je cherche dans les doc microsoft mais je ne trouve pas mon cas et je découvre exchange donc les termes me sont pour beaucoup étrangés. tous ces roles m'embrouilles et quand je cherche les ports je retombe souvent sur du RPC port dynamique (pas facile à traduire en iptables :-D)