Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2031 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MAJOR Network reconfiguration /w Astaro 220, Exchange 2003 and OWA: Best Confg?

mrainey
Total Newbie!

Currently running an NT Domain Server and Exchange 55 server behind a corporate WAN and firewall. Will soon become standalone network.

Plan to update both NT Servers to 2003 Server and Exchange to 2003 and install an ASL 220. Initial network will go through COVAD DSL and will later migrate to T1 with DSL failover.

I need some best practices advice to configure this environment. I have to support OWA for the Exchange Server. In the old Exchange 55, I could just install OWA on a PC and put that in the DMZ (?). Exchange 2003 does not seem to allow this seperation. From the SMTP forum here and elsewhere, it seems I have 2 options. 1) Put the Exchange Server /w OWA on the internal network with ISA Server in the DMZ to support the OWA sessions or 2) install a second Exchange Server as a front-end server in the DMZ.

Does this sound right? What issues do I need to be aware of in this environment to get the ASL 220 configured correctly? Anyone have real experience getting Exchange Server 2003 with OWA working with ASL?


This thread was automatically locked due to age.
Parents
  • 0
    We run a Windows 2003 server environment. Because of the large number of ports that needs to be open between an Exchange 6.5 post office and a separate front end server running the OWA, we decided against placing the front end webmail server in our DMZ network. Instead, it sits on the Internal network with the other Windows servers. That way we only needed to open TCP port 80 to it through the firewall. We rely on snort in the Astaro box to catch any port 80 hacking attempts on our webmail server.
  • 0 in reply to VelvetFog
    So, you are suggesting I don't need anything in the DMZ? But deffinetely DO need the front-end/back-end Exchange Server configuration? You are using the ASL SMTP Proxy to send / receive email from / to the Internet /Exchange Server frontend?

    Where can I find out more about snort?

    To complicate things, in a few months we will have a web site hosted off-site that will need to access a SQL server (or at least get information from) on the internal network.

    Thanks for any input.
  • 0 in reply to mrainey
    So, you are suggesting I don't need anything in the DMZ? But deffinetely DO need the front-end/back-end Exchange Server configuration? You are using the ASL SMTP Proxy to send / receive email from / to the Internet /Exchange Server frontend?

    Where can I find out more about snort?

    To complicate things, in a few months we will have a web site hosted off-site that will need to access a SQL server (or at least get information from) on the internal network.

    Thanks for any input.

    It's my understanding of Exchange 2003 that the Front End server cannot be in a DMZ.  Ours is in our internal network and I only allow port 443 traffic to that server.  Works fine.

    For the off-site web server, I assume it will have a DNS name or a static IP.  All you have to do is allow traffic from that server in using the SQL port (1433?).
  • 0 in reply to rstark
    Thanks for the suggestions. Are you using the http proxy on the ASL to handle the port 443 requests to OWA?
  • 0 in reply to mrainey
    No, that's reverse proxy which is currently not supported.

    I have installed a seperate public IP on our external NIC of the firewall, that IP forwards OWA / RPC over HTTP to the Exchange server sitting in our private net.

    Astaro SMTP proxy forwards incoming mail to the private net Exchange server.
  • 0 in reply to mrainey
    So, you are suggesting I don't need anything in the DMZ? But deffinetely DO need the front-end/back-end Exchange Server configuration? You are using the ASL SMTP Proxy to send / receive email from / to the Internet /Exchange Server frontend?
    We send and receive the SMTP mail using the main Exchange server via the ASL SMTP proxy. The front end machine does just the webmail function. Our Exchange post office machine is also a Windows domain controller, so we run Microsoft IIS for the Exchange webmail as a service in a local machine account on a server that is just a domain member. That way, should anyone succeed in hacking into the IIS web server and doing privilege escalation, they can't get any further, since the IIS server process has no domain privileges.

    Where can I find out more about snort?
     Go to www.snort.org, or just Google snort.

    To complicate things, in a few months we will have a web site hosted off-site that will need to access a SQL server (or at least get information from) on the internal network.
    You can configure masquerade and filter rules in ASL that will let you present the SQL server to the outside world. Personally, I think doing so is a fairly large security risk. But the ASL snort based IDS system does have a number of rules that will help police such connections.
Reply
  • 0 in reply to mrainey
    So, you are suggesting I don't need anything in the DMZ? But deffinetely DO need the front-end/back-end Exchange Server configuration? You are using the ASL SMTP Proxy to send / receive email from / to the Internet /Exchange Server frontend?
    We send and receive the SMTP mail using the main Exchange server via the ASL SMTP proxy. The front end machine does just the webmail function. Our Exchange post office machine is also a Windows domain controller, so we run Microsoft IIS for the Exchange webmail as a service in a local machine account on a server that is just a domain member. That way, should anyone succeed in hacking into the IIS web server and doing privilege escalation, they can't get any further, since the IIS server process has no domain privileges.

    Where can I find out more about snort?
     Go to www.snort.org, or just Google snort.

    To complicate things, in a few months we will have a web site hosted off-site that will need to access a SQL server (or at least get information from) on the internal network.
    You can configure masquerade and filter rules in ASL that will let you present the SQL server to the outside world. Personally, I think doing so is a fairly large security risk. But the ASL snort based IDS system does have a number of rules that will help police such connections.
Children
  • 0 in reply to VelvetFog
    Our MX record points to an external IP address that is NAT'd to our Astaro box.  In the Proxies>SMTP section under Profiles and domain group assignment, the Route Target is our internal Front End Exchange server since this server is also the Exchange routing connector.  It sends and recieves all outbound/inbound email.

    I have a packet filter rule: source: any; service:HTTPS destination:InternalMailserver.  This allows only port 443 traffic to hit our Front End Exchange server for OWA.  We also have a second public IP that is NAT'd to our internal Front End Exchange server.

    Right now, the Astaro sits behind a Cisco PIX (until the PIX breaks or if I'm feeling brave enough to remove it - I have a dozen or so people that already had the Cisco VPN client installed).
Cookie Information Banner