NLS Posted January 29, 2009 Report Share Posted January 29, 2009 Αν υποθέσουμε ένα καθαρό σενάριο Exchange 2007 SP1 με όλα τα πιθανά services που δίνει (συμπεριλαμβανόμενου UM) και ένα single Exchange Edge μηχάνημα και έναν hardware router/firewall (όχι δηλαδή ISA) με δυνατότητα πάντως για DMZ (όπου θα είναι και το edge μηχάνημα). Έχω τις εξής απορίες, για τις οποίες ΔΕΝ βρίσκω μαζεμένο documentation (δηλ. οκ αν διαβάζεις ολόκληρα τα επί μέρους deployment guides πιθανά γίνονται αναφορές σκόρπια): 1) Πόσα FQDN τελικά θα πρέπει να ξέρουν οι εξωτερικοί DNS; (παρακαλώ μη μου πείτε "όσα και τα services" αλλά "τόσα και για τα τάδε και τάδε services" - ήδη είπα ότι θέλω όλα τα δυνατά services να παίζουν και εξωτερικά και εσωτερικά - αυτό το "συγκεκριμένο" information ψάχνω, μια και τα deployment guides θεωρούν περηφάνια τους να σε μπερδεύουν) 2) Πόσα από αυτά θέλουν certificate για να παίξουν; 3) Τελικά τα certificates θα μπουν στον εσωτερικό Exchange; Νόμιζα ότι ο ρόλος του Edge είναι να πάρει επάνω του όλο το Internet traffic για λόγους ασφαλείας και νόμιζα ότι ο router/firewall θα μιλάει μόνο στο DMZ όταν έρχεται κάτι απ' έξω. Κάνω τελικά λάθος; 4) Στα παραπάνω FQDN, μέσα στο certificate θα πρέπει να προσθέσω ΚΑΙ τα εσωτερικά host names των μηχανημάτων; (όποιου από τα δυο χρειάζεται) Ή θα μπορέσω να το αποφύγω αυτό, έχοντας το σωστό entry στους εσωτερικούς DNS; ΠΧ. Αν ο Exchange μου είναι το host "ena", άρα έχει FQDN ena.domain.gr και εγώ θέλω να παίξω το OWA μου εκεί, αρκεί ένα entry στο DNS που να λέει σε ποιο IP είναι ο owa.domain.gr (που θα είναι το ίδιο με το "ena") και μετά το certificate μου θα παίξει; Ή θα βγαίνει και ως ena.domain.gr δεν το γλυτώνω; (εσωτερικά) Αυτή η ερώτηση αφορά όλα τα services, μια και έστω και ένα να μη μπορεί να "κρυφτεί" και να βγάζει τον εαυτό του ως ena.domain.gr, τότε δεν γλυτώνω και πρέπει να έχω και αυτό το FQDN στο certificate. Αυτά. Δεδομένα: - Όλα τα μηχανήματα είναι Server 2008 64bit φυσικά. - Το εσωτερικό domain είναι ΤΗΣ ΙΔΙΑΣ μορφής με το public registered domain. Δηλ. domain.gr μέσα, domain.gr και έξω (σκέφτηκα ότι θα με διευκόλυνε σε κάποια πράγματα). Επειδή εμπλέκομαι σε ένα project, θα εκτιμούσα κάθε γρήγορη απάντηση (σήμερα δηλαδή []). Όποιος ξέρει ένα από τα τέσσερα, ας απαντήσει μόνο σε ότι ξέρει (με το ανάλογο νουμεράκι). Αν κάποιος μάλιστα μπορεί να απαντήσει αντίστοιχες ερωτήσεις και για τον OCS 2007 R2, please PM me... Ευχαριστώ εκ των προτέρων. Link to comment Share on other sites More sharing options...
klag Posted January 29, 2009 Report Share Posted January 29, 2009 Αν θες διάβασε αυτό το άρθρο. ΕΙΝΑΙ ΑΠΛΑ ΚΟΡΥΦΑΙΟ!!!! http://www.isaserver.org/tutorials/Publishing-Exchange-2007-OWA-Exchange-ActiveSync-RPCHTTP-using-2006-ISA-Firewall-Part1.html Δεν παίζει ρόλο που αναφέρεται σε ISA Νομίζω ότι θα λύσει αρκετές απορίες σου Και κάποιος άλλος από το Autoexec θα σου απαντήσει επακριβώς, γιατί αυτή τη στιγμή δεν έχω καθόλου χρόνο. Το ότι έχεις το ίδιο domain με το Real Name domain σου, περισσότερα θέματα σου δημιουργεί και όχι λύσεις. Link to comment Share on other sites More sharing options...
NLS Posted January 29, 2009 Author Report Share Posted January 29, 2009 OK ευχαριστώ. Πάω να διαβάσω και περιμένω κι άλλες απαντήσεις... Link to comment Share on other sites More sharing options...
NLS Posted January 29, 2009 Author Report Share Posted January 29, 2009 ...btw το άρθρο δεν έχει Edge και ο τύπος μάλιστα αναφέρει ότι... δεν ξέρει τι αλλαγές χρειάζεται για το Edge (!!!) οπότε είμαστε στο σημείο μηδέν κάποιος πρέπει να ξέρει να απαντήσει έτσι απλά: 1α- Θες τα ακόλουθα FQDN στο εξωτερικό DNS: τάδε για το τάδε service τάδε για το τάδε service τάδε για το τάδε service τάδε για το τάδε service 1β- Αυτά τα FQDN είναι στα τάδε μηχανήματα (στον Edge ή στον μέσα το καθένα): ... 2- Certificates πρέπει από τα παραπάνω να έχουν τα τάδε: ... 3- Το τάδε certificate μπαίνει στο τάδε μηχάνημα (ή στον IIS του, ή στο τάδε folder μέσα στον IIS αν δεν αφορά όλο το site) 4- πρέπει/δεν πρέπει ...δεν μπορεί ε; Κάποιος θα το έχει κάνει, δεν φτιάχνω κάτι που δεν έχει ξαναγίνει στον κόσμο. [] Πόσο δύσκολο μπορεί να είναι να γραφόταν κάτι τέτοιο; Πάντως αν βρω άκρη, θα αναλάβω να το γράψω εδώ τι χρειάστηκε για να μην τραβάει άλλος Χριστιανός (ή ότι θρήσκευμα θέλει ή δεν θέλει) τα ίδια. Νιώθω λες και ψάχνω το Holly Grail ή λες και κάποιος θέλει με το ζόρι να μάθω Καβάφη (το ταξίδι για την Ιθάκη)... ήταν τόσο δύσκολο άραγε να είναι spelled out αυτά που πρέπει να γίνουν όσο αφορά τα domain names και τα ανάλογα certificates; Όλα μαζί, όχι σκόρπια και γραμμένα με τρόπο λες και ντρέπονται να μας πουν. (παιδιά όχι για εσάς, για την βιβλιογραφία μιλάω) Μπορεί κάποιος να βοηθήσει στο format που αναφέρω επάνω; Ευχαριστώ και πάλι. Link to comment Share on other sites More sharing options...
dimitris Posted January 29, 2009 Report Share Posted January 29, 2009 Προσωπικά θα απεύφεγυα τη λύση του edge. Δες λίγο και το άρθρο του Νάσου εδω: http://blogs.technet.com/atkladak/archive/2008/11/11/edge-transport-role-and-exchange-2007.aspx. (1). Σε αυτή την περίπτωση (αποφυγή edge) θες FQDN στο public IP που θα "αντιπροσωπεύσει" τον εσωτερικό Exchange και τίποτα άλλο. Για το θέμα του UM δεν γνωρίζω, ίσως οι Vangelis μπορεί να βοηθήσει. (2). Certificate θα χρειαστείς ένα για το HTTPS του OWA και για το ActiveSync για Windows Mobile push e-mail (προσοχή στην έκδοσή του, σχετικό άρθρο έχει γράψει ο Vangelis εδώ: http://autoexec.gr/forums/thread/9276.aspx). (3). Δες παραπάνω (2) τη διαδικασία (4). Μπορείς να τα προσθέσεις ως Subject Alternative Name (SAN) επίσης με τη διαδικασία που αναφέρεται στο (2). Link to comment Share on other sites More sharing options...
NLS Posted January 29, 2009 Author Report Share Posted January 29, 2009 Δημήτρη ευχαριστώ για την απάντηση. Πως βλέπω εγώ το θέμα... Πρώτα από όλα, το άρθρο του Νάσου δεν λέει ότι δεν πρέπει να έχουμε edge (ή γιατί είναι χειρότερο ή τίποτα τέτοιο), λέει ότι μπορούμε να μην έχουμε edge. Πράγμα που ξέρω και έτσι έκανα μέχρι τώρα και γι' αυτό όλες οι τωρινές απορίες μου. Το θέμα είναι ότι Edge μηχάνημα θα έχω έτσι κι αλλιώς (λόγω OCS) και έτσι κι αλλιώς θα είναι σε DMZ κλπ. οπότε δεν με πειράζει να υπάρχει το Exchange Edge και αυτό εκεί. Προσωπικά θεωρώ ότι είναι καλύτερο. Οι απορίες μου ουσιαστικά παραμένουν. Θα επιστρέψω αφού διαβάσω αυτό: http://technet.microsoft.com/en-us/library/bb851505.aspx (και θα πω τις θεωρίες μου) Link to comment Share on other sites More sharing options...
Vangelis Posted January 30, 2009 Report Share Posted January 30, 2009 Καλησπέρα και απο μένα, Κατ αρχάς φίλε NLS να πώ ένα "σωστές απορίες" και να σημειώσω... O edge που θα χρειαστείς για το UM δέν είναι μόνο ο Exchange είναι και ο OCS Edge Που στην ουσία αυτός κάνει όλη την δουλειά. Δεν έχω στείσει edge για τον 2007 μου αλλά από ότι γνωρίζω, αυτός είναι μόνο για τα mail δεν είναι για το UM. Για τον OCS θα χρειαστείς: 1. External IP και ένα FQDN -sip.domain.com- (πρόσεχε το SIP πάιζει ρόλο) Wec Access 2. Εxternal IP και άλλο ένα FQDN δεν έχει σημασία το FQDN Web Conferencing και AV (Αυτά τα δύο μπορείς και να τα σπάσεις με 2 IP αλλά πάιζουν και σε άλλα ports) 3. External IP και άλλο ένα FQDN για τον reverse proxy σου είτε θα είναι ISA είτε θα είναι IAG είτε ότι θές εσύ! 4.SRV εγγραφές στον external DNS σου! 5. Τα πιστοποιητικά για να παίζουν με όλους πρέπει να είναι από δημόσια αρχή πιστοποιήσης. δλδ Verysign etc.. αλλίως με δική σου CA Authority πρέπει να κάνεις installation to Certificate στα trust root certificate authority του computer account σε κάθε χρήστη που θα το χρησιμοποιεί εκτός εταιρίας. Κοίτα λίγο καλύτερα για τον edge που θές να χρησιμοποιήσεις.. σου λέω δεν έχω βάλει edge server στην εταιρία μου για τον exchange, και δεν έχω διαβάσει κάπου γότι χρειάζετε στον OCS, exchange edge για να παίξει κάτι τέτοιο. OCS Edge μήπως εννοείς. Άν δεν το βιάζεσε περίμενε μέχρι τις αρχές του φεβρουαρίου κυκλοφορεί ο OCS R2 που θα είναι μακράν πιο καλός από τον ήδη υπάρχων με πολλές βελτιώσεις και Sip Trunks κ.α. πολλά όμορφα πραγματάκια!!! Δέν θα χρειάζετε ούτε PSTN,ISDN gateway για να παίξει,αν έχεις VOIP άστα! Εάν θές πές λίγο πιο αναλυτικά το concept σου μήπως σε βοηθήσω γιατί και εγω το καλοκαίρι έφαγα τα "@@@" να τον στείσω. Υπ όψιν σύνολο ο "OCS είναι 5 servers" σε πλήρη ανάπτυξη και μιλάμε consolitaded deployment άν τους σπάσεις κιόλλας ΑΣΤΑΑΑ δές λίγο εδώ.. Περιμένω νέα σου! V Link to comment Share on other sites More sharing options...
dimitris Posted January 30, 2009 Report Share Posted January 30, 2009 Δημήτρη ευχαριστώ για την απάντηση. Πως βλέπω εγώ το θέμα... Πρώτα από όλα, το άρθρο του Νάσου δεν λέει ότι δεν πρέπει να έχουμε edge (ή γιατί είναι χειρότερο ή τίποτα τέτοιο), λέει ότι μπορούμε να μην έχουμε edge. Πράγμα που ξέρω και έτσι έκανα μέχρι τώρα και γι' αυτό όλες οι τωρινές απορίες μου. Το θέμα είναι ότι Edge μηχάνημα θα έχω έτσι κι αλλιώς (λόγω OCS) και έτσι κι αλλιώς θα είναι σε DMZ κλπ. οπότε δεν με πειράζει να υπάρχει το Exchange Edge και αυτό εκεί. Προσωπικά θεωρώ ότι είναι καλύτερο. Οι απορίες μου ουσιαστικά παραμένουν. Θα επιστρέψω αφού διαβάσω αυτό: http://technet.microsoft.com/en-us/library/bb851505.aspx (και θα πω τις θεωρίες μου) Φίλε NLS, είτε βάλεις Edge είτε όχι, δεν παίζει ρόλο στα προαναφερθέντα. Ο Edge απλά SMTP relay κάνει (και κάτι άλλα όμορφα με antivirus, antispam κλπ) και τίποτα που να σχετίζεται με αυτά που θες όσον αφορά certificates, υπηρεσίες κλπ. Εγώ σου είπα να το αποφύγεις για να γλυτώσεις μια άδεια Exchange ακόμα, τη στιγμή που αυτά που κάνει μπορείς να τα κάνεις και με τον εσωτερικό Exchange. Link to comment Share on other sites More sharing options...
NLS Posted January 30, 2009 Author Report Share Posted January 30, 2009 Ωραία αυτό ξεκαθαρίζει κάτι: Ο Edge παίζει μόνο το ρόλο του SMTP relay. Σαφές. Για τα άλλα όμορφα, ξέρω ήδη. Όπως και ξέρω ήδη ότι αυτά τα κάνω ή ενεργοποιώ και με τον εσωτερικό. Licensing problem δεν υπάρχει. Ευχαριστώ για τη συμβουλή πάντως. Αυτό που μένει αναπάντητο, είναι αυτό που λέει το subject του thread. Διαβάζοντας και άλλη βιβλιογραφία, blogs κλπ. ανακαλύπτω ότι δεν υπάρχει και τόσο μεγάλη ανάγκη διαφορετικών FQDN (πχ. το OWA γιατί να είναι owa.domain.gr και να μην είναι mail.domain.gr/owa), πράγμα που για κάποιο λόγο ΚΑΝΕΙΣ δεν λέει ευθαίως... Επειδή μου έχει φάει λίγο "τα συκώτια" το θέμα (και πραγματικά δεν αξίζει, διαφωνώ πχ. με τον Νάσσο που μου λέει "τα certificates είναι δύσκολο θέμα" - όχι δεν είναι, εμείς το δυσκολεύουμε), βλέπω ότι θα πάω σε λύση με wildcard (*.domain.gr και domain.gr και free SANs αν πέσω σε κάνα incompatible με wildcard client) γιατί πραγματικά δεν αξίζει την ταλαιπωρία. Και μάλλον θα γράψω και guide μετά, γιατί λυπάμαι τους επόμενους. Link to comment Share on other sites More sharing options...
dimitris Posted February 1, 2009 Report Share Posted February 1, 2009 Και σε wildcard να μην πας, εφόσον έχεις το ίδιο domain εσωτερικά και εξωτερικά, αν οι clients χτυπάνε τον Exchange με το ίδιο hostname, είσαι καλυμμένος με 1 όνομα. Αν πάλι θες να υπάρχει δυνατότητα να το βλέπουν και με άλλο hostname, απλά πρόσθεσέ το στο SAN πεδίο του certificate την ώρα που το εκδίδεις. Αυτά αν στήσεις εσωτερικό CA. Αν πας σε commercial λύση, ζήτα τα αντίστοιχα από τον εκδότη. Link to comment Share on other sites More sharing options...
NLS Posted February 1, 2009 Author Report Share Posted February 1, 2009 Thanks Δημήτρη. Εσωτερικό έχω αλλά δεν έχει νόημα αφού με ενδιαφέρει για συνδέσεις από έξω. Αν και το χρησιμοποιώ θα το καταργήσω μια και πήγα σε commercial λύση που μπορώ να έχω όλα μου τα certificates από εκεί (το εξής ένα). Link to comment Share on other sites More sharing options...
dimitris Posted February 2, 2009 Report Share Posted February 2, 2009 Σωστός, ακόμα καλύτερη η commercial λύση (και απαραίτητη αν συνδέονται πάνω σου εξωτερικοί clients). Link to comment Share on other sites More sharing options...
Recommended Posts