- - PR -
Small Business Server 2003 に含まれる Exchange Server 2003 をフロントエンドとバックエンドに構成でき
1
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-05-08 12:42
Exchange Server 2003 とSmall Business Server 2003 に関し、
導入前の検討において、以下の疑問が生じています。 まず、以下のことをしたいと考えています。 Outlook Web Access を DMZ (スクリーンドサブセット)内に配置された サーバマシンで実行されるExchange Server 2003 により公開したい。 (↑セキュリティ確保のため) 同時に、イントラネット内の Exchange Server 2003 に、 各クライアント宛のメールを管理させたい。 上記のことを実現するには、以下の方法が一般的と思われます。 DMZ内に、フロントエンドサーバーとしてのExchange Server 2003 を配置し、 イントラネット内に、バックエンドサーバーとしてのExchange Server 2003 を もう1つ配置する。 ところで、大企業であれば、いずれにしてもクライアント数が多く、 また複数ドメイン間の信頼関係を築く必要もあるでしょうから、 Windows Server 2003 に Exchange Server 2003 をインストールした環境を DMZ内とイントラネット内にそれぞれ構築するのでしょう。 そこで生じている疑問とは・・・ Small Business Server 2003 を2つ購入し、 それぞれ、含まれるWindows Server 2003 および Exchange Server 2003 を DMZ内とイントラネット内にインストールし、 Exchange Server 2003 を上記のような フロントエンドサーバー/バックエンドサーバー構成にすることはできるのだろうか? ということです。 どなたかご存じの方がいらっしゃれば、ご教授願います。 | ||||||||||||||||
|
投稿日時: 2004-05-08 14:03
自己レスと、それに伴う追加の疑問が発生したので追伸致します。
Microsoft の Small Business Server 2003 のページによれば、 Small Business Server 2003 は1つのドメイン内に1つしか存在できない ということなので、 フロントエンドサーバーとバックエンドサーバーの両方を Small Business Server 2003 で賄う、ということはNGのようです。 ただ、異なるドメインのExchange Server 2003 間で データ更新があればその内容を他のExchange Server 2003 へ転送し、 受け取った側のExchange Server 2003 がそのデータにより自分の管理する データを更新する、といったことをさせることが できるのであれば、Small Business Server 2003 を2つ用いることに 検討の余地があるかも知れません。 ↑そんなことはできるのでしょうか? ただし、もし上記のような Exchange Server 2003 間の連動が可能であったとしても、 それなりの管理が必要となるように思われるので、 やはり素直にExchange Server 2003をもう1つ買おうか、ということになるでしょう。 そこで新たに、以下のようなことはできるのか? という疑問が発生しました。 Small Business Server 2003 をイントラネット内にインストールし、 そのExchange Server 2003 をバックエンドサーバとして機能させる。 一方、DMZ内(同じドメイン内)に、Windows Server 2003 + Exchange Server 2003 をインストールし、その Exchange Server 2003 を フロントエンドサーバーとして機能させる。 ちなみに、Microsoft のSmall Business Server 2003 の「よくある質問」ページ (http://www.microsoft.com/japan/windowsserver2003/sbs/techinfo/overview/generalfaq.mspx) (↑長くて申し訳ありません。) によれば、Microsoft のSmall Business Server 2003 のドメイン内に、 他のサーバーを置くことに制限はない、とのことなので、 上記のようなサーバーの配置自体に問題はなさそうです。 従って、Small Business Server 2003 上で動くExchange Server 2003 に、 フロントエンドサーバー(他のExchange Server 2003)との協働という機能が ちゃんと備わっているか、という点がポイントになるものと思われます。 ↑この点(フロントエンドサーバーとの協働機能があるか)について、 ご存じの方がいらっしゃればご教授願います。 | ||||||||||||||||
|
投稿日時: 2004-05-08 16:50
こんにちわ.
目的は 1,内部に Exchange Server 2003 を置いて「メールサーバ」として機能させたい 2,外部にも HTTP based で利用させたい ということでよろしいでしょうか? まず,SBS2003 の CAL の扱いについてご注意ください.ActiveDirectory が必須になるとして,SBS2003 に含まれる CAL を必要とするモノはたしか 75 license までしか増やせなかった(これを緩和する license もあった気がしますが)かと.で,この ActiveDirectory に新たに Exchange Server 2003 を導入した場合,SBS2003 の Exchange 2003 と単独の Exchange 2003 を連動させた場合の CAL についてもご留意ください.とここまでは注意時事項ですが... SBS2003 を複数導入できないことはお気づきのとおりでしょう.が,Exchange 2003 を複数導入するのは「必須」乃至は「決定事項」なのでしょうか?個人的には考えるに,
front-end 側は reverse proxy ではダメなのでしょうか?back-end で Exchange 2003 を動かして「メールサーバ」として稼動させて,OWA も有効にする.で,D.M.Z. 上に SSL accelerator のように ISA Server を cache mode で導入するとか.あるいは D.M.Z. 上の reverce proxy は Linux + squid などでも良いでしょうが,Non-Windows が NG なら ISA Server が扱いやすいかと思われます. レス題への直接の回答ではありませんが... | ||||||||||||||||
|
投稿日時: 2004-05-08 23:12
質問者のみゃうです。
kaz様、早急なレスをありがとうございます。 やりたいことは、kaz様のおっしゃるとおりで正しいと思います。 確認のために私のイメージする言葉で書いてみると、 1.内部に メール保存担当のメールサーバーとしての Exchange Server 2003 を置きたい。 2.D.M.Zに メール受信担当のメールサーバーとしての Exchange Server 2003 を置きたい。 3.外部から HTTP based で 内部の Exchange Server 2003 に保存されているメールを利用させたい。 1.および2.で2つメールサーバーを置くのは、セキュリティ向上のため。 ということです。 そこで、kaz様のご意見は、 セキュリティのためであれば・・・ 外部(インターネット)と内部(イントラネット)とのゲートウェイ部に ISA Server 等の Reverse Proxy (以下、ISA Serverと仮定)を配置し、 内部の他のサーバーマシン(もしくは同じマシンのイントラネット側)に Exchange Server 2003 を1つ配置し、 外部からExchange Server 2003が保存しているメール(等のデータ)にアクセスするには、 必ず ISA Server 経由で行うようにすれば、Exchange Server 2003 は1つでよいのでは? ということだと理解したのですが、正しいでしょうか。 おそらく、Microsoft も Small Business Server 2003 を構成するにあたって、 そのような使い方を想定して、Premium Edition に ISA Server を含めているのだろう と思いました。 (ただし、ライセンス上、Small Business Server 2003の構成要素はFront Pageを除き、 全て物理的に同じサーバーマシンにインストールする必要がある、とのことですので、 同じサーバーマシン上のISA Serverの内側にExchange Server 2003を 配置することになるものと思われます。) そこで・・・ 上記の場合、ISA Server にもしセキュリティホールがあり、 バックドアを開けられてしまうと、 最悪の場合、イントラネットにつながっている他のPCのデータ (例えば無防備に共有フォルダに置かれているファイル)を 外部に漏洩されてしまう、といった状況が起こらないとも限らないのでは? という慎重論の人がいます。 そこで、D.M.Z.に配置されたメール受信用のExchange Server 2003と イントラネット内に配置されたメール保存用のExchange Server 2003とを ファイアウォール経由で通信させれば・・・ もし、D.M.Z.内のExchange Server 2003を実行するサーバーマシンが 外部の誰かにコントロールされたとしても、 内部のExchange Server 2003のデータはそのコントロールされたマシン経由で 外部に漏洩される危険性はありますが、 さらに内部のいずれかのPCがコントロール可能とならないかぎり、 内部の他のPCのデータがすぐさま外部に漏洩することはないのではないか? その場合、外部のメールサーバーは別にExchange Server 2003でなくても、 もっと安価なメールサーバーにして、内部のExchange Server 2003に対し 受け取ったメールを転送するだけに機能を限定した方がセキュリティが高まると思うのですが、 少しセキュリティを甘くして、内部ユーザが HTTP based で 内部のExchange Server 2003のデータ(メールやスケジュールデータ等)にアクセス可能としたい。 →やっぱりファイアウォールの外側にもExchange Server 2003が要るのでは? という考えに至ったというわけです。 ただし、Exchange Server 2003は高価ですし、 あまりセキュリティが上がらないのであれば、素直にISA Serverによる1枚板で 防御するのが得策か、という気持ちもあります。 現在、古いバージョンのExchange Serverをイントラネットで使っているので、 グループウェアとしての機能アップがなされたExchange Server 2003を導入したい、 という制約はありますが、Exchange Server 2003を複数、配置する というのは決定事項ではないので、 これを読まれた方が、「自分ならばこのようにシステム構築をするだろう(している)」 というご意見を出して頂けると、とても幸いです。 | ||||||||||||||||
|
投稿日時: 2004-05-09 01:13
こんばんわ.
ですね.
で,D.M.Z. 上の Exchange 2003 を攻略された場合の care はどうお考えでしょう?
同じ Exchange 2003 なら,外部向けへの攻略と同様の手法で内部も攻略に取り掛かるかと思われます.
ここれ一点.reverce proxy の性質上,Exchange 2003 と同じ node に ISA Server を置いて運用するのはよろしくないでしょう.その意味で,D.M.Z. 上には SBS2003 ではない Windows Server はむしろ「必須」と考えます.よって,ISA Server は「守りの1枚」であって,SBS2003 そのものを「1枚」にするべきではないでしょう.これは Firewall 上に DNS や SMTP relay を置かないほうが良いのと同義です. それに,ISA Server そのものを外部の Firewall とすれば,D.M.Z. が陥落してもさらに内部の Firewall を攻略する必要があるわけです.これが陥落しなければ結果として内部は防衛できる寸法です. 少なくとも Exchange 2003 が D.M.Z. -- internal で連携していたとしたら,D.M.Z. 上の Exchange 2003 から内部の Exchange 2003 を「汚染できるのでは?」という発想は湧きますが... | ||||||||||||||||
|
投稿日時: 2004-05-09 15:58
こんにちは!
引用: -------------------------------------------------------------------------------- kaz様の書き込み (2004-05-09 01:13) より: で,D.M.Z. 上の Exchange 2003 を攻略された場合の care はどうお考えでしょう? (中略) 同じ Exchange 2003 なら,外部向けへの攻略と同様の手法で内部も攻略に取り掛かるかと思われます. (中略) 少なくとも Exchange 2003 が D.M.Z. -- internal で連携していたとしたら,D.M.Z. 上の Exchange 2003 から内部の Exchange 2003 を「汚染できるのでは?」という発想は湧きますが... -------------------------------------------------------------------------------- 引用終わり そのとおりだと思います。 (内部の人間が)外部からファイアウォール(Proxy)の中を見たいわけですから、 そのためのアウトバウンドの通信を許可しないといけない以上、 Exchange をファイアウォールの外に置こうが中に置こうが、 なりすましで入ってくるとか、Exchange の認証におけるセキュリティホールをつかれた 場合、どちらも同じ。 ということですよね。 ぱっと見では、外部の人間が直接、Proxy を実行しているサーバーマシンにアタックをかけるより、 Exchange を実行しているサーバーマシンにアタックをかけて、 そのアタックに成功した後、Proxy にアタックをかける、という2段構えの方が安全なように見えますが、 Exchange が攻略されたら、Proxy はそのExchange のリクエストには疑うことなく応答してしまうので、 別に2段構えというわけではない。 かえって、Proxy の外に踏み台にされる可能性のあるノードを作る方が危険、ということもあるかも知れません。 引用: -------------------------------------------------------------------------------- kaz様の書き込み (2004-05-09 01:13) より: reverce proxy の性質上,Exchange 2003 と同じ node に ISA Server を置いて運用するのはよろしくないでしょう.その意味で,D.M.Z. 上には SBS2003 ではない Windows Server はむしろ「必須」と考えます.よって,ISA Server は「守りの1枚」であって,SBS2003 そのものを「1枚」にするべきではないでしょう.これは Firewall 上に DNS や SMTP relay を置かないほうが良いのと同義です. -------------------------------------------------------------------------------- 引用終わり 仰るとおりだと思います。 その意味で、Small Business Server Premium Edition に付属の ISA Server の使用目的は? という疑問が湧きます。 Small Business Server 2003 「よくある質問」 のページには、以下のように書かれています。 引用: -------------------------------------------------------------------------------- http://www.microsoft.com/japan/windowsserver2003/sbs/techinfo/overview/generalfaq.mspx より: Q. Windows Small Business Server 2003 に含まれるサーバー アプリケーションを、Windows Server を実行する別のコンピュータにインストールできますか? たとえば、SQL Server を Windows Small Business Server 2003 を実行するコンピュータで実行し、Exchange Server 2003 を別のコンピュータで実行するといったことは可能ですか? A. いいえ。製品に含まれるサーバー アプリケーションをインストールする場合は、製品と同じ物理マシンにインストールする必要があります。例外として、Premium Edition に含まれる FrontPage 2003 のみ、Windows Small Business Server 2003 ネットワーク内の単一のクライアント コンピュータにインストールできます。 -------------------------------------------------------------------------------- 引用終わり つまり、Small Business Server 2003 Premium Edition 付属の ISA Server を Exchange Server 2003 とは別のノードに配置できない。 ・・・ということは、付属のISA Serverはイントラネットを外部から守るためのProxyとして使うべきではなくて、Small Business Server 2003 の一連のコンポーネントが配置されたノードを守るための、 "Personal Firewall" として用いるべき →イントラネットを外部から守るためのProxyは別途準備しなければならない。 ということなのかな、と思います。 結局、Small Business Server 2003 だけで全て賄おうと思っても無理だなぁ、ということが判ってきました。 | ||||||||||||||||
|
投稿日時: 2004-05-09 17:03
さっきの書き込みの訂正
(誤) (内部の人間が)外部からファイアウォール(Proxy)の中を見たいわけですから、 そのためのアウトバウンドの通信を許可しないといけない以上、 (正) (内部の人間が)外部からファイアウォール(Proxy)の中を見たいわけですから、 そのためのインバウンドの通信を許可しないといけない以上、 でした。 | ||||||||||||||||
|
投稿日時: 2004-05-10 02:43
こんにちは
Exchangeを二段構えにする理由ですが、確かExchangeはActiveDirectoryを頻繁に参照する ため、もしもこれをDMZにおくと、DCとの通信がらみを全てパスするようにISAを設定しない といけなくなるためだと思いました。 確かにDMZのExchangeが攻略されれば中も危なくなるかもしれませんが、そもそもDMZにおく Exchangeが二段構えだと圧倒的に攻略されにくくなる、という考えなのだと思います。その 意味で、二段構えにすること自体には、理由が無いわけではないと思います(非常に危ない ものを、少しはましな状況にする、という意味で :)。 | ||||||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。