登录
Microsoft.com
 
Microsoft
 
 
 

none
exchange 架构,最佳实践问题 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    请教一下有关微软exchange架构问题:

    1. 对于下面微软官方文档的架构图,是否是微软的最佳实践架构图?

    2. 对于标黄色的手机用户来讲,在DMZ区(perimeter network)是否建议添加部署反向代理?

    如果建议添加反向代理的化,建议使用什么反向代理?internal netwrok区域中的load balancer是否需要移除,直接代理CAS/Mailbox服务器吗?另外,如果使用反向代理之后,内部的用户访问,通过什么来load balance呢?


    2023年3月15日 8:55
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    我记得以前用exchange 2010 的时候, 客户端outlook client或web client 使用outlook anywhere 协议连接LB做分流至cas array,移动端是通过exchange ActiveSync协议连接LB通过LB分流至cas array。

    16之后的话,是没有cas/mbx区分了,直接all in one ,最多在DMZ区域架一台edge 边缘服务器当反垃圾网关用。

    exchange2016-19 ,手机端是通过activesync连接至LB再做分流至mailbox上,其他web/outlook client使用mapi over http协议。

    个人角度理解,从部署运维角度,没必要在标黄的地方再加一层反向代理,因为你本身发布公网的就是LB的一个虚地址,又不是真实的。我相信大多数企业都有反垃圾邮件网关或者边缘服务器以及防火墙,这个没那么脆弱。。。

    以前尝试过用nginx 代替HLB,当每次更新nginx证书时,所有outlook客户端连接的用户密码需要更新,否则每次打开outlook会弹窗需要重新输入密码,如果凭据保存过旧密码极易造成用户账号锁定。





    2023年3月15日 13:32
    |
  • Question
    登录进行投票
    0
    登录进行投票

    请教一下有关微软exchange架构问题:

    1. 对于下面微软官方文档的架构图,是否是微软的最佳实践架构图?

    2. 对于标黄色的手机用户来讲,在DMZ区(perimeter network)是否建议添加部署反向代理?

    您好,

    1. 是的, 可以这么理解。下面这个官方博客有关于Exchange 2016 架构的更多介绍,文中的图和您分享的架构也是一致的:
    Exchange Server 2016 Architecture
    2. 同意前面@Bryan丶Song提到的,可以但没有必要。

    除了他提到的几点,另外随着技术的发展,Exchange的安全性在操作系统及应用程序本身上一直在得到强化,所以在网络层面上的依赖就不再那么强了。这篇官方博客中也有提到“添加安全层通常不会增加额外的安全性,但肯定会增加很多复杂性。”。下面这个类似问题的英文讨论帖中也提到了相同结论,您可以阅读参考:
    why need reverse proxy for exchange 2016

    此致,

    Yuki Sun

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2023年3月16日 5:40
    |
  • Question
    登录进行投票
    0
    登录进行投票

    您好,

    关于本问题,请问以上信息可以帮到您吗? 如果您对此问题有任何疑问或需要进一步的帮助,欢迎您随时回帖。 

    此致,

    Yuki Sun

    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    2023年3月20日 1:20
    |