הכותרת קצת מוזרה , כי אני לא ממש יודע מה המושג הנכון , אבל אני אנסה להסביר את עצמי.

נניח ויש ארגון עם שרת DNS חיצוני ( BIND לצורך העניין ) וה DNS הרגיל של ה AD לרשת הפנימית.

מה שאני רוצה שיקרה זה שכאשר פונים לשרת החיצוני מבחוץ הוא יחזיר כתובות חיצוניות , כמו שקורה עכשיו , וכאשר פונים לאותו שם מבפנים הוא יחזיר את הכתובת הפנימית (מה שלא קורה עכשיו ... )

אני יודע שיש לזה איזו הגדרה ב BIND . מישהו יודע איפה ואיך היא נקראת ?

או שיש איזה הצעה אחרת ( אולי אני בכלל לא בכיוון ... )

IF there is no LOVE there is Nothing

אם אני לא טועה זה נקרא split views ...

רק איך משתמשים / מגדירים את זה ?

IF there is no LOVE there is Nothing

split views מאפשר להציג תוצאות שונות בהתאם לפונה... אבל... האם זה באמת מה שאתה צריך?

אני חושב שהבנתי לאן אתה חותר, אבל כדאי שתפרט בכל זאת מה אתה מנסה לעשות - כלומר - מה הבעייה שאתה מנסה לפתור (במקום את דרך הפתרון שאתה חושב שהיא הנכונה)

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש לי OWA שיושב ב DMZ

יש לו כתובת חיצונית חוקית מן הסתם.

כרגע אם אני פונה אליו מתוך הרשת , זה לא מתאפשר , אלא אני מקבל destination unreachable , כי ה DNS הפנימי נותן את הכתובת החיצונית שלו , אבל הפיירוול לא מאפשר לי לגשת ל DMZ מתוך הרשת ...

אז מה שאני רוצה זה שאם אני אגש מתוך הרשת , אז ה DNS יתן לי את הכתובת הפנימית ואם אני אגש מבחוץ , כרגיל , אני אקבל את הכתובת החיצונית.

הבנת משהו ? אני בקושי ...

IF there is no LOVE there is Nothing

קראתי שוב את ההודעה ובעצמי התבלבלתי.

אני אנסה להמחיש את זה בצורה קצת יותר ציורית ...

יש שרת עם OWA של אקסצ'יינג.

נניח שהכתובת שלו היא something.domain.com/owa

כאשר ניגשים אליה מבחוץ , ה DNS החיצוני בארגון מתרגם את הכתובת ל 200.200.200.100 נניח ואפשר להכנס והכל בסדר.

אבל כאשר ניגשים מתוך הרשת הפנימית של הארגון ( שהיא בטווח כתובות של 10.XX.XX.XX ) , עדיין מקבלים את אותה כתובת ( 200.200.200.100 ) אבל אי אפשר להגיע לשם כי זה ה DMZ והפיירוול חוסם את הגישה לשם מהרשת הפנימית.

אז מה שחשבתי זה שאולי אפשר להגיד ל DNS שאם הוא מזהה שניגשתי מהרשת הפנימית , אז הוא יתרגם לי את something.domain.com/owa לכתובת פנימית כלשהי ( שקיימת כמובן )

מקווה שזה טיפה יותר מובן

IF there is no LOVE there is Nothing

תארתי לעצמי שזו הבעייה שלך...

הפיירוול שלך מקונפג עם מדיניות אבטחה שאינה נהירה לי. מה WAN הלא מאובטח מותר, אבל מה LAN המאובטח אסור?

נמאס לכם לזכור סיסמאות? לחצו כאן!

לצערי אני לא הגדרתי את הפיירוול ולא את מדיניות האבטחה.
למרות שאולי בעתיד הקרוב אני כן אעשה משהו מזה ...

בכל אופן , אני מניח שזה אמור למנוע גישה מה WAN הלא מאובטח , דרך הנתיב הזה שיהיה פתוח אל ה LAN ה"מאובטח". למרות שבעצם זה הרי רק לכיוון אחד , החוצה , אז מה זה משנה ? אבל שוב , אני לא הגדרתי את זה.

אני אבדוק את זה עם מי שכן אחראי על העניין ונראה

IF there is no LOVE there is Nothing

אתה רוצה לשנות את זה ל IP הפנימי של ה DMZ, כן? וזה כן פתוח, כן? לי זה נשמע שפשוט מוגדר חוק NAT על ה IP החיצוני רק לתעבורה מה IP החיצוני, במקום שהוא יתורגם באופן כללי מה IP החיצוני ל IP הפנימי... (כמובן שאני חושב בצורה הגיונית, ולכן אם יש לך משהו כמו צ'קפויינט, אז זה בטח יותר מסובך )

נמאס לכם לזכור סיסמאות? לחצו כאן!

ד"א , מה דעתך באופן כללי לגבי התצורה הזאת ?

היית משנה משהו ?

IF there is no LOVE there is Nothing

אם מי שאחראי על אבטחת המידע בארגון מודע למשמעות של הרצת IIS שיש לו גישה ל AD של החברה ישירות מול האינטרנט (למתקשים: הרצת Front end Exchange), והוא בכל זאת מאשר את זה, לא, אין כאן מה לשנות...

נמאס לכם לזכור סיסמאות? לחצו כאן!

מה האלטרנטיבה ?

אני מבין שאתה מעדיף apache , אבל מה אפשר להריץ עליו שיעבוד כמו ה OWA ?

IF there is no LOVE there is Nothing

אין סיבה לחשוף שרת לעולם מעבר לנדרש.
OWA מהווה לדוגמא דבר שלא סביר לחשוף לעולם ישירות.
תוכל להשתמש ב VPN\SSL VPN וכולי כתחליף לחשיפת ה OWA
לעולם.
בכל מקרה, תצטרך לבצע מיפוי מסודר של האתר, ולאחר מכן לבדוק
מה אפשרי לשנות, ולמה יאשרו תקציב.

http://www.isaserver.org/tutorials/..._Split_DNS.html

חתימתכם הוסרה כיוון שלא עמדה בחוקי האתר. לפרטים נוספים לחצו כאן. תוכלו לקבל עזרה להתאמת החתימה לחוקים בפורום חתימות וצלמיות.

כמובן שיותר גרוע מלהריץ OWA פתוח מול האינטרנט, יותר חמור זה להתבסס על מוצר אבטחה מאותה החברה - כמובן שמאותה הסיבה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני שואל שוב.

יש אלטרנטיבות ?

IF there is no LOVE there is Nothing

לגבי מה אתה שואל, לגבי הפיירוול, או לגבי אקסצ'יינג'?

לאקסצ'יינג' יש המון אלטרנטיבות, רובן טובות יותר מכל בחינה שהיא (טוב, חוץ מלכיס של רדמונד, יש אנשים שממש חשוב להם שהם ירוויחו מסיבה תמוהה) - כאשר הידועה בפונקציונליות שלה היא Zimbra...

לגבי פיירוול... פה כבר יש רשימת ענק ואני לא צריך להתחיל, אני מקווה

אם התכוונת סתם לגבי ה Frontend - כל הרעיון הזה בא מקונספט של בכיינות של משתמשים. שיתחברו ב VPN!

נמאס לכם לזכור סיסמאות? לחצו כאן!

האמת שכן , שאלתי לגבי ה Frontend ...

בכיינות לא בכיינות , יש דרישה לזה ...

הרבה פעמים אנשים מתחברים ממחשבים שהם לא שלהם ואין עליהם VPN , אז זה די נחוץ.

IF there is no LOVE there is Nothing

אצלי בחברה יש דרישה לכך שאפשר יהיה לגשת לכל השירותים הפנימיים בלי להשתמש ב VPN. ("זה יותר נוח [לקראקרים]!") זה די פשוט - אפשר להעיף את הפיירוול.

אז יש דרישה... אז מה?

נמאס לכם לזכור סיסמאות? לחצו כאן!

IF there is no LOVE there is Nothing

טוב .... מסתבר ש"קצת" עשיתי סלט בהודעות הקודמות פה באשכול.

ביררתי היום את התצורה של העניין הזה ובאופן סופי זה מה שיש :

ה OWA לא יושב ב DMZ . הוא יושב בתוך הרשת.
מה שקורה זה שברגע שניגשים מבחוץ לכתובת something.domain.com/owa , מגיעים לפיירוול.
ואז במידה וניגשים בפורט 443 ( במקרה הזה .. ) הפיירוול מפנה את התקשורת לשרת שעליו נמצא ה OWA.

לעומת זאת כשניגשים מבפנים , לאותה הכתובת , מגיעים קודם כל ל DNS הפנימי , שמנהל את הzone הפנימי ( נניח something.domain-int.com ) , ולא מכיר את ה zone החיצוני. אז הוא מעביר את הבקשה ל DNS החיצוני שאכן יושב ב DMZ , שהוא בתורו מחזיר את הכתובת החיצונית ואז בעצם מנותבים חזרה לפיירוול. ופה כל התקשורת הזאת כבר לא מתאפשרת.

בקיצור , מה שצריך זה שה DNS החיצוני , יזהה שהבקשה שלי באה מתוך הרשת ויחזיר לי כתובת אחרת מזאת שהוא מחזיר כאשר הבקשה באה מבחוץ.

?

IF there is no LOVE there is Nothing

טוב, זה כבר די פשוט.

תוסיף zone ב DNS המקומי שנקרא something.domain.com ותוסיף על ה zone עצמו A Record ל IP הפנימי...

violla!

נמאס לכם לזכור סיסמאות? לחצו כאן!

אבל ה zone הזה כבר קיים ב DNS החיצוני... איך אני יכול להוסיף אותו גם פה ?

הכוונה , שהרי אני אצטרך כל הזמן לסנכרן את ה zone על השרת הפנימי עם אותו ה zone בשרת החיצוני.

כי אם לא , אז מתוך הרשת אני לא אוכל לגשת גם לדברים אחרים ב zone הזה. לא ?

IF there is no LOVE there is Nothing

לא, אתה תוסיף zone רק על ההוסט הרלוונטי (קרא שוב את ההודעה שלי). וכן, כשתשנה את ה IP שלו, תצטרך לעדכן את ה Zone הזה בשרת הפנימי. אבל בכל מקרה היית צריך לעשות את זה, גם אם היית עושה split DNS (אני חושב שזה טעות להיות תלוי פנימית ב DNS חיצוני אם אפשר אחרת...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

טוב , אני ממש מתנצל , אבל אני לא מבין.

אתה יכול לתת דוגמא של הגדרה כזאת ?

IF there is no LOVE there is Nothing

נגיד שה OWA שלך יושב על webmail.yourcompany.com

אז אתה מוסיף ב DNS הפנימי שלך Zone שנקרא webmail.yourcompany.com (ולא!!! yourcompany.com) - ועל ה Zone עצמו אתה מוסיף A record עצמאי (כלומר, לא להוסט בתוך ה Zone) - שמפנה ל IP הפנימי.

נמאס לכם לזכור סיסמאות? לחצו כאן!