teoretycznie najbezpieczniejsza i najwydajniesza konfiguracja jest zastosowanie topologii front-end/back-end dla exchange. serwery frontowe pelnia role wylacznie autentykacji i obslugi formularzy, sa mocno zabezpiecznone i stoja sobie w DMZ, na serwerach backendowych sa skrzynki i stoja w LANie. tak w skrocie.
w czym problem? ta cala konfiguracja super-secure ma jeden pewien mankament w postacji uslug mobilnych – OMA/ActiveSync – ktore wymagaja dosc specyficznej konfiguracji serwera backendowego – a mianowicie udostepnienie polaczenia bez ssl, wlaczenia specyficznych metod autentykacji etc. moze i serwer w LANie, wiec marketingowo mozna komus powiedziec, ze to konfiguracja bezpieczena.. ale statystyki wlaman wyraznie pokazuja, ze najwiecej wlamow jest wewnatrz LANu. konfiguracja bezpieczna powinna wiec obejmowac ipsec’a miedzy FE-BE i filtry, zeby no-ssl nie dzialal dla innych kompow…
a teraz ciekawostka:
przy konfiguracji ActiveSync najczestrzym bledem jest HTTP_500, do ktorego mozna zlezc setki rozwiazan i przyczyn. trafilo i na mnie, spedzilem pol dnia nad poszukiwaniem przyczyny, ale w koncu trafilem – po pierwsze rozwiazania nalezalo szukac na serwerze BE a FE ani ISA. w eventlogu pieknie pokazala sie informacja o bledach autentykacji. okazuje sie, ze na BE dla site’u IIS 'Exchange’ musi byc wlaczona autentykacja 'integrated’, poniewaz FE-BE nie potrafi obsluzyc autentykacji formbased. jeden checkbox i zahulalo. ale to nie koniec ciekawostki. okazuje sie, ze podobne problemy pojawiaja sie z pewna nieregularnoscia w innych miejscach. same z siebie. najwyrazniej patche systemowe AU, podczas instalacji ustawiaja default, czyli wylaczaja ten rodzaj autentykacji. nice.
zmiana ustawien podczas update’u moze i ma swoje-jakies-tam uzasadnienie [w razie bledow dzialania powinny cos naprawic], ale imho jest to totalne qrestvo. jesli ktos w produkcji ma serwery, skonfigurowane, zabezpieczone i przetestowane, to patch, ktory zmienia te ustawiania jest jak kon trojanski. no bo taki, ktory cos 'popsuje’ i nie dziala – szybko sie wykrywa. a taki, ktory na 'pierwszy rzut oka’ nic nie zmienia i wszystko hula, po czym okazuje sie, ze gdzies-cos w rejestrze zostalo przestawione zmieniajac konfiguracje… pewne rzeczy nie maja znaczenia, pewne wyjda od razu, a pewne spadna na glowe jak zapadajacy sie sufit z nienacka, budzadz gdzies w srodq nocy…
