DWA - Wie aufbauen? Frontend + Backend? Mehrere Schablonen?

[FlorianN]

Hallo,

wie baut man "best practice"-gemäß DWA auf?

Wir haben momentan einen einzelnen Domino Server (8.02) und bislang ausschließlich richtige Notes Clients mit angepasster 8er Schablone.

1. Ist es üblich den Domino Web Server direkt (Port 80/443) ans Internet zu veröffentlichen oder baut man dafür lieber ein Front- und Backend Konzept mit dem Webserver separat in der DMZ? Geht das überhaupt? Bräuchte man dafür eine weitere Serverlizenz?

2. Wie funktioniert es mit den Schablonen, für Benutzer, die sowohl DWA als auch mit richtigen Notes-Clients arbeiten sollen? Klappt es so, dass die DWA-Schablone nur per Web-Access verwendet wird und im lokalen Notes Client weiterhin die angepasste Standardschablone funktioniert?

Ich will über beide Zugriffswege die beste Optik und Funktionalität erreichen.

Viele Grüße

[mcilly]

Ohne ins Detail zu gehen:

ad1) Wenn du deinen Server im Prod.netz von aussen zugänglich machst (Port 25), dann am besten nur, wenn du IP beschränkst, z.B. auf die deines externen "Managed Mail Service" Provider, wenn es sowas gibt. 25 für alle zu öffnen würde ich nicht machen. Dann eher ab in die DMZ damit, da brauchst du aber nur die Lizenz wenn es wieder ein Domino Server sein soll. Du kannst ja auch andere open source als MTA verwenden (Postfix, sendmail etc.). Die routen dann durch zu deinem Domino im LAN.

ad2) Seit V8 gibt es nur noch eine Schablone, die mail8.ntf. Du brauchst nichts ändern, sie beinhaltet die Design Elemente für beide Clients, den Notes und den Web Client.

[WernerMo]

Hallo,

bei genauerem Lesen macht mich diese Aussage nachdenklich:

... im lokalen Notes Client weiterhin die angepasste Standardschablone funktioniert?

1. Welche Schablone wurde angepasst?
2. was wurde alles angepasst? (und wie - nur für Notes ...)

Gruß Werner

PS bei der (original)Schablone von Domino8 ist es wie mcilly schreibt so, dass Du nichts anpassen musst, dann ist alles drin DWA und DWAlight

[mcilly]

Da er davon spricht, ausschließlich Notes Clients einzusetzen werden sie wohl Änderungen am Template gemacht haben die nur die Design Elemente für den Notes Client betreffen. Also meiner Ansicht nach keine Bedenken ob das im Web nicht funktioniert. Nichtsdestotrotz ist deine Aussage schon zu berücksichtigen, Werner.

[FlorianN]

Danke, schon mal gut zu wissen, dass der DWA-Teil komplett in der mail8.ntf steckt. Unsere Anpassungen waren nur für Designelemente des Notes Clients.

Mit Port 25 hatte meine Frage allerdings nichts zu tun. Seine Mails bekommt der Domino schon jetzt von einem extra Mail Gateway eingeliefert.

Mich interessiert viel mehr, ob ihr eure Dominos mit Port 80/443 direkt ans Internet hängt für DWA oder einen zweiten Server als DWA-Frontend davorschaltet.

[mcilly]

Alles klar, stimmt, mein Fehler. Naja wir haben den im Moment direkt im Internet, ist aber ein eigenes Netz als das produktive. Er hält aber alle DBen, somit ist es doch etwas heikel. Wir denken bereits darüber nach, den Domino abzuschotten und einen Proxy davor zu schalten.

[WernerMo]

Hallo,

sorry wenn ich da ganz massiv werde.

Der Webmailserver gehört in die DMZ.
Der "produktive" Domino gehört ins interne Netz.
Notesuser haben in der DMZ nichts verloren.
Selbst wenn auf dem Domino nur Mail laufen würde,
ist das vom Netz her unbedingt zu trennen.

Ich kann mir keinen Grund (schon garnicht die Kosten) vorstellen,
der es rechtfertigt das einzige produktive System ins Web zu stellen.

Gruß Werner

[FlorianN]

Werde doch bitte mal detailierter.

Brauche ich einen zweiten Domino, der dann nur den http Taks ausführt oder reicht ein gängier Webserver?

Falls man einen zweiten Domino braucht hieße das sicherlich auch weitere Serverlizenz?

Wo gibts denn vernünftige Deployment and Planning Szenarien? Ich habe dazu bislang noch kein vernünftiges Material gefunden.

[schroederk]

Den Webmailserver in die DMZ zu stellen halte ich für ein wenig Oversized, wenn sich auch damit das Thema erledigt hat, sicherzustellen, dass auch nur die Webaccess machen können, die es dürfen sollen.

Ich würde hier einen ReverseProxy-Server in der DMZ bevorzugen, der dann die Requests an den internen Mail-Server weiterleitet.

Oder spricht hier etwas dagegen?

[mcilly]

Keine Panik, nicht klar genug formuliert von mir. Wir haben im LAN 2 nodes im Cluster, von aussen nicht erreichbar, ausser vom Provider der unsere Mails scannt. Dazu einen Webserver, der die DBen repliziert und in einem eigenen Netz am Internet hängt. Also alles in bester Ordnung...

[WernerMo]

Hallo,

das hört sich doch schon ganz anders an als oben.
Dann habe ich keine großen Bedenken.

Gruß Werner

[mcilly]

Ja, wenn man gedanklich schon so tief drinnen steckt und manche Sachen als gegeben nimmt, dann passiert soetwas. Was wir jedoch andenken ist, den Webmailserver, der ja in einem anderen Netz schon steht und nicht der alleinige Produktive ist, zusätzlich durch einen Proxy abzusichern, der dann die Authentifizierung macht bevor man zum Domino kommt.

Vielleicht ist das Lotus Security Handbook etwas?
http://www.redbooks.ibm.com/abstracts/sg247017.html?Open

Oder der Abschnitt "Securing Domino Web Access"
http://www.redbooks.ibm.com/abstracts/SG247256.html?Open

[mcilly]

Ähhh, sry, der hier wirds wohl sein. Zuviel Info ist auch nicht gut 

Notes/Domino Best Practices: Domino Web Access
http://www-01.ibm.com/support/docview.wss?rs=203&uid=swg27009330