Wer nutzt DWA und wenn ja wie ist es implementiert?

[eini]

Hallo,

gerne würde ich auf Basis eines aktuellen 8er Ent. Servers zusätzlich einen Server in die DMZ stellen welcher DWA hosten soll. Nun ist mir aber "irgendwie" so als bräuchte ich dafür alle Mailboxen als Repliken auf dem DWA server. Was hoffentlich nicht so ist da ich ansonsten den Storage doppelt bräuchte und mir die Security ein wenig zu denken gibt.

Wie macht Ihr das so, währe schade wenn es so wäre weil DWA nun endlich mal was taugt.

ciao
eini

[m3]

Du brauchst die Mail-Datenbanken auf dem DWA-Server.

Ist IMHO sicherheitstechnisch aber immer noch besser, als der DWA-Server greift durch die FW aus der DMZ in die Produktionsumgebung.

Und "Storage" halte ich da übertrieben. Ein paar große Platten reichen doch.

[hallo.dirk]

Wir nutzen schon seit 2003 ein sogenanntes "Extranet".
Eine Art reverseproxy stellt Dienste u.a. Webmail zur verfügung.

Wir nutzen dafür eine Netscreen (es gibt aber noch andere Hersteller!) mit RSA Token Authentifizierung.

Und ja, das ist nicht alles billig, aber einen zweiten Server bekommt man auch nicht umsonst...

[eini]

Der 2te Server ist umsonst weil Ent. Lizenzen.
Aber das ich nun die DB´s alle auf den DWA Server replizieren soll halte ich für lächerlich. Wenn das nicht anders möglich ist ist die Geschichte unbrauchbar. Das ist auch nicht sicherer als gleich auf den Dominoserver umzuleiten. Vielleicht gegen DoS Attacken aber ansonsten..... Wie soll man da bitte einem Exchange noch was entgegensetzen?? 

IBM macht es einem langsam wirklich sehr schwer.

[m3]

Hä?

Definiere mal, was "sicher" für Dich heißt? Wenn Du mit "sicher" meinst, dass niemand Zugriff auf die Mailfiles bekommen soll, dann darfst Du kein Webmail zur Verfügung stellen. Wurscht mit welcher Plattform.

Naatürlich kannst Du mit SSL und Reverse Proxies auch über einen Domino-Server in der DMZ auf die Domino-Server innerhalb des LANs zugreifen (ich kenne so ein Setup recht intim). Die Frage ist nur, ob Dir das beim Security-Audit durchgeht und ob Du die Ressourcen (Webserver auf jedem Domino-Server einrichten, Reverse Proxy konfigurieren, ...) hast, so etwas aufzusetzten.

Schnell und einfach geht es halt, indem Du Repliken der Mail-DBs auf den DWA-Server knallst und gut ist es. Und Du hast auf dem Server wirklich nur die Ressourcen, die Du ins Web zur Verfügung stellen willst und nicht auch noch zig andere DBs auf dem Server, auf welche die User dann auch noch lustig zugreifen können, wenn ihnen fad ist.

[eknori]

oder mach sowas http://samurai.alise.lv/lotus.nsf/dx/ultra-mail-is-available-for-download-now-you-can-have-access-to-mailcalendar-from-you-mobile-phone-works-fine-for-6.x-7.x-8.x-8.5-servers
oder setze Traveler ein.

Ehrlich gesagt finde ich diese Webmailgeschichte recht altmodisch. Wenn ich nicht gerade in Timbuktu im i-Net-cafe sitze, habe ich Zugriff über meinen Laptop und VPN auf alle relevanten Daten.
Webmail ist eine Krücke und wir stellen den Usern immer nur die letzten 7 Tage an mails zur Verfügung.

[eini]

@m3

Aus meiner sicht wäre es sicherer eben keine eMail PF in die DMZ zu replizieren. Das Setup das du beschreibst klingt interessant und könnte meinen Fall lösen. Wie genau sieht das denn bei dir aus?

Danke.

[michael-r]

Der 2te Server ist umsonst weil Ent. Lizenzen.
^^ Das ist mir aber neu oder meinst du Express?!

[eini]

Express??
Was ist daran neu, bei Enterprise Lizenzierung zählen nur die Clients nicht die Server?!

[michael-r]

Express??
Was ist daran neu, bei Enterprise Lizenzierung zählen nur die Clients nicht die Server?!

Nein, wenn dann meinst du die Express Lizensierung. Die Enterprise Lizensierung richtet sich nach Servern und Clients.
http://www-01.ibm.com/software/lotus/notesanddomino/domino-server-licensing.html

MFG Michael

[hallo.dirk]

Meint er die CEO Lizenzen? Da werden nur die Clients berechnet....

[kloeti]

Hab vor 3 Jahren mal ein Projekt gehabt unter Notes 6.5.4 wo wir DWA fuer unsere User zur Verfuegung stellen mussten.
Da haben wir einen Reverse Proxy mit SSL Schluessel in eine erste DMZ gestellt und in eine zweite DMZ dann den eigentlichen Domino Server (welcher vom Web aus direkt nicht erreicht werden konnte). Da nur Mail verlangt war, haben wir die eingebaute Redirect DB als Homepage definiert.
In einem ersten Schritt lagen dann Repliken der Mail DBs auf dem Domino, welcher nach kurzem zu platzen drohte. Dann haben wir auf jener Redirect DB ein Parameter gesetzt, damit man direkt auf den Homemail Server verbunden wird. So konnte man den Webserver schlank behalten und alle hatten auf einen Schlag auch ihr Mail im Web verfuegbar.
Waere das ev. eine Loesung?
Gruss, kloeti

[eini]

Hallo kloeti,

danke für deine Antwort, dass wäre eine optimale Lösung für mich da ich mir das auch irgendwie so vorgestellt habe.
Ich habe mich schon gewundert da die Domino Web Access Redirect DB ja das eben auch als eine von drei Optionen anbietet. Deinem Posting entnehme ich das dies bei euch geklappt hat, welche Ports werden dafür dann benutzt? Nimmt der für den Redirect dann auch Port 1352?

Wobei eine Frage noch, leitet der nur auf einen anderen FQDN um? Weil dann müsste ja der Mailserver der die DB´s enthält auch von außen erreichbar sein.

[eknori]

@kloeti: Du hast nicht "zufällig" ein mod_proxy_html.so für ein Suse 9.2 ?

Ich bekomme das Zeugs einfach nicht fehlerfrei mit apxs kompiliert ...

[eknori]

So, habe meinen reverse proxy nun am Start.

[eini]

@eknori
Klingt gut, was genau hast du laufen? Wie klappt es? Weil das stünde bei mir nun wohl auch an. So wie es aktuell ist möchte ich´s nicht live nehmen, sprich die PF in die DMZ replizieren. Und da sehe ich keinen anderen Weg als einen Proxy. Ich hoffe es ist nix geheimes. 

[eknori]

Nein, ist nicht geheim. Steht Alles im Internet. http://apache.webthing.com/mod_proxy_html/. Die Seite verlinkt auch auf ein Tutorial: Reverse Proxying
Die informationen muss man natürlich auf den Apache2 anpassen ( Ich habe 2 Installationen gemacht; eine mit SUSE 10.1 und eine mit OpenSuse 10.3 )

Ganz grob beschrieben brauchst du einen Apache Webserver; die beschriebene mod_proxy_html.so und ein bisschen Konfiguration, um erste Erfolge zu haben.

[eknori]

Hier eine kurze Beschreibung