Ein Blick hinter die Kulissen und Aufbau einer Testumgebung

Häufig erreichen mich Fragen wie diese hier (aus ein paar gesammelten Mails):

Ich habe keine feste IP Adresse, möchte aber einen eignen Exchange Server betreiben, geht das?

Ich möchte zuhause eine Exchange Testumgebung aufbauen, wie machst du das?

Ich habe einen ganz kleinen Kunden der Exchange einsetzen möchte, was brauche ich dazu?

Da diese Fragen relativ häufig in meinem Postfach landen, möchte ich an dieser Stelle mal wieder einen kleinen Einblick hinter meine eigene kleine Exchange Organisation gewähren. Hier gab es diesen Blick hinter die Kulissen schon einmal, allerdings war des „damals“ noch Exchange Server 2010. Hier also die aktuelle Umgebung, die sich auch für die eigene Testumgebung, Mini Exchange Organisation oder einfach nur zum Spielen eignet.

Update: Während ich diesen Artikel verfasst habe, ist mir in den Sinn gekommen, das ich hier auch den kompletten Aufbau zum Nachbau dokumentieren könnte. Es werden also ein paar Beiträge mit einer meiner Testdomains folgen. Wo Schritt für Schritt die nachstehende Umgebung aufgebaut wird.

Die Umgebung / Testumgebung

Testumgebung

Meine Domain wird nach wie vor von Strato gehostet, bisher kann ich absolut nichts schlechtes berichten, ich hatte bisher nur wenig Notwendigkeit den Support zu kontaktieren, aber der war durchweg schnell und kompetent. Von daher: Daumen hoch!

Großer Vorteil von Strato: Es lassen sich Subdomains anlegen, die sich dynamisch aktualisieren lassen, dazu später mehr.

Internetzugang erfolgt über eine VDSL-Leitung (100/50Mbit), die Einwahl übernimmt dabei eine Fritzbox.Die Fritzbox wiederrum leitet Port 80 (HTTP) und Port 443 (HTTPS) an die virtuelle Firewall weiter.

Die virtuelle Firewall (Sophos UTM) ist auf einem ESXi Server beheimatet. Der schluckt dank dem aktuellen Core-i7 und SSDs angenehm wenig Strom (~30 Watt unter Normallast). Mit 32 GB DDR4 RAM ist er auch ausreichend schnell. Für meine Exchange Organisation laufen auf dem ESXi 3 VMs: Domain Controller, Exchange Server und POP3 Connector VM.

Netzwerk

Netzwerk

Da mein ESX Server nur 2 Netzwerkkarten hat, habe ich diverse VLANs konfiguriert, VLAN 9 dient als Transfer Netz zwischen Fritzbox und Sophos UTM. DC und Exchange Server befinden sich im VLAN 10, welches sich hinter der Sophos UTM befindet. VLAN 11 ist die DMZ. In der DMZ befindet sich ein Windows Server, der die Mails via POP3 von Strato aus der Catchall Mailbox abholt und via SMTP an die UTM schickt (enin, nicht direkt an den Exchange). VLAN 20 ist für die Clients vorgesehen. Default Gateway ist für alle LANs die Sophos UTM. Es gibt noch weitere VLANs, aber die sind aus Exchange Sicht nicht relevant.

Mailfluss (Eingehend)

Mailfluss

Die POP3 Connector VM holt sich die Mails aus dem Strato Catchall Postfach via POP3 ab und leitet die via SMTP an die Sophos UTM weiter. Die UTM wiederrum leitet die Mail via SMTP an den Exchange Server weiter. Man könnte natürlich auch die Mail direkt vom POP3 Connector aus an den Exchange Server weiterleiten, ich habe mich allerdings dagegen entschieden. Die UTM hat einen recht guten SPAM Filter in der E-Mail Protection, der SPAM Filter arbeitet allerdings am liebsten mit dem SMTP Protokoll, zwar kann die UTM auch als POP Proxy fungieren und somit Viren ausfiltern, allerdings muss man dann ein paar Einschnitte in Kauf nehmen. Da ich recht viel teste und rumspiele, kann ich in dieser Konfiguration mittels SMTP-Profilen einzelne Domains auf andere Exchange Server umleiten, etwa wenn ich eine neue Testumgebung installiere.Zudem funktioniert so auch die SPAM Quarantäne.

Mailfluss (Ausgehend)

Mailfluss_A

Ausgehend sendet Exchange die Mails zunächst an die UTM, die hat wiederum den Strato SMTP Server als Smarthost konfiguriert, zwar könnte Exchange auch direkt an den Strato SMTP Server senden, allerdings bleibt in dieser Konfiguration dank der SMTP Profile der UTM wieder viel Freiheit für Testszenarien usw.

Active Directory / DNS / Exchange

Das Active Directory hört auf den Namen frankysweb.de, ich wollte es an dieser Stelle möglichst einfach halten, so brauche ich nicht mit alternativen Suffixen arbeiten. Da es sich bei mir ja nur um eine winzige Umgebung handelt, habe ich so auf einfachste Weise die E-Mail Adresse zum Benutzernamen gemacht. So ergibt sich auch das DNS-Split Brain:

dns

Bei Strato sind zwei Subdomains angelegt, die von der UTM mit der dynamischen IP meines Internetanschlusses aktualisiert wird. Auf meinem internen DNS Sever verweisen die Einträge Outlook und Autodiscover auf die IP Adresse des Exchange Servers.

Die Exchange Verzeichnisse (intern sowie extern mit Ausnahme von Autodisover) sind alle mit dem Namen outlook.frankysweb.de konfiguriert, somit lassen sich offizielle Zertifikate verwenden und es taucht nirgendwo eine Zertifikatswarnung auf.

Veröffentlichung Exchange Dienste

Die Exchange Dienste (Outlook Anywhere, OWA bzw Outlook on the Web, Autodiscover, EWS usw.) werden ebenfalls über die Sophos UTM veröffentlicht. Hierzu nutze ich die Webserver Protection der UTM.

waf

Die Fritzbox leitet Port 80 (HTTP) und Port 443 (HTTPs) an die Sophos UTM weiter. Die Webserver Protection der UTM führt dann eine HTTP zu HTTPs Umleitung durch, falls Verbindungen unverschlüsselt ankommen.

Zusammenfassung

Als Testumgebung, Spielereien oder die eigene kleine Umgebung eignet sicher dieser Aufbau. Ob man eine Single-Server Lösung als Unternehmen betreiben will, muss jeder selbst entscheiden. Ich habe keine großen Verfügbarkeitsanforderungen. Wenn mein ESX Server abbrennt, finde ich das ärgerlich, aber ich kann mein Backup schnell wieder auf meiner Workstation als Hyper-V VM zurückspielen, bis ich einen neuen ESX Server habe :-)

Ein HowTo zum Nachbau folgt noch.

14 thoughts on “Ein Blick hinter die Kulissen und Aufbau einer Testumgebung”

  1. Vielen Dank für deine Klasse Tutorials!

    Meinst du, du kann noch etwas näher auf deine IP-Konfiguration, Switch, Gateway, VLAN, vSwitch eingehen? Ich habs bisher auch noch nicht geschafft, die eth0 dazu zu bewegen, eine Verbindung aufzubauen geschweige denn, diese durch eth1 zu routen.

    Reply
  2. Hallo Frank,
    Du schreibst hier:
    Die virtuelle Firewall (Sophos UTM) ist auf einem ESXi Server beheimatet. Der schluckt dank dem aktuellen Core-i7 und SSDs angenehm wenig Strom (~30 Watt unter Normallast). Mit 32 GB DDR4 RAM ist er auch ausreichend schnell. Für meine Exchange Organisation laufen auf dem ESXi 3 VMs: Domain Controller, Exchange Server und POP3 Connector VM.

    Wie darf ich mir das vorstellen? Hast du da einfach nen Mini PC ala Zotac ZBox mit ordentlich Power genommen? Leider sind meine Kriegskassen momentan geplündert. Habe zwar noch den Asus Vivo, welcher die Tage noch nen 8 GB Riegel für den Exchange bekommt, aber da macht ein Mini PC schon Sinn. Akutell habe ich die Pfsense als Appliance auf nen Apu Board laufen. Nen ESX hab ich zwar schon aber den auf nem 19″ Zoll Server und diesen möchte ich nicht 7/24 laufen lassen. Dachte zunächst an nen kleinen 19″ 1 HE aus der Bucht oder hast du mir vllt. genauere Details bzw. einen Kauftipp?

    Reply
    • Hallo Phil,
      der Beitrag ist nun ja auch schon etwas älter…
      Ich glaube die Hardware kann man schon gar nicht mehr kaufen :-) Ich habe hier einfach Standard Komponenten genommen, also keine Serverhardware oder Mini PCs. Standard Mainboard, CPU, RAM, SSDs fertig.
      Gruß,
      Frank

      Reply
      • Hi Frank,

        ja das geht bisher auch mit MiniPCs ganz gut. Will es aber dennoch richtig machen. Gut, wenn ich überlege, PC in der Leistugsklasse sind wir schnell bei 400-500, hatte eher an einen 1HE G6-G7 Server von HP gedacht, die sind Preisgünstig und werden meist schon mit ausreichend Speicher angeboten. SSDs und Festplatten hab ich noch da.

        Zwecks Sophos Home XG oder auch OPNSense: Hab mir das die Tage mal genauer angeschaut. Nutze zur Zeit ne Pfsense auf nem APU Board. Das läuft soweit aber wenn ich jetzt deine Config hier aus den Artikeln anwende, die auf Sophos und OPNSense recht einfach gehalten sind, bin ich bei der Pfsense und den Settings total überfordert. Würde ganz gerne die Spohos XG von dem VMWare PC trennen und in ne alte UTM 220 invstieren, da ich dann den Server nicht permanent laufen lassen muss, um meine Firewall zu betreiben. Läuft den die Sophos XG noch gut auf ner UTM?

        Ach, ja und zwecks der Dynamischen IP. Was muss ich wo einstellen, wenn ich ne feste IP habe?

        Grüße
        Phil

        Reply
  3. Hallo Frank,

    welches Programm nutzt du um die Umgebungspläne / Netzwerkpläne zu machen?
    Das sieht in deinen Beiträgen immer super Übersichtlich aus.

    Danke im Voraus.

    VG
    Maximilian

    Reply
  4. Hallo Frank,
    vielen Dank für deine äußerst hilfreichen und insteressanten How-To’s :) Wie ich in diesem Artikel sowie in deiner neuen Blog Serie „Erweiterung der “kleinen Exchange Organisation” schreibst du das du deine E-Mails per POP Connector der UTM von deinem Provider Strato abholst. Meines wissens kann man doch mittlerweile bei sämtlichen Anbietern auch DynDNS Hostnamen als MX-Record definieren !? Hat das einen bestimmten Grund oder machst du das nur weil dein Server nicht dauerhaft an ist um Mails zu empfangen?

    Besten Dank vorab und einen schönen Abend :)

    Gruß
    Sebastian

    Reply
    • Hi Sebastian,
      den Umweg via POP Connector mache ich, da es bei DynDNS Records nicht möglich ist, Reverse DNS Einträge zu konfigurieren. Das Empfangen von Mails funktioniert zwar eingeschränkt mit DynDNS, das Senden allerdings nicht. Ohne gültigen RDNS Eintrag lehnen nahezu alle Empfänger die Mails direkt ab.

      Gruß, Frank

      Reply
  5. Hallo Frank
    Ich habe den gesamten Artikel gelesen. Prima Anleitung für die Situation. Ich möchte mir mein DC und Exchange selbst neu auf setzten. Ähnlich deiner Konfiruation. Der Kampf fest IP war auch bei immer ein Thema. Nun bekomme ich eine. Was ich bei Dir vermisse ist der DHCP mit dem DC. Hast Du diesen noch auf der Fritz Box am laufen oder übersehe ich hier nun etwas. Ich würde den DHCP gern über den DC Server mitlaufen lassen da ich hierüber häufig mit den IP-Vergaben und MAC Filtern arbeite. Kannst Du mir vielleicht Gründe nennen warum ich das anders sein sollte oder es Probleme geben könnte? Wie ist das bei Dir?

    Reply
    • Hi,
      bei mir ist die UTM der DHCP Server, es spricht allerdings nichts dagegen, den DHCP Server auf einem Windows Server laufen zu lassen. Die Fritzbox kann in dieser Konfiguration zwar den DHCP Server aktiviert haben, wird allerdings maximal eine Adresse vergeben, nämlich an die UTM (entsprechende VLAN Konfiguration vorausgesetzt).
      Gruß, Frank

      Reply
  6. Hallo Frank,
    ich habe deine Anleitungen für die kleine Umgebung interessiert verfolgt.
    Bei mir ist es jedoch so, dass die interne Domäne anders lautet als die externe Domäne.
    Kannst du mir bei dieser Konstellation ein paar Typs geben; hab nämlich gerade ein größeres Brett vor dem Kopf und komme nicht weiter.
    Danke
    Jürgen

    Reply
    • Hi Jürgen,

      der Name der internen Domain darf ruhig unterschiedlich sein. Das Prinzip bleibt gleich. Wo gibt es denn Unklarheiten?
      Gruß, Frank

      Reply
  7. Hallo Frank,

    Eine Frage zu deiner Konfiguration. Wieso rufst Du deine Mails per POP3 ab?

    Ich war kurz davor meinen Anschluss auf einen Festen IP Anschluss umzustellen.
    Jetzt habe ich in deiner Konfig gelesen, dass das auch ohne geht. Dann kann ich meinen Anschluss so weiter verwenden wie bisher und meine Fritzbox wird nicht zum Modem degradiert ;-)
    Ich bin mal auf deine Anleitung gespannt.

    Meine Konfig zur Zeit:

    Unitymedia Business Anschluss mit „dynamischer“ IPv4
    Fritzbox
    Sophos UTM 110/120
    Hyper-V Server mit 4 VMs (2 DCs und 2 Exchange 2013)

    Geplant später noch eine NoSpam Proxy Firewall.

    Gruß Dirk

    Reply
    • Hi Dirk,
      ich werde auf das POP3 Thema in dem entsprechenden Konfigurations Artikel näher eingehen. Zwar ist es nicht mehr zeitgemäß E-Mails via POP3 abzurufen, aber es hat für kleine Umgebungen/Testumgebungen und Umgebungen mit dyn. IP folgende Vorteile:
      – Die Mails landen beim Provider und bleiben bis zum Abruf dort (Ausfall der Internetverbindung)
      – E-Mail Anbieter hassen dynamische IPs und wollen E-Mails weder von dynamischen IPs bekommen, noch dort hin senden
      – Reverse Records nicht bei dyn. IPs nicht möglich
      Wie schon erwähnt, genaueres gibt es im entsprechenden Artikel. Eine feste IP ist also nicht zwingend nötig, ich habe ja auch keine :-) Beim Spam Filter muss man dann allerdings etwas aufpassen, Infos folgen ;-)

      Gruß, Frank

      Reply

Leave a Comment