Moin,
es gibt für mein Dafürhalten keinen guten Grund (auch sicherheitstechnisch nicht), hier zwei getrennte Domänen zu nutzen. Was ich statt dessen vorschlagen würde, wäre das folgende Konzept:
[ul][li]Der Hauptserver (im UCS-Jargon: »Domaincontroller Master« oder »DC Master«) steht im internen Netz. Über ihn erfolgt die Benutzerverwaltung. Er enthält das LDAP-Verzeichnis.[/li]
[li]In der DMZ wird ein UCS-Memberserver mit Postfix & Zarafa installiert. Zarafa wird über das UCS-AppCenter installiert. Dadurch wird es automatisch so konfiguriert, dass es den DC Master als Authentifizierungsquelle nutzt. Alle auf dem Master angelegten und als »Zarafa-User« geflaggten Accounts stehen somit automatisch auf dem Zarafa-Server zur Verfügung.[/li]
[li]Die Firewall zwischen internem Netz und DMZ muss natürlich für die Kommunikation zwischen den beiden Servern angepasst werden.[/li][/ul]
Zum Hintergrund: In UCS gibt es grob vier relevante Serverrollen:
[ul][li]Domaincontroller Master – gibt es genau ein mal; maßgebliche Quelle für Benutzerverwaltung[/li]
[li]Domaincontroller Backup – enthält dieselben Konfigurationsdaten wie der Master und dient als Notfallgerät für Disaster-Zwecke, falls der Master nicht mehr zur Verfügung steht (nur sinnvoll, wenn auf anderer Hardware laufend)[/li]
[li]Domaincontroller Slave – enthält ebenfalls ein LDAP und ist für z.B. Außenstellen geeignet, um einen netzwerktopologisch lokalen Authentifizierungsdienst bereitzustellen[/li]
[li]Memberserver – enthält als einziger keinen LDAP und dient als Arbeitspferd für beliebige Dienste[/li][/ul]
Die meisten kleineren Firmen fahren gut mit Modellen, in denen es den Master und zuzüglich mehrere Memberserver gibt.
Gruß,
mosu