Post on 08-Jul-2015
description
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Konrad Sagała, Architekt Systemów IT | Trener | Exchange MVPAPN Promise S.A.
Promise | www.promise.pl
Agenda
Wprowadzenie
Różne sposoby publikacji usług Exchange
Dwa składniki wewnętrzne1. Client Access
Ewolucja Exchange 2010 CAS Array i SMTP Front End
2. Database Availability Group
Ewolucja Exchange 2010 DAG
Zawiera wszystkie podstawowe protokoły
Architektura ról Exchange Server 2013
Enterprise Network
External SMTP
servers
Phone System
(PBX or VOIP)
Web
browser
Outlook
(remote user)
Mobile
phone
Line of Business
ApplicationOutlook (local user)
AD
DAG
MBX
MBX
MBX
MBX
MBX
Layer
4 L
B
CAS
ArrayCAS
CAS
CAS
CAS
CAS
Exchange Online
Protection
Edge Transport
Routing and
AV/AS
HTTS
POP/IMAPDwie ścieżki komunikacji1. SMTP – serwery/internet
2. HTTPS – klienci (opcjonalnie POP/IMAP)
Promise | www.promise.pl
Jak publikować Exchange – przez Reverse Proxy czy bezpośrednio?
Promise | www.promise.pl
Cechy Reverse proxy:
Promise | www.promise.pl
Możliwości publikacji usług Exchange
Forefront TMG 2010
Forefront UAG 2010
Metody natywne - ARR!
HLB na przykładzie Kemp Load Master
Promise | www.promise.pl
Forefront TMG
Promise | www.promise.pl
TMG 2010 wycofany • Forefront TMG od grudnia 2012 wycofany ze
sprzedaży, nadal dostępny dla klientów EA, którzy go już mieli.
• Wsparcie do końca grudnia 2015, rozszerzone do 2020, ale nie będzie modyfikacji i Service Packów.
• Jedyny dokument o publikacji to wpis na blogu.
Promise | www.promise.pl
Forefront UAG 2010
Forefront Unified Access Gateway (UAG) 2010• Inteligentny portal dostępowy
– SSL VPN web portal– Reverse proxy– Client access VPN– DirectAccess gateway (funkcjonalność nie rozwijana)
• Następca IAG 2007• Oparty na TMG 2010
Promise | www.promise.pl
UAG – nowości w SP3• Wsparcie dla Exchange 2013 i kreatory dla tej
wersji produktu.
• Wspiera również Lync 2013 i Sharepoint 2013.
• Dla dużej organizacji duuuże koszty (licencjonowanie per user).
• Brak długotrwałej roadmapy
Promise | www.promise.pl
UAG – kreator dodawania aplikacji
Promise | www.promise.pl
Exchange 2013 - Health Test URL: https://FQDN/ProtocolName/HealthCheck.htmServer Farm Health Test URL
autodiscover.lab.pepug.org https://autodiscover.lab.pepug.org/Autodiscover/HealthCheck.htm
OA.lab.pepug.org https://OA.lab.pepug.org/RPC/HealthCheck.htm
mail.lab.pepug.org https://mail.lab.pepug.org/OWA/HealthCheck.htm
ECP.lab.pepug.org https://ECP.lab.pepug.org/ECP/HealthCheck.htm
EWS.lab.pepug.org https://EWS.lab.pepug.org/EWS/HealthCheck.htm
OAB.lab.pepug.org https://OAB.lab.pepug.org/OAB/HealthCheck.htm
EAS.lab.pepug.org https://EAS.lab.pepug.org/Microsoft-Server-ActiveSync/HealthCheck.htm
Promise | www.promise.pl
Mechanizmy systemowe Load Balancingu
• Network Load Balancing – wbudowany w system, w warstwie sieciowej. Problematyczny w środowisku wirtualnym, nie zapewnia ochrony przy dostępie z zewnątrz. Nie zalecany przez Microsoft dla Exchange
• ARR – dodatek do IIS do pobrania ze strony Microsoftu. Może być wykorzystany zarówno do Load Balancingu i jako Reverse Proxy.
Promise | www.promise.pl
Application Request Routing - ARR
Promise | www.promise.pl
ARR 2.5 dla IIS• Od niedawna posiada wsparcie dla Exchangehttp://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx• Jako reverse proxy zalecany również dla Lynca i innych
aplikacji webowychhttp://blogs.technet.com/b/nexthop/archive/2013/02/19/using-iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx• Bezpłatny (ale trzeba mieć maszynę w DMZ)• Szerokie spektrum systemów od Windows 2008 do 2012
(również odpowiedniki desktopowe).
Promise | www.promise.pl
ARR 2.5 dla IIS – definicja reguł
Promise | www.promise.pl
Windows 2012R2 – Web Application Proxy
Backend ServerBackend Server
AD FS
Backend Server
Config. Store
Web Application Proxy
DMZ
AD FS Proxy
Fire
wal
l
Load
Bal
ance
r
Load
Bal
ance
r
Fire
wal
l
Active Directory Domain
Controller
Client (browser,
Office client or modern
app)
Corporate NetworkInternet
HTTP/S
HTTP/S
AuthN
Config. API over HTTPS
AuthN Web UI
Claims, IWA or pass-through AuthN
Obtain KCD ticket for IWA AuthN
Promise | www.promise.pl
Kemp LoadMaster• Load Master – rozwijany od 2004.• Load Balancery KEMP (sprzętowe i programowe) mają status Certified for
Microsoft Exchange 2010/2013 oraz Microsoft Lync 2010/2013.• Jedyny appliance typu Virtual load balancing dostępny dla Microsoft
Hyper-V.• Optymalizowany również dla usług MS Sharepoint oraz Terminal Services.• Do pobrania szablony konfiguracji MS Exchange 2013 i 2010.
Promise | www.promise.pl
Możliwości publikacj i różnych apl ikacj i
Web Servers & Intranet Apps,w tym Sharepoint
MS Terminal,Citrix Servers
Mail & Messaging Servers – w tymExchange & Lync/OCS
Inne, takie jak ERP, CRM, Aplikacje LOB
Virtualized Servers
Internet
Active / Hot Standby
Promise | www.promise.pl
Cechy i zalety load balancerów KEMP LoadMaster
Cecha Zaleta
Rozkłada zapytania klientów na najmniej obciążony serwer
Zadowolenie z wydajnego użycia aplikacji
Możliwa konfiguracja Active/Hot-Standby z automatycznym przełączeniem
Zapewnia HA na poziomie 99.999% i eliminuje SLB jako pojedynczy punkt awarii
Weryfikacja „stanu zdrowia” sprzętu i aplikacji dovelowej
Zapytanie klienta jest kierowane wyłącznie do działającego serwera i dostępnej instancji aplikacji “available” severs AND “available” applications.
Layer 4/7 Persistence Zapewnia stałe połączenie z aplikacją, nawet po zmianie serwera i adresu IP
Layer 7 Content SwitchingOptymalizacja ruchu do serwerów w zależności od rodzaju zawartości(images, multi-media, apps)
SSL Acceleration/Offload in ASIC Poprawa wydajności dzięki sprzętowym rozwiązaniom szyfrującym
Compression, Cache Optymalizuje ruch replikacyjny
Intrusion Prevention Systems (IPS) Ochrona przed zagrożeniami na poziomie aplikacji (mechanizmy Snorta)
Support for Edge Security Pack* Logowanie i raportowanie, Single Sign On, Uwierzytelnianie , Pre-Auth
GSLB Feature Pack ** Przekierowywanie ruchu do innego DataCenter w przypadku awarii
Promise | www.promise.pl
GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load
Balancers
Failover and failback to the best performing and geographically closest datacenter
Availability and continuity for multi-site application deployments
Datacenter resiliency by distributing user traffic
Dynamic DNS Global Load Balancing
KEMP LoadMaster™ Hardware Load Balancers
LoadMaster LM-2200 LM-2600 LM-3600 LM-5300 LM R-320
Max Balancer Throughput 950 Mbit 1,7 G 3,4 G 8,8 G 7 G
SSL Transactions Per/Second (TPS) 200 2 000 5 000 9 300 8 000
Integrated SSL ASIC N/A ✓ ✓ ✓ ✓
Requests per second (HTTP) 25 000 69,00 73 000 110 000 96 000
Layer 4 concurrent connections 4,300,000 8,600,00 12,800,00 25,600,000 25,600,000
Max Servers Supported / Virtual Clusters 1 000/500 1 000/500 1 000/1 000 1 000/1 000 1 000/1 000
Network ports 4 xGbE 4 x GbE 8 x GbE 8 x GbE и 2 x 10Gb (SFP+)
Rack-mountable 1U 1U 1U 1U 1U
Storage Disk ✓ ✓ ✓ ✓ ✓
Power Supply (Watts) 180 350 350 2x200 hot swap 2x200 hot swap
Key Features
Layer 4/7 Load Balancing ✓ ✓ ✓ ✓ ✓
Content Switching ✓ ✓ ✓ ✓ ✓
Caching, Compression Engine ✓ ✓ ✓ ✓ ✓
IPS (SNORT-Rules compatible) ✓ ✓ ✓ ✓ ✓
MS Exchange 2010/2013 Optimized ✓ ✓ ✓ ✓ ✓
Active/Hot-standby Redundant Operation ✓ ✓ ✓ ✓ ✓
Support for Edge Security Pack** ✓ ✓ ✓ ✓
Bonding/Teaming Ports (802.3ad/LACP) ✓ ✓ ✓ ✓ ✓
VLAN Trunking (802.1Q) ✓ ✓ ✓ ✓ ✓
Promise | www.promise.pl
KEMP Virtual LoadMaster™ Virtual Load Balancers & Application Delivery Controllers
Model Number VLM-100 VLM-200 VLM-1000 LM-2000 VLM -5000
Max Balancer Throughput (Mbps) 100 (Mbps) 200 (Mbps) Unrestricted 1 2000 (Mbps) 5000 (Mbps)
SSL Transactions Per/Second (TPS) 100 200 249 1000 5000
Max Servers Supported / Virtual Clusters 1 000/500 1 000/1000 1 000/1 000 1 000/1 000 1 000/1 000
Key Features
Layer 4/7 Load Balancing ✓ ✓ ✓ ✓ ✓
Content Switching ✓ ✓ ✓ ✓ ✓
Application Health Checking ✓ ✓ ✓ ✓ ✓
Caching, Compression Engine ✓ ✓ ✓ ✓ ✓
IPS (SNORT-Rules compatible) ✓ ✓ ✓ ✓ ✓
L7 Persistence Options ✓ ✓ ✓ ✓ ✓
MS Exchange 2010 / 2013 Optimized ✓ ✓ ✓ ✓ ✓
Bonding/Teaming Ports (802.3ad/LACP) ✓ ✓ ✓ ✓ ✓
VLAN Trunking (802.1Q) ✓ ✓ ✓ ✓ ✓
Support for Edge Security Pack
- Pre-Authentication
- Single Sign On
- Persistent Logging
✓ ✓ ✓ ✓
Promise | www.promise.pl
Scenariusz wykorzystania KEMP LoadMaster
Promise | www.promise.pl
Dlaczego warto użyć KEMP Load Masterdlв Exchange 2010/2013?
1. Service aware (sprawdza stan aplikacji a nie tylko dostępnośćadresu IP jak WNLB)
2. Redukuje skutek awarii pojedynczego serwera Client Access
3. Rozkłada obciążenie na farmę serwerów Client Access
4. Poprawia komfort pracy użytkownika podczas przełączaniabaz skrzynkowych
5. Wspiera serwery w ‚DatabaseAvailability Group (DAG)’
6. Zapobiega efektowi ‚port flooding’7. Umożliwia połączenie prostoty
przełączania w warstwie 4 oraz funkcjonalności warstwy 7
Promise | www.promise.pl
1. Front End pools, Director pools, and or Edge Server pools
2. Layer 7 health checking3. Load balancing wewnętrznych i
zewnętrznych web service’ów4. Wysoka dostępność5. SSL offload/acceleration, optymalizacja
ruchu sieciowego6. Szybki i wydajny load balancing
Kemp obsługuje Microsoft Lync Server 2013
Promise | www.promise.pl
Funkcjonalność Reverse proxy
1. Obsługuje Persistent Logging & Reporting dla logowania sesji użytkowników2. Single Sign On dla wielu Virtual Service’ów3. LDAP Authentication w Active Directory 4. Klient uwierzytelnia się poprzez NTLM lub Basic na LoadMasterze5. Ukrywa charakterystykę serwera docelowego…… SNAT6. Może realizować offloading SSL na KEMP Load Masterze…..SSL acceleration7. Reverse Proxy obniża obciążenie serwerów wewnętrznych poprzez Cache’owanie……Caching ( web acceleration)8. Reverse Proxy może optymalizować zawartość poprzez kompresję……Compression 9. Reverse Proxy rozdziela ruch przychodzący na kolejne serwery …. Load Balancing
Load-Balanced Pools
Supported NAT Modes
Notes
Enterprise pools and Communicator Web Access
Full-NAT (SNAT)
Half-NAT is not supported for load balancing of internal pools because inter-server communications within an internal pool fail when servers in the pool try to connect to their own VIP
Edge pools Full-NAT (SNAT)
and
Half-NAT (DNAT)
The VIP for the external interface of Edge Servers should be set to half-NAT or full-NAT only for traffic to the edge (for each VIP that is used for Edge Servers and HTTP). Also, NAT is not supported for the IP address of the external interface of the A/V Edge Server of an Edge Server, so the IP address of the external interface of the A/V Edge service on each Edge Server must be publicly routable (no NAT).
Promise | www.promise.pl
1. Maksymalizuje efektywność sieci2. Uwzględnia persistence/monitorowanie wydajności serwerów Window z różnorodnymi usługami3. Monitorowanie zasobów LoadMaster udostęnia dane o zużyciu paięci i CPU (poprzez agentów)4. Integruje się z MS Session Directory 5. RDP-based Layer 7 Persistence6. Umożłiwia ponowne połączenie sesji bez sięgania do usługi Session Directory7. Health checking serwerów Microsoft WTS
Wykorzystanie do Load Balancingu dla Windows Terminal Services (WTS)
Promise | www.promise.pl
KEMP ESP – Edge Security Pack
Microsoft ogłosił END-OF-LIFE dla Forefront Threat Management Gateway (TMG)
The KEMP Edge Security Pack (ESP) zaprojektowano w celu dostarczenia kompletnego rozwiązania, w miejsce funkcji udostępnianych przez TMG
1. End Point Authentication for Pre-Auth2. Persistent Logging and Reporting for User
Logging3. Single Sign On across Virtual Services4. LDAP authentication from the LoadMaster
to the Active Directory5. NTLM and Basic authentication
communication from a Client to the LoadMaster
Promise | www.promise.pl
Internet DMZ Internal Network
ActiveSync Device
Active Directory
mail.kempdemo.com
Outlook Anywhere Client KEMP LoadMaster
with ESP
Multi-Role Exchange Server
2013
SSL termination
andre-encryption
1. Importujemy certyfikat Exchange do LoadMastera2. Definiujemy domenę Single Sign-On3. Tworzymy reguły Content Matching4. Tworzymy Virtual Service5. Przypisujemy Certyfikat do Virtual Service’u
DEMO
Promise | www.promise.pl
GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load Balancers
1. Jak to działa? 2. Gdzie instalujemy GEO?
3. Kryteria wyboru
4.Intelligent Traffic Management (ITM)
Promise | www.promise.pl
Kemp LoadMaster for Azure – bezpłatny (!)
Promise | www.promise.pl
Porównanie domyślnego Azure LB i KempLoad Master for Azure
Azure Load Balancer KEMP LoadMaster-for-Azure
Application-Aware L7 load balancing No Yes
Balancing methods Round Robin Only L4/L7
Server persistence No L4/L7 (Cookie and more)
SSL Termination/Offload No Yes
Adaptive Agent No Yes
DEMO
Promise | www.promise.pl
Pytania?
Konrad Sagała, Architekt Systemów IT | Trener | Exchange MVP
APN Promise S.A.
tel. +48 605 160 776 | Konrad.sagala@promise.pl