Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?

Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?

Konrad Sagała, Architekt Systemów IT | Trener | Exchange MVPAPN Promise S.A.

Promise | www.promise.pl

Agenda

Wprowadzenie

Różne sposoby publikacji usług Exchange

Dwa składniki wewnętrzne1. Client Access

Ewolucja Exchange 2010 CAS Array i SMTP Front End

2. Database Availability Group

Ewolucja Exchange 2010 DAG

Zawiera wszystkie podstawowe protokoły

Architektura ról Exchange Server 2013

Enterprise Network

External SMTP

servers

Phone System

(PBX or VOIP)

Web

browser

Outlook

(remote user)

Mobile

phone

Line of Business

ApplicationOutlook (local user)

AD

DAG

MBX

MBX

MBX

MBX

MBX

Layer

4 L

B

CAS

ArrayCAS

CAS

CAS

CAS

CAS

Exchange Online

Protection

Edge Transport

Routing and

AV/AS

HTTS

POP/IMAPDwie ścieżki komunikacji1. SMTP – serwery/internet

2. HTTPS – klienci (opcjonalnie POP/IMAP)


Jak publikować Exchange – przez Reverse Proxy czy bezpośrednio?


Cechy Reverse proxy:


Możliwości publikacji usług Exchange

Forefront TMG 2010

Forefront UAG 2010

Metody natywne - ARR!

HLB na przykładzie Kemp Load Master


Forefront TMG


TMG 2010 wycofany • Forefront TMG od grudnia 2012 wycofany ze

sprzedaży, nadal dostępny dla klientów EA, którzy go już mieli.

• Wsparcie do końca grudnia 2015, rozszerzone do 2020, ale nie będzie modyfikacji i Service Packów.

• Jedyny dokument o publikacji to wpis na blogu.


Forefront UAG 2010

Forefront Unified Access Gateway (UAG) 2010• Inteligentny portal dostępowy

– SSL VPN web portal– Reverse proxy– Client access VPN– DirectAccess gateway (funkcjonalność nie rozwijana)

• Następca IAG 2007• Oparty na TMG 2010


UAG – nowości w SP3• Wsparcie dla Exchange 2013 i kreatory dla tej

wersji produktu.

• Wspiera również Lync 2013 i Sharepoint 2013.

• Dla dużej organizacji duuuże koszty (licencjonowanie per user).

• Brak długotrwałej roadmapy


UAG – kreator dodawania aplikacji


Exchange 2013 - Health Test URL: https://FQDN/ProtocolName/HealthCheck.htmServer Farm Health Test URL

autodiscover.lab.pepug.org https://autodiscover.lab.pepug.org/Autodiscover/HealthCheck.htm

OA.lab.pepug.org https://OA.lab.pepug.org/RPC/HealthCheck.htm

mail.lab.pepug.org https://mail.lab.pepug.org/OWA/HealthCheck.htm

ECP.lab.pepug.org https://ECP.lab.pepug.org/ECP/HealthCheck.htm

EWS.lab.pepug.org https://EWS.lab.pepug.org/EWS/HealthCheck.htm

OAB.lab.pepug.org https://OAB.lab.pepug.org/OAB/HealthCheck.htm

EAS.lab.pepug.org https://EAS.lab.pepug.org/Microsoft-Server-ActiveSync/HealthCheck.htm

https://fqdn/ProtocolName/HealthCheck.htm

https://autodiscover.tailspintoys.com/Autodiscover/HealthCheck.htm

https://oa.tailspintoys.com/RPC/HealthCheck.htm

https://mail.tailspintoys.com/OWA/HealthCheck.htm

https://ecp.tailspintoys.com/ECP/HealthCheck.htm

https://ews.tailspintoys.com/EWS/HealthCheck.htm

https://oab.tailspintoys.com/OAB/HealthCheck.htm

https://eas.tailspintoys.com/Microsoft-Server-ActiveSync/HealthCheck.htm


Mechanizmy systemowe Load Balancingu

• Network Load Balancing – wbudowany w system, w warstwie sieciowej. Problematyczny w środowisku wirtualnym, nie zapewnia ochrony przy dostępie z zewnątrz. Nie zalecany przez Microsoft dla Exchange

• ARR – dodatek do IIS do pobrania ze strony Microsoftu. Może być wykorzystany zarówno do Load Balancingu i jako Reverse Proxy.


Application Request Routing - ARR


ARR 2.5 dla IIS• Od niedawna posiada wsparcie dla Exchangehttp://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx• Jako reverse proxy zalecany również dla Lynca i innych

aplikacji webowychhttp://blogs.technet.com/b/nexthop/archive/2013/02/19/using-iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx• Bezpłatny (ale trzeba mieć maszynę w DMZ)• Szerokie spektrum systemów od Windows 2008 do 2012

(również odpowiedniki desktopowe).

http://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx

http://blogs.technet.com/b/nexthop/archive/2013/02/19/using-iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx


ARR 2.5 dla IIS – definicja reguł


Windows 2012R2 – Web Application Proxy

Backend ServerBackend Server

AD FS

Backend Server

Config. Store

Web Application Proxy

DMZ

AD FS Proxy

Fire

wal

l

Load

Bal

ance

r

Load

Bal

ance

r

Fire

wal

l

Active Directory Domain

Controller

Client (browser,

Office client or modern

app)

Corporate NetworkInternet

HTTP/S

HTTP/S

AuthN

Config. API over HTTPS

AuthN Web UI

Claims, IWA or pass-through AuthN

Obtain KCD ticket for IWA AuthN


Kemp LoadMaster• Load Master – rozwijany od 2004.• Load Balancery KEMP (sprzętowe i programowe) mają status Certified for

Microsoft Exchange 2010/2013 oraz Microsoft Lync 2010/2013.• Jedyny appliance typu Virtual load balancing dostępny dla Microsoft

Hyper-V.• Optymalizowany również dla usług MS Sharepoint oraz Terminal Services.• Do pobrania szablony konfiguracji MS Exchange 2013 i 2010.


Możliwości publikacj i różnych apl ikacj i

Web Servers & Intranet Apps,w tym Sharepoint

MS Terminal,Citrix Servers

Mail & Messaging Servers – w tymExchange & Lync/OCS

Inne, takie jak ERP, CRM, Aplikacje LOB

Virtualized Servers

Internet

Active / Hot Standby


Cechy i zalety load balancerów KEMP LoadMaster

Cecha Zaleta

Rozkłada zapytania klientów na najmniej obciążony serwer

Zadowolenie z wydajnego użycia aplikacji

Możliwa konfiguracja Active/Hot-Standby z automatycznym przełączeniem

Zapewnia HA na poziomie 99.999% i eliminuje SLB jako pojedynczy punkt awarii

Weryfikacja „stanu zdrowia” sprzętu i aplikacji dovelowej

Zapytanie klienta jest kierowane wyłącznie do działającego serwera i dostępnej instancji aplikacji “available” severs AND “available” applications.

Layer 4/7 Persistence Zapewnia stałe połączenie z aplikacją, nawet po zmianie serwera i adresu IP

Layer 7 Content SwitchingOptymalizacja ruchu do serwerów w zależności od rodzaju zawartości(images, multi-media, apps)

SSL Acceleration/Offload in ASIC Poprawa wydajności dzięki sprzętowym rozwiązaniom szyfrującym

Compression, Cache Optymalizuje ruch replikacyjny

Intrusion Prevention Systems (IPS) Ochrona przed zagrożeniami na poziomie aplikacji (mechanizmy Snorta)

Support for Edge Security Pack* Logowanie i raportowanie, Single Sign On, Uwierzytelnianie , Pre-Auth

GSLB Feature Pack ** Przekierowywanie ruchu do innego DataCenter w przypadku awarii


GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load

Balancers

Failover and failback to the best performing and geographically closest datacenter

Availability and continuity for multi-site application deployments

Datacenter resiliency by distributing user traffic

Dynamic DNS Global Load Balancing

KEMP LoadMaster™ Hardware Load Balancers

LoadMaster LM-2200 LM-2600 LM-3600 LM-5300 LM R-320

Max Balancer Throughput 950 Mbit 1,7 G 3,4 G 8,8 G 7 G

SSL Transactions Per/Second (TPS) 200 2 000 5 000 9 300 8 000

Integrated SSL ASIC N/A ✓ ✓ ✓ ✓

Requests per second (HTTP) 25 000 69,00 73 000 110 000 96 000

Layer 4 concurrent connections 4,300,000 8,600,00 12,800,00 25,600,000 25,600,000

Max Servers Supported / Virtual Clusters 1 000/500 1 000/500 1 000/1 000 1 000/1 000 1 000/1 000

Network ports 4 xGbE 4 x GbE 8 x GbE 8 x GbE и 2 x 10Gb (SFP+)

Rack-mountable 1U 1U 1U 1U 1U

Storage Disk ✓ ✓ ✓ ✓ ✓

Power Supply (Watts) 180 350 350 2x200 hot swap 2x200 hot swap

Key Features

Layer 4/7 Load Balancing ✓ ✓ ✓ ✓ ✓

Content Switching ✓ ✓ ✓ ✓ ✓

Caching, Compression Engine ✓ ✓ ✓ ✓ ✓

IPS (SNORT-Rules compatible) ✓ ✓ ✓ ✓ ✓

MS Exchange 2010/2013 Optimized ✓ ✓ ✓ ✓ ✓

Active/Hot-standby Redundant Operation ✓ ✓ ✓ ✓ ✓

Support for Edge Security Pack** ✓ ✓ ✓ ✓

Bonding/Teaming Ports (802.3ad/LACP) ✓ ✓ ✓ ✓ ✓

VLAN Trunking (802.1Q) ✓ ✓ ✓ ✓ ✓


KEMP Virtual LoadMaster™ Virtual Load Balancers & Application Delivery Controllers

Model Number VLM-100 VLM-200 VLM-1000 LM-2000 VLM -5000

Max Balancer Throughput (Mbps) 100 (Mbps) 200 (Mbps) Unrestricted 1 2000 (Mbps) 5000 (Mbps)

SSL Transactions Per/Second (TPS) 100 200 249 1000 5000

Max Servers Supported / Virtual Clusters 1 000/500 1 000/1000 1 000/1 000 1 000/1 000 1 000/1 000

Key Features

Layer 4/7 Load Balancing ✓ ✓ ✓ ✓ ✓

Content Switching ✓ ✓ ✓ ✓ ✓

Application Health Checking ✓ ✓ ✓ ✓ ✓

Caching, Compression Engine ✓ ✓ ✓ ✓ ✓

IPS (SNORT-Rules compatible) ✓ ✓ ✓ ✓ ✓

L7 Persistence Options ✓ ✓ ✓ ✓ ✓

MS Exchange 2010 / 2013 Optimized ✓ ✓ ✓ ✓ ✓

Bonding/Teaming Ports (802.3ad/LACP) ✓ ✓ ✓ ✓ ✓

VLAN Trunking (802.1Q) ✓ ✓ ✓ ✓ ✓

Support for Edge Security Pack

- Pre-Authentication

- Single Sign On

- Persistent Logging

✓ ✓ ✓ ✓


Scenariusz wykorzystania KEMP LoadMaster


Dlaczego warto użyć KEMP Load Masterdlв Exchange 2010/2013?

1. Service aware (sprawdza stan aplikacji a nie tylko dostępnośćadresu IP jak WNLB)

2. Redukuje skutek awarii pojedynczego serwera Client Access

3. Rozkłada obciążenie na farmę serwerów Client Access

4. Poprawia komfort pracy użytkownika podczas przełączaniabaz skrzynkowych

5. Wspiera serwery w ‚DatabaseAvailability Group (DAG)’

6. Zapobiega efektowi ‚port flooding’7. Umożliwia połączenie prostoty

przełączania w warstwie 4 oraz funkcjonalności warstwy 7


1. Front End pools, Director pools, and or Edge Server pools

2. Layer 7 health checking3. Load balancing wewnętrznych i

zewnętrznych web service’ów4. Wysoka dostępność5. SSL offload/acceleration, optymalizacja

ruchu sieciowego6. Szybki i wydajny load balancing

Kemp obsługuje Microsoft Lync Server 2013


Funkcjonalność Reverse proxy

1. Obsługuje Persistent Logging & Reporting dla logowania sesji użytkowników2. Single Sign On dla wielu Virtual Service’ów3. LDAP Authentication w Active Directory 4. Klient uwierzytelnia się poprzez NTLM lub Basic na LoadMasterze5. Ukrywa charakterystykę serwera docelowego…… SNAT6. Może realizować offloading SSL na KEMP Load Masterze…..SSL acceleration7. Reverse Proxy obniża obciążenie serwerów wewnętrznych poprzez Cache’owanie……Caching ( web acceleration)8. Reverse Proxy może optymalizować zawartość poprzez kompresję……Compression 9. Reverse Proxy rozdziela ruch przychodzący na kolejne serwery …. Load Balancing

Load-Balanced Pools

Supported NAT Modes

Notes

Enterprise pools and Communicator Web Access

Full-NAT (SNAT)

Half-NAT is not supported for load balancing of internal pools because inter-server communications within an internal pool fail when servers in the pool try to connect to their own VIP

Edge pools Full-NAT (SNAT)

and

Half-NAT (DNAT)

The VIP for the external interface of Edge Servers should be set to half-NAT or full-NAT only for traffic to the edge (for each VIP that is used for Edge Servers and HTTP). Also, NAT is not supported for the IP address of the external interface of the A/V Edge Server of an Edge Server, so the IP address of the external interface of the A/V Edge service on each Edge Server must be publicly routable (no NAT).


1. Maksymalizuje efektywność sieci2. Uwzględnia persistence/monitorowanie wydajności serwerów Window z różnorodnymi usługami3. Monitorowanie zasobów LoadMaster udostęnia dane o zużyciu paięci i CPU (poprzez agentów)4. Integruje się z MS Session Directory 5. RDP-based Layer 7 Persistence6. Umożłiwia ponowne połączenie sesji bez sięgania do usługi Session Directory7. Health checking serwerów Microsoft WTS

Wykorzystanie do Load Balancingu dla Windows Terminal Services (WTS)


KEMP ESP – Edge Security Pack

Microsoft ogłosił END-OF-LIFE dla Forefront Threat Management Gateway (TMG)

The KEMP Edge Security Pack (ESP) zaprojektowano w celu dostarczenia kompletnego rozwiązania, w miejsce funkcji udostępnianych przez TMG

1. End Point Authentication for Pre-Auth2. Persistent Logging and Reporting for User

Logging3. Single Sign On across Virtual Services4. LDAP authentication from the LoadMaster

to the Active Directory5. NTLM and Basic authentication

communication from a Client to the LoadMaster


Internet DMZ Internal Network

ActiveSync Device

Active Directory

mail.kempdemo.com

Outlook Anywhere Client KEMP LoadMaster

with ESP

Multi-Role Exchange Server

2013

SSL termination

andre-encryption

1. Importujemy certyfikat Exchange do LoadMastera2. Definiujemy domenę Single Sign-On3. Tworzymy reguły Content Matching4. Tworzymy Virtual Service5. Przypisujemy Certyfikat do Virtual Service’u


GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load Balancers

1. Jak to działa? 2. Gdzie instalujemy GEO?

3. Kryteria wyboru

4.Intelligent Traffic Management (ITM)


Kemp LoadMaster for Azure – bezpłatny (!)


Porównanie domyślnego Azure LB i KempLoad Master for Azure

Azure Load Balancer KEMP LoadMaster-for-Azure

Application-Aware L7 load balancing No Yes

Balancing methods Round Robin Only L4/L7

Server persistence No L4/L7 (Cookie and more)

SSL Termination/Offload No Yes

Adaptive Agent No Yes

Pytania?

Konrad Sagała, Architekt Systemów IT | Trener | Exchange MVP

APN Promise S.A.

tel. +48 605 160 776 | [email protected]

Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?

Technology

Transcript of Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?