Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?

Publikacja usług Exchange 2013 w
internecie. Co dalej bez TMG?
Konrad Sagała, Architekt Systemów IT | Trener | Exchange MVP
APN Promise S.A.

Agenda
 Wprowadzenie
 Różne sposoby publikacji usług Exchange

Promise | www.promise.pl

Architektura ról Exchange Server 2013
Dwa składniki
wewnętrzne

Exchange Online
Protection

AD

1. Client Access
2. Database Availability Group
Ewolucja Exchange 2010 DAG
Zawiera wszystkie podstawowe
protokoły

Dwie ścieżki
komunikacji
1. SMTP – serwery/internet
2. HTTPS – klienci (opcjonalnie
POP/IMAP)

Edge Transport
Routing and
AV/AS

CAS
Array
CAS

External SMTP
servers
Mobile
phone
Web
browser

MBX

CAS

MBX

CAS

MBX

CAS

MBX

CAS

MBX

Layer 4 LB

Ewolucja Exchange 2010
CAS Array i SMTP Front End

Enterprise Network

HTTS
POP/IMAP

DAG

Outlook
(remote user)
Outlook (local user)

Line of Business
Application

Phone System
(PBX or VOIP)

Jak publikować Exchange – przez
Reverse Proxy czy bezpośrednio?


Cechy Reverse proxy:


Możliwości publikacji usług Exchange





Forefront TMG 2010
Forefront UAG 2010
Metody natywne - ARR!
HLB na przykładzie Kemp Load Master


Forefront TMG


TMG 2010 wycofany 
• Forefront TMG od grudnia 2012 wycofany ze
sprzedaży, nadal dostępny dla klientów EA,
którzy go już mieli.
• Wsparcie do końca grudnia 2015, rozszerzone do
2020, ale nie będzie modyfikacji i Service
Packów.
• Jedyny dokument o publikacji to wpis na blogu.

Forefront UAG 2010
Forefront Unified Access Gateway (UAG) 2010
• Inteligentny portal dostępowy
–
–
–
–

SSL VPN web portal
Reverse proxy
Client access VPN
DirectAccess gateway (funkcjonalność nie rozwijana)

• Następca IAG 2007
• Oparty na TMG 2010

UAG – nowości w SP3
• Wsparcie dla Exchange 2013 i kreatory dla tej
wersji produktu.
• Wspiera również Lync 2013 i Sharepoint 2013.
• Dla dużej organizacji duuuże koszty
(licencjonowanie per user).
• Brak długotrwałej roadmapy 

UAG – kreator dodawania aplikacji


Exchange 2013 - Health Test URL:
https://FQDN/ProtocolName/HealthCheck.htm
Server Farm

Health Test URL

autodiscover.lab.pepug.org

https://autodiscover.lab.pepug.org/Autodiscover/HealthCheck.htm

OA.lab.pepug.org

https://OA.lab.pepug.org/RPC/HealthCheck.htm

mail.lab.pepug.org

https://mail.lab.pepug.org/OWA/HealthCheck.htm

ECP.lab.pepug.org

https://ECP.lab.pepug.org/ECP/HealthCheck.htm

EWS.lab.pepug.org

https://EWS.lab.pepug.org/EWS/HealthCheck.htm

OAB.lab.pepug.org

https://OAB.lab.pepug.org/OAB/HealthCheck.htm

EAS.lab.pepug.org

https://EAS.lab.pepug.org/Microsoft-Server-ActiveSync/HealthCheck.htm


Mechanizmy systemowe Load Balancingu
• Network Load Balancing – wbudowany w
system, w warstwie sieciowej. Problematyczny w
środowisku wirtualnym, nie zapewnia ochrony
przy dostępie z zewnątrz. Nie zalecany przez
Microsoft dla Exchange 
• ARR – dodatek do IIS do pobrania ze strony
Microsoftu. Może być wykorzystany zarówno do
Load Balancingu i jako Reverse Proxy.

Application Request Routing - ARR


ARR 2.5 dla IIS
• Od niedawna posiada wsparcie dla Exchange
http://blogs.technet.com/b/exchange/archive/2013/07/19/rev
erse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx
• Jako reverse proxy zalecany również dla Lynca i innych
aplikacji webowych
http://blogs.technet.com/b/nexthop/archive/2013/02/19/using
-iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx
• Bezpłatny (ale trzeba mieć maszynę w DMZ)
• Szerokie spektrum systemów od Windows 2008 do 2012
(również odpowiedniki desktopowe).

ARR 2.5 dla IIS – definicja reguł


Windows 2012R2 – Web Application Proxy
AD FS

Config. API
over HTTPS

HTTP/S

Web Application
Proxy

HTTP/S
Claims, IWA or
pass-through
AuthN

Internet


DMZ

Load Balancer

AD FS Proxy

Config.
Store

Firewall

(browser,
Office client
or modern
app)

Firewall

Client

Load Balancer

AuthN
Web UI

AuthN
Active Directory
Domain
Controller

Obtain KCD
ticket for IWA
AuthN

Backend Server
Backend Server
Backend Server

Corporate Network

Kemp LoadMaster
• Load Master – rozwijany od 2004.
• Load Balancery KEMP (sprzętowe i programowe) mają status Certified for
Microsoft Exchange 2010/2013 oraz Microsoft Lync 2010/2013.
• Jedyny appliance typu Virtual load balancing dostępny dla Microsoft
Hyper-V.
• Optymalizowany również dla usług MS Sharepoint oraz Terminal Services.
• Do pobrania szablony konfiguracji MS Exchange 2013 i 2010.


Możliwości publikacji różnych aplikacji
Internet

Virtualized Servers

Web Servers & Intranet Apps,
w tym Sharepoint
Active / Hot Standby

MS Terminal,
Citrix Servers


Inne, takie jak ERP, CRM,
Aplikacje LOB
Mail & Messaging Servers – w tym
Exchange & Lync/OCS

Cechy i zalety load balancerów KEMP LoadMaster
Cecha

Zaleta

Rozkłada zapytania klientów na najmniej
obciążony serwer

Zadowolenie z wydajnego użycia aplikacji

Możliwa konfiguracja Active/HotStandby z automatycznym przełączeniem

Zapewnia HA na poziomie 99.999% i eliminuje SLB jako pojedynczy punkt awarii

Weryfikacja „stanu zdrowia” sprzętu i
aplikacji dovelowej

Zapytanie klienta jest kierowane wyłącznie do działającego serwera i dostępnej instancji
aplikacji “available” severs AND “available” applications.

Layer 4/7 Persistence

Zapewnia stałe połączenie z aplikacją, nawet po zmianie serwera i adresu IP

Layer 7 Content Switching

Optymalizacja ruchu do serwerów w zależności od rodzaju zawartości
(images, multi-media, apps)

SSL Acceleration/Offload in ASIC

Poprawa wydajności dzięki sprzętowym rozwiązaniom szyfrującym

Compression, Cache

Optymalizuje ruch replikacyjny

Intrusion Prevention Systems (IPS)

Ochrona przed zagrożeniami na poziomie aplikacji (mechanizmy Snorta)

Support for Edge Security Pack*

Logowanie i raportowanie, Single Sign On, Uwierzytelnianie , Pre-Auth

GSLB Feature Pack **

Przekierowywanie ruchu do innego DataCenter w przypadku awarii


KEMP LoadMaster™

Hardware Load Balancers

LoadMaster

LM-2200

Max Balancer Throughput
SSL Transactions Per/Second (TPS)
Integrated SSL ASIC
Requests per second (HTTP)
Layer 4 concurrent connections

950 Mbit
200
N/A
25 000
4,300,000

Max Servers Supported / Virtual Clusters

1 000/500

1 000/500

Network ports

4 xGbE

4 x GbE

8 x GbE

1U
✓
180

1U
✓
350

1U
✓
350

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

MS Exchange 2010/2013 Optimized

✓

✓

✓

✓

✓

Active/Hot-standby Redundant Operation

✓

✓

✓

✓

✓

✓

✓

✓

✓

Rack-mountable
Storage Disk
Power Supply (Watts)
Key Features
Layer 4/7 Load Balancing
Content Switching
Caching, Compression Engine
IPS (SNORT-Rules compatible)

LM-2600
1,7 G
2 000
✓
69,00
8,600,00

LM-3600 LM-5300

LM R-320

3,4 G
5 000
✓
73 000
12,800,00

8,8 G
9 300
✓
110 000
25,600,000

7 G
8 000
✓
96 000
25,600,000

1 000/1 000

1 000/1 000

1 000/1 000

8 x GbE и 2 x 10Gb
(SFP+)
1U
1U
✓
✓
2x200 hot swap 2x200 hot swap

Support for Edge Security Pack**
Bonding/Teaming Ports (802.3ad/LACP)

✓

✓

✓

✓

✓

VLAN Trunking (802.1Q)

✓

✓

✓

✓

✓


GEO LoadMaster/GSLB Feature
Pack - Multi-Site Global Load
Balancers

 Failover and failback to the
best performing and
geographically closest
datacenter
 Availability and continuity
for multi-site application
deployments
 Datacenter resiliency by
distributing user traffic
 Dynamic DNS Global Load
Balancing

KEMP Virtual LoadMaster™

Virtual Load Balancers & Application Delivery Controllers

Model Number

VLM-100

VLM-200

VLM-1000

Max Balancer Throughput (Mbps)

100 (Mbps)

200 (Mbps)

Unrestricted 1

SSL Transactions Per/Second (TPS)
Max Servers Supported / Virtual Clusters
Key Features
Layer 4/7 Load Balancing
Content Switching
Application Health Checking
Caching, Compression Engine
IPS (SNORT-Rules compatible)

L7 Persistence Options
MS Exchange 2010 / 2013 Optimized
Bonding/Teaming Ports (802.3ad/LACP)
VLAN Trunking (802.1Q)
Support for Edge Security Pack
- Pre-Authentication
- Single Sign On
- Persistent Logging

100
1 000/500

200
1 000/1000

LM-2000
2000 (Mbps)

249

1000

1 000/1 000

1 000/1 000

VLM -5000
5000 (Mbps)
5000
1 000/1 000

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

Scenariusz wykorzystania KEMP LoadMaster


Dlaczego warto użyć KEMP Load Master
dlв Exchange 2010/2013?
1. Service aware (sprawdza stan
aplikacji a nie tylko dostępność
adresu IP jak WNLB)
2. Redukuje skutek awarii
pojedynczego serwera Client Access
3. Rozkłada obciążenie na farmę
serwerów Client Access
4. Poprawia komfort pracy
użytkownika podczas przełączania
baz skrzynkowych
5. Wspiera serwery w ‚Database
Availability Group (DAG)’
6. Zapobiega efektowi ‚port flooding’
7. Umożliwia połączenie prostoty
przełączania w warstwie 4 oraz
funkcjonalności warstwy 7


Kemp obsługuje Microsoft Lync Server 2013
1. Front End pools, Director pools, and or
Edge Server pools
2. Layer 7 health checking
3. Load balancing wewnętrznych i
zewnętrznych web service’ów
4. Wysoka dostępność
5. SSL offload/acceleration, optymalizacja
ruchu sieciowego
6. Szybki i wydajny load balancing


Funkcjonalność Reverse proxy

1. Obsługuje Persistent Logging & Reporting dla logowania sesji użytkowników
2. Single Sign On dla wielu Virtual Service’ów
3. LDAP Authentication w Active Directory
4. Klient uwierzytelnia się poprzez NTLM lub Basic na LoadMasterze
5. Ukrywa charakterystykę serwera docelowego…… SNAT
6. Może realizować offloading SSL na KEMP Load Masterze…..SSL acceleration
7. Reverse Proxy obniża obciążenie serwerów wewnętrznych poprzez Cache’owanie……Caching ( web acceleration)
8. Reverse Proxy może optymalizować zawartość poprzez kompresję……Compression
9. Reverse Proxy rozdziela ruch przychodzący na kolejne serwery …. Load Balancing
Load-Balanced
Pools

Supported
NAT Modes

Notes

Enterprise pools
and Communicator
Web Access

Full-NAT
(SNAT)

Half-NAT is not supported for load balancing of internal pools
because inter-server communications within an internal pool fail
when servers in the pool try to connect to their own VIP

Edge pools

Full-NAT
(SNAT)

The VIP for the external interface of Edge Servers should be set to
half-NAT or full-NAT only for traffic to the edge (for each VIP that
is used for Edge Servers and HTTP). Also, NAT is not supported for
the IP address of the external interface of the A/V Edge Server of
an Edge Server, so the IP address of the external interface of the
A/V Edge service on each Edge Server must be publicly routable
(no NAT).

and
Half-NAT
(DNAT)


Wykorzystanie do Load Balancingu dla Windows Terminal Services (WTS)
1.
2.
3.
4.
5.
6.
7.

Maksymalizuje efektywność sieci
Uwzględnia persistence/monitorowanie wydajności serwerów Window z różnorodnymi usługami
Monitorowanie zasobów LoadMaster udostęnia dane o zużyciu paięci i CPU (poprzez agentów)
Integruje się z MS Session Directory
RDP-based Layer 7 Persistence
Umożłiwia ponowne połączenie sesji bez sięgania do usługi Session Directory
Health checking serwerów Microsoft WTS


KEMP ESP – Edge Security Pack


Microsoft ogłosił END-OF-LIFE dla Forefront Threat Management Gateway (TMG)



The KEMP Edge Security Pack (ESP) zaprojektowano w celu dostarczenia kompletnego rozwiązania, w miejsce funkcji
udostępnianych przez TMG
1. End Point Authentication for Pre-Auth
2. Persistent Logging and Reporting for User
Logging
3. Single Sign On across Virtual Services
4. LDAP authentication from the LoadMaster
to the Active Directory
5. NTLM and Basic authentication
communication from a Client to the
LoadMaster


Internet

DMZ

SSL termination
and
re-encryption
ActiveSync Device

Internal Network

Active
Directory

mail.kempdemo.com

Outlook Anywhere Client

1.
2.
3.
4.
5.

KEMP LoadMaster
with ESP

Importujemy certyfikat Exchange do LoadMastera
Definiujemy domenę Single Sign-On
Tworzymy reguły Content Matching
Tworzymy Virtual Service
Przypisujemy Certyfikat do Virtual Service’u


Multi-Role Exchange Server
2013

GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load Balancers
1. Jak to działa?

2. Gdzie instalujemy GEO?

3. Kryteria wyboru
4.Intelligent Traffic Management (ITM)


Kemp LoadMaster for Azure – bezpłatny (!)


Porównanie domyślnego Azure LB i Kemp
Load Master for Azure
Azure Load Balancer

KEMP LoadMaster-forAzure

Application-Aware L7 load balancing

No

Yes

Balancing methods

Round Robin Only

L4/L7

Server persistence

No

L4/L7 (Cookie and more)

SSL Termination/Offload

No

Yes

Adaptive Agent

No

Yes


Pytania?
Konrad Sagała, Architekt Systemów IT | Trener | Exchange MVP
APN Promise S.A.
tel. +48 605 160 776 | Konrad.sagala@promise.pl

Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?

Recommended

Recommended

More Related Content

Similar to Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?

Similar to Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG? (20)

Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?