3. Architektura ról Exchange Server 2013
Dwa składniki
wewnętrzne
Exchange Online
Protection
AD
1. Client Access
2. Database Availability Group
Ewolucja Exchange 2010 DAG
Zawiera wszystkie podstawowe
protokoły
Dwie ścieżki
komunikacji
1. SMTP – serwery/internet
2. HTTPS – klienci (opcjonalnie
POP/IMAP)
Edge Transport
Routing and
AV/AS
CAS
Array
CAS
External SMTP
servers
Mobile
phone
Web
browser
MBX
CAS
MBX
CAS
MBX
CAS
MBX
CAS
MBX
Layer 4 LB
Ewolucja Exchange 2010
CAS Array i SMTP Front End
Enterprise Network
HTTS
POP/IMAP
DAG
Outlook
(remote user)
Outlook (local user)
Line of Business
Application
Phone System
(PBX or VOIP)
8. TMG 2010 wycofany
• Forefront TMG od grudnia 2012 wycofany ze
sprzedaży, nadal dostępny dla klientów EA,
którzy go już mieli.
• Wsparcie do końca grudnia 2015, rozszerzone do
2020, ale nie będzie modyfikacji i Service
Packów.
• Jedyny dokument o publikacji to wpis na blogu.
Promise | www.promise.pl
10. UAG – nowości w SP3
• Wsparcie dla Exchange 2013 i kreatory dla tej
wersji produktu.
• Wspiera również Lync 2013 i Sharepoint 2013.
• Dla dużej organizacji duuuże koszty
(licencjonowanie per user).
• Brak długotrwałej roadmapy
Promise | www.promise.pl
12. Exchange 2013 - Health Test URL:
https://FQDN/ProtocolName/HealthCheck.htm
Server Farm
Health Test URL
autodiscover.lab.pepug.org
https://autodiscover.lab.pepug.org/Autodiscover/HealthCheck.htm
OA.lab.pepug.org
https://OA.lab.pepug.org/RPC/HealthCheck.htm
mail.lab.pepug.org
https://mail.lab.pepug.org/OWA/HealthCheck.htm
ECP.lab.pepug.org
https://ECP.lab.pepug.org/ECP/HealthCheck.htm
EWS.lab.pepug.org
https://EWS.lab.pepug.org/EWS/HealthCheck.htm
OAB.lab.pepug.org
https://OAB.lab.pepug.org/OAB/HealthCheck.htm
EAS.lab.pepug.org
https://EAS.lab.pepug.org/Microsoft-Server-ActiveSync/HealthCheck.htm
Promise | www.promise.pl
13. Mechanizmy systemowe Load Balancingu
• Network Load Balancing – wbudowany w
system, w warstwie sieciowej. Problematyczny w
środowisku wirtualnym, nie zapewnia ochrony
przy dostępie z zewnątrz. Nie zalecany przez
Microsoft dla Exchange
• ARR – dodatek do IIS do pobrania ze strony
Microsoftu. Może być wykorzystany zarówno do
Load Balancingu i jako Reverse Proxy.
Promise | www.promise.pl
15. ARR 2.5 dla IIS
• Od niedawna posiada wsparcie dla Exchange
http://blogs.technet.com/b/exchange/archive/2013/07/19/rev
erse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx
• Jako reverse proxy zalecany również dla Lynca i innych
aplikacji webowych
http://blogs.technet.com/b/nexthop/archive/2013/02/19/using
-iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx
• Bezpłatny (ale trzeba mieć maszynę w DMZ)
• Szerokie spektrum systemów od Windows 2008 do 2012
(również odpowiedniki desktopowe).
Promise | www.promise.pl
17. Windows 2012R2 – Web Application Proxy
AD FS
Config. API
over HTTPS
HTTP/S
Web Application
Proxy
HTTP/S
Claims, IWA or
pass-through
AuthN
Internet
Promise | www.promise.pl
DMZ
Load Balancer
AD FS Proxy
Config.
Store
Firewall
(browser,
Office client
or modern
app)
Firewall
Client
Load Balancer
AuthN
Web UI
AuthN
Active Directory
Domain
Controller
Obtain KCD
ticket for IWA
AuthN
Backend Server
Backend Server
Backend Server
Corporate Network
18. Kemp LoadMaster
• Load Master – rozwijany od 2004.
• Load Balancery KEMP (sprzętowe i programowe) mają status Certified for
Microsoft Exchange 2010/2013 oraz Microsoft Lync 2010/2013.
• Jedyny appliance typu Virtual load balancing dostępny dla Microsoft
Hyper-V.
• Optymalizowany również dla usług MS Sharepoint oraz Terminal Services.
• Do pobrania szablony konfiguracji MS Exchange 2013 i 2010.
Promise | www.promise.pl
19. Możliwości publikacji różnych aplikacji
Internet
Virtualized Servers
Web Servers & Intranet Apps,
w tym Sharepoint
Active / Hot Standby
MS Terminal,
Citrix Servers
Promise | www.promise.pl
Inne, takie jak ERP, CRM,
Aplikacje LOB
Mail & Messaging Servers – w tym
Exchange & Lync/OCS
20. Cechy i zalety load balancerów KEMP LoadMaster
Cecha
Zaleta
Rozkłada zapytania klientów na najmniej
obciążony serwer
Zadowolenie z wydajnego użycia aplikacji
Możliwa konfiguracja Active/HotStandby z automatycznym przełączeniem
Zapewnia HA na poziomie 99.999% i eliminuje SLB jako pojedynczy punkt awarii
Weryfikacja „stanu zdrowia” sprzętu i
aplikacji dovelowej
Zapytanie klienta jest kierowane wyłącznie do działającego serwera i dostępnej instancji
aplikacji “available” severs AND “available” applications.
Layer 4/7 Persistence
Zapewnia stałe połączenie z aplikacją, nawet po zmianie serwera i adresu IP
Layer 7 Content Switching
Optymalizacja ruchu do serwerów w zależności od rodzaju zawartości
(images, multi-media, apps)
SSL Acceleration/Offload in ASIC
Poprawa wydajności dzięki sprzętowym rozwiązaniom szyfrującym
Compression, Cache
Optymalizuje ruch replikacyjny
Intrusion Prevention Systems (IPS)
Ochrona przed zagrożeniami na poziomie aplikacji (mechanizmy Snorta)
Support for Edge Security Pack*
Logowanie i raportowanie, Single Sign On, Uwierzytelnianie , Pre-Auth
GSLB Feature Pack **
Przekierowywanie ruchu do innego DataCenter w przypadku awarii
Promise | www.promise.pl
21. KEMP LoadMaster™
Hardware Load Balancers
LoadMaster
LM-2200
Max Balancer Throughput
SSL Transactions Per/Second (TPS)
Integrated SSL ASIC
Requests per second (HTTP)
Layer 4 concurrent connections
950 Mbit
200
N/A
25 000
4,300,000
Max Servers Supported / Virtual Clusters
1 000/500
1 000/500
Network ports
4 xGbE
4 x GbE
8 x GbE
1U
✓
180
1U
✓
350
1U
✓
350
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
✓
MS Exchange 2010/2013 Optimized
✓
✓
✓
✓
✓
Active/Hot-standby Redundant Operation
✓
✓
✓
✓
✓
✓
✓
✓
✓
Rack-mountable
Storage Disk
Power Supply (Watts)
Key Features
Layer 4/7 Load Balancing
Content Switching
Caching, Compression Engine
IPS (SNORT-Rules compatible)
LM-2600
1,7 G
2 000
✓
69,00
8,600,00
LM-3600 LM-5300
LM R-320
3,4 G
5 000
✓
73 000
12,800,00
8,8 G
9 300
✓
110 000
25,600,000
7 G
8 000
✓
96 000
25,600,000
1 000/1 000
1 000/1 000
1 000/1 000
8 x GbE и 2 x 10Gb
(SFP+)
1U
1U
✓
✓
2x200 hot swap 2x200 hot swap
Support for Edge Security Pack**
Bonding/Teaming Ports (802.3ad/LACP)
✓
✓
✓
✓
✓
VLAN Trunking (802.1Q)
✓
✓
✓
✓
✓
Promise | www.promise.pl
GEO LoadMaster/GSLB Feature
Pack - Multi-Site Global Load
Balancers
Failover and failback to the
best performing and
geographically closest
datacenter
Availability and continuity
for multi-site application
deployments
Datacenter resiliency by
distributing user traffic
Dynamic DNS Global Load
Balancing
24. Dlaczego warto użyć KEMP Load Master
dlв Exchange 2010/2013?
1. Service aware (sprawdza stan
aplikacji a nie tylko dostępność
adresu IP jak WNLB)
2. Redukuje skutek awarii
pojedynczego serwera Client Access
3. Rozkłada obciążenie na farmę
serwerów Client Access
4. Poprawia komfort pracy
użytkownika podczas przełączania
baz skrzynkowych
5. Wspiera serwery w ‚Database
Availability Group (DAG)’
6. Zapobiega efektowi ‚port flooding’
7. Umożliwia połączenie prostoty
przełączania w warstwie 4 oraz
funkcjonalności warstwy 7
Promise | www.promise.pl
25. Kemp obsługuje Microsoft Lync Server 2013
1. Front End pools, Director pools, and or
Edge Server pools
2. Layer 7 health checking
3. Load balancing wewnętrznych i
zewnętrznych web service’ów
4. Wysoka dostępność
5. SSL offload/acceleration, optymalizacja
ruchu sieciowego
6. Szybki i wydajny load balancing
Promise | www.promise.pl
26. Funkcjonalność Reverse proxy
1. Obsługuje Persistent Logging & Reporting dla logowania sesji użytkowników
2. Single Sign On dla wielu Virtual Service’ów
3. LDAP Authentication w Active Directory
4. Klient uwierzytelnia się poprzez NTLM lub Basic na LoadMasterze
5. Ukrywa charakterystykę serwera docelowego…… SNAT
6. Może realizować offloading SSL na KEMP Load Masterze…..SSL acceleration
7. Reverse Proxy obniża obciążenie serwerów wewnętrznych poprzez Cache’owanie……Caching ( web acceleration)
8. Reverse Proxy może optymalizować zawartość poprzez kompresję……Compression
9. Reverse Proxy rozdziela ruch przychodzący na kolejne serwery …. Load Balancing
Load-Balanced
Pools
Supported
NAT Modes
Notes
Enterprise pools
and Communicator
Web Access
Full-NAT
(SNAT)
Half-NAT is not supported for load balancing of internal pools
because inter-server communications within an internal pool fail
when servers in the pool try to connect to their own VIP
Edge pools
Full-NAT
(SNAT)
The VIP for the external interface of Edge Servers should be set to
half-NAT or full-NAT only for traffic to the edge (for each VIP that
is used for Edge Servers and HTTP). Also, NAT is not supported for
the IP address of the external interface of the A/V Edge Server of
an Edge Server, so the IP address of the external interface of the
A/V Edge service on each Edge Server must be publicly routable
(no NAT).
and
Half-NAT
(DNAT)
Promise | www.promise.pl
27. Wykorzystanie do Load Balancingu dla Windows Terminal Services (WTS)
1.
2.
3.
4.
5.
6.
7.
Maksymalizuje efektywność sieci
Uwzględnia persistence/monitorowanie wydajności serwerów Window z różnorodnymi usługami
Monitorowanie zasobów LoadMaster udostęnia dane o zużyciu paięci i CPU (poprzez agentów)
Integruje się z MS Session Directory
RDP-based Layer 7 Persistence
Umożłiwia ponowne połączenie sesji bez sięgania do usługi Session Directory
Health checking serwerów Microsoft WTS
Promise | www.promise.pl
28. KEMP ESP – Edge Security Pack
Microsoft ogłosił END-OF-LIFE dla Forefront Threat Management Gateway (TMG)
The KEMP Edge Security Pack (ESP) zaprojektowano w celu dostarczenia kompletnego rozwiązania, w miejsce funkcji
udostępnianych przez TMG
1. End Point Authentication for Pre-Auth
2. Persistent Logging and Reporting for User
Logging
3. Single Sign On across Virtual Services
4. LDAP authentication from the LoadMaster
to the Active Directory
5. NTLM and Basic authentication
communication from a Client to the
LoadMaster
Promise | www.promise.pl
29. Internet
DMZ
SSL termination
and
re-encryption
ActiveSync Device
Internal Network
Active
Directory
mail.kempdemo.com
Outlook Anywhere Client
1.
2.
3.
4.
5.
KEMP LoadMaster
with ESP
Importujemy certyfikat Exchange do LoadMastera
Definiujemy domenę Single Sign-On
Tworzymy reguły Content Matching
Tworzymy Virtual Service
Przypisujemy Certyfikat do Virtual Service’u
Promise | www.promise.pl
Multi-Role Exchange Server
2013
33. Porównanie domyślnego Azure LB i Kemp
Load Master for Azure
Azure Load Balancer
KEMP LoadMaster-forAzure
Application-Aware L7 load balancing
No
Yes
Balancing methods
Round Robin Only
L4/L7
Server persistence
No
L4/L7 (Cookie and more)
SSL Termination/Offload
No
Yes
Adaptive Agent
No
Yes
Promise | www.promise.pl