Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG? Konrad Sagała, Architekt Systemów IT Trener Exchange MVP APN Promise S.A.

Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG? Konrad Sagała, Architekt Systemów IT Trener Exchange MVP APN Promise S.A.

Agenda Wprowadzenie Różne sposoby publikacji usług Exchange

Layer 4 LB Architektura ról Exchange Server 2013 Dwa składniki wewnętrzne 1. Client Access Ewolucja Exchange 2010 CAS Array i SMTP Front End 2. Database Availability Group Ewolucja Exchange 2010 DAG Zawiera wszystkie podstawowe protokoły Dwie ścieżki komunikacji 1. SMTP serwery/internet 2. HTTPS klienci (opcjonalnie POP/IMAP) External SMTP servers Mobile phone Web browser Outlook (remote user) Exchange Online Protection Edge Transport Routing and AV/AS HTTS POP/IMAP Enterprise Network Outlook (local user) CAS Array CAS CAS CAS CAS CAS Line of Business Application DAG MBX MBX MBX MBX MBX AD Phone System (PBX or VOIP)

Jak publikować Exchange przez Reverse Proxy czy bezpośrednio?

Cechy Reverse proxy:

Możliwości publikacji usług Exchange Forefront TMG 2010 Forefront UAG 2010 Metody natywne - ARR! HLB na przykładzie Kemp Load Master

Forefront TMG

TMG 2010 wycofany Forefront TMG od grudnia 2012 wycofany ze sprzedaży, nadal dostępny dla klientów EA, którzy go już mieli. Wsparcie do końca grudnia 2015, rozszerzone do 2020, ale nie będzie modyfikacji i Service Packów. Jedyny dokument o publikacji to wpis na blogu.

Forefront UAG 2010 Forefront Unified Access Gateway (UAG) 2010 Inteligentny portal dostępowy SSL VPN web portal Reverse proxy Client access VPN DirectAccess gateway (funkcjonalność nie rozwijana) Następca IAG 2007 Oparty na TMG 2010

UAG nowości w SP3 Wsparcie dla Exchange 2013 i kreatory dla tej wersji produktu. Wspiera również Lync 2013 i Sharepoint 2013. Dla dużej organizacji duuuże koszty (licencjonowanie per user). Brak długotrwałej roadmapy

UAG kreator dodawania aplikacji

Exchange 2013 - Health Test URL: https://fqdn/protocolname/healthcheck.htm Server Farm autodiscover.lab.pepug.org OA.lab.pepug.org mail.lab.pepug.org ECP.lab.pepug.org EWS.lab.pepug.org OAB.lab.pepug.org EAS.lab.pepug.org Health Test URL https://autodiscover.lab.pepug.org/autodiscover/healthcheck.htm https://oa.lab.pepug.org/rpc/healthcheck.htm https://mail.lab.pepug.org/owa/healthcheck.htm https://ecp.lab.pepug.org/ecp/healthcheck.htm https://ews.lab.pepug.org/ews/healthcheck.htm https://oab.lab.pepug.org/oab/healthcheck.htm https://eas.lab.pepug.org/microsoft-server-activesync/healthcheck.htm

Mechanizmy systemowe Load Balancingu Network Load Balancing wbudowany w system, w warstwie sieciowej. Problematyczny w środowisku wirtualnym, nie zapewnia ochrony przy dostępie z zewnątrz. Nie zalecany przez Microsoft dla Exchange ARR dodatek do IIS do pobrania ze strony Microsoftu. Może być wykorzystany zarówno do Load Balancingu i jako Reverse Proxy.

Application Request Routing - ARR

ARR 2.5 dla IIS Od niedawna posiada wsparcie dla Exchange http://blogs.technet.com/b/exchange/archive/2013/07/19/rev erse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx Jako reverse proxy zalecany również dla Lynca i innych aplikacji webowych http://blogs.technet.com/b/nexthop/archive/2013/02/19/using -iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx Bezpłatny (ale trzeba mieć maszynę w DMZ) Szerokie spektrum systemów od Windows 2008 do 2012 (również odpowiedniki desktopowe).

ARR 2.5 dla IIS definicja reguł

Load Balancer Firewall Load Balancer Firewall Windows 2012R2 Web Application Proxy AuthN Web UI AD FS Config. Store AuthN Active Directory Domain Controller Client (browser, Office client or modern app) HTTP/S AD FS Proxy Web Application Proxy Config. API over HTTPS HTTP/S Obtain KCD ticket for IWA AuthN Claims, IWA or pass-through AuthN Backend Backend Server Backend Server Server Internet DMZ Corporate Network

Kemp LoadMaster Load Master rozwijany od 2004. Load Balancery KEMP (sprzętowe i programowe) mają status Certified for Microsoft Exchange 2010/2013 oraz Microsoft Lync 2010/2013. Jedyny appliance typu Virtual load balancing dostępny dla Microsoft Hyper-V. Optymalizowany również dla usług MS Sharepoint oraz Terminal Services. Do pobrania szablony konfiguracji MS Exchange 2013 i 2010.

Możliwości publikacji różnych aplikacji Internet Web Servers & Intranet Apps, w tym Sharepoint Virtualized Servers Active / Hot Standby MS Terminal, Citrix Servers Mail & Messaging Servers w tym Exchange & Lync/OCS Inne, takie jak ERP, CRM, Aplikacje LOB

Cechy i zalety load balancerów KEMP LoadMaster Cecha Rozkłada zapytania klientów na najmniej obciążony serwer Możliwa konfiguracja Active/Hot- Standby z automatycznym przełączeniem Weryfikacja stanu zdrowia sprzętu i aplikacji dovelowej Zadowolenie z wydajnego użycia aplikacji Zaleta Zapewnia HA na poziomie 99.999% i eliminuje SLB jako pojedynczy punkt awarii Zapytanie klienta jest kierowane wyłącznie do działającego serwera i dostępnej instancji aplikacji available severs AND available applications. Layer 4/7 Persistence Layer 7 Content Switching SSL Acceleration/Offload in ASIC Compression, Cache Intrusion Prevention Systems (IPS) Support for Edge Security Pack* GSLB Feature Pack ** Zapewnia stałe połączenie z aplikacją, nawet po zmianie serwera i adresu IP Optymalizacja ruchu do serwerów w zależności od rodzaju zawartości ( apps (images, multi-media, Poprawa wydajności dzięki sprzętowym rozwiązaniom szyfrującym Optymalizuje ruch replikacyjny Ochrona przed zagrożeniami na poziomie aplikacji (mechanizmy Snorta) Logowanie i raportowanie, Single Sign On, Uwierzytelnianie, Pre-Auth Przekierowywanie ruchu do innego DataCenter w przypadku awarii

KEMP LoadMaster Hardware Load Balancers LoadMaster LM-2200 LM-2600 LM-3600 LM-5300 LM R-320 Max Balancer Throughput 950 Mbit 1,7 G 3,4 G 8,8 G 7 G SSL Transactions Per/Second (TPS) 200 2 000 5 000 9 300 8 000 Integrated SSL ASIC N/A Requests per second (HTTP) 25 000 69,00 73 000 110 000 96 000 Layer 4 concurrent connections 4,300,000 8,600,00 12,800,00 25,600,000 25,600,000 Max Servers Supported / Virtual Clusters 1 000/500 1 000/500 1 000/1 000 1 000/1 000 1 000/1 000 Network ports 4 xgbe 4 x GbE 8 x GbE 8 x GbE и 2 x 10Gb (SFP+) Rack-mountable 1U 1U 1U 1U 1U Storage Disk Power Supply (Watts) 180 350 350 2x200 hot swap 2x200 hot swap Key Features Layer 4/7 Load Balancing Content Switching Caching, Compression Engine IPS (SNORT-Rules compatible) MS Exchange 2010/2013 Optimized Active/Hot-standby Redundant Operation GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load Balancers Failover and failback to the best performing and geographically closest datacenter Availability and continuity for multi-site application deployments Datacenter resiliency by distributing user traffic Dynamic DNS Global Load Balancing Support for Edge Security Pack** Bonding/Teaming Ports (802.3ad/LACP) VLAN Trunking (802.1Q)

KEMP Virtual LoadMaster Virtual Load Balancers & Application Delivery Controllers Model Number VLM-100 VLM-200 VLM-1000 LM-2000 VLM -5000 Max Balancer Throughput (Mbps) 100 (Mbps) 200 (Mbps) Unrestricted 1 2000 (Mbps) 5000 (Mbps) SSL Transactions Per/Second (TPS) 100 200 249 1000 5000 Max Servers Supported / Virtual Clusters 1 000/500 1 000/1000 1 000/1 000 1 000/1 000 1 000/1 000 Key Features Layer 4/7 Load Balancing Content Switching Application Health Checking Caching, Compression Engine IPS (SNORT-Rules compatible) L7 Persistence Options MS Exchange 2010 / 2013 Optimized Bonding/Teaming Ports (802.3ad/LACP) VLAN Trunking (802.1Q) Support for Edge Security Pack - Pre-Authentication - Single Sign On - Persistent Logging

Scenariusz wykorzystania KEMP LoadMaster

Dlaczego warto użyć KEMP Load Master dlв Exchange 2010/2013? 1. Service aware (sprawdza stan aplikacji a nie tylko dostępność adresu IP jak WNLB) 2. Redukuje skutek awarii pojedynczego serwera Client Access 3. Rozkłada obciążenie na farmę serwerów Client Access 4. Poprawia komfort pracy użytkownika podczas przełączania baz skrzynkowych 5. Wspiera serwery w Database Availability Group (DAG) 6. Zapobiega efektowi port flooding 7. Umożliwia połączenie prostoty przełączania w warstwie 4 oraz funkcjonalności warstwy 7

Kemp obsługuje Microsoft Lync Server 2013 1. Front End pools, Director pools, and or Edge Server pools 2. Layer 7 health checking 3. Load balancing wewnętrznych i zewnętrznych web service ów 4. Wysoka dostępność 5. SSL offload/acceleration, optymalizacja ruchu sieciowego 6. Szybki i wydajny load balancing

Funkcjonalność Reverse proxy 1. Obsługuje Persistent Logging & Reporting dla logowania sesji użytkowników 2. Single Sign On dla wielu Virtual Service ów 3. LDAP Authentication w Active Directory 4. Klient uwierzytelnia się poprzez NTLM lub Basic na LoadMasterze 5. Ukrywa charakterystykę serwera docelowego SNAT 6. Może realizować offloading SSL na KEMP Load Masterze..SSL acceleration 7. Reverse Proxy obniża obciążenie serwerów wewnętrznych poprzez Cache owanie Caching ( web acceleration) 8. Reverse Proxy może optymalizować zawartość poprzez kompresję Compression 9. Reverse Proxy rozdziela ruch przychodzący na kolejne serwery. Load Balancing Load-Balanced Pools Enterprise pools and Communicator Web Access Edge pools Supported NAT Modes Full-NAT (SNAT) Full-NAT (SNAT) and Half-NAT (DNAT) Notes Half-NAT is not supported for load balancing of internal pools because inter-server communications within an internal pool fail when servers in the pool try to connect to their own VIP The VIP for the external interface of Edge Servers should be set to half-nat or full-nat only for traffic to the edge (for each VIP that is used for Edge Servers and HTTP). Also, NAT is not supported for the IP address of the external interface of the A/V Edge Server of an Edge Server, so the IP address of the external interface of the A/V Edge service on each Edge Server must be publicly routable (no NAT).

Wykorzystanie do Load Balancingu dla Windows Terminal Services (WTS) 1. Maksymalizuje efektywność sieci 2. Uwzględnia persistence/monitorowanie wydajności serwerów Window z różnorodnymi usługami 3. Monitorowanie zasobów LoadMaster udostęnia dane o zużyciu paięci i CPU (poprzez agentów) 4. Integruje się z MS Session Directory 5. RDP-based Layer 7 Persistence 6. Umożłiwia ponowne połączenie sesji bez sięgania do usługi Session Directory 7. Health checking serwerów Microsoft WTS

KEMP ESP Edge Security Pack Microsoft ogłosił END-OF-LIFE dla Forefront Threat Management Gateway (TMG) The KEMP Edge Security Pack (ESP) zaprojektowano w celu dostarczenia kompletnego rozwiązania, w miejsce funkcji udostępnianych przez TMG 1. End Point Authentication for Pre-Auth 2. Persistent Logging and Reporting for User Logging 3. Single Sign On across Virtual Services 4. LDAP authentication from the LoadMaster to the Active Directory 5. NTLM and Basic authentication communication from a Client to the LoadMaster

Internet DMZ Internal Network ActiveSync Device SSL termination and re-encryption Active Directory mail.kempdemo.com Outlook Anywhere Client KEMP LoadMaster with ESP Multi-Role Exchange Server 2013 1. Importujemy certyfikat Exchange do LoadMastera 2. Definiujemy domenę Single Sign-On 3. Tworzymy reguły Content Matching 4. Tworzymy Virtual Service 5. Przypisujemy Certyfikat do Virtual Service u

DEMO

GEO LoadMaster/GSLB Feature Pack - Multi-Site Global Load Balancers 1. Jak to działa? 2. Gdzie instalujemy GEO? 4.Intelligent Traffic Management (ITM) 3. Kryteria wyboru

Kemp LoadMaster for Azure bezpłatny (!)

Porównanie domyślnego Azure LB i Kemp Load Master for Azure Azure Load Balancer KEMP LoadMaster-for- Azure Application-Aware L7 load balancing No Yes Balancing methods Round Robin Only L4/L7 Server persistence No L4/L7 (Cookie and more) SSL Termination/Offload No Yes Adaptive Agent No Yes

DEMO

Pytania? Konrad Sagała, Architekt Systemów IT Trener Exchange MVP APN Promise S.A. tel. +48 605 160 776 Konrad.sagala@promise.pl