Alternative Reverse-Proxy-Optionen für Exchange

Ein sicherer Reverse-Proxy zum Veröffentlichen von Exchange ist für viele Unternehmen ein Muss. Historisch gesehen ist die empfohlene Anlaufstelle …

war Microsoft Forefront TMG Server, eine Kombination aus Firewall, VPN, Webproxy und Reverse-Proxy-Produkt. Ende 2012 gab Microsoft jedoch bekannt, dass das Produkt eingestellt wird. Unabhängig davon, ob Sie TMG bereits bereitgestellt haben oder nach einem neuen Reverse-Proxy suchen, fällt eine einfache Frage auf: “Was mache ich jetzt?”
Nun vor der Prüfung Reverse-Proxy-AlternativenEs ist wichtig, zwischen einem Load Balancer und einem Reverse Proxy zu unterscheiden. Die Hauptaufgabe eines Load Balancers besteht darin, eingehende Verbindungen auf mehrere Anwendungsserver zu verteilen. Die Hauptaufgabe eines Reverse-Proxys besteht darin, eingehende Verbindungen aus nicht vertrauenswürdigen Netzwerken zu beenden und eine neue Verbindung zum Anwendungsserver herzustellen.
Diese Linie verschwimmt heute und es ist wichtig zu verstehen, dass beide Funktionssätze häufig in denselben Appliances und Softwarepaketen enthalten sind. Beispielsweise ist das Forefront Threat Management Gateway (TMG) technisch gesehen ein Reverse-Proxy, aber die Webfarmfunktionalität bietet auch einen HTTPS-Lastausgleich.
Nun zu diesen Alternativen:

Behalte es, wenn du es schon hast

Wenn Sie Forefront TMG bereits bereitgestellt haben und es Ihren Anforderungen entspricht, müssen Sie es nicht schnell ersetzen. Microsoft hat sich verpflichtet, TMG bis Ende 2015 zu warten und zu unterstützen. Das Exchange-Team hat klargestellt, dass TMG weiterhin eine gute Wahl für vorhandene Bereitstellungen sein wird. In der Tat bieten sie sogar Orientierungshilfe zur Anpassung an Exchange 2013.
Wenn Sie keinen Grund haben, Ihre TMG-Bereitstellung zu ersetzen oder zu erweitern, rate ich Ihnen, sich daran zu halten. Die Alternativen sind derzeit gering, aber die Anbieter arbeiten daran, diese neue Lücke im Exchange-Ökosystem zu schließen. Mit anderen Worten, ein “abwartender” Ansatz ist sehr sinnvoll.

Verwenden Sie keinen Reverse-Proxy

Benötigen Sie überhaupt einen Reverse Proxy? Dies mag wie eine offensichtliche Frage erscheinen, aber ich bin immer wieder überrascht von der Anzahl der Unternehmen, die einen Reverse-Proxy ohne klar definierte Anforderungen bereitstellen.
Die häufigsten Reverse-Proxy-Treiber, die ich gesehen habe, stammen aus gesetzlichen Anforderungen, die separate Sicherheitszonen vorschreiben. Dies kann jedoch auch vom Verständnis Ihres Auditors für die technischen Probleme abhängen.
Reverse-Proxys bieten zusätzliche Sicherheit, Single Sign-On, Vorauthentifizierung und SSL-Offload sowie die Konsolidierung mehrerer Hostnamen auf demselben IP / SSL-Zertifikat. Wenn Sie über eine solide Firewall verfügen und nur minimale Verbindungen zu Ihren Exchange-Clientzugriffsserverrollen oder zum Load Balancer zulassen, sind Reverse-Proxys nicht unbedingt erforderlich. Viele Unternehmen – einschließlich Microsoft – arbeiten auf diese Weise.

Verwenden Sie einen erweiterten Load Balancer

Noch bevor Microsoft offiziell bekannt gab, dass Forefront TMG nicht mehr verkauft werden soll, arbeiteten viele Anbieter von Load Balancern bereits daran, die Funktionalität ihrer Produkte zu erweitern. Denken Sie daran, dass der Lastenausgleich nur eine kleine Komponente der Anwendungsveröffentlichung ist. Von den verschiedenen Load Balancern, die mit Exchange Server arbeiten, sollten insbesondere zwei untersucht werden:

  • F5 hat die High-End-BIG-IP-LTM-Appliance-Familie entwickelt, die Firewall, Verkehrsmanagement und ausgefeilte Anwendungsbereitstellungsfunktionen kombiniert. Mit dem Access Policy Manager-Softwaremodul bieten BIG-IP LTM-Geräte eine Vielzahl von Funktionen, die traditionell von Reverse-Proxys ausgeführt wurden, z. B. Vorauthentifizierung, Active Directory-Erkennung und erweiterte Authentifizierungsoptionen wie Client-SSL-Zertifikate und Integration von Active Directory Federation Services .
  • Für weniger komplexe Bereitstellungen bietet Kemp Technologies eine einfache, benutzerfreundliche und leistungsstarke Reihe von Load Balancern, die für die Veröffentlichung von Exchange optimiert sind. Lync und andere gängige Anwendungen. Obwohl es sich noch in der Beta-Phase befindet, hat Kemp das Edge Security Pack bereitgestellt, das die Funktionen von Kemp-Produkten um Reverse-Proxy-Funktionen wie Vorauthentifizierung und Single Sign-On erweitert.

F5 und Kemp werden in der Exchange-Community dringend empfohlen, sind jedoch bei weitem nicht die einzigen Anbieter von Load Balancer. Wenn Sie bereits ein anderes Produkt bereitgestellt haben, erkundigen Sie sich bei Ihrem Anbieter, welche Reverse-Proxy-Funktionen verfügbar sind oder in Kürze verfügbar sein sollen.

Erstellen Sie Ihren eigenen Reverse-Proxy

Die letzte Option besteht darin, einen eigenen Reverse-Proxy zu erstellen. Es gibt viele Open-Source-Anwendungen und -Technologien, die die Grundlagen bieten, die Sie benötigen. Dies basiert natürlich auf der Idee, dass Sie bereit sind, etwas zu forschen und zu experimentieren und außerhalb der offiziellen Unterstützungsgrenzen zu leben.
Folgendes berücksichtigen:

  • Das Squid-Reverse-Proxy-Paket kann auch für die Verwendung mit Exchange Server konfiguriert werden. Trotzdem berichten viele Benutzer, dass es schwierig ist, Squid beim Upgrade auf eine neue Version von Exchange zum Funktionieren zu bringen.
  • Es wird erwartet, dass das NginX-Reverse-Proxy-Paket mit Exchange Server zusammenarbeitet und viele der mit Apache und Squid gemeldeten Schwierigkeiten überwindet.

Um diese benutzerdefinierten Pakete verwenden zu können, müssen Sie sie möglicherweise verwenden Linux als Basisbetriebssystem für den Reverse-Proxy-Server. Während die meisten Softwarepakete unter Windows verfügbar sind, funktionieren viele Module oder Technologien, die für eine optimale Leistung und Funktionalität erforderlich sind, möglicherweise nicht wie erwartet.
Ein Wort zu den Weisen: Recherchieren, testen und bereiten Sie sich darauf vor, viel Zeit damit zu verbringen, benutzerdefinierte Reverse-Proxy-Konfigurationen zu unterstützen. Wenn Sie diesen Weg gehen, erhalten Sie möglicherweise genau das, was Sie benötigen. Sie sind jedoch auch für die Fehlerbehebung und Behebung auftretender Probleme verantwortlich.
Wie Sie sehen, gibt es eine Vielzahl von Alternativen zu TMG. Letztendlich liegt es jedoch an Ihnen, genau zu verstehen, was Sie brauchen, warum Sie es brauchen und welche laufenden Supportanforderungen Sie haben. Verwenden Sie diese Daten, um Ihre Entscheidung zu treffen.
Über den Autor:
Devin Ganger ist ein Messaging-Architekt und technischer Redakteur mit mehr als 15 Jahren Erfahrung in der Verwaltung von Messaging-Systemen sowie Windows-, Unix- und TCP / IP-Netzwerken. Heute arbeitet er hauptsächlich mit Exchange Server, Windows Active Directory und verwandten Technologien von Microsoft und Drittanbietern. Ganger wurde von 2007 bis 2011 als Microsoft MVP für Exchange Server anerkannt.

Similar Posts

Leave a Reply