Exchange 2010 og TMG

[HDSoftware]

Folkens,. Vi sliter litt med å få til web access på vår exchange 2010 server. Vi bruker MS ForeFront 2010 server. Vi klarer å få tilgang til exchenge fra mobilene så lenge vi er på LAN ogdette beviser at exechangen er satt opp riktig. Det som gjennstår er å få dette til gjennom TMG. Det er et valg der som sier "Publish exchange server" og vi har prøvd denne. Da masees det om en connector som må ha SSL sertifikat etc. etc. Er det ikek bare å portfarwarde eller noe slik da? Hvorfor så komplisert ?

[xcomiii]

TMG fungerer mer som en applikasjonsfirewall og proxy for interne applikasjoner, ergo må SSL sertifikatet til Exchange serveren ligge på TMG serveren og du må endre autentication for OWA og alle webservicene til å bruke Integrated Autentication istedenfor Form Based på Exchange serverne. Så setter man opp form based på TMG serveren selv, for at brukeren skal få Single Sign On, uten å måtte logge seg på 2 ganger.

 

Selv sliter jeg litt med å se den direkte nytten av å publisere Exchange via TMG/UAG. Muligens høyere sikkerhet, men det kompliserer oppsett og drift betydelig.

 

Kan du ikke bare sette opp NAT mot noen CAS Exchange servere da, som er det vanlige? Altså utenom TMG.

Endret 25. oktober 2011 av xcomiii

[HDSoftware]

Litt usikker på hva du mener. Utenom TMG? Hvordan gjør jeg det da?= TMG er jo routeren vår og all trafikken må el således gå igjennom den. Eller mener du jeg skal gjøre noe NAT greier på selve TMG ? Må innrømme at NAT ikke er noe jeg kjenenr veldig godt annet en at jeg har hørt at man kan bruke NAT for å mappe en publick IP til en intern IP. Noe mer vet jeg ikek om det... Kan tilk og med hende dette er helt feil...

[xcomiii]

NAT er elementært for enhver brannmur og kan også gjøres på TMG. Det er som du sier en viderekobling av en offentlig IP mot en intern IP. Deretter må sette opp policy som tillater trafikk utenfra og inn (SMTP, HTTPS osv).

 

TMG er ikke særlig egnet til en front-end router, da det er mye firewall funksjonalitet den ikke støtter, men det er nå min personlige mening.

 

Hvis du har SMTP trafikk inn/ut allerede, hvordan har du satt opp det i TMG da? SMTP kan ikke publiseres i TMG på samme måte som OWA, ActiveSync osv.

[HDSoftware]

Ok. Vi sjekker litt mer rundt dette...

[egilh]

Vi har publisert alle våre Exchange Web Access løsninger via TMG og ISA.

Exchange kobler mot en CAS farm i bakgrunnen og autentiserer brukere mot domenet. Akkurat hvordan det settes opp i praksis er vel forskjellig fra selskap til selskap.

En liten walkthrough kan du lese her. Om denne passer for dere vet jeg ikke.

[HDSoftware]

Men hvorfor må jeg ha en CAS farm ? Holder det ikek med å lage et sertifikat med OpenSLL og legge det på TMG serveren da? Jeg trodde all komunikasjon mellom klient og server egentlig skulle gå igjennom TMG for så å bli videresendt til exch. Er ikke selve SSL komunikasjonen da noe som kunn går mellom klient og TMG ?

[egilh]

Det må ikke være en CAS farm, men avhengig av hvordan du ønsker å bruke Exchange, så benytter Exchange 2010 CAS såvidt jeg vet.

 

Dette kan gjøres på flere måter, men om du ønsker å være i nærheten av best practice er det ikke bare noe port-forwadring som skal til.

Du må sette opp flere regler, en for http og en for https. Så må du opprette en regel som godtar http for short-url som du redirecter til https og legger på /owa (hvis det er den du skal publisere).

 

Kanskje noen som kan forklare dette bedre enn meg kan svare. Noe av fordelen hvis du får det satt opp riktig er at det er sikkert og fungerer veldig bra.

[HDSoftware]

Ok. Det stemmer at det er OWA jeg skal publisere.

[egilh]

Ta en titt på denne.

Det er tatt med en failover løsning her som kanskje ikke er så relevant for deg.

[xcomiii]

Vel, best practice uten bruk av TMG/UAG er iflg Microsoft å sette opp NAT på CAS servere.

http://blogs.msdn.com/b/brad_hughes/archive/2008/05/05/how-not-to-deploy-client-access-servers.aspx

http://technet.microsoft.com/en-us/library/bb232184(EXCHG.80).aspx

 

Mulig det er bare min mening som er sær, men jeg synes TMG gjør ting unødvendig komplekst å sette opp og å feilsøke.

[ignoreme]

Ser ikke helt greia med å skulle bruke TMG her i Norge så fremt man ikke har særs høye krav til sikkerhet. xcomii oppsummerer det fint ved å si det kompliserer ting og gjør drift og feilsøking langt mer komplisert (som du allerede har opplevd).

 

Sett i fra ett driftperspektiv (Aner ikke hva du har i budsjett ei heller ansatte) så ville jeg heller ha fokusert på å få opp ett cas-array og DAG. Langt viktigere med failover.

 

Det vakre med å jobbe med e-post er at ingen bryr seg døtt så lenge det fungerer, men så fort det detter ned, da er du jaggu meg den mest forhatte tulling på kontoret;)

 

 

 

[HDSoftware]

Hva er årsaken til at alle missliker TMG ? Det er da så langt jeg kan se et veldig bra alternativ til omtrendt alt annet jeg har sett. Og hvorfor det skulle være mer unødvendig i Norge en andre steder?? Jeg ser ikek den...

 

Det jegt liker med TMG er:

1. Den er en router

2. Den er en Firewall

3. Den portforwarder

og her stopper vel omtrendt sammenligningen med andre routere

4. Den forwarder på bakgrunn av URL header

5. Den har spam filtrering

6. Den har content blocking

7. Den har antivirus sjekking på protokoll nivå

8. Den er relativt oversiktelig

9. Den har et glimrende logging system, noe jeg savner dypt på ALLE "hardware" routere/firewaller

10. Den har en glitrende VPN løsning

m.m.

 

Alle problemene jeg sier jeg opplever er kunn relatert til komplexiteten til Exchange og måten TMG forwarder på. Det er ingen heksekunst å bruke TMG på samme måte som en hvilken som helst annen FW/RTR, men jeg vil jo gjerne benytte fasilitetene TMG tilbyr. Hvordan dette gjøres på en hvilken som helst annen router kan man også gjøre i TMG, men da låser man seg fast til IP og PORT . Anyway, problemene er løst. Det var faktisk veldig enkelt bare man skjønner Exchange 2010...

Endret 3. november 2011 av HDSoftware

[conundrum]

Alle problemene jeg sier jeg opplever er kunn relatert til komplexiteten til Exchange og måten TMG forwarder på. Det er ingen heksekunst å bruke TMG på samme måte som en hvilken som helst annen FW/RTR, men jeg vil jo gjerne benytte fasilitetene TMG tilbyr.

TMG er en blanding av en brannmur og en proxy-server, og gjør faktisk nøyaktig det samme som enhver annen løsning av den typen. Forskjellen ligger i at MS i mange tilfeller insisterer på å bruke helt andre begreper enn de som er standard for alle andre nettverkskomponenter.

 

Eksempel: "Publish Web Server". Hva i allverden er det? Jo, det man ellers ville kalt "configure reverse proxy for internal web server".

 

Hva er årsaken til at alle missliker TMG ? Det er da så langt jeg kan se et veldig bra alternativ til omtrendt alt annet jeg har sett. Og hvorfor det skulle være mer unødvendig i Norge en andre steder?? Jeg ser ikek den...

Jeg har sammenlignet TMG og dens ISA-forløpere med produkter fra CheckPoint, Cisco, SonicWall, FortiNet og noen Free Software-alternativer, og her er mine problemer med TMG/ISA:

 

1. Produktet bruker ikke-standard betegnelser for det meste (allerede nevnt)

2. Produktet er dyrt og komplekst: Man må ha en hel serverinstallasjon for å sette opp en brannmur. Dette tilsvarer forsåvidt noen av CheckPoints løsninger, men sistnevnte har så mye mer funksjonalitet at en sammenligning ikke blir naturlig.

3. NAT-støtten er høyst middelmådig. Først i nyere TMG-versjoner kan man velge hvilken adresse man kan NATe internnettet bak i såkalt "SecureNAT"-modus (enda et MS-spesifikt uttrykk).

4. Produktet er og har alltid vært befengt med skandaløst mye bugs. Status for TMG 2010: "System Policy"-konseptet har innstillinger som kan finne på å ikke fungere uansett hva man gjør, f.eks. noe så enkelt som "Remote Desktop"-innstillingen. Løsningen er også ustabil, og en brannmur som kan finne på å bare slutte å fungere, for så å fungere igjen etter en omstart, er helt uhørt. Dette burde man ikke akseptere av et appliance-produkt til 1000 kroner, og langt mindre i noe som hevder å være et enterprise-produkt.

5. MS' interne kvalitetskontroll behandler TMG som et stebarn. I tillegg til driftsmessige bugs kan MS finne på å lansere grunnleggende oppdateringer som gjør produktet ubrukelig. Eksempel: IE9 ødelegger hele management-konsollet. Hvor sløv må man være for ikke å teste dette? Et annet eksempel: FTP ALGen (som viser seg å være en transparent proxy) inneholder banale, grunnleggende feil som gjør at f.eks. "Read Only"-funksjonen overhodet ikke fungerer.

6. Produktutviklingen drives ofte av intern politikk hos MS snarere enn et ønske om å lage et best mulig produkt. Eksempel: Det tok årevis før produktet fikk SIP ALG-støtte, til tross for at dette var helt elementært å lage. Grunnen? MS hadde et annet BackOffice-produkt som støttet dette, og man henviste kundene til dette.

7. Loggingen er faktisk ikke spesielt god, hvis man f.eks. sammenligner logge- og feilsøkingsfunksjonene i TMG med f.eks. Ciscos ASA-produkter.

8. Det største salgsarbumentet for TMG, nemlig AD-integrasjonen, fungerer BARE dersom man har et 100% rent Windows-miljø og rullerer ut "Firewall-klienten" (les: proprietær Windows-only SOCKS-klient) til alle PCene. Ingen har slike miljøer idag, og dermed ender alle opp med "SecureNAT" som ikke har noe nytt å komme med i forhold til langt rimeligere løsninger.

 

TMG er absolutt ikke et ubrukelig produkt, men jeg tviler på at en vanlig leverandør av nettverksutstyr ville sluppet unna med å levere et produkt som har hatt så mange åpenbare svakheter over en periode på 10+ år.

[xcomiii]

Er enig i det aller meste av conundrum sin oppsumering, TMG og gamle ISA 2004/2006 har aldri vært et solid kvalitetsprodukt, og jeg merker selv at Forefront TMG/UAG produktene blir stemoderlig behandlet og er tildels svært mange bugs i forhold til annen software fra MS. UAG fikk f.eks tilslutt en oppdatering i oktober som community av brukerne har etterlyst siden desember i fjor.

 

IE9 bug'en er nevnt, selv om feilen mer ligger i IE9 enn TMG, så er det enormt irriterende med å knote med en bråte configfiler for noe så elementert å vise GUI'et.

 

Fordelen til TMG er publisering av MS applikasjoner, som f.eks Exchange, Sharepoint, Lync osv, der dette fungerer ganske greit. Men å ha TMG som standalone firewall vil jeg ikke anbefale, det er mer vanlig å bruke TMG som en slags indre firewall i DMZ for å publisere applikasjoner.

 

Når det er sagt, så er Forefront UAG veldig greit for å sette opp DirectAccess, der du kan fjernstyre og drifte alle klientene i domenet som er på reise (utenfor bedriftsnettverk)så lenge de har internett tilgang. Eventuelt så kan den brukes som som en SSL V`PN boks, som er utrolig enkelt å sette opp.

 

Når det gjelder ytelse med TMG kontra andre brannmurer, må du spece serveren ganske høyt opp for å kunne havne i samme klasse som Cisco/Juniper sine billigste bokser. Og så får du nok en server å vedlikeholde. Personlig holder jeg en knapp på Juniper sin SSG serie, pga pris og ytelse, og den kan gjøre alle punktene HDSoftware lister opp, og tildels betydelig bedre.

[HDSoftware]

Forskjellen ligger i at MS i mange tilfeller insisterer på å bruke helt andre begreper enn de som er standard for alle andre nettverkskomponenter.

 

Eksempel: "Publish Web Server". Hva i allverden er det? Jo, det man ellers ville kalt "configure reverse proxy for internal web server".

 

Hehehe, hvis noen hadde kommet bort til meg og sagt - Kan du konfigurere reverse proxy for web serveren for meg - så hadde antagligvis øyelokkene mine begynnt å logre samtidig som de grå hårene jeg allerede har fått begynnt å krølle seg....

 

Mener du virkelig at uttrykket "Publsere WEB server" er så uforståelig? M$ har plassert en knapp i menyen som utfører alt du trenger å gjøre for å "publisere en web server". Er det da problematisk at denne knappen heter det ?

 

For meg, og garantert veldig mange andre, som ikke har høyskoleutdanning på nettverk, så er slike menyvalg utrolig bra. Vi er en bedrift på ca 20 ansatte og vi på utviklingasavdelingen er gutta i firmaet som har "greie på data". Selv har jeg satt opp hele server parken vår med VM hosts i cluster for å få HA m.m. Det hadde vært helt umulig for meg å gjøre hvis Microsoft hadde brukt slike håpløse uttrykk. Det blir liksom litt sånn 70 talls stemning synes jeg, når man tviholder på kompleksiteten. Du vet - den gangen alle data eksperter hadde hvite lagerfrakker og bevegde seg varsomt inne på server rom med store tape ruller og blinkende lamper. Slik er det ikek lenger. Værden går videre og for meg er det helt greit at en gjennomsnitts IT interresert person har muligheten til å installere og drifte et passe komplekst nettverk...

 

Du nevner IE9 feilen, og som noen andre også har kommentert så har dette svert lite med TMG å gjøre..

 

Ut over det setter jeg stor pris på oppramsingen av problemene med TMG og jeg blir på bakgrunn av dette litt skeptisk til mitt valg av FW/RT.

Nå har den tuslet og gått problemfritt i et par år så jeg gir den litt mer tid før jeg eventuellt kaster den ut til fordel for en SonicWall eller en CISCO boks

[conundrum]

Mener du virkelig at uttrykket "Publsere WEB server" er så uforståelig? M$ har plassert en knapp i menyen som utfører alt du trenger å gjøre for å "publisere en web server". Er det da problematisk at denne knappen heter det ?

Nei, jeg mener at uttrykket ikke har noe innhold utenfor One Microsoft Way. Hva vil det si å "publisere en webserver"? Er det å legge den inn som virtuell host i webserver-oppsettet? Er det å sette opp en revers proxy? Eller er det kanskje å forwarde en port?

 

Det første er det som virker mest sannsynlig tatt i betraktning hvordan uttrykket "publisere" ellers brukes innen IT, men det er det altså ikke. På en brannmur kunne det vært naturlig at det var snakk om alternativ 3 (portforwarding), men det er det heller ikke.

 

For meg, og garantert veldig mange andre, som ikke har høyskoleutdanning på nettverk, så er slike menyvalg utrolig bra.

Men du vet ikke nødvendigvis hva du egentlig gjør når du velger dem, med mindre du har studert dokumentasjonen på forhånd. I såfall forstår man ikke sitt eget system, og det blir sannsynligvis også vanskelig å feilsøke dersom noe ikke fungerer etter hensikten.

 

Hvis tanken er at man skal sette opp ting uten å vite hvordan de egentlig fungerer, vil jeg si at hele konseptet er en tvilsom idé, spesielt når det gjelder produkter som har med sikkerhet å gjøre. Hvis idéen derimot er at man skal lese en bok om TMG først, vil jeg si at valget av uttrykk er eksepsjonelt dårlig, og at man burde brukt betegnelser som er standard innen faget.

 

Værden går videre og for meg er det helt greit at en gjennomsnitts IT interresert person har muligheten til å installere og drifte et passe komplekst nettverk...

Som Albert Einstein sa: Alt bør forenkles så mye som mulig, men ikke mer. Er det noen grunn til at man skal bruke særegne MS-uttrykk? Blir ting lettere da? Er det ikke snarere en fordel om man, etter at man har satt opp f.eks. TMG, har lært litt om brannmurer og sikkerhet, istedet for å ha lært noe som er helt MS-spesifikt?

 

Du nevner IE9 feilen, og som noen andre også har kommentert så har dette svert lite med TMG å gjøre..

Jeg skrev igrunnen ikke at det hadde med TMG å gjøre, jeg skrev at det har med MS' elendige kvalitetskontroll å gjøre. Men man kan argumentere for at det definitivt HAR med TMG å gjøre, ettersom det er snakk om to skript-kommandoer i en fil (som er en del av TMG) som bare fungerer i eldre IE-versjoner. Jeg gikk inn i filen og kommenterte dem bort, og da fungerte alt fint.

[HDSoftware]

Kjenner til endringen man må gjøre i scriptet og er helt enig med deg. Fjollete av MS å bomme på sånt. Jeg er selvsagt 100% enig med deg i alt du sier, og man bør holde seg til en standard. Jeg nevnte dette fordi utrykket PROXY garantert er helt ukjent for amatørene som vil prøve seg. Publisere WEB server derimot er enkelt å skjønne. På lik linje som publisere WEB side. Den ene tar siden , den andre tar hele serveren. Men ja, fint om amatørene faktisk også lærer noe....