Ersatz für Forefront TMG: Alternative Reverse-Proxy-Optionen für Exchange

In vielen Unternehmen kommt Microsoft Forefront TMG als Reverse-Proxy für Exchange zum Einsatz. In Kürze brauchen Unternehmen allerdings Alternativen.

Für viele Unternehmen ist es ein Muss, mit einem Reverse Proxy Exchange sicher im Internet veröffentlichen zu können....

Auf diesem Weg stellen Unternehmen Outlook Web App oder Exchange ActiveSync-Funktionen im Internet bereit und ermöglichen dem Server so das sichere Senden und Empfangen von E-Mails.

Damit der Server nicht ungeschützt im Internet steht, wird er durch eine Firewall und einen Reverse Proxy geschützt. In der Vergangenheit nutzten viele Unternehmen Microsoft Forefront TMG-Server (Treat Management Gateway), eine Kombination aus Firewall, VPN, Web-Proxy- und Reverse-Proxy-Funktionen. Das Produkt lässt sich hochverfügbar betreiben und bietet eine grafische Benutzeroberfläche.

Ende 2012 hat Microsoft das Produkt allerdings abgekündigt – es wird also keine neue Version und in absehbarer Zeit auch keine Updates mehr für Forefront TMG geben. Unabhängig davon, wie Unternehmen Forefront TMG eingesetzt haben – also als Firewall oder Reverse-Proxy – stellt sich jetzt die Frage nach einer Alternative.

Load Balancer versus Reverse-Proxy

Für die Prüfung für Reverse-Proxy-Alternativen ist es wichtig, zwischen einem Load Balancer und einem echten Reverse-Proxy zu unterscheiden. Die primäre Aufgabe eines Load Balancers ist es, eingehende Verbindungen für mehrere Anwendungsserver im Netzwerk zu verteilen. 

Die primäre Aufgabe eines Reverse-Proxy ist es dagegen, eingehende Verbindungen von nicht vertrauenswürdigen Netzwerken, also zum Beispiel aus dem Internet, zu beenden und eine sichere Verbindung zu den Anwendungsservern im Netzwerk zu erstellen. Auf diesem Weg veröffentlichen Unternehmen Webanwendungen wie Exchange, SharePoint oder andere webbasierte Dienste.

Diese klare Unterscheidung trifft heute allerdings nicht mehr so genau zu, weil die Merkmale von Load Balancern und Reverse-Proxys immer mehr verwischen. Häufig werden die gleichen Geräte und Softwarepakete beschrieben, wenn Unternehmen solche Produkte suchen. Zum Beispiel ist Forefront Threat Management Gateway technisch gesehen ein Reverse-Proxy, aber die Web-Farm-Funktionalität bietet auch HTTPS-Lastverteilung wie ein Load Balancer.

Ist der Einsatz von Forefront TMG 2010 noch ratsam?

Wenn Administratoren Forefront TMG im Netzwerk bereitgestellt haben und das Produkt die Bedürfnisse des Unternehmens noch erfüllt, gibt es noch keinen Grund zur Eile. Prinzipiell können Unternehmen Forefront TMG 2010 also durchaus noch einsetzen, vor allem da Microsoft Wartung und Support dafür noch bis Ende 2015 garantiert. 

Das Exchange-Team von Microsoft hat wiederum deutlich gemacht, dass TMG auch weiterhin eine gute Wahl für bestehende Implementierungen ist. So gibt es zum Beispiel auch Leitlinien für die Veröffentlichung von Exchange 2013 für Forefront TMG 2010.

Wenn Unternehmen also  keinen Grund haben, ihre TMG-Bereitstellung zu ersetzen oder zu erweitern, wäre unser Rat, sich für das Testen von Alternativen ausreichend Zeit zu lassen. Alternativen gibt es inzwischen immer mehr, da viele Anbieter daran arbeiten, diese neue Lücke im Exchange-Ökosystem mit einem gut funktionierenden Produkt zu ersetzen.

Oft wird gar kein Reverse-Proxy im Netzwerk benötigt – ist aber vorhanden

Vor dem Einsatz eines neuen Produkts im Netzwerk müssen sich Administratoren die Frage stellen, ob überhaupt ein Reverse-Proxy notwendig ist. Das mag eine naheliegende Frage sein, aber ich bin immer wieder von der Anzahl der Unternehmen überrascht, die einen Reverse-Proxy einsetzen, ohne überhaupt klar definierte Anforderungen dafür zu haben.

Die häufigsten Gründe für den Einsatz eines Reverse-Proxy, die ich gesehen habe, basieren auf regulatorischen Anforderungen um separate Sicherheitszonen im Netzwerk erstellen zu können. Allerdings spielt hier auch das technische Verständnis der IT-Verantwortlichen eine wichtige Rolle.

Reverse-Proxys bieten zusätzliche Sicherheit durch die Möglichkeit für Single Sign-On, Pre-Authentifizierung, SSL-Offloading, Konsolidierung mehrerer Hostnamen auf die gleiche IP-Adresse und ein gemeinsames SSL-Zertifikat. Wenn Unternehmen eine solide Firewall im Einsatz haben und nur minimale Verbindungen zu ihren Exchange-Client-Access-Server-Rollen zur Verfügung stellen wollen, sind Load-Balancer oder Reverse-Proxys nicht unbedingt erforderlich. Viele Unternehmen – wie auch Microsoft – arbeiten auf diese Weise.

Verwenden eines erweiterten Lastausgleichs

Noch bevor Microsoft offiziell angekündigt hat, den Verkauf und die Weiterentwicklung von Forefront TMG zu stoppen, haben bereits viele Load-Balancer-Anbieter an Produkten mit dieser Funktionalität gearbeitet. Administratoren müssen in diesem Fall daran denken, dass Load-Balancing nur ein kleiner Bestandteil der Anwendungsbereitstellung im Internet ist. Von den verschiedenen Load Balancern, die mit Exchange Server zusammen arbeiten können, sind zwei eine Untersuchung wert:

F5 bietet die High-End-BIG-Produktreihe, die Firewall, Traffic-Management und anspruchsvolle Funktionen zur Anwendungsbereitstellung kombiniert. Mit dem Access-Policy-Manager-Software-Modul bieten BIG-IP-Geräte eine Vielzahl von Funktionen, die traditionell durch Reverse-Proxys bereitgestellt werden, zum Beispiel Pre-Authentifizierung, Active-Directory-Authentifizierung und erweiterte Authentifizierungsoptionen wie Client-SSL-Zertifikate und Active-Directory-Federation-Services-Integration.

Für weniger komplexe Bereitstellungen bietet Kemp Technologys eine einfache, leicht zu bedienende und leistungsfähige Linie von Load Balancern, die für die Veröffentlichung von Exchange, Lync und anderen gängigen Anwendungen abgestimmt sind. Auch Kemp Technologys bietet Reverse-Proxy-Funktionen wie Pre-Authentifizierung und Single Sign-On.

F5 und Kemp werden in der Exchange-Community beide hoch gelobt, sind aber nicht die einzigen Anbieter für Load Balancer. Wenn Sie bereits ein anderes Produkt einsetzen, überprüfen Sie mit Ihren Lieferanten oder Dienstleister am besten, welche Reverse-Proxy-Funktionalität verfügbar ist, oder in Kürze verfügbar sein wird.

Die komplexe Alternative: Einen eigenen Reverse-Proxy bauen

Die letzte Option wäre der Bau eines eigenen Reverse-Proxy. Es existieren viele Open-Source-Anwendungen und Technologien, welche die Grundlagen hierfür darstellen können. Natürlich basiert das auf der Annahme, dass Unternehmen bereit sind, etwas Forschung und Zeit zu investieren und vor allem ohne offiziellen Support arbeiten wollen. Dabei ist zudem folgendes zu beachten:

Der Apache Web-Server bietet eine Reihe von Modulen, die Administratoren theoretisch nutzen können, um eine anspruchsvolle und kundenspezifische Reverse-Proxy-Konfiguration zu erstellen. Häufig muss auch eine alte, unsichere Version von Apache verwendet werden, wenn Unternehmen Outlook Anywhere einsetzen. 

Manche Versionen scheinen Probleme im Umgang mit der RPC-over-HTTP-Komponente haben. Das Reverse-Proxy-Squid-Paket kann auch so konfiguriert werden, dass es mit Exchange-Server zusammenarbeitet. Allerdings berichten viele Nutzer über Schwierigkeiten, wenn Squid während eines Upgrades auf eine neue Exchange-Version ausgeführt wird.

Das Reverse-Proxy-Nginx-Paket müsste mit Exchange-Server zusammenarbeiten und viele der Schwierigkeiten mit Apache und Squid beheben. Um diese kundenspezifischen Pakete zu verwenden, müssen Sie möglicherweise Linux als Betriebssystem für den Reverse-Proxy-Server verwenden. Während die meisten der Softwarepakete für Windows verfügbar sind, arbeiten in diesem Bereich leider auch viele Module oder Technologien nicht wie erwartet mit Windows zusammen.

Wie zu sehen ist, gibt es eine Vielzahl von Alternativen zu Forefront TMG. Generell liegt es aber am Unternehmen zu planen und festzulegen, was sie brauchen, warum sie es brauchen und was die Anforderungen für eine fortlaufende Unterstützung sind. Mit diesen Daten sollte dann die entsprechende Entscheidung für einen Ersatz für Forefront Threat Management Gateway getroffen werden.

Über den Autor:
Devin Ganger ist ein Messaging-Architekt und Technischer Autor mit mehr als 15 Jahren Berufserfahrung in den Bereichen Messaging-Systems-Verwaltung, Windows, UNIX und TCP/IP Netzwerke. Heutzutage arbeitet er hauptsächlich mit Exchange Server, Windows Active Directory und mit anderen Technologien von Microsoft und Drittanbietern. Von 2007 bis 2011 wurde er als Microsoft MVP für Exchange Server ausgezeichnet. Zusätzlich hat er den Microsoft Certified Master Exchange 2007 erhalten.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Januar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close