Ende letzten Jahres habe ich mich auf die Suche nach einem Ersatz für Forefront TMG gemacht und ein paar ganz interessante Lösungen gefunden:
- Teil 1: KEMP Edge Security Pack
- Teil 2: Sophos UTM 9.1
- Teil 3: Windows Server 2012 R2 + ARR 2.5
- Teil 4: Windows Server 2012 R2 + Webanwendungsproxy
- Teil 5: Debian 7 + HAProxy
Forefront TMG war/ist natürlich mehr als ein Reverse Proxy für Exchange. TMG dürfte aber häufig zum Einsatz gekommen sein, um die Exchange Webdienste im Internet zu veröffentlichen. Im Vorfeld habe ich mir folgende Bewertungskriterien ausgedacht:
- Vorgelagerte Autehntifizierung möglich?
- Outlook Anywhere Support?
- Exchange 2013 Support?
- Loadbalancing möglich?
- Wie aufwändig ist die Lösung zu implementieren?
Das sind nicht nicht viele Bewertungskriterien, aber die Lösungen unterscheiden sich Teilweise erheblich. Hier eine kleine Tabelle zur Übersicht:
KEMP ESP | Sophos UTM | IIS+AAR | ADFS Webproxy | Debian HAProxy | |
Aufwand | gering | gering | gering | hoch | gering |
Authentifizierung | unterstützt | nicht unterstützt | nicht unterstützt | unterstützt | möglich |
Outlook Anywhere | unterstützt | unterstützt | unterstützt | unterstützt | möglich |
Exchange 2013 Support | möglich, aber unschön | unterstützt | unterstützt | teilweise | möglich |
Loadbalancing | unterstützt | nicht unterstützt | unterstützt | nicht vorhanden | unterstützt |
Der Implementierungsaufwand ist natürlich etwas subjektiv, wenn schon eine der Lösungen im Einsatz ist, zum Beispiel UTM als Firewall oder KEMP als Loadbalancer, dann ist der Implementierungsaufwand gering, andernfalls kann natürlich „etwas“ komplizierter werden.
Die Auswertung im Detail bzw. die Eindrücke:
KEMP Edge Security Pack
Das ESP von Kemp ist einfach in Betrieb zu nehmen, es werden alle Kriterien erfüllt. Tatsächlich habe ich Kemp auch zu meinem Favoriten gewählt. Leider ist da ein kleiner Schönheitsfehler: Kemp stellt ein eigenes Webform für die Abfrage der Authentifizierungsinformationen bereit. Das gab es leider zum Zeitpunkt meines Tests nur in der Exchange 2010 Optik. Das passt leider überhaupt nicht zu Exchange 2013. Ich denke aber wird, oder hat sich vieleicht schon, geändert. Sonst gibt es an Kemp nichts auszusetzen.
Sophos UTM 9.1
Von der Sophos UTM habe ich mir mehr erwartet. Leider kann die UTM 9.1 in keinem Bewertungskriterium so richtig punkten. Zwar ist die WAF schnell konfiguriert und es funktioniert auch, aber leider sind die Konfigurationsmöglichkeiten arg beschränkt. Sophos wird hier mit ihrer Werbung als TMG Ersatz in Punkto Exchange nicht gerecht. Loadbalancing und vorgelagerte Authentifizierung funktionieren nicht, aber scheinbar will Sophos am Ball bleiben und solche Features in der UTM 9.2 nachliefern. Ich werde es dann also noch mal probieren. Die Beta Version gibt es schon, unter anderem soll dann auch die Authentifizierung funktionieren.
IIS+AAR
IIS und AAR, sind eine einfache Möglichkeit Exchange im Internet zu veröffentlichen. Wenn es jetzt noch möglich wäre die Authentifizierung auch gleich am IIS/AAR zu erledigen, dann wäre mein Favorit geworden. Leider sind auch hier die Möglichkeiten arg beschränkt, TMG ersetzt man damit nicht. Für kleine Umgebungen ist AAR sicherlich ausreichend und man kann es noch etwas „aufbohren“, aber um mit AAR eine sichere und hochverfügbare Konfiguration zu ermöglichen, ist der Aufwand doch zu hoch.
Webanwendungsproxy
Ganz ehrlich, Der Webanwendungproxy hat mich fast wahnsinnig gemacht. So viele beteiligte Komponenten, so viel Konfiguration und dann funktioniert doch wieder irgendetwas nicht. Wenn ich nur daran denke, wo man im Fehlerfall alles suchen müsste… Nein danke. Wirklich…Nein…! Wer das KnowTo gelesen hat, wird wahrscheinlich ähnlich entscheiden, da gibt es einfach bessere und einfachere Lösungen.
Debian und HAProxy
HAProxy funktioniert, macht genau was es soll und ist obendrein schlank und zuverlässig. Ich bin jetzt nicht der Linux Profi, konnte aber trotzdem schnell zum Ziel kommen. Großer Vorteil: Man kann das ganze beliebig aufbohren. Großer Nachteil: Wen rufe ich mitten in der Nacht an, wenn etwas nicht funktioniert. Wer aber sicheres Linux KnowHow vorweisen kann, sollte hier ruhig etwas Zeit investieren.
Der richtige Durchbruch fehlt noch. Daher fällt das Fazit auch etwas kürzer aus als gedacht. Ich hoffe das ich noch F5 mit dem APM in die Finger bekomme, denn das sieht sehr vielversprechend aus. Anfang März werde ich KEMP und Sophos noch einmal testen, mal sehen was sich bis dahin getan hat.
Kommentare sind erwünscht
Hallo Frank,
auch mich würde intersssieren, ob Du Deine Tests fortgesetzt hast und wie Deine heutige Einschätzung aussieht. Ich betreibe aktuell noch einen TMG2010 zur Exchange-Veröffentlichung (very small home office :-)) und denke nun doch intensiver an eine Ablösung.
Viele Grüße,
Christian
Hallo Frank,
ist ja ein bisschen Zeit vergangen und die Produkte haben sich ja weiter entwickelt.
Wer ist Dein Favorit geworden ?
Guten Tag,
genialer Artikel! Genau das was ich suchte.
Gibt es schon Erfahrungswerte mit der F5 bzw dem Update der Sophos?
Gruß Alexander Wild
Hi Frank,
ich hab gerade die Sophos UTM getestet und würde mich darüber gerne kurz mit dir austauschen da ich in meiner kurzen Tests zu etwas anderen Ergebnissen bekommen bin :-)
Hi Frank,
vielen Dank für deine Tests. Ich habe mir erhofft, dass der Webanwendungsproxy ein Volltreffer wird. Leider kann ich deine Erfahrung teilen. Wir haben gerade als dein Beitrag erschien, ein bisschen getestet und zufrieden war keiner.
Du könntest du dir noch Squid anschauen. Wir fangen nächste Woche mit ein paar Tests an.