Einde van Forefront UAG aangekondigd

Niet onverwacht. Draai al een tijdje IIS ARR voor een flink aantal deployments (Lync voornamelijk) en dat bevalt prima. Ik weet, geen preauthenticatie.
Inmiddels een lab met 2012 R2 WAP maar ik word er niet zo blij van. Ten eerste de dependency op ADFS. Nou mag dat tegenwoordig op een 2012 R2 DC als role geinstalleerd worden. Na een aantal onverwachte problemen werkte dat uiteindelijk. Maar dan blijkt dat als je WAP preauthenticatie wil laten doen je reverse proxy domain joined moet zijn! Beetje raar als je het mij vraagt. Wie wil er domain members in z'n DMZ? Tel daarbij nog dat WAP geen HTTP redirect kan doen en wmb blijft IIS ARR de aangewezen kandidaat (voor Lync dan in ieder geval, aangezien die toch geen preauthenticatie nodig heeft).

Heb je gelijk in natuurlijk, maar wat is de keus? Ik heb liever iets in de DMZ dan een directe NAT naar Lync/Exchange. Tel daarbij ook dat MS tegenwoordig beweerd dat Exchange zo veilig is dat het geen preauthenticatie meer nodig heeft Dat zal vast niks met het uitfaseren van TMG/UAG te maken gehad hebben.

KEMP maakt inderdaad mooi spul. Voor als je ADFS op een 2012 R2 DC wilt draaien overigens een paar tips: "MSSQL$MICROSOFT##WID service was unable to log on as NT SERVICE\MSSQL$MICROSOFT##WID" error when you install WID in Windows Server 2012 en stel de KDS service als automatisch in ipv trigger, anders hangt je server tijdens het booten.

Nog wat achtergrond overigens op het preauthencicatie verhaal voor als er nog meer mensen meelezen
http://redmondmag.com/art...ge-preauthentication.aspx

Waarom geen Citrix Netscaler als reverse proxy? Kan je ook pre authenticatie afdwingen en eventueel aan de binnenkant blijven werken met self signed certificaten en naar buiten toe ssl offloading doen met echte certificaten. En neem je 2 fysieke dozen met lb licentie dan kan je ook hardware loadbalancen.

Als reverse proxy kan de NetSCaler prima werken, maar die doet geen content inspection of IPS/IDS zaken.En AAA (dus authentication, authorization & accounting) werkt alleen op NetScaler Enterprise of platinum.

Ik was laatst bij een dag van Sophos en daar werd de Sophos UTM (voorheen Astaro) als de vervanger van TMG gepositioneerd. Met de application portal functionaliteit in dat ding kan hij ook prima als vervanger voor de UAG dienen. Ik heb al wel even gespeeld met het apparaat (als virtual appliance op mijn Windows 8 Hyper-V installatie) en ik moet zeggen dat er veel mogelijk is.

Jazzy schreef op vrijdag 20 december 2013 @ 09:48:
Ook best veelzeggend hoe stil het blijft in dit topic.

Dat zal vooral komen omdat microsoft nou niet echt een goed vervangend product heeft introduceert en dat de helft van (lync) uitgerolde bedrijven nog met forefront zitten en niet naar een nieuwe oplossing heeft gekeken vermoed ik.
Dit is wel een groot nadeel gelijk, er is nog geen goede vervanger met dragende support vanaf microsoft. Iets wat ik persoonlijk wel een issue vind en helaas mn werkgevers ook.

Jazzy schreef op vrijdag 20 december 2013 @ 09:48:
Ook best veelzeggend hoe stil het blijft in dit topic.

Komt denk ik toch omdat UAG een stuk minder bekend is dan TMG.
Ik ben nog steeds op zoek naar een goede vervanger van TMG

Als men ter vervanging naar Citrix Netscaler aan het kijken is zou ik zeggen bekijk de F5 appliances ook eens dan. Voor integratie met een Citrix Farm erachter , mail etc kan een F5 ook prima het werk verrichten.

my 2 cents

Jazzy schreef op dinsdag 17 december 2013 @ 21:45:
Precies, dat is ook mijn conclusie. Die afhankelijkheid van ADFS vind ik niet zo'n ramp maar domain joined is inderdaad wat we al heel lang niet meer willen in de DMZ. En alleen Kerberos, geen Basic authentication tegen published servers. En case-sensitive urls, ook leuk.

ARR zie ik het nut niet zo van in.

Hostheadering met SSL / Loadbalancing wat je in principe niets (extra) kost. Uiteraard geen volwaardige vervanger van TMG/UAG maar iig wel iets wat een bepaalde feature kan overnemen.
Wij maken gretig gebruik van die feature bijvoorbeeld.

Equator schreef op woensdag 18 december 2013 @ 17:13:
Als reverse proxy kan de NetSCaler prima werken, maar die doet geen content inspection of IPS/IDS zaken.En AAA (dus authentication, authorization & accounting) werkt alleen op NetScaler Enterprise of platinum.

Ik was laatst bij een dag van Sophos en daar werd de Sophos UTM (voorheen Astaro) als de vervanger van TMG gepositioneerd. Met de application portal functionaliteit in dat ding kan hij ook prima als vervanger voor de UAG dienen. Ik heb al wel even gespeeld met het apparaat (als virtual appliance op mijn Windows 8 Hyper-V installatie) en ik moet zeggen dat er veel mogelijk is.

Inderdaad een mooi product, ook even gedownload en naar gekeken. Eigenlijk zijn er best veel mooie producten ter vervanging van TMG en eigenlijk is de vraag, moet je TMG nog wel willen met al die opties.