Forefront TMG: RIP
Toen Microsoft aankondigde de stekker uit Forefront TMG te trekken riep dit vooral vragen op. Met name in de wereld van Exchange en Lync waar TMG de de facto standaard was geworden om in te zetten als reverse proxy. Of Exchange en Lync nu veilig genoeg zijn of niet, veel organisaties hebben het beleid dat verkeer van het internet niet rechtsreeks tot het interne netwerk toegelaten wordt.
Er viel dus een groot gat waar leveranciers als KEMP slim gebruik van maakten door reverse proxy functionaliteit aan hun producten toe te voegen. Maar load balancers staan doorgaan in het interne netwerk, een reverse proxy in de DMZ.
En dan maar geen reverse proxy dan? Of de duurdere Forefront UAG inzetten? Aan de kant van Microsoft blijft het angstvallig stil, in een enkele forumpost wijst men er op dat je eigenlijk ook best zonder reverse proxy kan. Ondanks dat de documentatie nog volop adviseert om een reverse proxy in te zetten…
Reverse proxy in Server 2012 R2
Maar dan is het juni 2013 en kondigt Microsoft op TechEd een reeks van nieuwe versies van producten aan, waaronder Windows Server 2012 R2. Dit is de serverversie van wat nu nog bekend is als Windows 8.1. Reviewers leggen vooral de nadruk op virtualisatie en integratie met clouddiensten. Misschien terecht, want er is veel interessant nieuws te melden op dat vlak. Maar ander interessant nieuws is verstopt in dit artikel: What's New in Windows 8.1
Web Application Proxy
The Web Application Proxy is a new role service in the Windows Server Remote Access role. It provides the ability to publish access to corporate resources, and enforce multi-factor authentication as well as apply conditional access policies to verify both the user’s identity and the device they are using resources, and enforce multi-factor authentication as well as verify the device being used before access is granted.
Hier zien we de reverse proxy functionaliteit van ISA en TMG weer terugkomen. Een paar zaken die opvallen:
- Interne resources publiceren
- Multi-factor authentication
- Toegang bepalen afhankelijk van de gebruiker en van het device waar hij op werkt
- Inspectie van het device, voordat deze toegang krijgt
Deze functionaliteit uit zowel TMG als UAG komt dus beschikbaar als een role service in Windows Server 2012 R2. Dat beantwoordt een heleboel vragen over het terugtrekken van TMG, al vind ik de timing daarvan wel heel ongelukkig gekozen. TMG was te koop tot 1 december 2012 en men verwacht dat Windows Server 2012 R2 pas aan het eind van 2013 beschikbaar komt. Waarom gedurende een jaar geen reverse proxy bieden en nog belangrijker, de klanten in onzekerheid te laten.
En UAG dan?
Ook roept dit vragen op over de positie van Forefront UAG. ‘Killer app’ DirectAccess was al eerder als verbeterde versie geïntroduceerd in Server 2012 dus de vraag reist wat de meerwaarde van UAG dan nog is. Deze ondersteunt op dit moment geen Lync mobility scenario’s, er is geen versie voor Server 2012 of hoger en onder de motorkap wordt nota bene nog Forefront TMG gebruikt die al niet meer te koop is. Toch schrijft Microsoft in september 2012 nog:
It is important to note that there are no significant changes to the Forefront Identity Manager or Forefront Unified Access Gateway roadmaps. These solutions continue to be actively developed. Forefront UAG 2010 SP2 was released in August 2012 and Forefront Identity Manager 2010 R2 was release in June 2012.
Maar na UAG 2010 SP3 in februari 2013 is het angstvallig stil. Geen aankondiging voor een UAG 2012 of 2013 versie en ook geen rebranding naar System Center, wat ik persoonlijk verwacht had. Betekent dit dat UAG als los product ook op gaat houden en terugkomt in losse features in Windows Server 2012 R2? Een aantal vragen zijn vandaag beantwoord, andere vragen blijven voorlopig onbeantwoord.