Opvolger van FIM en het einde van Forefront

Niet zo heel erg lang geleden werden alle oplossingen die iets met beveiliging deze in de Microsoft Forefront familie ondergebracht. De nieuwe ISA Server heette Forefront Threat Management Gateway 2010 en de nieuwere versies van Antigen kregen een naam die startte met Forefront Protection for…

Naast de familienaam hadden de producten zelf meestal weinig overeenkomsten. Er was geen centrale beheeroplossing voor de antimalware producten voor server en desktop en de oplossingen voor de diverse aplicaties. Forefront UAG was het oude product van Whale, TMG een doorontwikkeling van Proxy Server 2.0 en de al eerder genoemde Forefront Protection for.. producten waren opgefriste versies van Antigen.

In september 2012 kondigde Microsoft het einde aan van TMG en bijna de hele rest van de familie behalve UAG en Forefront Identity Manager. Een dik jaar later viel ook het doek voor UAG en bleef alleen nog FIM over, hoewel het inhoudelijk ook op dat vlak stil bleef. Wel is duidelijk dat de relevantie van FIM in het tijdperk van Cloud Computing nooit zo groot geweest is en dat FIM ook de komende jaren de verbindende schakel blijft tussen Private en Public Cloud.

Deze week werd er meer bekend over de opvolger van FIM 2010 die medio 2015 gaat verschijnen. Inhoudelijk wordt het product klaargemaakt voor het tijdperk van BYOx, Cloud Computing en hybride scenario’s. Maar ook de naam verandert: Microsoft Identity Manager. Waarmee het definitieve einde aangekondigd is voor de Forefront familie van beveiligingsproducten.

Wat we daarvan moeten vinden? Dat is een lastige. Voor TMG en UAG geldt dat een deel van de functionaliteit om applicaties te publiceren verhuist naar Windows Server, ik denk dat dit een goede ontwikkeling is. Forefront Protection for Exchange zal gemist worden, evenals zijn ‘broertjes’ voor SharePoint en Lync. Microsoft schuift voor email de hosted Exchange Online Protection naar voren maar voor veel organisaties betekent dit dat ze kijken naar een alternatief onder de bekende leveranciers van dit soort software.

Identity en Access Management (IAM) is nog nooit zo relevant geweest, maar of dit de naam MIM rechtvaardigt? Ik denk dat hier nog wel naamswijziging aan gaat komen. Of zouden we met Microsoft Azure en Microsoft Identity Manager juist een meer consistente naamgeving gaan krijgen die niet bij iedere versie gewijzigd hoeft te worden? Misschien is dit nog niet eens zo’n gek idee…

Ook voor Forefront UAG is het einde nu gekomen, een terugblik

Gods wegen zijn ondoorgrondelijk. Een mooi gezegde om een grotere en onbekende macht mee te verklaren, heel mooi want er zit iets van berusting in. Je kunt het niet beredeneren, je kent de overwegingen niet en hebt geen andere keuze dan het resultaat maar te accepteren. Hier moest ik aan denken toen ik net het nieuws hoorde dat Microsoft ook het einde aangekondigd heeft van Forefront UAG.

In 2006, ISA was inmiddels volwassen en werd opgevolgd door de net iets verbeterde ISA 2006, kocht Microsoft Whale Communications. Niet lang daarna kwam Intelligent Application Gateway (IAG) 2007 op de markt. In 2010 werd de tweede versie sinds de overname door MS uitgebracht, nu hernoemd naar Unified Access Gateway (UAG) 2010 en onderdeel van de nieuwe security-reeks Forefront. UAG was niet slecht, veel mogelijkheden om met trunks en portals allerlei applicaties te publiceren met legio mogelijkheden voor authenticatie en SSO. Het systeem met include-files maakte het kinderspel om functionaliteit aan te passen of zelfs toe te voegen.

Waar DirectAccess in Server 2008 R2 een nieuwe en gestroomlijnde VPN-ervaring bracht, was de implementatie van UAG 2010 een stuk eenvoudiger. Microsoft pushte UAG ook vooral als het platform om DirectAccess me uit te rollen. Zo werden er legio TechNet sessies en blogposts over dit onderwerp geschreven. Maar toch hield UAG ene plek aan de zijlijn, dit kwam ook door de prijs van hele duizenden euro’s en het dure licentiemodel met CALs.

Daarna werd het stiller rondom UAG. Server 2012 werd het primaire en betere platform voor DirectAccess, ondersteuning voor nieuwe workloads komt met mondjesmaat, drijvende kracht Erez Ben Ari krijgt een andere baan binnen Microsoft en in September 2012 wordt het einde aangekondigd van Forefront TMG. Interessante zinsnede:

It is important to note that there are no significant changes to the Forefront Identity Manager or Forefront Unified Access Gateway roadmaps.  These solutions continue to be actively developed.  Forefront UAG 2010 SP2 was released in August 2012 and Forefront Identity Manager 2010 R2 was release in June 2012. 

Toch wees niets er op dat er een opvolger zou komen voor UAG. Nog geen maand geleden kwam er onverwachts nog een SP4 en inmiddels bleek dat de nieuwe Web Application Proxy rol van Server 2012 R2 de nieuwe oplossing ging zijn om applicaties te publiceren. Tot er vandaag eindelijk een definitief bericht kwam met de titel Important Changes to the Forefront Product Line.

Microsoft will not deliver any future full version releases of Forefront UAG and the product will be removed from price lists on July 1, 2014

Daar is dus het nieuws wat eigenlijk geen nieuws meer was. UAG klanten met SA krijgen voor elke UAG server een licentie voor Windows Server 2012 R2 die de nieuwe WAP rol heeft. Mainstream support tot 14 April 2015 en extended support, de fase waar je liever niet in wilt zitten, loopt tot 2020.

Is de Web Application Proxy rol dan al klaar voor Lync en Exchange? Er wordt met mondjesmaat mee geëxperimenteerd waarbij men al snel merkt dat ook deze rol nog heel beperkt is. Zelf formuleert Microsoft het als volgt:

Web Application Proxy provides application publishing capabilities, similar to Forefront Unified Access Gateway (UAG). However, Web Application Proxy interacts with other servers and services to provide a more streamlined deployment. This helps you to concentrate on configuring only the necessary parts of your deployment. It is recommended that for any new deployments where you require application publishing capabilities for the scenarios described above, you should use Web Application Proxy.

Ook heeft Microsoft al aangegeven dat ze erkennen dat WAP in Server 2012 R2 nog heel beperkt is maar wel doorontwikkeld wordt, volgende versies moeten snel nieuwe features gaan introduceren.

En dan zijn er nog leveranciers als KEMP die hun load balancer in rap tempo doorontwikkelt tot een echte Application Delivery Controller. Met het Edge Security Pack kun je webdiensten publiceren met basic of forms-based authentication en single sign-on. De huidige versie is nog wat spartaans maar ESP v2 wordt begin 2014 verwacht en zal een stuk verbeterd zijn. Ik volg de ontwikkelingen met belangstelling en zal mijn bevindingen hier op het blog blijven delen.

Forefront UAG 2010 Service Pack 4 is uit

Een week gelden werd ik aangenaam verrast door het plotseling verschijnen van een Service Pack voor Forefront TMG. Deze week is het weer raak, nu is ook het 4e Service Pack voor Forefront UAG 2010 uitgekomen. Zoals gebruikelijk is er een lijst beschikbaar met een selectie van de opgeloste problemen: Description of Forefront Unified Access Gateway 2010 Service Pack 4. En waar SP3 al ondersteuning voor Windows 8 clients bood, is deze met SP4 uitgebreid met ondersteuning voor Windows 8.1 clients.

Je kunt SP4 installeren op UAG servers die al voorzien zijn van SP3 met Rollup 1, downloaden doe je hier: Forefront Unified Access Gateway (UAG) 2010 Service Pack 4 (SP4)

Forefront UAG updates en service packs

Al jaren belooft Microsoft meer lijn aan te brengen in updates en service packs voor de verschillende producten. Helaas zien we daar nog weinig vruchten van, updates installeren voor Windows is anders dan voor Office en er zit veel verschil tussen updates voor Exchange, Lync en SQL.

Ook voor Forefront UAG is dit het geval. Er zijn na de eerste release verschillende updates uitgebracht voor zowel UAG als het mee geïnstalleerde TMG. En helaas zijn ze niet cumulatief, wat betekent dat ze allemaal één voor één geïnstalleerd moeten worden, het voldoet niet om alleen de laatste versie te kiezen.

Wanneer je Forefront UAG nu download van TechNet of de Licensing website dan heeft deze SP1 al geïntegreerd, die laten we dus even buiten beschouwing. Na de initiële installatie zijn dit de updates en service packs die je nodig hebt, en wel in deze volgorde:

• Forefront UAG SP1 Update 1
• Forefront TMG SP2
• Forefront UAG SP2
• Forefront UAG SP3
• Forefront UAG SP3 Rollup 1

Inderdaad, die laatste wordt dan weer als Hotfix aangeboden.

En dan nog even het volgende, voor de meeste updates in dit rijtje is het niet voldoende om Administrator te zijn. Dus open een Command Prompt als Administrator (rechtsklik) en navigeer dan naar het updatebestand. Succes!