none
Unified Access Gateway RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ich beschäftige mich gerade mit der Anbindung von Mitarbeiter von extern. Oft schon gesehen bei anderen Leuten und nie gefragt :(. Sie surfen eine URL an. Loggen sich ein und habe Zugriff auf Unternehmensdaten, wie Terminalserver, SharePoint, OWA, Dateizugriff. Beim SBS Server 2011 gibt es auch eine RemoteSeite wo man schon einige Dinge machen kann. Nur was verwende ich wenn ich kein SBS Server nutze!

    Welche Lösungen kennt ihr und nutzt ihr?

    Sehe ich richitg das UAG 2010 von MS diese Funktionen anbietet?

    Danke

    Patrick

    Samstag, 24. März 2012 06:57
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    Ein Microsoft UAG kann eine oder mehrere Portal veröffentlichen. Auf dem Portal kannst du dann alle angegebene Ressourcen veröffentlichen. Der Zugriff aufs Portal kann auch über zwei Factor Authentifizierung gesichert werden. Es besteht sogar die Möglichkeit mit Enp-Punkt-Richtlinien den Gesundheitszustand eines Clients zu prüfen.

    Wenn du dann noch deine Remotebenutzer anbinden möchtest, ist das Thema Direct Access sehr interessant. Auch das kann man dann über das UAG machen.

    Ich habe viele davon bei Kunden implementiert und es konnten alle Anforderungen damit erfüllt werden. ;)

    Viele Grüße Carsten

    Montag, 26. März 2012 06:01
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    danke für deine Nachricht! Ich habe mir schon paar UAG Videos angeschaut und habe genau die Infos erhalten die du beschrieben hast.

    2-3 Fragen habe ich zu diesem Thema! Ich habe noch nicht die Technet gelesen! Also erschlagt mich nicht mit Kommentaren!

    1.  TMG und UAG sind meines Wissens zwei eigenständige Produkte. Ich kann zu im MSDN jeweils einen Datenträger laden! Richtig?

    2. Wo platziere den UAG Server genau! DMZ? Ich habe in einem Video gesehen, dass ich 2 Netzwerkbereiche benötige (2x Netzwerkarten in unterschiedlichen Netzen)

    Internet -> Hardware Firewall -> UAG -> LAN

    Welche Ports muss ich weiterleiten in der Hardware Firewall?

    Benötige ich im reinen UAG Betrieb die Firewall noch?

    3.  Benötige ich für UAG den TMG Server oder wird nur nur ein Teil von TMG mitinstalliert?

    4. Hast du irgendwelche How To Anleitung außer die Technet? Gibt es einen UAG Blog?

    Danke!

    Patrick

    Montag, 26. März 2012 15:42
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    zu 1. Ja es sind zwei eigenständige Produkte. Bei UAG ist aber ein TMG enthalten. Wenn du also UAG installierst, kriegst du ein TMG mitinstalliert.

    Das TMG ist aber haupsächlich zum Schutz des UAG gedacht und kann nicht als Proxy für die internen Mitarbeiter verwendet werden. (OK kann schon darf nicht ;))

    Zu 2. UAG sollte immer mit min. zwei Adapter aufgebaut werden. Wo diese Adapter angeschlossen werden, kann ich mit einen "Kommt darauf an" ... Es geht von extern im Internet und intern im LAN bis private und öffentliche DMZ für beide seiten ...

    Zu den Ports ... kommt drauf an ;) wenn du nur ein Portal veröffentlichen willst, reicht HTTPS in der Regel von außen aus. Nach innen werden meist deutlich mehr Ports benötigt, weil das UAG oft Mitglied der Domäne ist ...

    3. siehe 1 ;)

    4. http://www.forefront-blog.de/

    Viele Grüße Carsten

    Dienstag, 27. März 2012 07:57
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hi Carsten,

    danke für deine Antworten.

    Wenn ich dich richtig verstanden habe erstelle ich das Portal wo ich meine internen Ressourcen zu verfügung stelle. Sprich RDP , OWA, SharePoint usw. Damit ich das Portal erreichen kann, reicht es den Port 443 weiterzuleiten auf das externe Interface von UAG Server.

    Im einfachsten Fall kann das einfach im Router Port Forwarding 443 auf den UAG/TMG Server.

    Ich kann aber auch den TMG/UAG Server als Software Firewall nutzen wie man es sonst mit dem ISA Server gemacht hat?

    Wenn ich eine Hardware Firewall habe wie eine ASTARO z.b. kann ich den UAG/TM Server in die DMZ stellen bzw. auch dort den Port 443 auf den TMG/UAG Server leiten!

    Ich möchte gerne Verhindern, dass ich 2 Firewall hintereinander habe wo ich immer gucken muss, wer was blockiert! :)

    Danke für den Blog!

    Patrick

    Dienstag, 27. März 2012 17:49
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Patrick,

    TMG ist zwar auf dem gleichen System wie UAG installiert, dient aber haupsächlich dem Schutz des UAGs. Du kannst damit keine Firewall ablösen. Dafür müsstest du dir ein zusätzliches TMG installieren, mit dem du die Firewall ablösen kannst. Die TMG installation auf dem UAG wird auch durch das UAG gesteuert (UAG legt Regeln an usw.) Da sollte man nicht manuel eingreifen. Was die Sicherheit betrifft, kannst du das externe Bein des UAGs auch ins Internet stellen. Da kommt keiner durch ;)

    Ja du hast richtig verstanden ;) Portal über 443 (einige Kunden erlauben auch Port 80 und leiten den um auf 443). Auf dem Portal liegen dann alle Anwendungen. Ein Port-Forwardin auf das externe Bein des UAGs funktioniert auch.

    Betrachte das UAG nicht als Firewall fürs Netzwerk. Eher als WAF für den Schutz deiner Anwendungen. Mit dem UAG kannst du keine Firewall ersetzen. (das könnte nur TMG alleine)

    Eine häfige Konfig ist: Firewall extern (egal welche) -> Port-Umleitung auf externes Bein UAG in der DMZ -> internes Bein im LAN (Hier kannst du auch eine zweite DMZ bauen und das interen Bein da rein stellen. Erhöht noch mal die Sicherheit aber macht das ganze auch um einiges komplexer)

    Viele Grüße Carsten

    Mittwoch, 28. März 2012 06:13
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo Carsten,

    danke erneut für deine Erklärung! Ich habe jetzt die Anbindung und Funktion verstanden so ich das eigentlich testen kann.

    Jetzt stellt sich die Frage! Baue ich mir eine extra Testumgebung auf oder mache ich dies direkt mit der IT Infrastruktur. Wenn ich den UAG installiere, dass Portal erstelle und dann einstelle welche Dienste ich nutze! Werden irgendwelche Einstellungen z.b am Exchange verändert??

    Ich könnte den UAG Server über einen zweiten DSL Router zum Test erreichen. Die Ursprüngliche IT Anbindung bleibt erstmal ungetastet, wenn bei der UAG Installation nix verändert wird.

    Danke

    Patrick

    Mittwoch, 28. März 2012 08:16
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Moin,

    das UAG wird in die Domäne aufgenommen (kein muss baer oft besser). Es wird also ein Coputerkonto in der Domäne erstellt. Weitere Änderungen am AD werden nicht vorgenommen.

    Bei Veröffentlichen von Anwendungen kann man die Authentifizierungsdaten an das Zielsystem delegieren und braucht sich nicht neu anmelden. Dazu muss aber die Authentifizierung auf beiden Systemen zusammen passen. Es kann nötig sein, das auf z.B. dem Exchange zu ändern.

    Viele Grüße Carsten

    Donnerstag, 29. März 2012 06:40
    |