none
Прекращение разработки TMG - что на замену? RRS feed

Все ответы

  • А что тут комментировать? Следующих версий продукта не будет, но поддерживаться он будет до 2020 года. К этому времени, полагаю, появятся альтернативные партнёрские решения.

    UAG... Все зависит от того, какие задачи планируется решать с помощью TMG, который, к слову, в составе UAG-то есть, но призван защитить сам UAG, а не всю сеть предприятия.

     
    14 сентября 2012 г. 5:48
    Модератор
  • День добрый.

    Пока ничего страшного нет. К 2020 году может появиться много новых технологичных решений в области защиты периметра. На данный момент TMG, UAG, IAG полностью перекрываю список решений и технологий применяемый Microsoft.


    MCITP. Знание - не уменьшает нашей глупости.

    14 сентября 2012 г. 6:51
  • Мне бы вот тоже хотелось знать, какую теперь MS предлагает архитектуру сети и альтернативы тому, от чего они отказываются.

    Сазонов Илья http://isazonov.wordpress.com/

    14 сентября 2012 г. 6:58
    Модератор
  • Если смотреть в историю, то MS достаточно давно изменила политику в защите периметра. Например, убрали сертификацию в области безопасности. Нет экзаменов нацеленых на защиту периметра, как было с ISA и специализацией Security.


    MCITP. Знание - не уменьшает нашей глупости.

    14 сентября 2012 г. 7:03
  • Накидайте тут вопросы :-) http://blogs.technet.com/b/isablog/archive/2012/09/12/important-information-regarding-changes-to-forefront-product-roadmaps.aspx

    Сазонов Илья http://isazonov.wordpress.com/

    14 сентября 2012 г. 7:18
    Модератор
  • Накидайте тут вопросы :-) http://blogs.technet.com/b/isablog/archive/2012/09/12/important-information-regarding-changes-to-forefront-product-roadmaps.aspx

    Сазонов Илья http://isazonov.wordpress.com/

    Вижу, что мой вопрос вы уже задали )

    ---

    Смущает что до 2020 года - расширенная поддержка, для нас-то все закончится в апреле 2015, а куда мигрировать с отлаженной структуры и через какое место? Как-то пока настораживает покупать проблемы в будущем.

    14 сентября 2012 г. 7:59
  • Дополнительные комментарии с вопросами и криками "Help!" не помешают :-)


    Сазонов Илья http://isazonov.wordpress.com/

    14 сентября 2012 г. 8:40
    Модератор
  • У меня слов нет цензурных ( Почти год пробивания TMG взамен ISA 2004 и разномастного опенсорца коту под хвост. Если приду к начальству и скажу что "кинули, давайте купим у них что-нибудь другое"... ну вы поняли =/

    14 сентября 2012 г. 11:50
  • Никто никого не кидал. До 2020 года выйдет куча технологий. ISA 2004 SIP не поддерживает в обе стороны и кучу других вещей не поддерживает по сравненнию с TMG 2010. Вас же не ограничивают в использовании, а ISA уже не поддерживают тоже.

    ISA Server Support Life Cycle


    MCITP. Знание - не уменьшает нашей глупости.

    14 сентября 2012 г. 12:05
  • В чем проблема-то? -)

    В том, что новых версий не будет, но поддержка останется? Или от новой политики возможности TMG куда-то мистическим образом улетучатся? Не стоит забывать, что и ISA, и TMG позиционировались как средства защиты периметра, и эти задачи как выполнялись, так и выполняются. И хуже не стали.

    Или в том, что Майкрософт, как коммерческая компания, решила отказаться от развития непрофильных продуктов? -)

    14 сентября 2012 г. 12:24
    Модератор
  • Просто вас это мало касается видимо.

    Завтра скажут - вот вам (к примеру) последняя версия Hyper-V. Свои функции выполняет, никуда ничего не пропало, хуже не станет, до 2020 года выйдет куча технологий (но не у нас) и смысла нам нет поддерживать непрофильный продукт. И? Не знаю как такие крутые спецы как вы, но я это уже не куплю, а буду точиться на нормальный гипервайзор.

    Пакость в том, что инфраструктура уже завязана на ISA и протестирована под TMG, причем закупки частично произведены.

    14 сентября 2012 г. 13:08
  • Если это нужно для бизнеса и нужно сейчас, то купишь.

    Пример. Нужно ставить FW TMG 2010, а он поддерживает ОС Windows 2008 R2. Бизнес уже купил Windows 2012. По твоим словам, надо сказать бизнесу.

    - Извините, но мы подождем пока выйдет патч для поддержки Windows 2012 и тогда мы установим вам TMG 2010 на Windows 2012, так как MS уже не продает Windows 2008 R2.

    ;0 ;)

    И ничего downgrade и установка и TMG, и остальной инфраструктуры. 


    MCITP. Знание - не уменьшает нашей глупости.

    14 сентября 2012 г. 13:16
  • Олег, вы не учитываете, что есть и другой вариант событий - бизнес купит 2012, если на нем уже купленный TMG запустится. Или не купит, если не запустится. Или поставит ту ОС, которую будет рекомендовать производитель нового шлюза. И так далее. Плюс останется неприятный осадок, распространяемый и на другое ПО. "Что у нас еще установлено непрофильного для МС... а вдруг тоже?"

    Понятно уже, что вопрос по TMG решенный и от реакции клиентов не изменится. Поэтому на самом деле интересует одно - в какую сторону уходить с наименьшими потерями, пока не поздно. Могу еще посочувствовать узким специалистам по ISA/TMG.

    14 сентября 2012 г. 13:56
  • Если это действительно узкий специалист по  ISA/TMG, то зачем им сочувствовать. Хлебушка с икоркой им хвататет.

    MCITP. Знание - не уменьшает нашей глупости.

    14 сентября 2012 г. 14:31
  • если возможности продукта устраивают то и незачем куда то уходить - продукт работает, поддержка еще 7 лет будет, и продукт будет продолжать работать. есть шанс что с новыми сервис паками будет и функционал появлятся новый (как уже было и с isa2006 и tmg 2010 sp2). 10 лет жизненного цикла это не так мало, между isa2006 и tmg2010 прошло больше 4 лет, а если учитывать что 2006 мало чем отличалась от 2004, то и все 7, то есть нового продукта, если б он был запланирован, можно было ждать не раньше 2015 года.
    нет никакого смысла нацеливаться на продукт только из-за того что в будущем у него будут новые версии. любой продукт выбирают на ближайшие 2-3 года, а потом может измениться что угодно, требования, масштабы, да и м бизнес может закрыться. многие до сих пор используют isa2004/2006 (по сути почти одно и тоже), ей уже лет 9, и даже с поддержки снята, а все равно пользуются. тоже самое можно сказать про использование windows2003/xp, а есть еще и 2000.
    пока работает tmg можно спокойно ждать новые продукты от партнеров - ниша пустой не останется, обязательно понабегут

    ps и кстати нет 100% гарантии что в ближайшие пару лет планы не поменяются - может еще и вернутся к этой сфере, всякое бывает.

    14 сентября 2012 г. 14:37
    Отвечающий
  • Угу, TMG - это сферический конь в вакууме, а вовсе не интернет-шлюз. И вообще никто им не пользуется кроме админов и хакеров. Поставил в 2012 - работает - ничего не трогай до 2020 года, дальше само рассосется =/

    С ISA было понятно, что выйдет новая версия, в которой (возможно) прикрутят новые функции или повысят стабильность или прислушаются к отзывам... и на которую относительно спокойно можно мигрировать без разворачивания периметра "с нуля". А тут "доктор сказал: в морг".

    Допустим докупим ТМГ. А зачем? Какие 3 или 10 лет вменяемой поддержки, если команда распущена? Если в следующем году появится очередная вау-технология вроде DirectAccess, уже точно буду знать, что для её внедрения - либо придется менять TMG, либо втыкать посторонние костыли с отдельной админкой, отдельным обучением ИТ и вполне вероятно - паршивой совместимостью с неким уже развернутым Exchange (например). И может возникнуть вопрос о замене последнего на более вменяемое интернет-решение, так как у MS своего полноценного интернет-шлюза уже нет. Затем пойдет по нарастающей - зачем Outlook без Exchange, зачем Office бeз Outlook? А почему доступ к Sharepoint у удаленных отваливается строго в полдень по пятницам? Ах это партнеры понабежали на пустое место? Значит все нормально, мы вас поддерживаем - просто не работайте с Sharepoint в это время или сходите попинайте партнеров.

    Ну вот и кому нужна такая "радость" с отказа от ключевого для небольших и средних фирм продукта?

    14 сентября 2012 г. 21:07
  • Мне бы вот тоже хотелось знать, какую теперь MS предлагает архитектуру сети и альтернативы тому, от чего они отказываются.

    Сазонов Илья http://isazonov.wordpress.com/

    Если почитать внимательно блог и посмотреть предлагаемые там замены, то видно, что необеспеченной заменами остается одна функция - контроль исходящих соединений в Интернет на периметре. Т.е. MS, похоже, считает эту функцию ненужной (по крайней мере - для малых-средних предприятий, SMB). Отсюда, а также из других веяний типа позиционирования Won2012, просматривается та архитектура информационной системы SMB, на которую, похоже, ориентируется MS - слабо связанные между собой рабочие станции, работающие с облачными сервисами в Интернете, внутренних сервисов практически нет, и поэтому защищать их специально не тредуется, вполне хватит средств индивидуальной защиты типа IPSec.


    Слава России!

    15 сентября 2012 г. 12:00
  • Ничего там не предлагается на замену. Написали то, что первое сходу в голову пришло - UAG, RRAS 2012 и неизвестное ПО от неизвестных партнеров (прочитают и сразу понабегут толпами) /sarcasm


    17 сентября 2012 г. 7:13
  • Извинитие за нескромный вопрос

    Microsoft продает SA, в том числе и для TMG. Вернет ли Microsoft деньги за SA, если он не планирует выпускать новые версии ?

    И еще кто будет публиковать Exchange, Sharepoint И остальные сервисы ?? покупать UAG после таких заявлений уже не хочется

    19 сентября 2012 г. 13:36
  • Извинитие за нескромный вопрос

    Microsoft продает SA, в том числе и для TMG. Вернет ли Microsoft деньги за SA, если он не планирует выпускать новые версии ?

    И еще кто будет публиковать Exchange, Sharepoint И остальные сервисы ?? покупать UAG после таких заявлений уже не хочется

    нет, sa это не обвновление, к тому же sa продается на 2 года (3 если покупка в рассрочку), а за 2 года новые версии никогда не выходили.

    публиковать до 2020 года будет TMG (и дальше но без поддержки), а к тому времени многое может измениться. могут появиться другие продукты или exchange изчезнуть )) к тому же для вского рода внешнего доступа, включая публикацию, был создан uag

    19 сентября 2012 г. 18:06
    Отвечающий
  • Если SA была куплена через год-два после выхода RTM, то в большинстве случаев выход новой версии покрывала. Как мне кажется, для этого её и покупали. 

    Публиковать TMG до 2020... ну-ну. Хорошо если до 2015 продержится. Кстати, никто случайно не в курсе, насколько хорошо TMG работает с Exchange 2013?

    21 сентября 2012 г. 5:22
  • Мне кажется что делается это все не просто так а с далеким заделом на будущее примерно такого плана - все конторы должны будут так или иначе войти в облачное сообщество (пусть даже свое выделеное) но под крылом мелкомягких. Управление доступом и безопасностью полностью перейдет к ним, потому такие продукты как тмг станут не нужны. Думаете просто так даже в энтерпрайз версии вин8 по умолчанию учетку предлагают создать не локальную а у мелкомягких в облаке? :)

    С такими тотальными заявами на звание большого брата как раз хватит времени до 2020 года перейти на бесплатные ОС и там самим делать что и как хочется, а не то что они считают благом для всех юзверей.

    21 сентября 2012 г. 8:06
  • нет, sa это не обвновление, к тому же sa продается на 2 года (3 если покупка в рассрочку), а за 2 года новые версии никогда не выходили.

    Software Assurance предлагает универсальный механизм обновления програм-мных продуктов, так что SA это как раз обновление.

    Управление доступом и безопасностью полностью перейдет к ним, потому такие продукты как тмг станут не нужны. Думаете просто так даже в энтерпрайз версии вин8 по умолчанию учетку предлагают создать не локальную а у мелкомягких в облаке? :)

    А, если компания не хочет в облака, то её по шапке, по шапке ?? За всеми этими разговорами об "Крутости"  облаков и о модности данного тренда, многие забывают о том что до этого облака еще надо добраться, соответственно должен быть нормальный фаервол, желательно прокся и пару каналов в интернет. А до облака еще и прямой IPSEC тунель, чтобы все точно было зашифровано.
    21 сентября 2012 г. 8:29
  • нет, sa это не обвновление, к тому же sa продается на 2 года (3 если покупка в рассрочку), а за 2 года новые версии никогда не выходили.

    Software Assurance предлагает универсальный механизм обновления програм-мных продуктов, так что SA это как раз обновление.

    я опечатался, хотел сказать "sa это не только обновление" ))

    вообще не понимаю, что докопались до бедного ТМГ? я знаю компании которые внедряли новые бизнес-приложения всего на 200 сотрудников, например новую CRM за несколько сотен тыс баксов с доработкой и внедрением в течении полутора лет, только чтобы потом, года через три перейти на более серьезный и дорогой продукт, а этот выкинуть. то есть по сути потратили сотни тысяч $ чисто на временное решение, которое не очень устраивает, но совсем без всего никак. А тут есть копеечный продукт, способный обслуживать сотни сотрудников, по большинству ббизнес требований устраивает, не требующий доработок и больших затрат на внедрение, с жизненным циклом аж в 10 лет, и они еще недовольны чем то? за такой срок не то что новые продукты могут выйти - планета может перестать существовать. внедрять надо то что нужно бизнесу, если рассчитать затраты на одного сотрудника в год, то стоимость одного тмг затеряется в погрешностях - можно хоть раз в год переходить на другой продукт

    21 сентября 2012 г. 9:56
    Отвечающий
  • Дмитрий, с одной стороны вы правы, однако указанный вами пример на мой взгляд не совсем корректен. Если какая-то компания потратила сотни тысяч на систему, которую сменили через пол года значит это было финансово оправдано, то есть компания бы получила большие убытки если бы данная система не была внедрена..

    Теперь вернемся к TMG.

    TMG - это инфраструктурный софт, то есть тот который не приносит прямой выгоды (какая выгода от HTTP или FTP прокси ??)нам неолбходимо ориентроваится на косвенные прибыли типа вот от нас не вышел какой-то документ(в случае DLP), нам не взломали  почту, у нас в сети не бегает вируся и тем самым мы экономим рабочее время сотрудников компании и ИТ отдела. Исходя из этого многие компании неохотно тратят на это деньги.

    TMG сам по себе не шибко дешевый продукт. Лицензия Enterprise на 1 процессор стоит порядка 4 тыс долларов, плюс еще лицензия на управляющий сервер и т.д. Может набежать довольно немалая сумма. И руководство очень не любят, когда их деньги не отбиваются

    И теперь самое на мой взгляд главное: Microsoft всегда позиционрует себя как компания у которой есть решения для любой части ИТ инфраструктуры с интеграцией одного в другое и тд. Именно интеграция является на мой взгляд коньком всех продуктов. То есть раньше у Microsoft был продукт для большинства ИТ задач(AD, почта, документооборот, прокси/впн и т.д.). Насколько он применим надо смотреть в зависимости от проекта. Теперь же получается что часть из этого просто выбросили.

    Недавно мне по работе пришлось просчитывать ИТ инфраструктуру для небольшой компании (около 100 человек), так вот именно там я собирался использовать TMG для проксирования и публикации Exchange как простое и легкоуправляемое решение.

    Думается еще пару лет это не будет актуальным, но уже годика через 4-5 ИТ отделу многих компаний прийдется задуматься что же поставить вместо TMG, чтобы оно поддерживало NTLM, проксю, корректную публикацию и т.д. Да и не понятна позиция Microsoft, одно дело отказываться от продукта/функционала, который никому не нужен и совсем другое дело хоронить то, что реально приносит доход и пользуется спросом. Годика через 3 посмотрим, какой мы увидим сюрприз

    21 сентября 2012 г. 10:59
  • руководство не дает деньги только в одном случае - нет толкового менеджера который мог бы грамотно разъяснить и донести до руководства необходимость и целесообразность затрат. например если расписать стоимость лицензии тмг на сотрудника, то получится что любой антивирус или платный архиватор выходит дороже, я уж не говорю про офис или ос. а обосновать можно легко, даже без привлечения безопасности - стоимость трафика без контроля может быть выше стоимости лицензии. а если привлечь безопасность, то руководство можно развести на суммы в десятки раз больше чем стоимость двух tmg enterprise. у меня например затраты на tmg enterprise составляют меньше 2% годовых расходов на лицензии только microsoft, а если добавить других вендоров то и вообще считать не стоит. при том чтов инфраструктуре tmg даже не считается основным файрволом (в документации он даже не упоминается как МСЭ :)), потому как есть еще два контура с более тяжелыми и мощными фаерами, по сравнению с которыми тмг почти бесплатен )

    по поводу продуктов. сам являясь сторонником гомогенности инфраструктуры, все равно считаю что у Microsoft нет продуктов покрыть все сферы, как и любой другой компании. а из существующих продуктов не все могут конкурировать с другими вендорами, тот же тмг по уровнню не сможет конкурировать со специализированными продуктами типа asa или checkpoint как файрвол или ips, но при этом гораздо удобнее в плане контроля доступа сотрудников и в публикации. в плане роутинга вообще ничего нет (то что в windows это не роутинг), антивирус тоже явно не лидер на рынке (видимо потому и сворачивают), dlp в принципе нет,по документообороту решений не видел - это в принципе нормально, всегда может найтись компания которая сделает что то лучше.

    к тому же (я кажется это уже писал) поддержку никто не отменяет: ну выпустят новый exchange и что? его вдребезги поменяют так что для публикации новый продукт потребуется? даже если что то чуть-чуть поменяется вполне может выйти sp или ru на tmg в котором это предусмотрят. а сейчас есть вполне законченный продукт, который конечно можно развивать и обвешивать функционалом и дальше, но и в нынешнем виде он еще не один год будет удовлетворять потребностям аудитории на которую он нацелен. конечно пожелания по развитию остались у многих, у некоторых даже совсем дикие, и реализация который потребует вообще увести продукт с windows платформы, или wndows переписать с нуля ))

    21 сентября 2012 г. 12:07
    Отвечающий
  • >> 2 Dmitry Nikitin

    Ого как у вас. Судя по всему большая контора, я и знакомые работали видимо в не таких больших: в одних где денег было много - "надо" от админа означало подпись чека на расходы - в других долгие обсуждения, совещания в итоге приводившие к пословице "скупой платит дважды". В больших конторах где на "надо" относительно _необходимых_ вещей получаешь ответ "реализуйте подручными средствами", "нет денег", "используйте бесплатные аналоги" или "поставьте кряк, а мы потом подумаем" старался не задерживаться.

    Эта весточка очень неприятна конечно, если брать историю с 2004 isa и не совсем понятна позиция мелкомягких на счет всякого рода продуктов типа антивирей (понятно типа W версий K/N в евросоюзе но хоть алтернативу бы дали), шейперов (http://www.bsplitter.com/ лучший, думаю все согласны) или http://www.collectivesoftware.com/Products/ClearTunnel таких, хотя все можно было бы включить в себя. Сейчас ТМГ - почти полноценный продукт. И вот а5 - "давай досвидания" до 2015\20 годов. Понятно, что за это время выйдут паки, выйдут новые версии серверв, виндов и тп, сменится руководство не раз и произойдут несколько концов света. 

    Вопрос такой: может кто то более-менее обрисовать замену из вышеописаных продуктов (FF UAG например), хотябы кратко - плюсы минусы и предварительно на что ориентироваться (если конечно это возможно). По отношению к ТМГ.

    Спасибо.

    P.s. Тему думаю что лучше приклеить в TOP. Уже много вопросов.

    • Изменено GuSoft 21 сентября 2012 г. 16:26
    21 сентября 2012 г. 16:18
  • Коллеги, сегодня мне поступила информация, что Microsoft переводит свои системы с TMG на Forti Gate. Ни каких доказательств у меня нет, данная информация поступила от сотрудника работающего в Microsoft. Посмотрим, что будет дальше возможно Microsoft предложит своим клиентам использовать именно данное решение, не спроста оно на него переходит.
    22 сентября 2012 г. 20:07
  • Вопрос такой: может кто то более-менее обрисовать замену из вышеописаных продуктов (FF UAG например), хотябы кратко - плюсы минусы и предварительно на что ориентироваться (если конечно это возможно). По отношению к ТМГ.

    Поддержу, уж очень такое "подвисшее" состояние не нравится. То что есть под рукой, начинается как правило с буквы Г или слова Open или c обеих одновременно. А времени на самостоятельное исследование как обычно...

    P.S. Перефразирую немножко Дмитрия Никитина. "Для наших задач TMG - это мощный фаер первого плана с достаточно ощутимой брешью в бюджете."
    Из-за разницы в весовых категориях видимо и недопонимание о силе удара - кому-то просто "саечка за испуг", а кому-то лететь до последнего ряда.

    P.P.S. Вообще хотел спросить посреди ночи о святом (стукнуло что-то в голову наверное): а в МС какой файрволл используют и если ТМГ, то как будут выкручиваться при переходе на 2012? Вижу что уже ответили немного.

    24 сентября 2012 г. 22:37
  • Я думаю, что Microsoft будет переводить всё в облака. Операционых систем отдельных больше не будет, будет предустановленная вшитая ОС на устройствах, необходимая для связи с облаком. Все сервисы будут жить там, а TMG в эту архитектуру не укладывается, он просто бесполезен будет. Понятие офис исчезнет, все люди по всему миру будут работать с различных устройств вне офисных границ. Сорее всего это будет делаться под лозунги "большой экономии для бизнеса". Это уже проявляется в продуктах, а потом получится так, что какая-то новая версия продукта, например, Exchange, больше не поддерживает локальную установку, только ввиде облачного сервиса. Соответсвенно, зарабатывать будут держатели таких облачных сервисов, производители активного оборудования, производители устройств вввода-вывода, а системные интеграторы вроде нас - будут искать работу. Да, дистрибьютеры ПО тоже не понадобятся.
     Вот такая фантастика.
    А TMG мне нравился, я начинал работать с ним с ISA 2000. Это была простая и удобная штука и очень хорошо масштабировалась. Хотя, почему была? Она всё ещё есть!


    Green

    24 октября 2012 г. 18:29
  • Алексей, а позвольте поинтересоваться а что если я не хочу в облака ??

    Переводить свою инфраструктуру в публичное облако ни я ни руководство не собираюсь по многим причинам, в том числе и потому что есть свой небольшой ЦОД. Городить свое приватное облако тоже нет никакого желания, я не подымаю  ежедневно по 20 виртуалок с Exchange или SQL кластерами, да и набор софта System Center не самое дешевое удовольствие.

    И самое главное до облака надо добраться и вот тут должен работать фаервол, желательно прокся с шейпером чтобы кокой-нить умник не выгрыз весь канал и сотрудники не остались без облака.

    В любом случае облака если и будут то только завтра, а TMG похоронили уже сегодня.

    25 октября 2012 г. 8:03
  • Анрей, положа руку на сердце ответьте, а вас часто спрашивают? Вот я работал в разных организациях и помню, что меня никто не спрашивал по поводу хочу я зарплату на банковскю карточку или нет? Меня в 90-е не спрашивали, хочу я капитализм или нет. Этот список можно продолжать очень долго...Есть просто глобализация.
     К тому же я предпологаю, что свои ЦОДы, своя инфрастуктура, но виртуальная - это промежуточный этап.
    А что бы вам добраться до облака, вам для этого не надо ведь TMG? Эту задачу решает коммутатор вроде Cisco ASA или, например, CheckPoint, а возможно такие средства появятся уже встроенные в ОС.
     Ещё раз говорю, что лично мне очен и очень жаль TMG! Мне не понятно, как это может быть не профильным, если компания для себя определила, что она этим занимается - значит профильное. Мы сами сидим на TMG, а многим компаниям поставили и спроектировали как простые так и сложные схемы решений на TMG!


    Green

    25 октября 2012 г. 11:19
  • 1/ Нет ли сдвигов в решении вопроса?

    2/ Подскажите, где скачать UAG потестить (страница загрузки 404 выдает)

    3 декабря 2012 г. 9:46
  • ... ничего у них (Microsoft) нет :(

    ухожу к аппаратным (Cisco) решениям.

    слова только не цензурные. блин.

    5 декабря 2012 г. 13:58
  • у cisco насколько я знаю нет решений на замену tmg - как фаеры они круты, но прокси и публикации с ad интеграцией и прочих плюшек я у них не видел, поэтому несмотря на установленные асы все равно используем tmg.

    5 декабря 2012 г. 16:24
    Отвечающий
  • у него только функционал прокси сервера, таких железяк полно, тот же линуховый squid.
    нет аутентификации для не прокси трафика, нет публикации серверов, нет vpn.

    6 декабря 2012 г. 12:06
    Отвечающий
  • Вот мы лично уже наступили на эти грабли!

    Возникла необходимость обновления версии TMG с Standart до Enterprise. У нашего продавца этой позиции с 1 декабря в прайсе нет. Неужели выкинутые деньги?


    MCSA

    10 декабря 2012 г. 6:14
  • "•  For customers using TMG for caching, secure web gateway (forward proxy), and firewall, we recommend that, prior to April 14, 2020, customers examine the many vendor solutions available in market today that offer comparable features to the TMG product.   Microsoft does not plan to transition this functionality to any other Microsoft products.

    • For customers using TMG for reverse proxy, transitioning to Forefront UAG is an option.  Most web publishing scenarios that are supported by TMG can be published by UAG, though specific functionality may not be identical.   For customers who do not want to transition to Forefront UAG, customers should plan on transitioning to an alternative vendor solution prior to April 14, 2020.

    •  For customers using Forefront TMG Web Protection Services, we recommend that customers examine the many vendor solutions available in market today that offer comparable reputation services by Dec. 31, 2015.  This product will no longer receive updates starting January 1, 2016.

    We hope that these general guidelines provide additional clarity.  Please continue to contact your Microsoft account teams or partner managers with any questions about your specific scenarios.    

    Regards,

    The Forefront TMG Team"

    Из комментариев с http://blogs.technet.com/b/server-cloud/archive/2012/09/12/important-changes-to-forefront-product-roadmaps.aspx?PageIndex=5

    11 декабря 2012 г. 5:03
  • то что уже купленный tmg можно использовать до конца поддержки и так понятно, а вот как купить его сейчас? у нас такая проблема встанет через год, когда нужно будет продлевать eas, а в прайсах его уже не будет.

    11 декабря 2012 г. 14:26
    Отвечающий
  • давайте не будем хоронить пустой гроб без покойника. то что tmg дальше не развивается, не значит что не появится что-то еще или эту обязанность не передадут более весомому продукту, возможно что uag и будет в дальнейшем выполнять такие задачи которые выполняет сейчас tmg. а что касается облаков, то вы еще упустили один важный момент, для этого нужны очень хорошие линии связи, увы которых нет в менее развитых странах, да что там в странах, даже в одной и той же стране не во всех городах могут похвастаться каналами из оптики и MS это знают и не будут торопить со скороспешной миграцией всех сервисов на облака.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    11 декабря 2012 г. 16:16
  • об этом тут все уже написали.
    но по факту: замены tmg еще нет, а сам tmg уже не купить. поэтому те кто уже купили, могут пользовать его спокойно и полноценно еще два года, и не совсем полноценно еще лет 7, за это время наверняка эту нишу займут другие продукты. а вот что делать тем кто сейчас хотел это внедрить, уже обкатав решение на триале, запланировав бюджеты и железо? или тем у кого это уже годами работает, но получают они tmg по eas, которое надо продлевать каждый год и не факт что смогут продлить на следующий. было бы разумнее завершив разработку, оставить какой то период продаж, пока хотя бы не появится и намека на замещающие продукты.
    про uag пока известно только то что полноценно оно заменить tmg не сможет. в сценариях публикаций и доступа извне да - оно на это и рассчитано, а вот прокси и фаер уже нет.

    11 декабря 2012 г. 18:56
    Отвечающий
  • Дмитрий, для тех кто хочет прокси и FW, решений много.

    - CheckPoint

    - FortyGate

    и т.д.

    Они дороже и стоимость владения дороже, и потребуют подготовку специалистов или изменения контрактов поддержки инфраструктуры.

    Другой вопрос, это поддерживаемое решение с интеграцией инфраструктуры Microsoft, такой сквозной поддержки на текущий момент нет.


    MCITP. Знание - не уменьшает нашей глупости.

    12 декабря 2012 г. 11:56
  • решений по проксе полно, по файрволам еще больше, но они не имеют многих вещей которые умеет tmg и наоборот. tmg как файрвол и роутер совсем никакой по сравнению с теми же cisco и checkpoint, зато разграничение доступа в инет и публикация у него очень полезны, те же два наших периметра cisco asa такого не умеют. пока ниша остается открытой, хотя я видел продукты которые заявляли аналогичный функционал в части аутентификации (тот же аналог tmg клиента).
    12 декабря 2012 г. 13:41
    Отвечающий
  • пока ниша остается открытой, хотя я видел продукты которые заявляли аналогичный функционал в части аутентификации (тот же аналог tmg клиента).

    Нетрудно поделиться названиями?
    17 декабря 2012 г. 10:29
  • видел в куче спама что ideco например такое пиарила, но подробно не изучал, так как самому было не очень интересно.

    17 декабря 2012 г. 12:18
    Отвечающий
  • А что скажете про Kerio Control? Сможет ISA/TMG заменить?
    17 декабря 2012 г. 13:12
  • Давно хотел отписать в этой теме, но лень… J и со временем напряжёнка.

    Что покупать это больной вопрос для тех, кому сейчас нужно что-то ставить/обновлять. У остальных тоже голова заболит, но через год-два. Использовать TMG 2010 до 2020 года сомнительно, что кто-то будет/сможет. Просто потому что его функционала не будет хватать из-за новых веяний МС и ИТ. Предполагаю, что МС предложит какую-то явную альтернативу уже к 2015. И не удивлюсь, если функционал TMG появится в UAG. А может я и ошибаюсь.

    Вот ответ от представителя МС:

    Microsoft советует использовать продукты других вендоров: Bluecoat, Cisco, Juniper, Websense

    Троеточие я добавил от себя. J

    Что делать сейчас?

    Брать UAG не вижу смысла. Он нам не нужен. Удалённо работает только пару админов. Ещё проблема в том, что Direct Access продвигаемый МС завязан на ipv6. Хоть там и есть свои транзитные протоколы, но МС чётко говорит, что не стоит это использовать, если в ближайшее время вы не собираетесь переходить на ipv6.

    В связи свыше сказанным для себя мы решил, что будем искать замену TMG у других производителей.

    Список Шиндлера:

    1. Cisco
    2. FortyGate
    3. Kerio
    4. CheckPoint
    5. Bluecoat
    6. Websense

    На полноту не претендует. J

    В первую очередь мне интересны первые два. Правда, я плохо знаком с их возможностями в этой области.

    Но, прежде чем выбирать конкретный продукт на замену TMG, нужно составить требования к нему.   

    Требования:

    1. Функции фаирвола
    2. Функции прокси-сервера
    3. Контроль доступа в сеть интернет с авторизацией в AD
    4. Работа с несколькими каналами ISP (опционально)
    5.  Балансировка нагрузки на каналы (опционально)
    6. Шейпер (желательно)
    7. Проверка входящего/исходящего трафика антивирусными и др. анализаторами.
    8. Построение отчётов
    9. Категоризатор

    Вроде бы всё, возможно что-то упустил.

    Очень интересно, какие требования предъявляете вы.

    19 декабря 2012 г. 5:55
  • Ещё удобство, что выливается помимо стоимости владения в простоту использования. А у вашего "списка Шиндлера" с этим есть трудности. 


    Green

    19 декабря 2012 г. 6:32
  • Если интересно у нас есть выделенные пункты. Welcom.

    1. Cisco
    2. FortyGate
    3. Kerio
    4. CheckPoint
    5. Bluecoat
    6. Websense 

    Добавлю.

    Для некоторых компаний есть еще сертификация по безопасности гос органов. Есть русские разработчики прокси/FW, по моему ALT называется. Надо уточнять у коллег.


    MCITP. Знание - не уменьшает нашей глупости.

    19 декабря 2012 г. 7:06
  • Насколько я понял, Майкрософт рекомендует лишь производителей, а не конкретные модели, похожие по функционалу на TMG.

    Например у нас сервер TMG работает с шестью сетями, с разными видами отношений (маршрутизация или NAT).

    А именно:

    1. Внутренняя сеть
    2. Основной интернет провайдер
    3. Резервный интернет провайдер
    4. DMZ
    5. Гостевая сеть
    6. Выделенная сеть к партнерской организации

    Также, при помощи TMG работает VPN, плюс опубликованы почтовый сервер и ряд веб сервисов.

    Интересно, какое решение от других производителей может это заменить?

    19 декабря 2012 г. 7:22
  • вот по работе с сетями, кучей провайдеров и гибким роутингом windows+tmg как раз в аутсайдерах. у cisco например с этим все ок, и у файрволов и тем более у роутеров - любые роутинг полиси на любой вкус. с vpn у циски и чекпоинтов тоже все ок. но вот с аутентификаией трафика по ad  и публикацией приложений у тех же роутеров и файрволов будут проблемы - там банально нет прокси и реверс прокси


    19 декабря 2012 г. 11:05
    Отвечающий
  • >Alexey Enin

    Возможно, вы правы. Но "удобство" это сомнительное требование.

    Так и вижу диалог с поставщиком:

    З: Хочу фаирвол, проксю, юзеров чтоб из AD было удобно добавлять.

    П: Есть такой софт/девайс. Всё умеет, вот только юзеров не очень удобно добавлять…

    З: Что, не удобно добавлять?! Идите в ЖО, не буду брать! )))

    Простите за каламбур. У меня богатая фантазия. :)

    К тому же все мы разные и понятие удобства у нас тоже отличаются.

     

    >Oleg.Kovalenko 

    Cпасибо, буду иметь в виду. Если бы вы ещё об их возможностях по моим требованиям расписали, думаю многие люди бы вам за это спасибо сказали. А кто-нибудь и обратился бы с целью покупки/внедрения. :)

    >Shevchenko Alexey

    Они немогут рекомендовать что-то конкретное. Особенно когда речь идёт об аппаратных решениях. Ведь у всех разные требования: проходимый объём трафика, количество
    юзеров бегающих в нет, хранимый объём отчётов и т.д. <o:p></o:p>

    Всем интересно, чем заменить TMG. Для этого и нужно составить требования. А потом просто мучать вендоров вопросами, может ли их софт/железка такое. Другова пути я не вижу.

    >Dmitry Nikitin 

    Где-то я читал, про Cisco Identity Service Engine (ISE). Даже пометку себе сделал. :)

    Вроде то, что нужно, но до конца не уверен.

    19 декабря 2012 г. 12:15
  • Если сумеете показать, что удобнее - почему бы и нет!
    Очень давно, работая в одной организации, стал выбор корпоративного антивируса. Менеджер пытался протолкнуть "свой" ативирус. Мы взяли таймаут, установили несколько триалок и выбор сделали на Symantec. Один из основных критериев был как раз удобство.
     На мой взгляд TMG легче в управлении, чем Cisco, тем более CheckPoint, Websense...Согласен, что сейчас решает всё не мнение специалиста, а возможная сумма денежных возвратов.


    Green

    19 декабря 2012 г. 12:37
  • Майкрософт могли бы порекомендовать что-то конкретное, кто как не они знают функционал TMG. Мы ведь говорим о функциях, а не о мощности ("Ведь у всех разные требования: проходимый объём трафика, количество юзеров бегающих в нет, хранимый объём отчётов"). Но они переложили всю работу на плечи потребителей. И нам теперь нужно составлять список требований и мучать вендоров. Очевидно надо будет брать на тестирование те и или иные решения, так как заявленный функционал иногда работает не так (а то и вовсе не работает).


    19 декабря 2012 г. 12:42
  • >Alexey Enin
    >Один из основных критериев был как раз удобство. На мой взгляд TMG легче в управлении, чем Cisco, тем более CheckPoint, Websense...

    это не критерий, а пожелание специалиста который привык к чему то. ИТ все таки профессия, а не ремесло, поэтому продукт надо выбирать по четким требованиям, таким как функционал и стоимость владения, а не потому что текущий недоспециалист умеет кнопочки только в консоли тмг нажимать и другой продукт не осилить. Cisco asa например явно посложнее tmg, даже в gui, потому что как файрвол она на голову выше, и такое обилие настроек само собой приведет к усложнению интерфейса.

     >Shevchenko Alexey
    >И нам теперь нужно составлять список требований и мучать вендоров

    вообще то это делается при покупке любой системы в любой компании - никто кроме бизнеса такого сделать не сможет.

    19 декабря 2012 г. 14:21
    Отвечающий
  • В реальной жизни все несколько проще. В типичной ситуации в компанию приглашается на работу специалист для обслуживания продуктов Майкрософт. Просто хотя бы потому, что большинство рабочих станций работают на Windows. А он до кучи, иногда знает как работать, например, с Exchange и TMG. Просто потому, что человек специализируется на продуктах данной компании. И такие люди не редкость. И для работы с TMG, на самом деле не нужна сильная специализация, так как там много разных мастеров и т.д. А вот, для того, чтобы работать с cisco нужны уже другие навыки. И такие специалисты стоят дорого и работать сисадминами они не будут. И в ситуации с кончиной TMG, бизнесу придется нести дополнительные затраты на непрофильных специалистов.

    А список требований, согласен, он всегда нужен. Но нужен он только ИТ специалистам, т.к. никто кроме них не будет его читать.

    19 декабря 2012 г. 14:51
  • Shevchenko Alexey, вы просто не видели сложных систем построенных на базе TMG, в корпоративной среде. Обычно администраторы в маленьких и средних компания используют TMG на 10-20% всего функционала.  ISA/TMG/UAG очень серьезные продукты, а сложившиеся стереотипы от незнания и низкой квалификации специалистов.

    Alexey Kalinovsky, а вы подпишите контракт на консалтинг и нагрузочное тестирование прокси серверов по заявленным требованиям. Мы вам проведем его и покажем варианты решения.


    MCITP. Знание - не уменьшает нашей глупости.

    20 декабря 2012 г. 6:00
  • Я не совсем понял фразу: "вы просто не видели сложных систем построенных на базе TMG". Откуда Вы знаете, что я видел, а что я не видел? Я с этим продуктом работаю еще со времен, когда он назывался Microsoft Proxy Server v2.0. Так, что, пожалуйста, не делайте необоснованных утверждений. И как раз для небольших компаний TMG являлся отличным решением, так как позволял, не меняя платформу переходить от простых конфигураций к сложным.
    20 декабря 2012 г. 6:35
  • Обычно администраторы в "мелких и средних" используют TMG настолько, насколько требуется. Какой смысл задействовать какие-то глубоко спрятанные фичи, если за глаза хватает "наружных", да еще и запас останется. У Алексея Шевченко шесть сетей нормально работают, у нас также... не знаю как Алексей, но я точно не спец по TMG. Скачал триал, месяц покрутил дома, два в тесте... Все что надо работает? Работает. Удобен и прост? Угу. Маршруты маршрутизируются, филиалы связаны, Exchange публикуется, трояны ловятся, порнуха блокируется... Цена, поддержка и стоимость владения вменяемые... После этого разговоры про "крутые циски с сертификацией и блэкджеком" и "аутсайдера TMG" вызывают недоумение ) Как и желание MS избавиться от этого продукта (

    Кстати, реально ли взять небольшой конторе аппаратник на "триал"? Дней на 120.

    20 декабря 2012 г. 6:59
  • Shevchenko Alexey, принято.

    Dmitry Karavaev, обычно от 14 дней до 30 дней, в зависимости от продукта, и согласия партнера/вендора его продлевать в ряде случаев. Этот срок относится к списку прокси указанному выше.


    MCITP. Знание - не уменьшает нашей глупости.

    20 декабря 2012 г. 7:24
  • Я вот с Dmitry Karavaev полностью согласен. К тому же для специалиста развернуть TMG в фермах, с балансировкой, с общими политиками на массивы не составляет большого труда и управлять этим делом куда проще, чем Цисками и прочим. Разумеется удивляет то, что продукты серии Forefront объединили в одну линейку и ЗАКРЫЛИ.

    Dmitry Nikitin, критерии определяются вами. Зачастую, заказчик приходит либо с готовым проектом, либо с ему нужно проектировать. Никто не запрещает вам использовать метод экспертных оценок обоснования выбора продукта при проектировании.
    Как раз ни так давно я выбирал стиральную машину...  Какая разница между стиральной машиной за 9 тысяч и за 60 тысяч рублей? Та, что за 9 тыс. не стирает? И по вашей логике я должен выбрать ту, которая дешевле, так как функции заявлены вроде как одинаковые, при прочих равных условиях? Думаю я за 9 тыс. не выберу.

    Резюмируя, можно сказать: ...что прекращение продукта TMG без предоставления альтернативы - это большая ошибка. Закрыли продукт на стадии его более полного развития. Можно было бы влить функционал в UAG сначала, как пример, и затем уведомить пользователей, что продукт закрывается, но функционал останется в UAG. Кроме отрицательных эмоций это не вызывает ничего. Очень бы хотелось, чтобы Microsoft услышала желание пользователей, возобновило продукт и стала бы его развивать.


    Green

    20 декабря 2012 г. 7:38
  • Чтобы я сделал на месте Майкрософт (так сказать "Если бы я был султан").

    Еще во времена, когда Майкрософт только выпустила Server Core, мне пришла в голову замечательная мысль. А ведь было бы хорошо выпустить версию ОС специально для работы с ISA / TMG. Выкинуть оттуда все лишнее и оптимизировать ее для безопасной работы только одной роли. Естественно никакого графического интерфейса за исключением консоли управления TMG. Впрочем и эту консоль можно было бы не включать, а вынести на управляющую рабочую станцию. Начальную настройку сервера можно было бы провести из командной строки, а дальше уже работать из консоли. При этом, в этой операционной системе, естественно, нужно было оставить полную поддержку драйверов, чтобы ее можно было бы устанавливать на то же оборудование, что и полноценную ОС Windows. Поставлять эту ОС можно было бы бесплатно в комплекте с TMG.

    Конечно, некоторые ит специалисты, на сервере TMG устанавливают (в целях экономии?) и другие приложения (например Exchange). Но, я думаю, это не совсем правильно.

    Мне кажется, это имело бы успех. По крайней мере у Cisco и прочих "аппаратных" решений уже не было бы их "преимущества" в виде собственной "безопасной" ОС.


    21 декабря 2012 г. 7:00
  • уже есть такой аналог, назsвается hyper-v server )

    но я бы оставил и добавил бы возможность установки exchange edge, lync edge, rdg и прочие гейтвеи - ведь tmg все таки гейтвей и логичнее чтобы он брал весь функционал по зщите периметра а не только в качестве реверс прокси для веб ресурсов.

    21 декабря 2012 г. 15:28
    Отвечающий
  •  Поставлять эту ОС можно было бы бесплатно в комплекте с TMG.


    В этом даже нужды нет: ISA/TMG очень качественный продукт и обновлений безопасности для него - по пальцам одной руки пересчитать. Любой другой продукт просто решето по сравнению с ним. (Можете посмотреть статистику на сайтах безопасности.)

    Можно понять Microsoft, что она меняет стратегию и не будет развивать линейку продуктов в пользу других решений, которые пока не анонсируются. Но что никак нельзя понять так это то, что закрыты текущие продажи TMG, хотя год-два Microsoft могла бы получать доход от TMG в силу его уникальности - в одном продукте столько возможностей, что аналогов на рынке просто нет.


    Сазонов Илья http://isazonov.wordpress.com/

    23 декабря 2012 г. 15:06
    Модератор
  • У меня в последнее время нечто такое в мозгу крутится:

    Решения которые явно или неявно анонсируются - планшеты/смарты + облако (паблик пока к чертям, возьмем приват). Для "менеджеров по ..." вполне вероятно это прокатит, а их все-таки получается большинство из постоянно работающих с ИТ (сужу по своему урюпинску, где достаточно массово в последнее время стали пытаться притаскивать пады-тачи на работу и хотеть на них внутреннюю почту с документами). Через пару лет, понятно уже, проще с этим не станет. В AD личные машинки естественно не загонишь, смысла нет какую-то структуру для них делать. Отдельные(виртуальные?) CAD/1C десктопы с доступом в инет спокойно умещаются на dir-300 (утрирую). Производство по сути и так без выхода наружу. Остаются серверы с данными и доступ к ним "извне" (из соседней комнаты/другого города)... в общем UAG (или нечто вроде) получается, как ни складываю.


    25 декабря 2012 г. 9:09
  • Дмитрий, для планшетов/смартфонов уже давно есть корпоративные решения управления устройствами с шаблонами безопасности, доступом и шифрованием данных на них. 

    MCITP. Знание - не уменьшает нашей глупости.

    25 декабря 2012 г. 9:42
  • Представил, как радостно наша финдиректор несет мне свой личный ipad на настройку и шифрование. А за ней уже собралась очередь из остальных сотрудников со своими разномастными дроидами, фонами и тачами 2002-2013 г.в. Спасибо, порадовали )

    По моему, технически проще дать им доступ по Wi-Fi/Internet через шлюз на вебморду того, чего им требуется.
    25 декабря 2012 г. 21:08
  • Там принцип немного другой.

    Создается VPN канал в DMZ VPN компании и по нему предоставляется доступ к Internet.  Шифрование и покрытие пленкой от считывания информации со стороны, это опции.


    MCITP. Знание - не уменьшает нашей глупости.

    26 декабря 2012 г. 6:12
  • Дмитрий, вам нести не надо, есть системы управления мобильными устройствами, которые проталкивают политику по шифрованию. Что разумно, так как если сотрудник получает например корпоративную почту, то нужно как-то гарантировать конфиденциальность информации. C этим системами вопрос в другом - они ужасны! Может выход SP1 для SССM как-то улучшит ситуацию.


    Green

    26 декабря 2012 г. 10:17
  • Да это так, наброски эскизов и еще не очень серьезно. Пока все равно критическая масса гаджетов не набрана, а те что есть, слишком "разностандартны" и SC любой версии с текущим парком не справится.

    "Создается VPN канал в DMZ VPN компании и по нему предоставляется доступ к Internet." - не очень понял смысл (кстати, в моем винфоне нет VPN)

    Я полагал примерно так: офисные вай-фай/эзернет точки типа открытых аэропортовских, через них доступ и в интернет, и к внутреннему HTTPS-шлюзу (и далее OWA/Sharepoint/RDP/...). Принтеры прицеплены к одному из серверов и раздаются в RDP-сеансах. При этом внутренние данные на личных гаджетах все равно не присутствуют, так что пофиг на них - рассматриваются как внешние тонкие клиенты и в целом не обслуживаются. Десктопы по старинке, в отдельной сетке. У кого нет подходящего гаджета - ставим тонкого клиента в офисе на тех же птичьих правах. Остается открытым вопрос учета стоимости интернет-трафика с этих точек. И по безопаске конечно не все еще радужно и понятно.

    27 декабря 2012 г. 9:08
  • Думаю это первый шаг ухода в ОДНО облако МС. И в ближайшем будущем не будет серверного МС софта. Соотвественно специалисты в области администрирования станут не нужны. Отсюда вывод, что пока не поздно нужно изучать nix системы и те которые на них выполняют бизнес задачи работодателей. Это обеспечить экономию на лицензиях МС, чем станет конкурентоспособным облакам и будет требовать только оплаты специалистов, а это существенно дешевле оплаты лицензий МС. Для nix систем есть продукты подобные Exchange,Lync и другим, они тоже платные, но пока думаю не плнируют уходить в облака. Наверное не в рамках этого форума необходимо создать обсуждение того что нужно заменить и на что и совместно решать возникающие проблемы внедрения и интеграции.

    Еще не известно выиграет МС или проиграет от перехода в облака, но nix сообщесто точно сможет сыграть в свою пользу в этой ситуации

    28 декабря 2012 г. 11:40
  • Простите, но на мой взгляд вы несете полную ахинею.

    Во первых сама Microsoft зазывает исключительно в гибридные облака (то есть в связь приватного и публичных облаков).  Компания, которая пусть даже полностью ушла в Office 365 все равно будет держать у себя как минимум AD и еще пару инфрастуктурных сервисов типа DNS, DHCP и далее по своему усиотрению. Опять же повторюсь что до облака надо добраться.

    Во вторых не все приложения можно загнать в облака.

    В третьих для некоторых видов деятельности есть очень жесткие регуляторные политики о том где информация должна находится и сколько сохранятся. И облако тут никак не подходит

    И самое интересное откройте секрет кто же эти убийца/полноценная замена Lync и Exchange на nix системах ? Для справки ни Lync ни Exchange в облака не уходят


    28 декабря 2012 г. 11:58
  • Ну у Вас и фантазия. Спуститесь с облаков на землю. :)

    И, да интересно, что это за продукты с тем же функционалом, что Exchange и Lync?

    28 декабря 2012 г. 12:15
  • А с чего вы взяли, что юниксы переходить в облака не будут? Сегодня, может такой тенденции и нет, но лет через 6-10 - вполне.
    Пока нормальных псевдо-exchange просто нет на замену


    Green

    28 декабря 2012 г. 12:21
  • Гибридные облака сделаны для более простой миграции.

    Компании с повышенным уровнем безопасности в облака не перейдут типа банков и гос предприятий, а вот остальноео  вполне возможно.

    По поводу специфический приложений: допустим у вас есть офис 365 в облаках, файлы и скл серверы там же. Это означает что взаимодействие с другими системами будет происходить крайне медленно что само собой повлечет переход в облака этих сервисов которые будут управляться вами, но % таких серверов невелик в бизнес среде.

    DHCP поднимается на Cisco, DNS можно использовать провайдера, АД незачем - LiveID

    Zimbra = Exchange

    Jabber +-= Lync - IM, SIP есть вроде + интеграция с Asterisk, остальное надо исследовать. Конечно так круто как в МС это не будет, но зато бесплатно))

    28 декабря 2012 г. 13:35
  • 6-10 лет неплохое время чтобы найти другую работу + скорее всего произойдет разочарование в облаках так как в прошлом году в августе они стали недоступны у МС и Амазона, а в октябре-ноябре этого года очень плохо работал пуш сервис для Линка, а значит возможна недоступность и других сервисов
    28 декабря 2012 г. 13:41
  • Управлять инфраструктурой в 100 и более машин без AD это полное самоубийство (если у вас не по 1 хелпдеску на 5 машин). Далее эти машины надо как-то проливать, обновлять, доставлять ПО и тому подобное. О банальной безопасности инфомации вообще пока реч не идет. Очень хочу посмотреть как вы будете управлять данным зоопарком.

    Специфической ПО было есть и будет есть. Для примера я работаю на телеканале и у нас данный набор софта достаточно обширный и никто его ни в какие облака выводить не будет, да и скорость работы даже по оптоволкну упадет.

    К вопросу Jabber +-= Lync - IM, SIP, Asterisk  .  Вы описываете кучу различных продуктов, которые еще и связать надо. А теперь представьте себе большое отказоустойчивое решение на вашем зоопарке и сколько вы с ним намучаетесь а также сколько специалистов потребуется для содержания подобной инфраструктуры. По Zimbra ничего сказать не могу, но думается там тоже не все так гладко, особенно на больших инфраструктурах.

    Ситуация с облаками напоминает мне дебаты во вопросам ИТ аутсорсинга, вроде и дешевле и "качественней" но почему то не все туда идут, а некоторые что ушли вернулись назад. Публичные облака будут, но не так глобально и тотально, да и не всех туда загонят.

    В любом случае если какое-то ПО бесплатно, то это совсем не означает что решение построенное на нем бесплатно, т.к. нужно посчитать трудозатраты, время реализации и кучу дополнительных параметров

    P.S. Сори за такой офтоп

    28 декабря 2012 г. 14:22
  • Ребят один вопрос, допустим у меня TMG 2010 стоит на win 2008 r2, а все остальное и MS Exchange 2010 в придачу на Windows 2012, да и еще и в кластере.

    Вопрос:

    С публикацией проблем не будет, так же как и  с TS GATEWAY ? То есть если я вас правильно понял, поддержки TMG 2010 не будет  в части установки его на 2012, в остальном функционал останется все тот же (с учетом того, что вся инфраструктура вокруг пограничного TMG 2012-я) ?

    Спасибо!


    Люди тратят здоровье, что бы заработать $, а затем тратят $, что бы вернуть здоровье!


    • Изменено rеstless 4 января 2013 г. 20:59
    4 января 2013 г. 20:58
  • Поддержки TMG не будет в плане обновлений, нового функционала, новых версий, с 2016 года перестанут быть доступны сигнатуры. С 2021 при обращение в службу поддержки Microsoft по вопросу TMG вы будете получать вежливый отказ о том, что данный продукт не поддерживается.

    Но TMG как работал так и будет работать в вопросах публикации(по крайней мере текущих продуктов линейки Office 2010 и думаю последующих продуктов тоже), файервола, прокси, VPN.

    Exchange 2010 SP2 не поддерживает установку на 2012 сервер, отчасти это возможно связано с новым WCF. У некоторых в том числе и у меня начались небольшие проблемы с консолью EMS. Так что ждемс SP3

    5 января 2013 г. 8:50
  • будут небольшие проблемки с публикацией будущих версий приложений вроде exchange и sharepoint, вернее уже текущих 2013-х, в частности обычный визард для публикации может не все пути добавить в правило, но это думаю легко решается добавлением путей вручную. этовозможно добавят с сервиспаком - насколько я понимаю поддержка до 2015 года подразумевает выпуск обновлений включая сервиспаки

    5 января 2013 г. 11:05
    Отвечающий
  • Доброе время суток.

    Внимательно читаю все обсуждения по этой теме. Везде пишут примерно следующее: "Для сценариев безопасной публикации приложений нужно использовать UAG". Мне казалось, что UAG ставиться сверху на TMG и никак иначе. Или я что-то путаю?

    Может быть TMG не будет существовать как самостоятельный продукт. Как и Protection for... о прекращении разработки которых было заявлено тогда же. Они просто должны войти в соответствующие продукты как их часть. 

    17 января 2013 г. 17:30
  • Дмитрий, вы  путаете

    Forefront UAG - отдельный продукт, который обладает огромным функционалом с области безопасной публикации внутренних ресурсов , но и стоит он насколько я знаю намного дороже.

    На данный момент насколько мне известно и исходя их вышеперечисленого нет аналога нормальной веб прокси с шейпингом, блекджеком и .. :). Публикация под вопросом, т.к. повторюсь что UAG стоит очень и очень хорошо. Сценарии VPN и Firewall наверное уйдут на железячные решения или никс системы.

    Касательно продуктов Protection for.., то насколько я знаю в Exhcnage 2013 внедрили только антивирусную защиту, продвинутого антиспама там вроде как нет, единственная альтернатива - forefront online protection

    17 января 2013 г. 19:41
  • uag стоит почти также как tmg enterprise, может на пару рубликов дороже. но для uag надо лицензировать каждого клиента, а это баксов по 15 на юзера или устройство.
    vpn это как раз сценарий для uag. firewall всегда был железячным, во всяком случае для тех кому нужен действительно продвинутый firewall, а не просто список правил кто куда. но вот с контролем доступа в инернет с правильной аутентификацией действительно проблема - isa/tmg были наиболее удачными решениями в этом плане, а для небольших компаний вообще идеальными в плане "все в одном"
    18 января 2013 г. 8:56
    Отвечающий
  • Дмитрий! Дело в том, что нет никаких "железячных firewall". Любой firewall состоит из оборудования и операционной системы, любой! Т.е. принцип построения, такой же как и у TMG.

    Если не затруднит, подскажите пожалуйста (конкретную модель) "продвинутого firewall", имеющего такой же, или хотя бы близкий функционал с TMG.


    21 января 2013 г. 7:21
  • Алексей, я в курсе как работают файрволы и из чего они состоят, тем более что мощные asa вообще практически на обычной серверной платформе базируются (5580е например очень сильно напоминают hp dl58x). я просто использовал вашу же терминологию из предыдущего поста и под железячностью имел ввиду полный bundle состоящий из оборудования и специально обученной ос с софтом, которые не разделимы как разные активы.

    пример продвинутого фаера банальная cisco asa 55хх (юзаем например кластер из 5585 с ips модулем) или checkpoint, если речь идет конечно действительно про функционал firewall, а не всего того функционала который напихан в tmg (firewall, proxy, vpn, примитивная отчетность и прочее, хотя vpn функционал в asa тоже очень мощный). по функциям именно защиты сети от нежелательного трафика asa намного функциональнее и гибче tmg, как и в роутинге, хотя для этого роутеры лучше подходят

    21 января 2013 г. 12:01
    Отвечающий
  • Проблема в том, что те, кто сейчас хочет купить TMG - отдыхают.
    24 января 2013 г. 7:03
  • это тут собственно 4 месяца и обсуждали )
    24 января 2013 г. 8:27
    Отвечающий
  • Продукт снят с продажи - это достаточно интересная ситуация... Как посчитать убытки правообладателя от использования пиратских версий третьими лицами? Никак. Им остаётся только исходники раздать всем желающим, для удобства:)
    13 февраля 2013 г. 8:47
  • Альбакор, знаете... да, нет похоже. И лень объяснять, что "страшные и ужасные 50к-100к" даже в маленькой конторе погоды не сделают и брешь не пробьют сами по себе, только вкупе с дополнительными расходами. З/п админа на периферии за два-три месяца.

    Там на блоге разрабов что-то этакое мелькает в комментах - типа: ребята уйдите в стартап, вас ждут. Не знаю конечно, насколько велика вероятность подобного сценария. Но было бы весьма интересно поглядеть на конечный продукт и цены, если бы вдруг... существующие продукты, увы, интереса не вызывают еще или уже (тот же UAG я даже в тест не стал разворачивать, башка же просто лопнет от очередного откровения степ-бай-степ на 1500 страниц и нуля опыта)

    P.S. Вероятный сценарий глядишь может и сподвиг бы Шиндлера на еще не одну книгу, а Артема Синицына на не полное забрасывание блога. Ну и прочее никому-кроме-нас-не-нужное для кучи.

    12 марта 2013 г. 15:08
  • Весьма интересная информация - http://hal2020.com/2012/09/15/goodbye-forefront-it-was-nice-knowing-you/

    P.S. Спасибо Андрею Лаврову за комментарий в теме по UAG на itband.ru (http://itband.ru/2013/04/15369/)

    13 апреля 2013 г. 6:24
  • "In addition, the general view was that the network boundary was going to disappear as the trends toward BYOD, IPv6, and IPsec accelerated. As such TMG had lost its strategic value before TMG 2010 (which was the major revamp and rename from ISA) even shipped."

    Т.е., как я писал в этой ветке ранее, в MS решили что TMG не нужен - потому что якобы не нужно (или в ближайшем будущем перестанет быть нужным) контролировать периметр сети (что IMHO в корне неправильно).

    Приятно фактическое найти подтверждение своим выводам.


    Слава России!

    14 апреля 2013 г. 15:18
  • О будущем развитии ИТ-инфраструктуры без Forefront TMG

    MCITP, PSLP. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержу.

    7 октября 2013 г. 14:15
  • Всем привет!
    Кто куда мигрировал с TMG?

    До 2020 уже рукой подать. Вот и я задумался.

    Поделитесь опытом.

    4 декабря 2017 г. 9:23
  • LiOH

    Я как раз занимаюсь поиском альтернативы TMG (Miscrosoft конечно зря убрал это продукт...).
    В принципе мне нужен только firewall и возможность работать с фильтрацией контента, используя идентификацию в AD. Ну, может VPN понадобится в ближайшем времени.

    Пока протестировал два продукта: Sofos UTM и UserGate UTM.
    Оба под иксами, разворачиваются на виртуалках, работа через веб-консоль.
    Первый отмел сразу, нет нормальной иерархии политик фильрации. Хотя с AD работает неплохо. Их техподдержка что-то мне говорила про еще какой-то продукт, но его пока не смотрел.
    Второй уж больно заморочен и капризен в плане работы агентов на клиентах. Да и с AD он работает как-то неуверенно.

    Следующим буду тестировать Ideco ICS.

    6 апреля 2018 г. 9:03
  • Вот несколько на замену:

    squid

    nginx

    kerio control

    6 апреля 2018 г. 9:17
  • Ратую за McAfee Web Gateway. 
    6 апреля 2018 г. 9:43
  • Посмотрите еще pfsense

    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    6 апреля 2018 г. 10:30
  • А squid и nginx работают с аутентификацией по AD?
    6 апреля 2018 г. 10:36
  • Fortigate вроде ж железка? Хотелось бы найти что-нибудь софтовое.
    6 апреля 2018 г. 10:46
  • А squid и nginx работают с аутентификацией по AD?

    squid ещё как работает. не уверен, работает ли виндовый squid
    ngnix вроде тоже

    В принципе мне нужен только firewall и возможность работать с фильтрацией контента, используя идентификацию в AD.
    и всего лишь из-за этого жалеть o TMG ?!
    6 апреля 2018 г. 10:59
    Модератор
  • Как таковая работа с LDAP в squid и nginx может и есть, но понятия клиентской части я в их описании не нашел. А без клиентской части проверка AD-авторизации - это какая-то ерунда. Мало того, что юзер при входе в компьютер пароль набрал, он должен еще каким-то образом пройти аутентификацию на прокси. Без клиентской части конечно можно можно обойтись, забив адрес прокси в настройках браузера, но это годится только для веб-фильтрации, а вот сервисы по такой схеме работать не будут.

    А вообще, честно говоря, хотелось бы найти UTM с настройками через GUI, а не через web (понимаю, что выгляжу консерватором и что 21 век на дворе, но присутствует у меня ностальгия еще по ISA Server, потому и о закрытии TMG жалею).


    • Изменено Sergey_V_P 6 апреля 2018 г. 11:16
    6 апреля 2018 г. 11:15
  •  Без клиентской части конечно можно можно обойтись, забив адрес прокси в настройках браузера
    а почему это бесклиентский доступ? как раз браузер и есть тот самый клиент.
    но это годится только для веб-фильтрации, а вот сервисы по такой схеме работать не будут.
    какие сервисы например?
    6 апреля 2018 г. 11:23
    Модератор
  • Как таковая работа с LDAP в squid и nginx может и есть, но понятия клиентской части я в их описании не нашел. А без клиентской части проверка AD-авторизации - это какая-то ерунда. Мало того, что юзер при входе в компьютер пароль набрал, он должен еще каким-то образом пройти аутентификацию на прокси. Без клиентской части конечно можно можно обойтись, забив адрес прокси в настройках браузера, но это годится только для веб-фильтрации, а вот сервисы по такой схеме работать не будут.

    А вообще, честно говоря, хотелось бы найти UTM с настройками через GUI, а не через web (понимаю, что выгляжу консерватором и что 21 век на дворе, но присутствует у меня ностальгия еще по ISA Server, потому и о закрытии TMG жалею).


    linux вполне дружит с ldap, просто , нужно повозиться с конфигами. Погуглите, на эту тему довольно много статей.

    web - тот же gui, но через браузер.

    PS когда самостоятельно настраиваешь конфиги с мануалом, который взял на офф сайте - быстрее приходит понимание как это все работает, без какого либо gui, но это мое видение. )

    6 апреля 2018 г. 11:24
  • Fortigate вроде ж железка? Хотелось бы найти что-нибудь софтовое.

    Добрый День.

    ЕМНИП есть решение типа Virtualized Next-Generation Firewall


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    6 апреля 2018 г. 11:33
    Модератор
  • Под сервисами я имел ввиду некоторые специфичные программки, которые работают на клиентских машинах, которым нужен доступ в и-нет и в настройках которых невозможно прописать параметры прокси. Как ни странно, но такие попадаются. Вот тогда агент прокси - вещь незаменимая. Да и вообще проще не заморачиваться на клиенте настройками прокси на каждую программу, когда агент нормально с этим справляется.

    6 апреля 2018 г. 11:35
  • Как таковая работа с LDAP в squid и nginx может и есть, но понятия клиентской части я в их описании не нашел. А без клиентской части проверка AD-авторизации - это какая-то ерунда. Мало того, что юзер при входе в компьютер пароль набрал, он должен еще каким-то образом пройти аутентификацию на прокси. Без клиентской части конечно можно можно обойтись, забив адрес прокси в настройках браузера, но это годится только для веб-фильтрации, а вот сервисы по такой схеме работать не будут.

    А вообще, честно говоря, хотелось бы найти UTM с настройками через GUI, а не через web (понимаю, что выгляжу консерватором и что 21 век на дворе, но присутствует у меня ностальгия еще по ISA Server, потому и о закрытии TMG жалею).


    linux вполне дружит с ldap, просто , нужно повозиться с конфигами. Погуглите, на эту тему довольно много статей.

    web - тот же gui, но через браузер.

    PS когда самостоятельно настраиваешь конфиги с мануалом, который взял на офф сайте - быстрее приходит понимание как это все работает, без какого либо gui, но это мое видение. )

    Я полностью с Вами согласен по всем пунктам. Просто иногда бывает ностальгия. Но это проходит :)

    Извиняюсь за оффтоп.

    6 апреля 2018 г. 11:36
  • Да и вообще проще не заморачиваться на клиенте настройками прокси на каждую программу, когда агент нормально с этим справляется.

    и в чём проблема?
    6 апреля 2018 г. 11:49
    Модератор
  • Виртуалки у них тоже есть.
    6 апреля 2018 г. 12:43
  • Только в том, что squid и nginx такими клиентами не располагают.
    6 апреля 2018 г. 12:43
  • Только в том, что squid и nginx такими клиентами не располагают.
    а ссылку выше я для кого писал? да у них нет, есть просто "агенты" для любых проксей.
    6 апреля 2018 г. 12:47
    Модератор
  • Сорри, ссылку видимо не увидел. Спасибо, посмотрю.
    6 апреля 2018 г. 13:08
  • Вещь хорошая, но купить UTM, а потом еще и отдельно каждый агент по 30$.....

    Хотелось бы все в одном флаконе. Хотя nginx бесплатный...

    Ладно. Все ровно, спасибо.Буду тестировать то, что есть на рынке. По результатам отпишусь.



    • Изменено Sergey_V_P 6 апреля 2018 г. 13:17
    6 апреля 2018 г. 13:12