Exchange im Internet veröffentlichen über Web Application Proxy und ADFS

Per ADFS und Webanwendungsproxy von Windows Server 2012 R2 können Administratoren Webdienste wie Exchange veröffentlichen. Wir zeigen die Einrichtung.

Viele Unternehmen haben Exchange bisher mit dem Microsoft Forefront Threat Management Gateway 2010 im Internet veröffentlicht.

Microsoft hat das Forefront Threat Management Gateway abgekündigt. Das Produkt wird also nicht mehr weiterentwickelt und unterstützt. Seit dem sind Unternehmen auf der Suche nach einem vergleichbaren Ersatz, um Webdienste wie Exchange oder SharePoint sicher im Internet bereitzustellen.

Mit dem Unified Access Gateway können Unternehmen alle Webanwendungen im Unternehmen zentral veröffentlichen, auch Exchange und SharePoint

Oft ist der teure Einsatz von Zusatzsoftware von Drittherstellern nicht gewünscht. Viele Unternehmen verwenden lieber Microsoft-Produkte, da sich diese enger mit dem Exchange-Server verbinden können als andere Tools. Natürlich gibt es viele Produkte auf dem Markt, welche die Lücke des TMG füllen. Andere Unternehmen veröffentlichen interne Server nicht ins Internet, wieder andere denken Sie brauchen keinen Schutz bei der Veröffentlichung. Manche Unternehmen setzen auf den Lastenausgleich, um Exchange im Internet bereitzustellen. Auch das Unified Access Gateway (UAG) von Microsoft wird häufig verwendet, um Exchange oder SharePoint im Internet bereit zu stellen. Ebenfalls im Einsatz ist IIS Application Request Routing.

Der neue Web Application Proxy in Windows Server 2012 R2

Neben allen diesen Möglichkeiten bietet jetzt aber Windows Server 2012 R2 ein neues Feature, um Webserver und Exchange-Dienste im Internet sicherer bereitzustellen, als bei einer direkten Veröffentlichung ohne Firewall. Der Rollendienst trägt die Bezeichnung Webanwendungsproxy (Web Application Proxy, WAP).

Was ist der Vorteil des Webanwendungsproxys im Vergleich zu anderen Produkten? Zunächst ist der Web Application Proxy vollkommen kostenlos, da er in Windows Server 2012 R2 als Bordmittel integriert ist. Auch das Routing von Anwenderanmeldungen und eine Anbindung an die Active-Directory-Verbunddienste (Active Directory Federation Services, ADFS) sind möglich. Unternehmen können mit dem Web Application Proxy und den Active-Directory-Verbunddiensten eine sichere und kostengünstige Veröffentlichung von Webdiensten (wie Exchange) durchführen.

Neben der Möglichkeit, die Authentifizierung für Exchange über das Internet mit dem Web Application Proxy durchzuführen, lassen sich mit der Lösungen auch Single-Sign-On-Szenarien mit Office 365 realisieren. Das heißt, in reinen Cloud-Umgebungen kann der Anwendungsproxy seine Dienste optimal einsetzen, aber auch in solchen mit Hybrid-Cloud-Bereitstellungen. Natürlich geht das auch mit Servern vor Ort, von Microsoft häufig auch als On-Premise bezeichnet.

Voraussetzungen für den Web Application Proxy

Um den Webanwendungsproxy in der Praxis einzusetzen, sind im Netzwerk zunächst einige Mitgliedsserver mit Windows Server 2012 R2 notwendig. Auch ADFS muss auf Basis von Windows Server 2012 R2 im Netzwerk bereitstehen. Für den Betrieb ist natürlich SSL notwendig. Das heißt, im Unternehmen müssen für die beteiligten Server (also Exchange, Web Application Proxy und Active Directory-Verbunddienste) Zertifikate bereitstehen. Es müssen aber nicht alle Server auf Windows Server 2012 R2 umgestellt werden.

In Testumgebungen lassen sich auch selbst signierte Zertifikate verwenden, besser ist aber die Verwendung von öffentlichen Zertifikaten oder solchen auf Basis der Active-Directory-Zertifikatsdienste. Hier muss vor allem auf den Namen geachtet werden, damit die Anwender keine Zertifikatswarnung erhalten. Die Zertifikate müssen als allgemeinen Namen auch den externen Namen der Exchange-Veröffentlichung kennen. So kann der interne Name zum Beispiel x2k13-01.contoso.int sein, der externe Name webmail.contoso.com. In diesem Beispiel, muss das Zertifikat also auch den Namen webmail.contoso.com kennen.

Active-Directory-Verbunddienste installieren

Wir arbeiten in diesem Beispiel mit einer Veröffentlichung des Unternehmens Contoso. Administratoren sollten bei den beteiligten Servern darauf achten, dass auf den Servern die korrekten Zertifikate für SSL installiert sind. Am einfachsten lassen sich Zertifikate mit der Verwaltungskonsole für Zertifikate installieren. Diese wird am schnellsten durch Eingabe von certlm.msc gestartet.

Die Active Directory-Verbunddienste werden in Windows Server 2012 T2 als Serverdienst installiert.

Bevor der Web Application Proxy in Betrieb gehen kann, müssen im Netzwerk die Active-Directory-Verbunddienste installiert und eingerichtet sein. Die Installation dieser Dienste erfolgt über den Server-Manager in Windows Server 2012 R2. Haben Administratoren alle Vorbereitungen getroffen, installieren sie ADFS als Serverrolle auf dem ADFS-Server. Die Rolle wird über Verwalten\Rollen und Features hinzufügen über den Rollendienst Active Directory-Verbunddienste installiert.

Während der Installation von ADFS sind keine Konfigurationsaufgaben durchzuführen. Dabei werden nur die notwendigen Dateien auf dem Server installiert, die Einrichtung erfolgt erst danach.

Active-Directory-Verbunddienste einrichten

Nach der Installation der Active-Directory-Verbunddienste werden die Dienste über einen Assistenten im Server-Manager eingerichtet.

Nach der Installation der Binärdateien von ADFS müssen sich Administratoren an die Einrichtung des Servers machen. Die Konfiguration wird entweder über das Verwaltungstool von ADFS in der Verwaltungsoberfläche von ADFS gestartet, oder über das Benachrichtigungscenter des Server-Managers.

ADFS benötigt für den Betrieb ein Zertifikat. Dieses muss vor der Installation über die Zertifikateverwaltung auf dem Server installiert werden.

In Vorgängerversionen von ADFS, vor Windows Server 2012 R2, konnten Administratoren in den ersten Schritten festlegen, ob eine neue Farm erstellt, ein Server einer vorhandenen Farm hinzugefügt, oder ein alleinstehender Server erstellt werden sollte. In Windows Server 2012 R2 lassen sich nur noch Serverfarmen erstellen. Diese können zwar aus nur einem einzelnen Farmserver bestehen, alleinstehende Server gibt es in der neuen Windows-Version aber nicht mehr. Die weitere Einstellung wird folgendermaßen vorgenommen:

  1. Wählen Sie auf der Seite Diensteigenschaften bearbeiten, das installierte Zertifikat auf dem ADFS-Server aus.
  2. Als Anzeigenamen können Sie einen beliebigen Namen verwenden, zum Beispiel ADFS Contoso.
  3. Auf der Seite Dienstkonto angeben aktivieren Sie die Option Verwenden Sie ein Domänenbenutzerkonto oder ein gruppenverwaltetes Dienstkonto. Wählen Sie ein Konto aus, es darf sich aber nicht um einen Domänenadministrator handeln, mit dem Sie die Einrichtung vornehmen. In produktiven Umgebungen ist hier der Betrieb eines verwalteten Dienstkontos zu empfehlen.
  4. Auf der Seite Datenbank angeben verwenden Sie Erstellen Sie eine Datenbank auf diesem Server mit der internen Windows-Datenbank. Diese reicht für die meisten Umgebungen aus.
  5. Im nächsten Fenster erhalten Sie nochmal eine Zusammenfassung. Dann werden die Voraussetzungen überprüft und die ADFS-Infrastruktur erstellt. Klicken Sie anschließend auf Konfigurieren, um die ADFS-Infrastruktur auf dem Server zu installieren.
  6. Damit ADFS funktioniert, müssen Sie darauf achten, dass die Zertifikate vorhanden sind und funktionieren. Sie konfigurieren die Zertifikate in der ADFS-Verwaltung im Bereich Dienst/Zertifikate.

DNS-Konfigurationen beachten

Die ADFS-Serverfarm muss sich im internen Netzwerk über DNS auflösen lassen. Zu Testzwecken kann es auch sinnvoll sein, den Internetnamen der Konfiguration im internen DNS zu registrieren. Dazu wird eine interne Zone mit der Bezeichnung des externen Namens angelegt und dann der Internetname der ADFS-Struktur verwendet, zum Beispiel adfs.contoso.com. Zu Testzwecken können Administratoren aber auch mit dem internen Namen und der internen IP-Adresse arbeiten.

Für eine Infrastruktur mit dem Web Application Proxy, haben Unternehmen aber auch die Möglichkeit den Servernamen in die Hosts-Datei des Web Application Proxy zu schreiben. Dann können Clients den ADFS-Server nicht über dessen Namen erreichen, der Web Application Proxy dagegen schon.

Vertrauensstellungen in ADFS einrichten

Damit ADFS mit dem Webanwendungsproxy in Windows Server 2012 R2 zusammenarbeitet, müssen Sie noch eine neue Anspruchsanbieter-Vertrauensstellung hinzufügen.

Als nächstes muss für die Verwendung von Exchange und dem Web Application Proxy eine Vertrauensstellung zu ADFS eingerichtet werden. Dazu gehen Sie folgendermaßen vor:

  1. Öffnen Sie im Server-Manager über Tools\ADFS-Verwaltung die Verwaltungskonsole von ADFS.
  2. Navigieren Sie zu Vertrauensstellungen\Anspruchsanbieter-Vertrauensstellungen.
  3. Erstellen Sie über das Kontextmenü einen neuen Anbieter.
  4. Geben Sie bei der Einrichtung auf der Seite Datenquelle auswählen die URL https://<interner oder externer Name des ADFS-Servers/adfs/services/trust> ein.
  5. Schließen Sie den Assistenten ab.
  6. Anschließend öffnen Sie das Fenster mit den Anspruchsregeln für die neue Vertrauensstellung. Hier fügen Sie die Option Alle Windows-Kontoname-Ansprüche zulassen hinzu.

Dieser Beitrag ist der erste Teil der Artikelserie, die beschreibt wie der Webanwendungsproxy bei der Veröffentlichung von Exchange helfen kann. Im zweiten Teil der Reihe zeigen wir die Einrichtung des Web Application Proxys, die Anpassung von Active Directory und Exchange. Außerdem behandeln wir die Veröffentlichung von Exchange über die konfigurierte Infrastruktur.

Erfahren Sie mehr über Collaboration-Software

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close