Konfigurieren des Webanwendungsproxys mit AD für zukunftssicheres Exchange

Wir haben die Rolle des Active Directory-Verbunddienstes während des Prozesses und den Beginn der Installation des Webanwendungsproxys behandelt. Im zweiten Teil schließen wir die Installation des Webanwendungsproxys ab und konfigurieren Active Directory und Exchange, bevor wir Exchange im Internet veröffentlichen.

Mit unserer AD FS Server bereit, wir sind bereit, die Komponente zu konfigurieren, die sich tatsächlich in unserem Umkreisnetzwerk befindet, und Exchange für die Außenwelt zu veröffentlichen. Wir beginnen mit der Navigation zu Assistent zum Hinzufügen von Rollen und Funktionen im Server-Manager und auswählen Fernzugriff. Wählen Webanwendungs-Proxy auf der Seite Server Role Services. Wählen Sie nach Abschluss der Installation die Option Öffnen Sie den Webanwendungs-Proxy-Assistenten.

Geben Sie nach dem Öffnen des Assistenten den internen Namen des soeben konfigurierten AD FS-Servers und die Administratoranmeldeinformationen ein. Wählen Sie abschließend die entsprechende aus Secure Sockets Layer (SSL) -Zertifikat für SSL-Verbindungen zum Webanwendungsproxy. In unserem Fall verwenden wir das zuvor auf unserem AD FS-Server verwendete Wildcard-Zertifikat (Abbildung 1).

Konfigurieren Sie Active Directory nach der Konfiguration des Webanwendungsproxys

Nach Abschluss der Konfiguration des Webanwendungsproxys ist es an der Zeit, Active Directory so zu konfigurieren, dass Sitzungen bei Outlook Web App (OWA) vorauthentifiziert werden.
Wir müssen zwei Schritte ausführen. Zuerst fügen wir die Dienstprinzipalnamen hinzu, die angeben, dass WAP anfordern darf Kerberos Token für HTTP-basierte Anforderer. Wir müssen auch angeben, dass der WAP-Server Anforderungen im Namen von Benutzern für unsere veröffentlichten Exchange-Server authentifizieren darf.

Figur 2

Figur 2

Öffnen Sie zuerst ADSIEDIT.MSC Navigieren Sie in einem Active Directory-Domänensteuerelement unter Verwendung des Standardnamenskontexts zu Active Directory zum WAP-Server und wählen Sie Eigenschaften. Suchen Sie nach dem Öffnen des Attribut-Editors die servicePrincipalName Attribut. Dies ist ein Attribut mit mehreren Werten. Dies bedeutet, dass wir zusätzlich zu den standardmäßig angegebenen Werten mehrere Werte hinzufügen können.
Sie müssen zwei Zeilen hinzufügen – eine mit dem voll qualifizierter Domainname (FQDN) des Servers und einer mit dem NetBIOS Name des Servers, beiden wird ein Präfix vorangestellt HTTP /. Dies könnte beispielsweise so aussehen HTTP / LDJ-WAP01 und LJD-WAP01.lisajanedesigns.local (Figur 2).
Öffnen Sie nach dem Speichern dieser Änderungen Active Directory-Benutzer und -Computer. Suchen Sie den WAP-Server in Active Directory und wählen Sie Eigenschaften. Wähle aus Delegation Tab gefolgt von Vertrauen Sie diesem Computer nur für die Delegierung an bestimmte Dienste. Wählen Verwenden Sie ein beliebiges Authentifizierungsprotokoll und fügen Sie Ihre Exchange-Server hinzu, indem Sie den Diensttyp als “http” angeben.

Konfigurieren Sie Exchange für den vorauthentifizierten Zugriff

Wenn unser Webanwendungsproxyserver zur Veröffentlichung bereit ist und die richtige Konfiguration in Active Directory vorliegt, müssen wir sicherstellen, dass Exchange so konfiguriert ist, dass ein vorauthentifizierter Zugriff über möglich ist Integrierte Windows-Authentifizierung für Dienstleistungen. In unserem Beispiel führen wir eine Vorauthentifizierung für Outlook Web App durch und die Exchange-Systemsteuerung, und verwenden Sie anschließend die Passthrough-Authentifizierung für andere Dienste.
Öffnen Sie die Exchange-Verwaltungskonsole (oder das Exchange-Verwaltungscenter, wenn Sie Exchange 2013 verwenden) und navigieren Sie zu Server Tab. Wählen Sie unter Clientzugriff die entsprechenden virtuellen Verzeichnisse aus.
Stellen Sie für jedes virtuelle Verzeichnis, für das Sie die Vorauthentifizierung verwenden, sicher Integrierte Windows-Authentifizierung ist ausgewählt. Nachdem Sie den für die virtuellen Verzeichnisse verwendeten Authentifizierungsmechanismus neu konfiguriert haben, müssen Sie eine Ausführung durchführen iisreset / noforce für jeden Server, den Sie konfiguriert haben.

Veröffentlichen und testen Sie Ihre Exchange-Konfiguration

Um unsere Konfiguration abzuschließen, öffnen wir die RAS-Verwaltungskonsole jeden Dienst zu veröffentlichen. In diesem Beispiel veröffentlichen wir die Dienste in dieser Tabelle.

BedienungPfadAuthentifizierungsart
Outlook Web App/ OWA /AD FS
Exchange-Systemsteuerung/ ECP /AD FS
Exchange-Webdienste/ EWS /Durchgehen
Automatische Erkennung/ Autodiscover /Durchgehen
ActiveSync/ Microsoft-Server-ActiveSyncDurchgehen
Offline-Adressbuch/ OAB /Durchgehen
Ausblick überall/ rpc /Durchgehen

Navigieren Sie bei geöffneter Konsole zu Konfiguration> Webanwendungsproxy und wähle Veröffentlichen. Wählen Sie für jedes vorauthentifizierte virtuelle Verzeichnis Active Directory-Verbunddienste (AD FS) für den Vorauthentifizierungstyp.
Als Nächstes wird im Assistenten der Bildschirm “Relaying Party” angezeigt. Dies zeigt das Vertrauen unserer Weiterleitungspartei, das wir zuvor erstellt haben. Wählen Sie diese und drücken Sie Nächster. Wir erhalten Optionen, die für die Veröffentlichung der Anwendung auf dem Back-End-Exchange-Server selbst relevant sind. Stellen Sie sicher, dass Sie die Details hier sorgfältig auswählen, da Sie die Einstellungen mithilfe von ändern GUI beinhaltet das Entfernen und Neuerstellen der Einstellungen. In unserem Beispiel können wir eine benutzerfreundliche Beschreibung für unsere Referenz eingeben, z. B. Outlook Web App, und die externe URL eingeben, um OWA mit einem abschließenden Schrägstrich (/) zu veröffentlichen.

Figur 3

Figur 3

Wählen Sie als nächstes das externe Zertifikat. In unserem Beispiel bedeutet dies unser Wildcard-Zertifikat zusammen mit der URL des Backend-Servers. Geben Sie abschließend den Dienstprinzipalnamen für den Exchange-Server ein, den Sie veröffentlichen. In unserem Beispiel ist dies HTTP / gefolgt vom vollqualifizierten Domänennamen des Exchange-Servers. HTTP / LJD-MBX01.lisajanedesigns.local (Figur 3).
Nach dem Veröffentlichen jedes virtuellen Verzeichnisses, für das eine Vorauthentifizierung erforderlich ist, verwenden wir den Assistenten, um unsere virtuellen Verzeichnisse zu veröffentlichen, die die Pass-Through-Authentifizierung verwenden. Daher wählen wir auf der Vorauthentifizierungsseite des Assistenten einfach aus Durchgang um eine Vorauthentifizierung zu vermeiden. Anschließend geben wir einen Anzeigenamen ein, um den von uns veröffentlichten Dienst sowie die externen und internen URLs (ebenfalls mit abschließenden Schrägstrichen) zu beschreiben, und wählen das entsprechende SSL-Zertifikat aus.
Überprüfen Sie nach dem Veröffentlichen jedes virtuellen Verzeichnisses den Abschnitt Veröffentlichte Webanwendungen der RAS-Verwaltungskonsole. Sie sollten den von Ihnen ausgewählten Anzeigenamen zusammen mit der externen URL sehen, die zum Veröffentlichen der Ressource verwendet wurde.

Figur 4

Figur 4

Testen Sie mit allem, was Sie zusammengestellt haben, um sicherzustellen, dass es richtig funktioniert. Versuchen Sie, von einem externen Computer oder einem Computer, der die DNS-Namen unserer veröffentlichten Exchange-Ressourcen auf den WAP-Server auflöst, auf OWA zuzugreifen. Beim Zugriff auf OWA sollte der Anmeldebildschirm für die AD FS-Formularauthentifizierung angezeigt werden (Abbildung 4).
Sie sollten in der Lage sein, normal auf OWA zuzugreifen, nachdem Sie die richtigen Anmeldeinformationen eingegeben haben.
Um sicherzustellen, dass der Zugriff auf alle veröffentlichten Protokolle wie erwartet funktioniert, fahren Sie mit Tests wie dem Remote Connectivity Analyzer fort um zu sehen, dass Dienste wie Exchange-Webdienste, ActiveSync und Outlook Anywhere wie erwartet funktionieren.
Durch die Verwendung von Web Application Proxy in Kombination mit AD FS haben Sie eine zukunftssichere Option, die Ihrem Unternehmen hilft. Wenn Ihr Unternehmen Cloud-basierte Dienste wie Office 365 verwendet, können Sie die AD FS-Single-Sign-On-Funktionen nutzen, um den Anmeldevorgang für lokale und Cloud-Dienste zu vereinfachen. Dies bietet letztendlich eine bessere Endbenutzererfahrung.
ÜBER DEN AUTOR: Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply