Veröffentlichen von Exchange im Internet über Web Application Proxy und ADFS

auf dem Markt, die die Lücke füllen. Einige Organisationen glauben, dass sie keinen Schutz benötigen, und veröffentlichen Exchange direkt im Internet. Andere verwenden ihren Load Balancer, um diese Aufgabe auszuführen. Sie können auch Tools wie IIS Application Request Routing und Forefront Unified Access Gateway verwenden. Und wenn dies nicht ausreicht, gibt es ein neues Kind auf dem Block – Web Application Proxy, eine integrierte Komponente von Windows Server 2012 R2.

Was macht Web Application Proxy (WAP) bei so vielen Optionen so überzeugend? Zunächst einmal ist es mit Windows Server 2012 R2 kostenlos, was auch für das Routing von Anwendungsanforderungen gilt. Der zusätzliche Vorteil von WAP besteht jedoch darin, dass es eine Vorauthentifizierungsoption bietet, die vollständig in WAP integriert ist Verbundene Active Directory-Dienste (ADFS).

Sie können WAP zur Vorauthentifizierung bei Ihren internen Anwendungen und zur Bereitstellung einer einmaligen Anmeldung verwenden Büro 365.

Installieren des Webanwendungsproxys und Veröffentlichen von Exchange

Um zu sehen, wie Sie mit dem Webanwendungsproxy Exchange im Internet veröffentlichen, verwenden wir eine Beispielorganisation namens Lisa Jane Designs.
Wir haben Exchange mit dem externen konfiguriert HTTPS Namespace von mail.lisajanedesigns.co.uk und verwendet ein Wildcard-SSL-Zertifikat namens * .lisajanedesigns.co.uk. Unser ADFS-Server verwendet den Namen sts.lisajanedesigns.co.uk, Das gleiche Wildcard-SSL-Zertifikat wird sowohl für den ADFS-Server als auch für den WAP-Server verwendet.

Zertifikate konfigurieren

Unsere erste Aufgabe für die Windows 2012 R2-Server, auf denen ADFS und WAP gehostet werden, ist die Installation des Wildcard-SSL-Zertifikats. Mithilfe des Snap-Ins für Microsoft Management Console-Zertifikate stellen wir sicher, dass das Platzhalterzertifikat im Kontext des lokalen Computers importiert wird (Abbildung 1).

Bezeichner konfigurieren
Abbildung 1.

Das Zertifikat und der zugehörige private Schlüssel sollten korrekt installiert und von einer gültigen Zertifizierungsstelle eines Drittanbieters ausgestellt werden.

Installieren und Konfigurieren der ADFS-Rolle

Vor der Installation von Web Application Proxy müssen wir den ersten ADFS-Server für die Vorauthentifizierung einrichten und konfigurieren. Öffne das Assistent zum Hinzufügen von Rollen und Funktionen im Server-Manager und wählen Sie Active Directory-Verbunddienste. Wählen Sie nach erfolgreicher Installation von ADFS Konfigurieren Sie den Verbunddienst auf diesem Server (Figur 2).

Konfigurieren Sie Verbunddienste
Figur 2.

Definieren Sie nach Abschluss der Kerninstallation von ADFS die Konfigurationsinformationen, damit der ADFS-Konfigurationsassistent die richtige Konfiguration anwenden kann.
Auf der ersten Seite des Assistenten können Sie die Art der durchzuführenden Konfiguration auswählen. In früheren ADFS-Versionen konnten Sie eine neue ADFS-Farm erstellen, einer ADFS-Farm hinzufügen oder eine eigenständige Farm erstellen. Eine Farm kann ein einzelnes Mitglied haben. Die eigenständige Farmoption wurde in Windows Server 2012 R2 entfernt. Wählen Erstellen Sie den ersten Verbundserver in einer Verbundserverfarm.
Wählen Sie auf der zweiten Seite des Assistenten die Option Eigenschaften des VerbunddienstesWählen Sie das vorinstallierte SSL-Zertifikat aus und geben Sie einen Verbunddienstnamen und einen Anzeigenamen an.
Das Vollqualifizierter Domainname Sie können abstrakt für den Servernamen selbst sein. Es ist typisch, einen Namen wie zu wählen FS für Federation Service oder STS für Security Token Service auf die gleiche Weise, wie Exchange häufig benannt wird Mail anstelle des Exchange Server-Namens. Wir haben gewählt sts.lisajanedesigns.co.uk für den Servicenamen unserer ADFS-Farm und gibt den Firmennamen an Lisa Jane Designs als Anzeigename.
Schließen Sie den Assistenten ab, geben Sie ein Domänenkonto ohne besondere Berechtigungen an, unter dem der ADFS-Dienst ausgeführt werden soll, und empfehlen Sie, die interne Windows-Datenbank für eine kleinere Implementierung zu verwenden.
Nach der Installation müssen wir den Namen des ADFS-Dienstes im LAN registrieren. Da der WAP-Server dies im internen LAN beheben muss, konfigurieren wir a PinPoint DNS-Eintrag in unserem internen DNS, um dies anzugeben sts.lisajanedesigns.co.uk wird in die interne IP des ADFS-Servers aufgelöst (Abbildung 3).

DNS-Manager
Figur 3.

Wenn die Organisation, die den ADFS-Server verwendet, Split-DNS verwendet, fügen Sie den Eintrag für Ihren ADFS-Server in dieser internen DNS-Zone hinzu. Wenn Sie Split DNS oder PinPoint DNS nicht verwenden oder wenn Clients keine direkte Verbindung zum ADFS-Server herstellen sollen, können Sie diesen Schritt umgehen und den ADFS-Dienstnamen und die IP-Adresse zum hinzufügen Hosts-Datei des WAP-Servers.
Unser letzter Schritt zur Vorbereitung von ADFS für die Verwendung mit WAP- und Exchange-Veröffentlichungen besteht darin, a hinzuzufügen Relaying Party Trust. Öffne das ADFS-Verwaltungskonsole, Navigieren Sie zu ADFS> Vertrauensstellungen und wähle Fügen Sie nicht anspruchsbewusstes Vertrauen der vertrauenden Partei hinzu.
Diese Vertrauensstellung ermöglicht es uns, ADFS zur Authentifizierung von Anwendungen zu verwenden, die für die Verwendung entwickelt wurden Integrierte Windows-Authentifizierung. Unsere Konfiguration ist einfach, geben Sie ihm also einen einfachen Namen. Zum Beispiel können wir es benennen Antrag auf Nichtansprüche.
Geben Sie als Nächstes eine Kennung für die Vertrauensstellung der vertrauenden Partei an. Dies kann ein willkürlicher Wert sein. Wenn wir also mit unserer fiktiven Organisation fortfahren, können wir ihn benennen https://sts.lisajanedesigns.co.uk/adfs/services/trust (Figur 4).

Assistent zur Identifizierung nicht vertrauenswürdiger vertrauenswürdiger Vertrauenspersonen
Figur 4.

Drücken Sie nach Abschluss des Assistenten Fertig zu öffnen Anspruchsregeln bearbeiten Fenster. Fügen Sie die Regel hinzu Zugriff auf alle Benutzer zulassen und drücke OK um die ADFS-Konfiguration abzuschließen.
Dies ist Teil einer Reihe über die Verwendung von Webanwendungsproxy zum Veröffentlichen von Exchange im Internet. Seien Sie gespannt auf Teil zwei, um den Prozess fortzusetzen, der die Installation der Webanwendungsproxy-Rolle, die Konfiguration von Active Directory, die Konfiguration von Exchange und die Veröffentlichung von Exchange umfasst.
Über den Autor:
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply