Fachartikel

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (2)

Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory passend konfigurieren, Exchange anpassen und ADFS einrichten.
Weltweiten Zugriff auf webbasierte Unternehmensanwendungen verspricht das Webanwendungsproxy.
Active Directory konfigurieren
Haben Sie den Assistenten für die Einrichtung des Webanwendungsproxys erfolgreich abgeschlossen, besteht der nächste Schritt darin, das AD anzupassen. Hier stellen Sie sicher, dass Outlook Web App, SharePoint oder andere Webdienste und WAP zusammenarbeiten.

Zunächst müssen Sie einen "Service Principal Name" festlegen. Dieser erlaubt dem Webanwendungsproxy, auch Kerberos-Tokens für HTTP-basierte Anfragen anzufordern. Zusätzlich konfigurieren Sie hier, dass WAP das Recht erhält, sich am Exchange-Server im Namen zugreifenden Anwenders anzumelden – das gilt auch für andere Webdienste. Der Benutzer selbst meldet sich über ADFS am Webanwendungsproxy an:
  1. Für die Einrichtung öffnen Sie mit adsiedit.msc den ADSI-Editor. Stellen Sie über das Kontextmenü des ADSI-Editors eine Verbindung zum AD her und bestätigen Sie im Fenster die Option "Standardmäßiger Namenskontext" mit "OK".
  2. Navigieren Sie zum Objekt des Servers, auf dem Sie den Webanwendungsproxy installiert haben und rufen Sie dessen Eigenschaften auf.
  3.  Wechseln Sie auf die Registerkarte "Attribut-Editor" und klicken Sie auf "ServicePrincipalName". Bei dem Wert handelt es sich um eine mehrteilige Zeichenfolge, was Ihnen erlaubt, mehrere Daten einzugeben, die der Server nutzen kann.
  4. Sie müssen an dieser Stelle zwei Zeilen hinzufügen, die jeweils den Präfix "HTTP/" benötigen. In der ersten Zeile tragen Sie den NetBIOS-Namen ein, in der zweiten Zeile den FQDN, also zu Beispiel "HTTP/S1" und "HTTP/S1.CONTOSO.COM". Ein Klick auf "OK" beendet den Vorgang.
Haben Sie das AD entsprechend angepasst, rufen Sie als Nächstes das Snap-In "Active Directory-Benutzer und -Computer" auf und navigieren zur OU mit dem WAP-Computerkonto, dessen Eigenschaften sie öffnen. Hier aktivieren Sie auf der Registerkarte "Delegierung" die Optionen "Computer bei Delegierungungen angegebener Dienste vertrauen" und "Beliebiges Authentifizierungprotokoll verwenden". Jetzt klicken Sie auf "Hinzufügen", wählen die Computerkonten Ihrer Exchange-Server aus und fügen den Dienst "HTTP" für diese Server hinzu.
Exchange anpassen
Haben Sie ADFS, WAP, AD sowie die Computerkonten angepasst, müssen Sie im Anschluss noch Exchange konfigurieren, damit sich Anwender über WAP mit dem Netzwerk verbinden können. Im folgenden Beispiel zeigen wir Ihnen, wie Sie Outlook Web App und das ECP in Exchange Server 2013 und 2016 für die WAP-Anbindung vorbereiten.

Die Einstellungen dazu nehmen Sie im Exchange Admin Center vor. Navigieren Sie zu den entsprechenden Servern und rufen Sie im Bereich "ClientAccess" die Eigenschaften für das virtuelle Web auf, im Beispiel von Exchange 2013 "OWA". Nun öffnen Sie die Verwaltung des Remotezugriffs im Server-Manager über "Tools / Remotezugriffsverwaltung", wo Sie neue Veröffentlichungen für den Webanwendungsproxy einrichten. Dazu starten Sie in der Verwaltungskonsole einen neuen Assistenten, mit dem Sie Webanwendungen über den Webanwendungsproxy veröffentlichen. Hier geben Sie die externe URL ein und wählen das externe Zertifikat aus. Auch den zuvor angepassten Service Principal Name tragen Sie ein, zum Beispiel "HTTP/S1.Contoso.int".

Haben Sie die notwendigen Daten der Server im Assistenten hinterlegt, schließen Sie diesen. Geben Anwender eine externe URL ein, die Sie hier veröffentlicht haben, erscheint die formularbasierte Authentifizierung von ADFS.

ADFS einrichten
Bevor WAP in Betrieb gehen kann, müssen im Netzwerk die Active-Directory-Verbunddienste installiert und eingerichtet sein. Dies erfolgt über den Server-Manager in Windows Server 2016. Haben Sie diese Vorbereitungen getroffen, installieren Sie ADFS als Serverrolle auf dem dafür vorgesehenen Server über "Verwalten / Rollen und Features hinzufügen".

Während der Installation von ADFS sind keine Konfigurationsaufgaben durchzuführen, hier werden nur die notwendigen Dateien auf dem Server eingespielt. Die Einrichtung erfolgt erst danach:
  1. Wählen Sie auf der Seite "Diensteigenschaften bearbeiten" das installierte Zertifikat auf dem ADFS-Server aus.
  2. Als Anzeigenamen verwenden Sie einen beliebigen Namen, zum Beispiel "ADFS Contoso".
  3. Auf der Seite "Dienstkonto angeben" aktivieren Sie die Option "Verwenden Sie ein Domänenbenutzerkonto oder ein gruppenverwaltetes Dienstkonto". Bei dem Konto, das Sie hier nutzen darf es sich aber nicht um den Domänenadministrator handeln, mit dem Sie die Einrichtung vornehmen. In produktiven Umgebungen ist hier der Betrieb eines verwalteten Dienstkontos zu empfehlen.
  4. Auf der Seite "Datenbank angeben" verwenden Sie "Erstellen Sie eine Datenbank auf diesem Server mit der internen Windows-Datenbank". Diese reicht für die meisten Umgebungen aus.
  5. Im nächsten Fenster erhalten Sie nocheinmal eine Zusammenfassung und nachfolgend prüft das System die Voraussetzungen und erstellt dann die ADFSInfrastruktur. Klicken Sie danach auf "Konfigurieren", um die ADFS-Infrastruktur auf dem Server fertigzustellen.
  6. Damit ADFS funktioniert, müssen Sie darauf achten, dass die Zertifikate vorhanden sind und funktionieren. Sie konfigurieren die Zertifikate in der ADFSVerwaltung im Bereich "Dienst / Zertifikate".
DNS-Konfigurationen beachten
Die ADFS-Serverfarm muss sich im internen Netzwerk über DNS auflösen lassen. Zu Testzwecken kann es auch sinnvoll sein, den Internetnamen der Konfiguration im internen DNS zu registrieren. Dazu legen Sie eine interne Zone mit der Bezeichnung des externen Namens an und verwenden dann den Internetnamen der ADFS-Struktur, zum Beispiel "adfs.contoso.com". Zu Testzwecken können Sie aber auch mit dem internen Namen und der internen IP-Adresse arbeiten.

Für eine WAP-Infrastruktur haben Sie aber auch die Möglichkeit, den Servernamen in die Hosts-Datei des Webanwendungsproxy zu schreiben. Dann können Clients den ADFS-Server nicht über dessen Namen erreichen, der Webanwendungsproxy dagegen schon.

Zusätzlich müssen Sie für die Verwendung von Exchange und dem Webanwendungsproxy eine Vertrauensstellung zu ADFS einrichten. Öffnen Sie dazu im Server-Manager über "Tools / ADFS-Verwaltung" die ADFS-Verwaltungskonsole. Navigieren Sie zu "Vertrauensstellungen / Anspruchsanbieter-Vertrauensstellungen" und erstellen Sie über das Kontextmenü einen neuen Anbieter. Geben Sie bei der Einrichtung auf der Seite "Datenquelle auswählen" die URL "https://interner oder externer Name des ADFS-Servers/adfs/ services/trust" ein und schließen Sie den Assistenten ab. Anschließend öffnen Sie das Fenster mit den Anspruchsregeln für die neue Vertrauensstellung. Hier fügen Sie die Option "Alle Windows-Kontoname-Ansprüche zulassen" hinzu.

Fazit
Durch die Verwendung der Active Directory-Verbunddienste und WAP erhalten Unternehmen eine zukunftssichere Möglichkeit Exchange, SharePoint und andere Webdienste sicher im Internet zu veröffentlichen. Auch bei der Verwendung von Office 365 zusammen mit lokalen Servern in einer Hybrid-Bereitstellung profitieren Unternehmen vom Webanwendungsproxy. Mit ADFS besteht zudem die Möglichkeit, Single-Sign-on-Szenarien zusammen mit Office 365 zu realisieren. Diese bieten dem Anwender mehr Komfort und einen effizienteren Umgang mit lokalen Diensten und Diensten in der Cloud.

Im ersten Teil des Workshops hatten wir uns angesehen, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.
17.06.2019/ln/Thomas Joos

Nachrichten

Großes Update für OpenText [15.07.2019]

OpenText kündigt für Release 16 seines gleichnamigen Werkzeugs zum Enterprise Information Management das bisher größte Technologie-Update an. Das Enhancement Pack 6 enthält unter anderem umfangreiche Erweiterungen im Bereich Datenerfassung, die unter dem Namen "OpenText Intelligent Capture" gebündelt werden. Für 2020 ist außerdem eine Cloud-Edition in Planung. [mehr]

Neue Features für Outlook on the web [5.07.2019]

Nach achtmonatiger Entwicklungszeit gibt Microsoft den Startschuss für ein überarbeitetes "Outlook on the web". Neben rein äußerlichen Änderungen wie zum Beispiel einem Dark Mode gibt es auch einige organisatorische Neuerungen, etwa eine Snooze-Funktion für eingehende E-Mails. [mehr]

Tipps & Tools

Überall online [17.07.2019]

Wenn Sie das nächste Mal einen längeren Aufenthalt an einem Flughafen haben und schnell Internetzugriff benötigen, kann die Webseite "Wireless Passwords From Airports" weiterhelfen. Auf einer Google-Maps-Karte sehen Sie die Lage sämtlicher Flughäfen weltweit und im Menü die wichtigsten Informationen, um verfügbare WLAN-Hotspots vor Ort problemlos zu benutzen. [mehr]

Hilfe bei der Akronymsuche [10.07.2019]

Besonders IT-Profis und Ingenieure treffen bei der Internetrecherche häufig auf Akronyme. Auch wenn die gängigsten Begriffe bekannt sind, kann ein Blick auf die Webseite "acronymfinder.com" weiterhelfen, wenn es mal hakt. Das Internetportal hortet über eine Million verschiedene Akronyme. Zusammen mit der Schwesterseite "Acronym Attic" sind es sogar mehr als fünf Millionen. [mehr]

Buchbesprechung

Anzeigen