von Redaktion IT-A…
Lesezeit
3 Minuten
Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (1)
Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im ersten Teil des Workshops sehen wir uns an, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.
Mit dem Webanwendungsproxy (Web Application Proxy; WAP) stellen Unternehmen Webdienste wie zum Beispiel Outlook on the web oder SharePoint im Internet bereit und können dabei auf die integrierte Authentifizierung zurückgreifen. Das Feature arbeitet mit den Active-Directory-Verbunddiensten zusammen und erlaubt so die sichere Kommunikation der Anwender aus dem Internet mit Outlook Web App und den SharePoint-Apps.
Microsoft hat dazu die Möglichkeiten des WAP deutlich verbessert. In Windows Server 2016 lassen sich Exchange-ActiveSync-Geräte wesentlich stabiler anbinden, indem Sie den Webanwendungsproxy – authentifiziert durch ADFS mit Exchange – nutzen. In Windows Server 2012 R2 war das nicht ohne Weiteres möglich. Außerdem kann WAP nunmehr HTTP-Anfragen automatisch zu HTTPS-Adressen weiterleiten.
Sie können in Windows Server 2016 auch mit Platzhaltern arbeiten, um SharePoint oder andere Webanwendungen besser zu veröffentlichen. Ein weiteres Feature, das Windows Server 2012 R2 fehlte. Auch das Remote Desktop Gateway und die über diesen Weg veröffentlichten Apps in den Remotedesktopdiensten lassen sich mit WAP im Internet bereitstellen.
Webanwendungsproxy als TMG-Ersatz
Seitdem Microsoft das Forefront Threat Management Gateway abgekündigt hat, es also keine neue Version des Produktes mehr geben wird, suchen viele Unternehmen nach einem passenden Ersatz. Hier gibt es im Grunde genommen nur noch Software von Drittherstellern, die aber gesondert lizenziert, eingerichtet und verwaltet werden muss. Hier kommt WAP ins Spiel, denn viele Unternehmen wollen keine Drittanbietersoftware verwenden, Microsoft-Produkte arbeiten häufig enger mit Exchange zusammen als andere Tools. Das gilt natürlich auch für den Webanwendungsproxy, der als Windows-Server-Bordmittel kostenlos zur Verfügung steht.
Als Grundlage für den Einsatz benötigen Sie, wie schon angedeutet, die Active-Directory-Verbunddienste (Active Directory Federation Services; ADFS). Sobald ADFS eingerichtet ist, können Sie Outlook Web App mit WAP veröffentlichen, wobei Ihnen auch die neuen ADFS-Funktionen unter Windows Server 2016 zur Verfügung stehen. Auf diese gehen wir im Download-Beitrag "Im Herzen des Servers" [1] ein.
Neben der Möglichkeit, die Authentifizierung an Exchange über das Internet mit WAP durchzuführen, lassen sich damit auch Single-Sign-on-Szenarien mit Office 365 oder Microsoft Azure realisieren. Das heißt, in der Cloud kann der Anwendungsproxy seine Dienste ebenso einbringen wie in Hybrid-Cloud-Umgebungen oder mit lokalen Servern vor Ort. Die Verbindungen zu den Servern werden mit SSL verschlüsselt. Das heißt, im Unternehmen müssen für die beteiligten Server – also Exchange, Webanwendungsproxy und Active-Directory-Verbunddienste – die Zertifikate bereitstehen.
Es müssen aber nicht alle Server auf Windows Server 2016 umgestellt werden. In Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden, besser ist aber die Verwendung von öffentlichen Zertifikaten oder Zertifikaten auf Basis der Active-Directory-Zertifikatdienste. Hier müssen Sie vor allem auf den Namen achten, damit die Anwender keine Zertifikatwarnung erhalten. Das heißt, die Zertifikate müssen als allgemeinen Namen auch den externen Namen der Exchange-Veröffentlichung kennen.
WAP installieren
Der Webanwendungsproxy ist ein Rollendienst der Serverrolle "Remotezugriff". Diese installieren Sie im Server-Manager über "Verwalten / Rollen und Features hinzufügen", wie jede andere Rolle auch. Sie können die Active-Directory-Verbunddienste und den WAP-Rollendienst allerdings nicht auf dem gleichen Server installieren, sondern müssen für den Einsatz mindestens zwei Server vorhalten.
Während der Installation des Rollendienstes müssen Sie keine Einstellungen vor nehmen. Starten Sie den Assistenten zur Einrichtung nach der Installation über das Benachrichtigungscenter im Server-Manager. Im ersten Schritt der WAP-Konfiguration geben Sie den ADFS-Server an, der für die Authentifizierung verwendet werden soll. Diesen müssen Sie, unabhängig vom Webanwendungsproxy, zuvor installiert und eingerichtet haben. Sie können die Arbeitsplatznetzwerke mit DirectAccess in Windows 8.1/10 und Windows Server 2016 zusammen mit dem Webanwendungsproxy und ADFS nutzen. Dem Assistenten teilen Sie im nächsten Schritt die Anmeldedaten für ein Administratorkonto auf dem ADFS-Server mit.
Anschließend wählen Sie für den Server ein Serverzertifikat als ADFS-Proxy-Zertifikat aus. Dieses müssen Sie wie den ADFS-Server vor der WAP-Einrichtung auf dem Server hinterlegen. Die lokale Verwaltung der Zertifikate starten Sie durch Eingabe von certlm.msc auf dem Server. Sie können an dieser Stelle selbstsignierte Zertifikate erstellen, aber auch in der PowerShell:
ln/Thomas Joos
[1] www.it-administrator.de/downloads/SHII2016/ITA_SH0216_Server2016_ADFS.pdf
Microsoft hat dazu die Möglichkeiten des WAP deutlich verbessert. In Windows Server 2016 lassen sich Exchange-ActiveSync-Geräte wesentlich stabiler anbinden, indem Sie den Webanwendungsproxy – authentifiziert durch ADFS mit Exchange – nutzen. In Windows Server 2012 R2 war das nicht ohne Weiteres möglich. Außerdem kann WAP nunmehr HTTP-Anfragen automatisch zu HTTPS-Adressen weiterleiten.
Sie können in Windows Server 2016 auch mit Platzhaltern arbeiten, um SharePoint oder andere Webanwendungen besser zu veröffentlichen. Ein weiteres Feature, das Windows Server 2012 R2 fehlte. Auch das Remote Desktop Gateway und die über diesen Weg veröffentlichten Apps in den Remotedesktopdiensten lassen sich mit WAP im Internet bereitstellen.
Webanwendungsproxy als TMG-Ersatz
Seitdem Microsoft das Forefront Threat Management Gateway abgekündigt hat, es also keine neue Version des Produktes mehr geben wird, suchen viele Unternehmen nach einem passenden Ersatz. Hier gibt es im Grunde genommen nur noch Software von Drittherstellern, die aber gesondert lizenziert, eingerichtet und verwaltet werden muss. Hier kommt WAP ins Spiel, denn viele Unternehmen wollen keine Drittanbietersoftware verwenden, Microsoft-Produkte arbeiten häufig enger mit Exchange zusammen als andere Tools. Das gilt natürlich auch für den Webanwendungsproxy, der als Windows-Server-Bordmittel kostenlos zur Verfügung steht.
Als Grundlage für den Einsatz benötigen Sie, wie schon angedeutet, die Active-Directory-Verbunddienste (Active Directory Federation Services; ADFS). Sobald ADFS eingerichtet ist, können Sie Outlook Web App mit WAP veröffentlichen, wobei Ihnen auch die neuen ADFS-Funktionen unter Windows Server 2016 zur Verfügung stehen. Auf diese gehen wir im Download-Beitrag "Im Herzen des Servers" [1] ein.
Neben der Möglichkeit, die Authentifizierung an Exchange über das Internet mit WAP durchzuführen, lassen sich damit auch Single-Sign-on-Szenarien mit Office 365 oder Microsoft Azure realisieren. Das heißt, in der Cloud kann der Anwendungsproxy seine Dienste ebenso einbringen wie in Hybrid-Cloud-Umgebungen oder mit lokalen Servern vor Ort. Die Verbindungen zu den Servern werden mit SSL verschlüsselt. Das heißt, im Unternehmen müssen für die beteiligten Server – also Exchange, Webanwendungsproxy und Active-Directory-Verbunddienste – die Zertifikate bereitstehen.
Bild 1: Auch selbstsignierte Zertifikate lassen sich für den Webanwendungsproxy verwenden.
Es müssen aber nicht alle Server auf Windows Server 2016 umgestellt werden. In Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden, besser ist aber die Verwendung von öffentlichen Zertifikaten oder Zertifikaten auf Basis der Active-Directory-Zertifikatdienste. Hier müssen Sie vor allem auf den Namen achten, damit die Anwender keine Zertifikatwarnung erhalten. Das heißt, die Zertifikate müssen als allgemeinen Namen auch den externen Namen der Exchange-Veröffentlichung kennen.
WAP installieren
Der Webanwendungsproxy ist ein Rollendienst der Serverrolle "Remotezugriff". Diese installieren Sie im Server-Manager über "Verwalten / Rollen und Features hinzufügen", wie jede andere Rolle auch. Sie können die Active-Directory-Verbunddienste und den WAP-Rollendienst allerdings nicht auf dem gleichen Server installieren, sondern müssen für den Einsatz mindestens zwei Server vorhalten.
Während der Installation des Rollendienstes müssen Sie keine Einstellungen vor nehmen. Starten Sie den Assistenten zur Einrichtung nach der Installation über das Benachrichtigungscenter im Server-Manager. Im ersten Schritt der WAP-Konfiguration geben Sie den ADFS-Server an, der für die Authentifizierung verwendet werden soll. Diesen müssen Sie, unabhängig vom Webanwendungsproxy, zuvor installiert und eingerichtet haben. Sie können die Arbeitsplatznetzwerke mit DirectAccess in Windows 8.1/10 und Windows Server 2016 zusammen mit dem Webanwendungsproxy und ADFS nutzen. Dem Assistenten teilen Sie im nächsten Schritt die Anmeldedaten für ein Administratorkonto auf dem ADFS-Server mit.
Bild 2: Der Webanwendungsproxy ist ein Rollendienst des Remotezugriffs unter Windows Server 2016.
Anschließend wählen Sie für den Server ein Serverzertifikat als ADFS-Proxy-Zertifikat aus. Dieses müssen Sie wie den ADFS-Server vor der WAP-Einrichtung auf dem Server hinterlegen. Die lokale Verwaltung der Zertifikate starten Sie durch Eingabe von certlm.msc auf dem Server. Sie können an dieser Stelle selbstsignierte Zertifikate erstellen, aber auch in der PowerShell:
New-SelfSignedCertificate -certstorelocationHaben Sie die Daten eingegeben und das Zertifikat ausgewählt, richtet der Assistenten den Dienst ein. Sie können die erste Einrichtung des Webanwendungsproxys auch in der PowerShell durchführen. Dazu benötigen Sie lediglich den Servernamen des ADFS-Servers und den Fingerabdruck des Zertifikats.
cert:\localmachine\my -dnsname FQDN des Servers
Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory konfigurieren, Exchange anpassen und ADFS einrichten.
ln/Thomas Joos
[1] www.it-administrator.de/downloads/SHII2016/ITA_SH0216_Server2016_ADFS.pdf
