Fachartikel

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (1)

Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im ersten Teil des Workshops sehen wir uns an, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.
Weltweiten Zugriff auf webbasierte Unternehmensanwendungen verspricht das Webanwendungsproxy.
Mit dem Webanwendungsproxy (Web Application Proxy; WAP) stellen Unternehmen Webdienste wie zum Beispiel Outlook on the web oder SharePoint im Internet bereit und können dabei auf die integrierte Authentifizierung zurückgreifen. Das Feature arbeitet mit den Active-Directory-Verbunddiensten zusammen und erlaubt so die sichere Kommunikation der Anwender aus dem Internet mit Outlook Web App und den SharePoint-Apps.

Microsoft hat dazu die Möglichkeiten des WAP deutlich verbessert. In Windows Server 2016 lassen sich Exchange-ActiveSync-Geräte wesentlich stabiler anbinden, indem Sie den Webanwendungsproxy – authentifiziert durch ADFS mit Exchange – nutzen. In Windows Server 2012 R2 war das nicht ohne Weiteres möglich. Außerdem kann WAP nunmehr HTTP-Anfragen automatisch zu HTTPS-Adressen weiterleiten.

Sie können in Windows Server 2016 auch mit Platzhaltern arbeiten, um SharePoint oder andere Webanwendungen besser zu veröffentlichen. Ein weiteres Feature, das Windows Server 2012 R2 fehlte. Auch das Remote Desktop Gateway und die über diesen Weg veröffentlichten Apps in den Remotedesktopdiensten lassen sich mit WAP im Internet bereitstellen.
Webanwendungsproxy als TMG-Ersatz
Seitdem Microsoft das Forefront Threat Management Gateway abgekündigt hat, es also keine neue Version des Produktes mehr geben wird, suchen viele Unternehmen nach einem passenden Ersatz. Hier gibt es im Grunde genommen nur noch Software von Drittherstellern, die aber gesondert lizenziert, eingerichtet und verwaltet werden muss. Hier kommt WAP ins Spiel, denn viele Unternehmen wollen keine Drittanbietersoftware verwenden, Microsoft-Produkte arbeiten häufig enger mit Exchange zusammen als andere Tools. Das gilt natürlich auch für den Webanwendungsproxy, der als Windows-Server-Bordmittel kostenlos zur Verfügung steht.

Als Grundlage für den Einsatz benötigen Sie, wie schon angedeutet, die Active-Directory-Verbunddienste (Active Directory Federation Services; ADFS). Sobald ADFS eingerichtet ist, können Sie Outlook Web App mit WAP veröffentlichen, wobei Ihnen auch die neuen ADFS-Funktionen unter Windows Server 2016 zur Verfügung stehen. Auf diese gehen wir im Download-Beitrag "Im Herzen des Servers" [1] ein.

Neben der Möglichkeit, die Authentifizierung an Exchange über das Internet mit WAP durchzuführen, lassen sich damit auch Single-Sign-on-Szenarien mit Office 365 oder Microsoft Azure realisieren. Das heißt, in der Cloud kann der Anwendungsproxy seine Dienste ebenso einbringen wie in Hybrid-Cloud-Umgebungen oder mit lokalen Servern vor Ort. Die Verbindungen zu den Servern werden mit SSL verschlüsselt. Das heißt, im Unternehmen müssen für die beteiligten Server – also Exchange, Webanwendungsproxy und Active-Directory-Verbunddienste – die Zertifikate bereitstehen.


Bild 1: Auch selbstsignierte Zertifikate lassen sich für den Webanwendungsproxy verwenden.

Es müssen aber nicht alle Server auf Windows Server 2016 umgestellt werden. In Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden, besser ist aber die Verwendung von öffentlichen Zertifikaten oder Zertifikaten auf Basis der Active-Directory-Zertifikatdienste. Hier müssen Sie vor allem auf den Namen achten, damit die Anwender keine Zertifikatwarnung erhalten. Das heißt, die Zertifikate müssen als allgemeinen Namen auch den externen Namen der Exchange-Veröffentlichung kennen.

WAP installieren
Der Webanwendungsproxy ist ein Rollendienst der Serverrolle "Remotezugriff". Diese installieren Sie im Server-Manager über "Verwalten / Rollen und Features hinzufügen", wie jede andere Rolle auch. Sie können die Active-Directory-Verbunddienste und den WAP-Rollendienst allerdings nicht auf dem gleichen Server installieren, sondern müssen für den Einsatz mindestens zwei Server vorhalten.

Während der Installation des Rollendienstes müssen Sie keine Einstellungen vor nehmen. Starten Sie den Assistenten zur Einrichtung nach der Installation über das Benachrichtigungscenter im Server-Manager. Im ersten Schritt der WAP-Konfiguration geben Sie den ADFS-Server an, der für die Authentifizierung verwendet werden soll. Diesen müssen Sie, unabhängig vom Webanwendungsproxy, zuvor installiert und eingerichtet haben. Sie können die Arbeitsplatznetzwerke mit DirectAccess in Windows 8.1/10 und Windows Server 2016 zusammen mit dem Webanwendungsproxy und ADFS nutzen.  Dem Assistenten teilen Sie im nächsten Schritt die Anmeldedaten für ein Administratorkonto auf dem ADFS-Server mit.


Bild 2: Der Webanwendungsproxy ist ein Rollendienst des Remotezugriffs unter Windows Server 2016.

Anschließend wählen Sie für den Server ein Serverzertifikat als ADFS-Proxy-Zertifikat aus. Dieses müssen Sie wie den ADFS-Server vor der WAP-Einrichtung auf dem Server hinterlegen. Die lokale Verwaltung der Zertifikate starten Sie durch Eingabe von certlm.msc auf dem Server. Sie können an dieser Stelle selbstsignierte Zertifikate erstellen, aber auch in der PowerShell:
New-SelfSignedCertificate -certstorelocation 
cert:\localmachine\my -dnsname FQDN des Servers
Haben Sie die Daten eingegeben und das Zertifikat ausgewählt, richtet der Assistenten den Dienst ein. Sie können die erste Einrichtung des Webanwendungsproxys auch in der PowerShell durchführen. Dazu benötigen Sie lediglich den Servernamen des ADFS-Servers und den Fingerabdruck des Zertifikats.

Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory konfigurieren, Exchange anpassen und ADFS einrichten.
10.06.2019/ln/Thomas Joos

Nachrichten

Cyberkriminelle attackieren Finanzabteilungen [14.08.2019]

ESET Forscher haben eine Reihe von Cyberangriffen entdeckt, die es seit 2016 auf Finanzabteilungen in Unternehmen abgesehen hat. Die Kriminellen setzen dabei auf E-Mails mit Links, die zu schadhaften Dateien führen. Der Inhalt, die Verlinkungen und auch der Dateien in diesen Nachrichten behandeln das Thema Steuern und sollen die Empfänger zu einem unbedachten Klick verleiten. [mehr]

Schwer erkennbarer polymorpher Schadcode [13.08.2019]

Der APT-Akteur "Cloud Atlas", auch bekannt als "Inception", hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind. Das verhindert eine Erkennung durch klassische Indicators of Compromise. [mehr]

Tipps & Tools

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Bootdisk-Partition im Layer Manager anpassen [11.08.2019]

Einige Unternehmen benutzen Citrix App Layering inklusive Elastic Layering, um Usern dynamisch Zugriff auf spezielle Applikationen zuordnen zu können. Diese Applikationen generieren Daten, die irgendwo gespeichert werden müssen, wofür der Enterprise Layer Manager eine zusätzliche Partition im Layered Image erstellt. Besonders wenn viele User auf einem Server-VDA mit aktiviertem Elastic Layering arbeiten, ist es möglich, dass die voreingestellte Größe der Partition nicht ausreichend ist. Dieser Tipp zeigt was Sie in diesem Fall tun können. [mehr]

Buchbesprechung

Anzeigen