Fachartikel

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (1)

Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im ersten Teil des Workshops sehen wir uns an, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.
Weltweiten Zugriff auf webbasierte Unternehmensanwendungen verspricht das Webanwendungsproxy.
Mit dem Webanwendungsproxy (Web Application Proxy; WAP) stellen Unternehmen Webdienste wie zum Beispiel Outlook on the web oder SharePoint im Internet bereit und können dabei auf die integrierte Authentifizierung zurückgreifen. Das Feature arbeitet mit den Active-Directory-Verbunddiensten zusammen und erlaubt so die sichere Kommunikation der Anwender aus dem Internet mit Outlook Web App und den SharePoint-Apps.

Microsoft hat dazu die Möglichkeiten des WAP deutlich verbessert. In Windows Server 2016 lassen sich Exchange-ActiveSync-Geräte wesentlich stabiler anbinden, indem Sie den Webanwendungsproxy – authentifiziert durch ADFS mit Exchange – nutzen. In Windows Server 2012 R2 war das nicht ohne Weiteres möglich. Außerdem kann WAP nunmehr HTTP-Anfragen automatisch zu HTTPS-Adressen weiterleiten.

Sie können in Windows Server 2016 auch mit Platzhaltern arbeiten, um SharePoint oder andere Webanwendungen besser zu veröffentlichen. Ein weiteres Feature, das Windows Server 2012 R2 fehlte. Auch das Remote Desktop Gateway und die über diesen Weg veröffentlichten Apps in den Remotedesktopdiensten lassen sich mit WAP im Internet bereitstellen.
Webanwendungsproxy als TMG-Ersatz
Seitdem Microsoft das Forefront Threat Management Gateway abgekündigt hat, es also keine neue Version des Produktes mehr geben wird, suchen viele Unternehmen nach einem passenden Ersatz. Hier gibt es im Grunde genommen nur noch Software von Drittherstellern, die aber gesondert lizenziert, eingerichtet und verwaltet werden muss. Hier kommt WAP ins Spiel, denn viele Unternehmen wollen keine Drittanbietersoftware verwenden, Microsoft-Produkte arbeiten häufig enger mit Exchange zusammen als andere Tools. Das gilt natürlich auch für den Webanwendungsproxy, der als Windows-Server-Bordmittel kostenlos zur Verfügung steht.

Als Grundlage für den Einsatz benötigen Sie, wie schon angedeutet, die Active-Directory-Verbunddienste (Active Directory Federation Services; ADFS). Sobald ADFS eingerichtet ist, können Sie Outlook Web App mit WAP veröffentlichen, wobei Ihnen auch die neuen ADFS-Funktionen unter Windows Server 2016 zur Verfügung stehen. Auf diese gehen wir im Download-Beitrag "Im Herzen des Servers" [1] ein.

Neben der Möglichkeit, die Authentifizierung an Exchange über das Internet mit WAP durchzuführen, lassen sich damit auch Single-Sign-on-Szenarien mit Office 365 oder Microsoft Azure realisieren. Das heißt, in der Cloud kann der Anwendungsproxy seine Dienste ebenso einbringen wie in Hybrid-Cloud-Umgebungen oder mit lokalen Servern vor Ort. Die Verbindungen zu den Servern werden mit SSL verschlüsselt. Das heißt, im Unternehmen müssen für die beteiligten Server – also Exchange, Webanwendungsproxy und Active-Directory-Verbunddienste – die Zertifikate bereitstehen.


Bild 1: Auch selbstsignierte Zertifikate lassen sich für den Webanwendungsproxy verwenden.

Es müssen aber nicht alle Server auf Windows Server 2016 umgestellt werden. In Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden, besser ist aber die Verwendung von öffentlichen Zertifikaten oder Zertifikaten auf Basis der Active-Directory-Zertifikatdienste. Hier müssen Sie vor allem auf den Namen achten, damit die Anwender keine Zertifikatwarnung erhalten. Das heißt, die Zertifikate müssen als allgemeinen Namen auch den externen Namen der Exchange-Veröffentlichung kennen.

WAP installieren
Der Webanwendungsproxy ist ein Rollendienst der Serverrolle "Remotezugriff". Diese installieren Sie im Server-Manager über "Verwalten / Rollen und Features hinzufügen", wie jede andere Rolle auch. Sie können die Active-Directory-Verbunddienste und den WAP-Rollendienst allerdings nicht auf dem gleichen Server installieren, sondern müssen für den Einsatz mindestens zwei Server vorhalten.

Während der Installation des Rollendienstes müssen Sie keine Einstellungen vor nehmen. Starten Sie den Assistenten zur Einrichtung nach der Installation über das Benachrichtigungscenter im Server-Manager. Im ersten Schritt der WAP-Konfiguration geben Sie den ADFS-Server an, der für die Authentifizierung verwendet werden soll. Diesen müssen Sie, unabhängig vom Webanwendungsproxy, zuvor installiert und eingerichtet haben. Sie können die Arbeitsplatznetzwerke mit DirectAccess in Windows 8.1/10 und Windows Server 2016 zusammen mit dem Webanwendungsproxy und ADFS nutzen.  Dem Assistenten teilen Sie im nächsten Schritt die Anmeldedaten für ein Administratorkonto auf dem ADFS-Server mit.


Bild 2: Der Webanwendungsproxy ist ein Rollendienst des Remotezugriffs unter Windows Server 2016.

Anschließend wählen Sie für den Server ein Serverzertifikat als ADFS-Proxy-Zertifikat aus. Dieses müssen Sie wie den ADFS-Server vor der WAP-Einrichtung auf dem Server hinterlegen. Die lokale Verwaltung der Zertifikate starten Sie durch Eingabe von certlm.msc auf dem Server. Sie können an dieser Stelle selbstsignierte Zertifikate erstellen, aber auch in der PowerShell:
New-SelfSignedCertificate -certstorelocation 
cert:\localmachine\my -dnsname FQDN des Servers
Haben Sie die Daten eingegeben und das Zertifikat ausgewählt, richtet der Assistenten den Dienst ein. Sie können die erste Einrichtung des Webanwendungsproxys auch in der PowerShell durchführen. Dazu benötigen Sie lediglich den Servernamen des ADFS-Servers und den Fingerabdruck des Zertifikats.

Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory konfigurieren, Exchange anpassen und ADFS einrichten.
10.06.2019/ln/Thomas Joos

Nachrichten

Sicherer Cloudzugriff und verbesserte Abwehr [15.11.2019]

Palo Alto Networks stellte auf seiner Hausmesse Ignite Europe 2019 in Barcelona neue, über die Cloud bereitgestellte, Software-definierte Wide Area Network- und Data Loss Prevention-Funktionen für Prisma Access vor. Daneben präsentierte der Security-Anbieter die Detection- und Response-Lösung Cortex XDR 2.0, die nun auch auf Daten von Drittanbieter-Produkten im Netzwerk zurückgreift. [mehr]

Hyperkonvergent und sicher [14.11.2019]

Acronis bringt "Acronis Cyber Protect", "Acronis Cyber Platform" und "Acronis Cyber Infrastructure" auf den Markt. Letztere ist eine Software-definierte Infrastrukturlösung, die die Speicherung von Compute-, Block-, Datei- und objektbasierten Workloads mit softwaredefinierten Netzwerkfunktionalitäten und der Nutzung handelsüblicher Hardware kombiniert. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen