Fachartikel

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (2)

Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory passend konfigurieren, Exchange anpassen und ADFS einrichten.
Weltweiten Zugriff auf webbasierte Unternehmensanwendungen verspricht das Webanwendungsproxy.
Active Directory konfigurieren
Haben Sie den Assistenten für die Einrichtung des Webanwendungsproxys erfolgreich abgeschlossen, besteht der nächste Schritt darin, das AD anzupassen. Hier stellen Sie sicher, dass Outlook Web App, SharePoint oder andere Webdienste und WAP zusammenarbeiten.

Zunächst müssen Sie einen "Service Principal Name" festlegen. Dieser erlaubt dem Webanwendungsproxy, auch Kerberos-Tokens für HTTP-basierte Anfragen anzufordern. Zusätzlich konfigurieren Sie hier, dass WAP das Recht erhält, sich am Exchange-Server im Namen zugreifenden Anwenders anzumelden – das gilt auch für andere Webdienste. Der Benutzer selbst meldet sich über ADFS am Webanwendungsproxy an:
  1. Für die Einrichtung öffnen Sie mit adsiedit.msc den ADSI-Editor. Stellen Sie über das Kontextmenü des ADSI-Editors eine Verbindung zum AD her und bestätigen Sie im Fenster die Option "Standardmäßiger Namenskontext" mit "OK".
  2. Navigieren Sie zum Objekt des Servers, auf dem Sie den Webanwendungsproxy installiert haben und rufen Sie dessen Eigenschaften auf.
  3.  Wechseln Sie auf die Registerkarte "Attribut-Editor" und klicken Sie auf "ServicePrincipalName". Bei dem Wert handelt es sich um eine mehrteilige Zeichenfolge, was Ihnen erlaubt, mehrere Daten einzugeben, die der Server nutzen kann.
  4. Sie müssen an dieser Stelle zwei Zeilen hinzufügen, die jeweils den Präfix "HTTP/" benötigen. In der ersten Zeile tragen Sie den NetBIOS-Namen ein, in der zweiten Zeile den FQDN, also zu Beispiel "HTTP/S1" und "HTTP/S1.CONTOSO.COM". Ein Klick auf "OK" beendet den Vorgang.
Haben Sie das AD entsprechend angepasst, rufen Sie als Nächstes das Snap-In "Active Directory-Benutzer und -Computer" auf und navigieren zur OU mit dem WAP-Computerkonto, dessen Eigenschaften sie öffnen. Hier aktivieren Sie auf der Registerkarte "Delegierung" die Optionen "Computer bei Delegierungungen angegebener Dienste vertrauen" und "Beliebiges Authentifizierungprotokoll verwenden". Jetzt klicken Sie auf "Hinzufügen", wählen die Computerkonten Ihrer Exchange-Server aus und fügen den Dienst "HTTP" für diese Server hinzu.
Exchange anpassen
Haben Sie ADFS, WAP, AD sowie die Computerkonten angepasst, müssen Sie im Anschluss noch Exchange konfigurieren, damit sich Anwender über WAP mit dem Netzwerk verbinden können. Im folgenden Beispiel zeigen wir Ihnen, wie Sie Outlook Web App und das ECP in Exchange Server 2013 und 2016 für die WAP-Anbindung vorbereiten.

Die Einstellungen dazu nehmen Sie im Exchange Admin Center vor. Navigieren Sie zu den entsprechenden Servern und rufen Sie im Bereich "ClientAccess" die Eigenschaften für das virtuelle Web auf, im Beispiel von Exchange 2013 "OWA". Nun öffnen Sie die Verwaltung des Remotezugriffs im Server-Manager über "Tools / Remotezugriffsverwaltung", wo Sie neue Veröffentlichungen für den Webanwendungsproxy einrichten. Dazu starten Sie in der Verwaltungskonsole einen neuen Assistenten, mit dem Sie Webanwendungen über den Webanwendungsproxy veröffentlichen. Hier geben Sie die externe URL ein und wählen das externe Zertifikat aus. Auch den zuvor angepassten Service Principal Name tragen Sie ein, zum Beispiel "HTTP/S1.Contoso.int".

Haben Sie die notwendigen Daten der Server im Assistenten hinterlegt, schließen Sie diesen. Geben Anwender eine externe URL ein, die Sie hier veröffentlicht haben, erscheint die formularbasierte Authentifizierung von ADFS.

ADFS einrichten
Bevor WAP in Betrieb gehen kann, müssen im Netzwerk die Active-Directory-Verbunddienste installiert und eingerichtet sein. Dies erfolgt über den Server-Manager in Windows Server 2016. Haben Sie diese Vorbereitungen getroffen, installieren Sie ADFS als Serverrolle auf dem dafür vorgesehenen Server über "Verwalten / Rollen und Features hinzufügen".

Während der Installation von ADFS sind keine Konfigurationsaufgaben durchzuführen, hier werden nur die notwendigen Dateien auf dem Server eingespielt. Die Einrichtung erfolgt erst danach:
  1. Wählen Sie auf der Seite "Diensteigenschaften bearbeiten" das installierte Zertifikat auf dem ADFS-Server aus.
  2. Als Anzeigenamen verwenden Sie einen beliebigen Namen, zum Beispiel "ADFS Contoso".
  3. Auf der Seite "Dienstkonto angeben" aktivieren Sie die Option "Verwenden Sie ein Domänenbenutzerkonto oder ein gruppenverwaltetes Dienstkonto". Bei dem Konto, das Sie hier nutzen darf es sich aber nicht um den Domänenadministrator handeln, mit dem Sie die Einrichtung vornehmen. In produktiven Umgebungen ist hier der Betrieb eines verwalteten Dienstkontos zu empfehlen.
  4. Auf der Seite "Datenbank angeben" verwenden Sie "Erstellen Sie eine Datenbank auf diesem Server mit der internen Windows-Datenbank". Diese reicht für die meisten Umgebungen aus.
  5. Im nächsten Fenster erhalten Sie nocheinmal eine Zusammenfassung und nachfolgend prüft das System die Voraussetzungen und erstellt dann die ADFSInfrastruktur. Klicken Sie danach auf "Konfigurieren", um die ADFS-Infrastruktur auf dem Server fertigzustellen.
  6. Damit ADFS funktioniert, müssen Sie darauf achten, dass die Zertifikate vorhanden sind und funktionieren. Sie konfigurieren die Zertifikate in der ADFSVerwaltung im Bereich "Dienst / Zertifikate".
DNS-Konfigurationen beachten
Die ADFS-Serverfarm muss sich im internen Netzwerk über DNS auflösen lassen. Zu Testzwecken kann es auch sinnvoll sein, den Internetnamen der Konfiguration im internen DNS zu registrieren. Dazu legen Sie eine interne Zone mit der Bezeichnung des externen Namens an und verwenden dann den Internetnamen der ADFS-Struktur, zum Beispiel "adfs.contoso.com". Zu Testzwecken können Sie aber auch mit dem internen Namen und der internen IP-Adresse arbeiten.

Für eine WAP-Infrastruktur haben Sie aber auch die Möglichkeit, den Servernamen in die Hosts-Datei des Webanwendungsproxy zu schreiben. Dann können Clients den ADFS-Server nicht über dessen Namen erreichen, der Webanwendungsproxy dagegen schon.

Zusätzlich müssen Sie für die Verwendung von Exchange und dem Webanwendungsproxy eine Vertrauensstellung zu ADFS einrichten. Öffnen Sie dazu im Server-Manager über "Tools / ADFS-Verwaltung" die ADFS-Verwaltungskonsole. Navigieren Sie zu "Vertrauensstellungen / Anspruchsanbieter-Vertrauensstellungen" und erstellen Sie über das Kontextmenü einen neuen Anbieter. Geben Sie bei der Einrichtung auf der Seite "Datenquelle auswählen" die URL "https://interner oder externer Name des ADFS-Servers/adfs/ services/trust" ein und schließen Sie den Assistenten ab. Anschließend öffnen Sie das Fenster mit den Anspruchsregeln für die neue Vertrauensstellung. Hier fügen Sie die Option "Alle Windows-Kontoname-Ansprüche zulassen" hinzu.

Fazit
Durch die Verwendung der Active Directory-Verbunddienste und WAP erhalten Unternehmen eine zukunftssichere Möglichkeit Exchange, SharePoint und andere Webdienste sicher im Internet zu veröffentlichen. Auch bei der Verwendung von Office 365 zusammen mit lokalen Servern in einer Hybrid-Bereitstellung profitieren Unternehmen vom Webanwendungsproxy. Mit ADFS besteht zudem die Möglichkeit, Single-Sign-on-Szenarien zusammen mit Office 365 zu realisieren. Diese bieten dem Anwender mehr Komfort und einen effizienteren Umgang mit lokalen Diensten und Diensten in der Cloud.

Im ersten Teil des Workshops hatten wir uns angesehen, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.
17.06.2019/ln/Thomas Joos

Nachrichten

Cyberkriminelle attackieren Finanzabteilungen [14.08.2019]

ESET Forscher haben eine Reihe von Cyberangriffen entdeckt, die es seit 2016 auf Finanzabteilungen in Unternehmen abgesehen hat. Die Kriminellen setzen dabei auf E-Mails mit Links, die zu schadhaften Dateien führen. Der Inhalt, die Verlinkungen und auch der Dateien in diesen Nachrichten behandeln das Thema Steuern und sollen die Empfänger zu einem unbedachten Klick verleiten. [mehr]

Schwer erkennbarer polymorpher Schadcode [13.08.2019]

Der APT-Akteur "Cloud Atlas", auch bekannt als "Inception", hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind. Das verhindert eine Erkennung durch klassische Indicators of Compromise. [mehr]

Tipps & Tools

Jetzt buchen: Training "vSphere Best Practices und Troubleshooting" [12.08.2019]

Die Virtualisierungsinfrastruktur ist heutzutage in den meisten Unternehmen die Basis des IT-Betriebs. Läuft sie nicht optimal oder steht gar komplett still, fallen zahlreiche IT-Dienste aus. Daher sind gerade für VMware vSphere Best Practices gefragt, die helfen, das System mit größtmöglicher Leistung zu betreiben und proaktiv auf mögliche Störungen zu überwachen. Wie dabei vorzugehen ist, zeigt unser Training ebenso wie das Troubleshooting im Fehlerfall. [mehr]

Bootdisk-Partition im Layer Manager anpassen [11.08.2019]

Einige Unternehmen benutzen Citrix App Layering inklusive Elastic Layering, um Usern dynamisch Zugriff auf spezielle Applikationen zuordnen zu können. Diese Applikationen generieren Daten, die irgendwo gespeichert werden müssen, wofür der Enterprise Layer Manager eine zusätzliche Partition im Layered Image erstellt. Besonders wenn viele User auf einem Server-VDA mit aktiviertem Elastic Layering arbeiten, ist es möglich, dass die voreingestellte Größe der Partition nicht ausreichend ist. Dieser Tipp zeigt was Sie in diesem Fall tun können. [mehr]

Buchbesprechung

Anzeigen