Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (2)

Lesezeit
4 Minuten
Bis jetzt gelesen

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (2)

17.06.2019 - 00:00
Veröffentlicht in:
Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im zweiten Teil des Workshops erklären wir, wie Sie das Active Directory passend konfigurieren, Exchange anpassen und ADFS einrichten.
Active Directory konfigurieren
Haben Sie den Assistenten für die Einrichtung des Webanwendungsproxys erfolgreich abgeschlossen, besteht der nächste Schritt darin, das AD anzupassen. Hier stellen Sie sicher, dass Outlook Web App, SharePoint oder andere Webdienste und WAP zusammenarbeiten.

Zunächst müssen Sie einen "Service Principal Name" festlegen. Dieser erlaubt dem Webanwendungsproxy, auch Kerberos-Tokens für HTTP-basierte Anfragen anzufordern. Zusätzlich konfigurieren Sie hier, dass WAP das Recht erhält, sich am Exchange-Server im Namen zugreifenden Anwenders anzumelden – das gilt auch für andere Webdienste. Der Benutzer selbst meldet sich über ADFS am Webanwendungsproxy an:
  1. Für die Einrichtung öffnen Sie mit adsiedit.msc den ADSI-Editor. Stellen Sie über das Kontextmenü des ADSI-Editors eine Verbindung zum AD her und bestätigen Sie im Fenster die Option "Standardmäßiger Namenskontext" mit "OK".
  2. Navigieren Sie zum Objekt des Servers, auf dem Sie den Webanwendungsproxy installiert haben und rufen Sie dessen Eigenschaften auf.
  3.  Wechseln Sie auf die Registerkarte "Attribut-Editor" und klicken Sie auf "ServicePrincipalName". Bei dem Wert handelt es sich um eine mehrteilige Zeichenfolge, was Ihnen erlaubt, mehrere Daten einzugeben, die der Server nutzen kann.
  4. Sie müssen an dieser Stelle zwei Zeilen hinzufügen, die jeweils den Präfix "HTTP/" benötigen. In der ersten Zeile tragen Sie den NetBIOS-Namen ein, in der zweiten Zeile den FQDN, also zu Beispiel "HTTP/S1" und "HTTP/S1.CONTOSO.COM". Ein Klick auf "OK" beendet den Vorgang.
Haben Sie das AD entsprechend angepasst, rufen Sie als Nächstes das Snap-In "Active Directory-Benutzer und -Computer" auf und navigieren zur OU mit dem WAP-Computerkonto, dessen Eigenschaften sie öffnen. Hier aktivieren Sie auf der Registerkarte "Delegierung" die Optionen "Computer bei Delegierungungen angegebener Dienste vertrauen" und "Beliebiges Authentifizierungprotokoll verwenden". Jetzt klicken Sie auf "Hinzufügen", wählen die Computerkonten Ihrer Exchange-Server aus und fügen den Dienst "HTTP" für diese Server hinzu.


Exchange anpassen
Haben Sie ADFS, WAP, AD sowie die Computerkonten angepasst, müssen Sie im Anschluss noch Exchange konfigurieren, damit sich Anwender über WAP mit dem Netzwerk verbinden können. Im folgenden Beispiel zeigen wir Ihnen, wie Sie Outlook Web App und das ECP in Exchange Server 2013 und 2016 für die WAP-Anbindung vorbereiten.

Die Einstellungen dazu nehmen Sie im Exchange Admin Center vor. Navigieren Sie zu den entsprechenden Servern und rufen Sie im Bereich "ClientAccess" die Eigenschaften für das virtuelle Web auf, im Beispiel von Exchange 2013 "OWA". Nun öffnen Sie die Verwaltung des Remotezugriffs im Server-Manager über "Tools / Remotezugriffsverwaltung", wo Sie neue Veröffentlichungen für den Webanwendungsproxy einrichten. Dazu starten Sie in der Verwaltungskonsole einen neuen Assistenten, mit dem Sie Webanwendungen über den Webanwendungsproxy veröffentlichen. Hier geben Sie die externe URL ein und wählen das externe Zertifikat aus. Auch den zuvor angepassten Service Principal Name tragen Sie ein, zum Beispiel "HTTP/S1.Contoso.int".

Haben Sie die notwendigen Daten der Server im Assistenten hinterlegt, schließen Sie diesen. Geben Anwender eine externe URL ein, die Sie hier veröffentlicht haben, erscheint die formularbasierte Authentifizierung von ADFS.

ADFS einrichten
Bevor WAP in Betrieb gehen kann, müssen im Netzwerk die Active-Directory-Verbunddienste installiert und eingerichtet sein. Dies erfolgt über den Server-Manager in Windows Server 2016. Haben Sie diese Vorbereitungen getroffen, installieren Sie ADFS als Serverrolle auf dem dafür vorgesehenen Server über "Verwalten / Rollen und Features hinzufügen".

Während der Installation von ADFS sind keine Konfigurationsaufgaben durchzuführen, hier werden nur die notwendigen Dateien auf dem Server eingespielt. Die Einrichtung erfolgt erst danach:
  1. Wählen Sie auf der Seite "Diensteigenschaften bearbeiten" das installierte Zertifikat auf dem ADFS-Server aus.
  2. Als Anzeigenamen verwenden Sie einen beliebigen Namen, zum Beispiel "ADFS Contoso".
  3. Auf der Seite "Dienstkonto angeben" aktivieren Sie die Option "Verwenden Sie ein Domänenbenutzerkonto oder ein gruppenverwaltetes Dienstkonto". Bei dem Konto, das Sie hier nutzen darf es sich aber nicht um den Domänenadministrator handeln, mit dem Sie die Einrichtung vornehmen. In produktiven Umgebungen ist hier der Betrieb eines verwalteten Dienstkontos zu empfehlen.
  4. Auf der Seite "Datenbank angeben" verwenden Sie "Erstellen Sie eine Datenbank auf diesem Server mit der internen Windows-Datenbank". Diese reicht für die meisten Umgebungen aus.
  5. Im nächsten Fenster erhalten Sie nocheinmal eine Zusammenfassung und nachfolgend prüft das System die Voraussetzungen und erstellt dann die ADFSInfrastruktur. Klicken Sie danach auf "Konfigurieren", um die ADFS-Infrastruktur auf dem Server fertigzustellen.
  6. Damit ADFS funktioniert, müssen Sie darauf achten, dass die Zertifikate vorhanden sind und funktionieren. Sie konfigurieren die Zertifikate in der ADFSVerwaltung im Bereich "Dienst / Zertifikate".
DNS-Konfigurationen beachten
Die ADFS-Serverfarm muss sich im internen Netzwerk über DNS auflösen lassen. Zu Testzwecken kann es auch sinnvoll sein, den Internetnamen der Konfiguration im internen DNS zu registrieren. Dazu legen Sie eine interne Zone mit der Bezeichnung des externen Namens an und verwenden dann den Internetnamen der ADFS-Struktur, zum Beispiel "adfs.contoso.com". Zu Testzwecken können Sie aber auch mit dem internen Namen und der internen IP-Adresse arbeiten.

Für eine WAP-Infrastruktur haben Sie aber auch die Möglichkeit, den Servernamen in die Hosts-Datei des Webanwendungsproxy zu schreiben. Dann können Clients den ADFS-Server nicht über dessen Namen erreichen, der Webanwendungsproxy dagegen schon.

Zusätzlich müssen Sie für die Verwendung von Exchange und dem Webanwendungsproxy eine Vertrauensstellung zu ADFS einrichten. Öffnen Sie dazu im Server-Manager über "Tools / ADFS-Verwaltung" die ADFS-Verwaltungskonsole. Navigieren Sie zu "Vertrauensstellungen / Anspruchsanbieter-Vertrauensstellungen" und erstellen Sie über das Kontextmenü einen neuen Anbieter. Geben Sie bei der Einrichtung auf der Seite "Datenquelle auswählen" die URL "https://interner oder externer Name des ADFS-Servers/adfs/ services/trust" ein und schließen Sie den Assistenten ab. Anschließend öffnen Sie das Fenster mit den Anspruchsregeln für die neue Vertrauensstellung. Hier fügen Sie die Option "Alle Windows-Kontoname-Ansprüche zulassen" hinzu.

Fazit
Durch die Verwendung der Active Directory-Verbunddienste und WAP erhalten Unternehmen eine zukunftssichere Möglichkeit Exchange, SharePoint und andere Webdienste sicher im Internet zu veröffentlichen. Auch bei der Verwendung von Office 365 zusammen mit lokalen Servern in einer Hybrid-Bereitstellung profitieren Unternehmen vom Webanwendungsproxy. Mit ADFS besteht zudem die Möglichkeit, Single-Sign-on-Szenarien zusammen mit Office 365 zu realisieren. Diese bieten dem Anwender mehr Komfort und einen effizienteren Umgang mit lokalen Diensten und Diensten in der Cloud.

Im ersten Teil des Workshops hatten wir uns angesehen, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.


ln/Thomas Joos

Ähnliche Beiträge

Windows Server 2016: Mit dem Webanwendungsproxy Applikationen veröffentlichen (1)

Unter Windows Server 2016 lassen sich Webanwendungen wie Exchange im Internet mit dem Webanwendungsproxy zur Verfügung zu stellen. Dieser fungiert als sichere Schnittstelle vom internen Netzwerk zum Internet und ist somit der legitime Nachfolger des von Microsoft abgekündigten Threat Management Gateway. Als Windows-Server-Bordmittel arbeitet der Webanwendungsproxy zudem oft besser mit den vorhandenen Infrastrukturdiensten zusammen als lizenzpflichtige TMG-Alternativen von Drittanbietern. Im ersten Teil des Workshops sehen wir uns an, wie das Webanwendungsproxy als TMG-Ersatz fungiert und wie Sie es unter Windows Server 2016 installieren.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.