Die Suche nach einem Forefront TMG Ersatz (Teil 4: Windows Server 2012 R2 + Webanwendungsproxy)

Forefront TMG ist ja nun abgekündigt und es muss auf Kurz oder Lang Ersatz her. Es gibt mittlerweile einige Hersteller die in die Lücke springen die Forefront TMG hinterlässt. Einige vielversprechende Lösungen werde ich also testen und zu jedem auch gleich ein Howto veröffentlichen. Zum Schluss kommt dann noch ein Artikel der die Lösungen miteinander vergleicht und aus meiner Sicht die Vor- und Nachteile auflistet. Soweit der Plan.

Ich habe also eine Standard Testumgebung erstellt, die ich für alle Lösungen verwenden werde. Die Testumgebung ist relativ einfach aufgebaut:

Zeichnung1

Es gibt einen Windows Server 2012 R2 mit dem Namen DC1 auf dem die Domain Controller Rolle und Outlook 2013 installiert ist. Exchange 2013 ist ebenfalls auf Server 2012 R2 installiert. Die Exchange Server tragen die Namen EX1 und EX2. Dies bildet immer die Ausgangssituation für alle Lösungen.

Ich habe mir vorab ein paar Bewertungskriterien festgelegt um später ein Fazit ziehen zu können, wohlgemerkt sind das meine eigenen Kriterien, die wahrscheinlich wenig über die Qualität der einzelnen Produkte aussagen. Dazu aber später mehr.

In diesem Artikel geht es also um die neue Rolle “Webanwendungsproxy” die in Server 2012 R2 enthalten ist. Der Webanwendungsproxy ist ebenfalls ein Reverse Proxy für Webseiten und kann auch für Exchange verwendet werden. Die Rolle Webanwendungsproxy setzt die Active Directory Verbunddienste voraus um Benutzer zu authentifizieren. Daher beschreibe ich die Installation und Konfiguration von den Active Directory Verbunddiensten und die Konfiguration des Webanwendungsproxys. Ich habe dazu wieder meine Testumgebung angepasst:

Webanwendungsproxy

Die Active Directory Verbunddienste (AD FS) werden auf DC1 installiert, der Webanwendungsproxy auf einem Windows Server 2012 R2 mit dem Namen Proxy1. Proxy1 ist Active Directory Mitglied. Für ADFS werden gültige Zertifikate benötigt, daher verwende ich ein Wildcard Zertifikat von einer internen Zertifizierungsstelle für meinen Test

1

Da sich der Webanwendungsproxy nicht ohne ADFS einrichten lässt, installiere ich zunächst die Rolle auf dem Server DC1

2

Sobald die Installation Abgeschlossen ist, kann die Rolle konfiguriert werden

3

Im ersten Dialog wird “Erstellt den ersten Verbundserver in einer Verbundserverfarm.” ausgewählt

4

Der Benutzer kann so bleiben

5

Im nächsten Dialog muss ein gültiges SSL Zertifikat ausgewählt werden, ich habe hier der Einfachheit halber ein Wildcard Zertifikat von einer internen CA verwendet. Des weiteren muss ein DNS-Name für den Verbunddienst und ein Anzeigename eingetragen werden

6

Für den Dienst muss jetzt noch ein AD-Konto hinterlegt werden

8

Die Konfiguration wird in einer Datenbank gespeichert, für meinen Test verwende ich die Windows Internal Database

9

Jetzt kann installiert werden

10

Paralell zur Installation kann schon mal der DNS-Name für den Verbunddienst am DNS-Server eingetragen werden

11

Sobald die Installation abgeschlossen ist, kann die Konfiguration der Vertrauensstellung mit dem Webanwendungsproxy fertiggestellt werden, dazu die AD FS Konsole öffnen und eine “Ansprüche nicht unterstütze Vertrauensstellung….” anlegen

12

Anzeige Namen eintragen

13

und dann folgende URL eintragen:

14

Die restlichen Einstellungen können gemäß der Vorgabe übernommen werden

16

17

Im nächsten Dialog wird eine neue Regel erstellt, ich beginne mit einer “alles erlauben” Regel

18

19

20

Unter dem Punkt Vertrauensstellungen sollten wir jetzt unsere neue Vertrauensstellung wiederfinden

21

Jetzt kann der Webanwendungsproxy auf dem Server Proxy1 installiert werden

30

In diesem Fall wird nur der Webanwendungsproxy benötigt

31

Nach der Installation kann direkt die Konfiguration gestartet werden

33

DNS-Name und Administrator Konto des AD FS Servers angeben

34

Dann noch das Zertifikat auswählen, ich verwende hier wieder mein Wildcard Zertifikat

35

Fast fertig….

36

Jetzt wird noch ein SPN benötigt, dazu den ADSI Editor öffnen und im Namenskontext das Computer Konto des Proxy Servers suchen. Für das Attribut “servicePrincipalName” 2 Werte hinzufügen: “HTTP\PROXY” und “HTTP\Proxy.frankysweb.local”, also einmal den Shortname und einmal den FQDN des Servers mit vorangestellten HTTP\

37

Jetzt muss noch die Delegierung aktiviert werden, dazu die Konsole “Active Directory Benutzer und Computer” öffnen und auf dem Computer Konto des Proxy Servers den oder die Exchange Server mit dem Protokoll HTTP hinzufügen

38

Zum Schluss müssen die Exchange URLs am Proxy Server veröffentlicht werden. In der Konsole Remotezugriff wird dazu der “Assistent zum Veröffentlichen neuer Anwendungen” ausgeführt.

OWA und ECP werden mit der ADFS Methode authentifiziert, die restlichen URLs mit PassThrough, hier das Beispiel für OWA

40

Hier die Vertrauensstellung auswählen die weiter oben erzeugt wurde

41

URLs eingeben

42

Und den Vorgang für ECP nach dem selben Schema wiederholen. EWS, AutoDiscover, ActiveSync, OAB und Outlook Anywhere werden mit PassThrough Authentifizierung veröffentlicht.

Nachdem alle Regeln eingetragen sind, erscheint das Login Fenster des Verbunddienstes

44

Puh, geschafft… Tabelle pflegen… Smiley

1 thought on “Die Suche nach einem Forefront TMG Ersatz (Teil 4: Windows Server 2012 R2 + Webanwendungsproxy)”

  1. Hallo Frank,
    ich beziehe mich auf diesen ja schon etwas älteren Artikel, da ich keinen aktuelleren finden konnte. Gibt es hier evtl. eine aktuellere Veröffentlichung?
    Aktuell besteht eine Aufgabenstellung Exchange 2016 OWA und EAS (später auch 2019) via ADFS/WAP auf 2016er Servern zu publizieren.
    Normalerweise stellt man bei einer solchen Konfiguration den WAP in die DMZ und nimmt ihn nicht in die Domäne auf. Wie verhält es sich bei dieser Konfiguration mit den SPNs und den Delegierungen? Oder ist es zwingend erforderlich, dass der WAP Domänen Mitglied sein muss, wenn man Exchange OWA und/oder EAS publizieren will?

    Gruß
    Jörg

    Reply

Leave a Comment