Exchange 2013: Konfiguration F5 APM 11.6 für Exchange 2013

In diesem Howto wird F5 APM für die Veröffentlichung von Exchange 2013 verwendet. Zunächst ein kleiner Überblick über die Testumgebung:

F5 Umgebung

Ich habe 2 Exchange Server und einen DC im internen Netz, die Server haben die 172.16.100.1 als Default Gateway eingetragen. F5 APM hat 2 Netzwerkkarten, eine ist direkt mit dem Internet verbunden (das Internet stellt bei mir das Netz 172.16.1.0/24) dar. Die zweite Netzwerkkarte hat einen IP im internen Netz. Desweiteren verfügt die F5 über eine dedizierte Netzwerkkarte in einem Management Netzwerk (192.168.30.0/24). Die Basiskonfiguration ist den nächsten Bildern zu entnehmen.

Management Einstellungen:

image

Netzwerkkarten bzw. VLANs 1.1 (Internal) und 1.2 (external)

image

Interne und externe Self IPs:

image

Soweit einmal zur Basiskonfiguration. Für APM wird ein Zertifikat mit den externen Zugriffsnamen benötigt. Da ich alle Exchange Dienste über einen DNS-Namen veröffentlichen möchte, enthält mein Zertifikat nur 2 DNS-Namen:

  • autodiscover.frankysweb.de
  • outlook.frankysweb.de

image

Wie Zertifikate mit einer eigenen CA erstellt werden können, habe ich hier beschrieben. Das Zertifikat muss zunächst auf der F5 importiert werden:

image

Die F5 versteht das PFX Format, sodass keine umständliche Konvertierung nötig ist. Zertifikat hochladen, Passwort und Namen eingeben, fertig:

image

Wer das Provisioning nicht direkt bei der Installation erledigt hat, muss es jetzt nachholen. Bisher ist bei mir nur das Modul LTM provisioniert, daher wähle ich jetzt zusätzlich APM aus:

image

Beim Provisioning starten die Dienste neu, daher nicht durchführen, wenn es aktive Sessions gibt…

image

Als nächstes kann das iApp Template installiert werden, die aktuellen iApp Templates können hier runtergeladen werden:

https://downloads.f5.com/esd/eula.sv?sw=BIG-IP&pro=big-ip_v11.x&ver=11.6.0&container=iApp-Templates&path=&file=&B1=I+Accept

Aus den vielen Templates wird nur das Exchange Template benötigt: f5.microsoft_exchange_2010_2013_cas.v1.4.0.tmpl. Dieses kann jetzt importiert werden:

image

Template (.tmpl) Datei auswählen und hochladen.

image

Jetzt kann eine iApp aus dem Template erzeugt werden

image

Name der iApp und das Template angeben

image

Das Template fragt jetzt die Einstellungen ab, die erste Bildschirmseite ist selbsterklärend, es wird übrigens ein Benutzer mit Domain Admin Rechten benötigt, bei mir heisst der Benutzer „F5APM“:

image

Die zweite Seite eigentlich auch. Bei „What is the LDAP tree…“ muss der Pfad zur OU (distinguishedName) angegeben werden, in der der F5 Service User gespeichert ist. Bei mir ist das die OU „Benutzer“.

image

Bei „Which Client certificate/key…) muss das zuvor importierte Zertifikat ausgewählt werden.

image

Die nächsten Einstellungen sind abhängig von der Umgebung. Die IP Adresse für den Virtual Service lege ich auf 172.16.1.20 fest. Auf diese IP Adresse müssen auch die DNS-Namen outlook.frankysweb.de und autodiscover.frankysweb.de zeigen. Wer möchte kann noch den Zugriff auf das Exchange Admin Center beschränken, somit haben nur noch Mitglieder der Gruppe „Organization Management“ Zugriff auf EAC. Hier sind meine Einstellungen:

image

Auf der letzten Seite müssen noch die Exchange Server angegeben werden, fertig:

image

Zum Schluss noch die DNS-Einträge auf die IP des Virtual Service setzen:

image

image

Die iApps machen es einem bei F5 wirklich einfach schnell zum Ziel zu kommen. Alles funktioniert wie erwartet. Hier gibt es auch einen netten Deployment Guide:

Deploying the BIG-IP System v11 with Microsoft Exchange

Leave a Comment