In diesem Howto wird F5 APM für die Veröffentlichung von Exchange 2013 verwendet. Zunächst ein kleiner Überblick über die Testumgebung:
Ich habe 2 Exchange Server und einen DC im internen Netz, die Server haben die 172.16.100.1 als Default Gateway eingetragen. F5 APM hat 2 Netzwerkkarten, eine ist direkt mit dem Internet verbunden (das Internet stellt bei mir das Netz 172.16.1.0/24) dar. Die zweite Netzwerkkarte hat einen IP im internen Netz. Desweiteren verfügt die F5 über eine dedizierte Netzwerkkarte in einem Management Netzwerk (192.168.30.0/24). Die Basiskonfiguration ist den nächsten Bildern zu entnehmen.
Management Einstellungen:
Netzwerkkarten bzw. VLANs 1.1 (Internal) und 1.2 (external)
Interne und externe Self IPs:
Soweit einmal zur Basiskonfiguration. Für APM wird ein Zertifikat mit den externen Zugriffsnamen benötigt. Da ich alle Exchange Dienste über einen DNS-Namen veröffentlichen möchte, enthält mein Zertifikat nur 2 DNS-Namen:
- autodiscover.frankysweb.de
- outlook.frankysweb.de
Wie Zertifikate mit einer eigenen CA erstellt werden können, habe ich hier beschrieben. Das Zertifikat muss zunächst auf der F5 importiert werden:
Die F5 versteht das PFX Format, sodass keine umständliche Konvertierung nötig ist. Zertifikat hochladen, Passwort und Namen eingeben, fertig:
Wer das Provisioning nicht direkt bei der Installation erledigt hat, muss es jetzt nachholen. Bisher ist bei mir nur das Modul LTM provisioniert, daher wähle ich jetzt zusätzlich APM aus:
Beim Provisioning starten die Dienste neu, daher nicht durchführen, wenn es aktive Sessions gibt…
Als nächstes kann das iApp Template installiert werden, die aktuellen iApp Templates können hier runtergeladen werden:
Aus den vielen Templates wird nur das Exchange Template benötigt: f5.microsoft_exchange_2010_2013_cas.v1.4.0.tmpl. Dieses kann jetzt importiert werden:
Template (.tmpl) Datei auswählen und hochladen.
Jetzt kann eine iApp aus dem Template erzeugt werden
Name der iApp und das Template angeben
Das Template fragt jetzt die Einstellungen ab, die erste Bildschirmseite ist selbsterklärend, es wird übrigens ein Benutzer mit Domain Admin Rechten benötigt, bei mir heisst der Benutzer „F5APM“:
Die zweite Seite eigentlich auch. Bei „What is the LDAP tree…“ muss der Pfad zur OU (distinguishedName) angegeben werden, in der der F5 Service User gespeichert ist. Bei mir ist das die OU „Benutzer“.
Bei „Which Client certificate/key…) muss das zuvor importierte Zertifikat ausgewählt werden.
Die nächsten Einstellungen sind abhängig von der Umgebung. Die IP Adresse für den Virtual Service lege ich auf 172.16.1.20 fest. Auf diese IP Adresse müssen auch die DNS-Namen outlook.frankysweb.de und autodiscover.frankysweb.de zeigen. Wer möchte kann noch den Zugriff auf das Exchange Admin Center beschränken, somit haben nur noch Mitglieder der Gruppe „Organization Management“ Zugriff auf EAC. Hier sind meine Einstellungen:
Auf der letzten Seite müssen noch die Exchange Server angegeben werden, fertig:
Zum Schluss noch die DNS-Einträge auf die IP des Virtual Service setzen:
Die iApps machen es einem bei F5 wirklich einfach schnell zum Ziel zu kommen. Alles funktioniert wie erwartet. Hier gibt es auch einen netten Deployment Guide:
Deploying the BIG-IP System v11 with Microsoft Exchange