Exchange mit Webanwendungsproxy und Active Directory sicher bereitstellen

Webanwendungsproxy, Exchange und Active-Directory-Verbunddienste arbeiten eng zusammen und bieten auf Wunsch auch Single-Sign-On Szenarien.

Dieser Artikel behandelt

Exchange-Management

Im ersten Teil dieser Artikelserie zum Einrichten des neuen Webanwendungsproxys in Windows Server 2012 R2 und dem...

Veröffentlichen von Webdiensten (beispielsweise Outlook Web App) haben wir gezeigt, wie Active-Directory-Verbunddienste eingerichtet und Active Directory für den Betrieb vorbereitet wird. In diesem Teil gehen wir umfassend darauf ein, welche genauen Änderungen in Active Directory notwendig sind, wie der Rollendienst installiert und eingerichtet wird. Auch wie Administratoren Veröffentlichungsregeln für den Betrieb des Servers erstellen, ist ein Thema.

Der erste Schritt bei der Verwendung des Webanwendungsproxys (Web Application Proxy) ist zunächst die Installation von Active-Directory-Verbunddiensten und deren Einrichtung. Die weiteren Schritte beschreiben wir nachfolgend. Damit Outlook Web App über das Web Application Proxy sicher im Internet bereitgestellt werden kann, ist eine fehlerfreie Kommunikation zwischen Web Application Proxy, Domänen-Controller und den ADFS-Servern notwendig.

Web Application Proxy installieren

Den Webanwendungsproxy installieren Administratoren als Rollendienst des Remotewebzugriffs.

Der Webanwendungsproxy ist ein Rollendienst der Serverrolle Remotewebzugriff. Diesen Rollendienst installieren Administratoren im Server-Manager über Verwalten\Rollen und Features hinzufügen. Es besteht keine Möglichkeit, die Active-Directory-Verbunddienste und den Rollendienst Webanwendungsproxy zusammen auf einem Server zu betreiben. Unternehmen müssen in einem Szenario mit dem Web Application Proxy mindestens drei Server einsetzen: Den eigentlichen Webserver, beziehungsweise Exchange-Server, den ADFS-Server und schließlich den Server mit dem Web Application Proxy.

Während der Installation müssen keine Einstellungen vorgenommen werden. Administratoren starten den Assistenten zur Einrichtung nach der Installation des Rollendienstes über das Benachrichtigungscenter im Server-Manager. Die Installation der Serverrolle kann jederzeit erfolgen. Allerdings müssen für die Einrichtung der ADFS-Server zur Verfügung stehen und die notwendigen Zertifikate installiert sein.

Webanwendungsproxy einrichten

Nach der Installation der Serverrolle richten Administratoren den Webanwendungsproxy über das Benachrichtigungscenter im Server-Manager ein. Der Einrichtungsassistent kann aber auch im Verwaltungswerkzeug des Remotezugriffs im Server-Manager vorgenommen werden. Im ersten Schritt m muss dazu der ADFS-Server eingegeben werden. Daher muss für die Einrichtung des Webanwendungsproxy die ADFS-Infrastruktur schon stehen, ansonsten lässt sich der Webanwendungsproxy nicht einrichten. Im Fenster müssen auch die Anmeldedaten für ein Administratorkonto auf dem ADFS-Server eingegeben werden.

Während der Einrichtung des Webanwendungsproxys müssen Administratoren ein ADFS-Proxyzertifikat auswählen.

Danach müssen Administratoren für den Server ein Serverzertifikat als ADFS-Proxy-Zertifikat auswählen. Das Zertifikat muss, wie die Active-Directory-Verbunddienste, vor der Einrichtung des Webanwendungsproxys, auf dem Server installiert werden. Die lokale Verwaltung der Zertifikate wird durch die Eingabe von certlm.msc auf dem Server gestartet.

Nachdem die Daten eingegeben und das Zertifikat ausgewählt wurde, wird der Einrichtungsassistent abgeschlossen. Die nächsten Schritte bestehen darin, Anpassungen in Active Directory vorzunehmen und das Computerkonto anzupassen.

Active Directory für die Zusammenarbeit mit dem Web Application Proxy einrichten

Wenn der Assistent für die Einrichtung des Webanwendungsproxys abgeschlossen ist, besteht der nächste Schritt darin, Active Directory so anzupassen. So können Outlook Web App und der Web Application Proxy zusammenarbeiten. Dazu sind Änderungen an den verschiedenen Stellen für das Computerkonto des Webanwendungsproxys notwendig.

Im ersten Schritt müssen Administratoren einen Service Principal Name festlegen. Dieser spezifiziert, dass der Webanwendungsproxy Kerberos-Tokens für http-basierte Anfragen anfordern kann. Außerdem ist festzulegen, dass der Webanwendungsproxy das Recht erhält, sich am Exchange-Server im Namen des entsprechenden Anwenders anzumelden. Anwender melden sich bei der Veröffentlichung am Webfrontend von ADFS an und werden dann über den Webanwendungsproxy an den definierten Exchange-Server weitergeleitet.

Die Anpassung von Active Directory wird folgendermaßen vorgenommen:

  1. Öffnen Sie mit adsiedit.msc den ADSI-Editor. Lassen Sie über das Kontextmenü von ADSI-Editor eine Verbindung zum Active Directory herstellen: Wählen Sie im Fenster die Option Standardmäßiger Namenskontext aus und klicken Sie auf OK.
  2. Navigieren Sie zum Objekt des Servers, auf dem Sie den Web Application Proxy installieren und rufen Sie dessen Eigenschaften auf.
  3. Wechseln Sie auf die Registerkarte Attribut-Editor und klicken Sie auf servicePrincipalName. Bei dem Wert handelt es sich um eine mehrteilige Zeichenfolge. Sie können also für diesen Wert mehrere Daten eingeben, die der Server nutzen kann.
  4. Sie müssen an dieser Stelle zwei Zeilen hinzufügen. Beide Zeilen bekommen den Eintrag HTTP/ als Präfix. In der ersten Zeile tragen Sie den NetBIOS-Namen ein, in der zweiten Zeile den FQDN. Beispiel:
    HTTP/S1
    HTTP/S1.CONTOSO.COM
  5. Bestätigen Sie die Änderungen noch mit OK.

Anpassen der Computerkonten für den Web Application Proxy

Nachdem Sie Active Directory mit ADSI-Edit angepasst haben, rufen Sie als Nächstes das Snap-In Active Directory-Benutzer und -Computer auf. Hier müssen weitere Einstellungen vorgenommen werden, um die Einrichtung abzuschließen:

  1. Navigieren Sie zur OU mit dem Computerkonto des Webanwendungsproxys und rufen Sie dessen Eigenschaften auf.
  2. Wechseln Sie auf die Registerkarte Delegierung.
  3. Aktivieren Sie die Optionen Computer bei Delegierungen angegebener Dienste vertrauen\Beliebiges Authentifizierungprotokoll verwenden.
  4. Klicken Sie auf Hinzufügen, wählen Sie die Computerkonten Ihrer Exchange-Server aus und fügen Sie den Dienst HTTP für diese Server hinzu.

Exchange für Webanwendungsproxy anpassen

In den Einstellungen für virtuelle Webs in der Exchange-Verwaltungskonsole passen Administratoren Exchange für die Verwendung des Webanwendungsproxys an.

Wurden ADFS, Web Application Proxy und Active Directory, sowie die Computerkonten kofiguriert, müssen Sie im Anschluss noch Anpassungen in Exchange vornehmen. Über diesen Weg legen Administratoren zum Beispiel fest, wie Outlook Web App und die Exchange-Systemsteuerung (ECP) für die Anbindung über das konfiguriert sein soll. Die Einstellungen nehmen Administratoren in der Exchange-Verwaltungskonsole vor. In Exchange Server 2010 wird zu den entsprechenden Servern navigiert und im Bereich ClientAccess die Eigenschaften für das virtuelle Web aufgerufen. Damit die Veröffentlichung über den Webanwendungsproxy funktioniert, muss die interne Windows-Authentifizierung aktiviert sein.

Im Anschluss rufen wird die Verwaltung des Remotezugriffs im Server-Manager aufgerufen Diese finden Administratoren über Tools\Remotezugriffsverwaltung. Im Fenster können jetzt neue Regeln für Veröffentlichungen erstellt werden.

Dazu blendet die Verwaltungskonsole einen Assistenten ein, mit dem Administratoren Webanwendungen veröffentlichen können. Im Fenster müssen die die externe URL eingegeben und das externe Zertifikat ausgewählt werden. Auch der vorher angepasste Service Principal Name aus Active Directory geben Administratoren im Fenster ein, zum Beispiel:

HTTP/S1.Contoso.int

Den Webanwendungsproxy passen Administratoren in einer eigenen Verwaltungskonsole für den Remotezugriff an.

Anschließend wird der Assistent fertig gestellt, und die weiteren, notwendigen Daten im Assistenten eingegeben.  Wenn Anwender eine externe URL eingeben, die hier veröffentlicht wurde, erscheint die formularbasierte Authentifizierung von ADFS. Hier muss sich der Anwender authentifizieren und erhält dann Zugriff auf Outlook Web App.

Für die Veröffentlichung sind folgende Daten notwendig:

Dienst Pfad Authentifizierung
Outlook Web App /OWA/ AD FS
Exchange Control Panel /ECP/ AD FS
Exchange Web Services /EWS/ Pass thru
Auto Discover /Autodiscover/ Pass thru
ActiveSync /Microsoft-Server-ActiveSync Pass thru
Offline Address Book /OAB/ Pass thru
Outlook Anywhere /rpc/ Pass thru

Durch die Verwendung von Active-Directory-Verbunddiensten und Webanwendungsproxy erhalten Unternehmen eine zukunftssichere Möglichkeit, Exchange sicher im Internet bereitzustellen. Auch bei der Verwendung von Office 365 mit lokalen Servern in einer Hybrid-Bereitstellung profitieren Unternehmen. Mit ADFS besteht auch die Möglichkeit Single-Sign-On Szenarien zusammen mit Office 365 bereitzustellen. Diese ermöglichen für Anwender eine bessere Erfahrung und effizienteren Umgang von lokalen und Diensten in der Cloud.

Artikel wurde zuletzt im Februar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Exchange-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close