Optimalizované IT - portál pro IT pro komunitu

Publikace Exchange Serveru 2016 pomocí WAP

Vytisknout E-mail

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Řada zákazníků dodnes ve svých prostředích udržuje produkt Forefront TMG, přestože již u něj vypršelo období standardní podpory a nová verze tohoto software již nebude. Důvodem je obvykle to, že není k dispozici něco, čím by bylo možné TMG plnohodnotně nasadit. TMG ale plní celou škálu různých funkcí a pokud používáte jen některé z nich, je klidně možné, že náhrada existuje. V tomto článku se zaměříme na náhradu Forefront TMG v režimu reverzní proxy pro bezpečné publikování služeb Exchange Serveru. Touto náhradou bude v našem scénáři Web Application Proxy (WAP) – role operačního systému Windows Server 2012 R2.

1 Možnosti náhrady TMG

Obrázek 1 Přehled možností náhrady TMG v jednotlivých scénářích

Začlenění WAP do publikace Exchange Serveru nám přinese tyto výhody:

· SSL bridging

· Ochrana proti DOS útoků

· Pre-autentizace (pouze pro Outlook on the web)

Předpoklady řešení

Pro nasazení je nutné splnit následující předpoklady:

· Zajistit certifikát pro ADFS

· Mít funkční ADFS řešení

· Nainstalovaná funkce WAP (Web Application Proxy)

Instalace ADFS

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2, který je součástí Active Directory domény

· Na tomto serveru si vystavíme certifikát na jméno ADFS služby např. adfs.kpcs.cz

· Přidáme A záznam do DNS, který umožní přeložit jméno adfs.kpcs.cz na IP adresu nového serveru

· Nainstalujeme roli ADFS (Active Directory Federation Services)

2 ADFS - nastavení certifikátu

Obrázek 2 ADFS - nastavení certifikátu

Přidáme v ADFS Non-Claims-Aware Relying Party Trust

 

3 ADFS - Non-Claims-Aware Relying Party Trust

Obrázek 3 ADFS - Non-Claims-Aware Relying Party Trust

A vytvoříme autorizační pravidlo, které povolí přístup všem uživatelům.

 

4 ADFS - Permit All Users

Obrázek 4 ADFS - Permit All Users

Instalace WAP

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2

· Na tento server naimportujeme certifikát pro ADFS i pro Exchange

· Nainstalujeme roli Remote Access – Web Application Proxy

· Povolíme Kerberos Delegation na účtu WAP serveru pro Exchange ASA

Po instalaci a zprovoznění WAP vypublikujeme Outlook on the Web a ECP s pre-autentizací pomocí AD FS

5 WAP - publikace OWA

Obrázek 5 WAP - publikace OWA

Další Exchange služby vypublikujeme již pouze jako Pass-through, neboť pre-autentizace pro další služby v současné době není prostřednictvím WAP podporovaná.

 

6 WAP - publikace všech Exchange služeb

Obrázek 6 WAP - publikace všech Exchange služeb

Konfigurace Exchange a otestování

V rámci Exchange serveru musíme mít funkční Kerberos autentizaci a je nutné na OWA a ECP zapnout Windows Integrated autentizaci. Dále již jen stačí do externí DNS přidat záznam, který bude odkazovat exmail.kpcs.cz na WAP server a můžeme otestovat. Při zadání https://exmail.kpcs.cz/owa se nám musí objevit formulář ADFS a po zadání přihlašovacích údajů jsme korektně ověření do OWA prostřednictvím WAP.

 

7 Přihlašení do OWA pomocí WAP

Obrázek 7 Přihlašení do OWA pomocí WAP

Shrnutí

Je škoda, že v tuto chvíli je možné s pre-autentizací vypublikovat z Exchange služeb pouze Outlook on the web a ECP. Ostatní Exchange služby musí být nastavené v režimu Pass-through. I tak je určitě WAP dobrá cesta, jak nahradit TMG server v roli reverzní proxy pro publikování Exchange služeb do Internetu.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

O autorovi...
Miroslav Knotek
Author: Miroslav KnotekWebsite: www.kpcs.cz
Senior IT konzultant

Přihlašovací formulář