Publikace Exchange Serveru 2016 pomocí WAP

Miroslav Knotek
3 minuty, 29 sekundy
3

Řada zákazníků dodnes ve svých prostředích udržuje produkt Forefront TMG, přestože již u něj vypršelo období standardní podpory a nová verze tohoto software již nebude. Důvodem je obvykle to, že není k dispozici něco, čím by bylo možné TMG plnohodnotně nasadit. TMG ale plní celou škálu různých funkcí a pokud používáte jen některé z nich, je klidně možné, že náhrada existuje. V tomto článku se zaměříme na náhradu Forefront TMG v režimu reverzní proxy pro bezpečné publikování služeb Exchange Serveru. Touto náhradou bude v našem scénáři Web Application Proxy (WAP) – role operačního systému Windows Server 2012 R2.

Obrázek 1 Přehled možností náhrady TMG v jednotlivých scénářích Začlenění WAP do publikace Exchange Serveru nám přinese tyto výhody: · SSL bridging · Ochrana proti DOS útoků · Pre-autentizace (pouze pro Outlook on the web)

Předpoklady řešení

Pro nasazení je nutné splnit následující předpoklady: · Zajistit certifikát pro ADFS · Mít funkční ADFS řešení · Nainstalovaná funkce WAP (Web Application Proxy)

Instalace ADFS

Přípravné kroky: · Připravíme si server s operačním systémem Windows Server 2012 R2, který je součástí Active Directory domény · Na tomto serveru si vystavíme certifikát na jméno ADFS služby např. adfs.kpcs.cz · Přidáme A záznam do DNS, který umožní přeložit jméno adfs.kpcs.cz na IP adresu nového serveru · Nainstalujeme roli ADFS (Active Directory Federation Services)

Obrázek 2 ADFS - nastavení certifikátu Přidáme v ADFS Non-Claims-Aware Relying Party Trust  

Obrázek 3 ADFS - Non-Claims-Aware Relying Party Trust A vytvoříme autorizační pravidlo, které povolí přístup všem uživatelům.  

Obrázek 4 ADFS - Permit All Users

Instalace WAP

Přípravné kroky: · Připravíme si server s operačním systémem Windows Server 2012 R2 · Na tento server naimportujeme certifikát pro ADFS i pro Exchange · Nainstalujeme roli Remote Access – Web Application Proxy · Povolíme Kerberos Delegation na účtu WAP serveru pro Exchange ASA Po instalaci a zprovoznění WAP vypublikujeme Outlook on the Web a ECP s pre-autentizací pomocí AD FS

Obrázek 5 WAP - publikace OWA Další Exchange služby vypublikujeme již pouze jako Pass-through, neboť pre-autentizace pro další služby v současné době není prostřednictvím WAP podporovaná.

 

Obrázek 6 WAP - publikace všech Exchange služeb

Konfigurace Exchange a otestování

V rámci Exchange serveru musíme mít funkční Kerberos autentizaci a je nutné na OWA a ECP zapnout Windows Integrated autentizaci. Dále již jen stačí do externí DNS přidat záznam, který bude odkazovat exmail.kpcs.cz na WAP server a můžeme otestovat. Při zadání https://exmail.kpcs.cz/owa se nám musí objevit formulář ADFS a po zadání přihlašovacích údajů jsme korektně ověření do OWA prostřednictvím WAP.  

Obrázek 7 Přihlašení do OWA pomocí WAP

Shrnutí

Je škoda, že v tuto chvíli je možné s pre-autentizací vypublikovat z Exchange služeb pouze Outlook on the web a ECP. Ostatní Exchange služby musí být nastavené v režimu Pass-through. I tak je určitě WAP dobrá cesta, jak nahradit TMG server v roli reverzní proxy pro publikování Exchange služeb do Internetu. Miroslav Knotek, KPCS CZ, knotek@kpcs.cz KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Následující článek Předchozí článek