Hallo Leser,
in Vorbereitung auf einen geplanten Beitrag wollte ich heute aufzeigen, wie die Migration der Web Appliaction Proxy Rolle auf einen anderen Server erfolgen kann. In diesem Fall auf Server 2016 TP4. Auch wenn es nur eine Preview ist, wird es in der finalen Fassung wohl identisch ablaufen. Dieser Beitrag beschäftigt sich zunächst mit der Migration auf den neuen Server für die WAP-Rolle. Damit ich allerdings die Neuerung der WAP-Rolle verwenden kann, benötige ich auch ADFS 4.0 auf Server 2016, dies folgt dann in Teil 2!
Voraussetzungen:
- Umgebung mit WAP (z.B.: Server 2012 R2: Webanwendungsproxy mit Exchange 2013)
- Das öffentliche Zertifikat als *.pfx oder ein neues für beide WAP-Server
- Server 2016 TP 4 oder höher
Da die Web Application Rolle in Server 2016 einige Veränderungen mit sich bringt, die auch für Exchange Server (2013 / 2016) interessant sind, muss ich einfach „migrieren“ ;)
Ich installiere zunächst einen neuen Server mit Windows Server 2016 TP und integriere diesen in die Domäne, somit habe ich zeitgleich zwei WAP-Server, wie das Bild veranschaulicht:
Zudem stelle ich sicher, dass auch dieser das Zertifikat für den öffentlichen Namen installiert bekommt (mail.sichel-it.de, adfs.sichel-it.de, oder *.sichel-it.de).
Schritt 1 – Web Application Proxy-Rolle installieren:
- Anmelden auf Proxy
- !!! Sicherstellen, dass das Zertifikat vorhanden ist !!!
- Server Manager –> Rollen und Features –> Rollen –> Remotezugriff –> Webanwendungsproxy
- ServerManager –> Konfiguration abschließen: Assistent:
- Willkommen –> Weiter
- Name des Verbunddienstes (Schritt 5, 1.3) adfs.sichel-it.de
- Benutzername ist Administrator und sein Kennwort –> Weiter
- AD FS Proxyzertifikat =*sichel-it.de –> Weiter
- Bestätigung –> Konfigurieren
- Web Application Proxy wurde erfolgreich konfiguriert
- Schließen
- Fertig
In der Remotezugriffskonsole lässt sich nun erkennen, dass ein „Cluster“ erstellt wurde. Da sich die Konfiguration in ADFS befindet, verbindet sich der neue Server nur mit dieser und jeder WAP-Server greift auf die identische Konfiguration zurück.
Im WAP auf dem Server 2016 (TP4) sind nun beide Server als Clusterserver erkennbar. Dies gilt nicht für Windows Server 2012 R2. Dort erscheint weiterhin nur der „Proxy“!
Damit ich nun neue Konfigurationen einsetzen kann, muss der „alte“ Web Appliaction Proxy unter Server 2012 R2 zunächst vom ADFS getrennt und deinstalliert werden!
Schritt 2 – Deinstallation WAP auf Server 2012 R2
Zunächst muss die Konfigurations-Version (Configuration Version) angehoben werden (Bild 4):
Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
Das geht entweder über den ServerManager oder über einen kleinen PowerShell-Befehl (Bild 5):
Remove-WindowsFeature Web-Application-Proxy
Anschließend sollte die ADFS-Konfiguration dahingehend überprüft werden, ob der Server auch als „ConnectedServer“ entfernt wurde:
Get-WebApplicationProxyConfiguration
Wenn dies nicht der Fall sein sollte, kann der „alte“ Server auf dem WAP-Server mit folgendem Befehl aus der Liste entfernt werden (Bild 6):
Set-WebApplicationProxyConfiguration –ConnectedServersName Proxy2.sichel.loc
So soll die WAP-Konsole auf dem neuem WAP „Proxy2“ nur noch diesen anzeigen! (Bild 7)
Schritt 3 – AD-Eigenschaften
Damit der „neue“ WAP auch wieder mit dem Exchange kommuniziert und die Authentifizierung „durchreicht“, muss diesem für Delegierungszwecke vertraut werden (Bild 8)
Nach dieser Änderung muss der Server neu gestartet werden!
Das war es schon mit dem WAP-Server, als nächstes folgt dann die Aktualisierung / Migration von ADFS auf den Server 2016!
LG aus Bielefeld
Andi
Vielen Dank für den wertvollen Artikel! Sehr cooler Blog.
Danke :)
Toller Artikel.
Ich habe derzeit einen Exchange 2010 mit einem WAP von Windows Server 2012 R2 aktiv und bin gerade in der Vorbereitung für eine Migration auf Exchange 2016. Der 2012 R2 WAP soll aber bleiben. Gibt es eventuell Probleme in welche ich rennen könnte? Danke!
LG,
Mike