Wow, ich habe es geschafft, veröffentlichen von Exchange Websites mit dem Webanwendungsproxy (Web Application Proxy, WAP) in Windows Server 2012 R2.

WAP ist ein neuer Rollendienst der Remotezugriffsrolle unter Windows Server 2012 R2, näheres dazu hier: TechNet Artikel

Da Microsoft den TMG, wie ja bekannt abgekündigt hat, muss eine neue Lösung her um Exchange oder Lync für Benutzer unsere Unternehmensumgebung zu veröffentlichen. Microsoft bietet mit WAP nun eine Möglichkeit dies, in Zusammenarbeit mit AD FS, zu tun.

Folgende Systeme habe ich dazu installiert:

Server Funktion IP-Adresse
DC AD DS, DNS, AD CS 10.0.0.1/16
EX1 Exchange Server 2013 10.0.0.2/16
ADFS Active Directory Federation Services 10.0.0.3/16
Proxy Webanwendungsproxy 10.0.0.4/16

Zusätzlich ist noch ein Router vorhanden der vom Öffentlichem Netz (WAN) die HTTPS anfragen beantwortet und auf den Proxy weiterleitet.

Der interne Domänenname ist sichel.loc, der externe öffentliche Name ist sichel.com. Die Öffentlichen Namen sind: mail.sichel.com & adfs.sichel.com.

Hier eine visuelle Hilfestellung:

So ist die Testumgebung für WAP mit ADFS und Exchange aufgabut.

So ist die Testumgebung für WAP mit ADFS und Exchange aufgabut.

Bevor es losgeht sind folgende Gegebenheiten bereits vorhanden:

  • AD Domäne ist installiert
  • DNS funktioniert
  • AD CS ist funktionstüchtig
  • AD CS Webdienste installiert
  • Exchange funktioniert
  • Zertifikat für Exchange ist vorhanden (interne & externe Namen)
  • Optional: FFL & DFL Server 2012 oder 2012 R2

 

 

 

 

Schritt 1 – Interne Anpassungen vornehmen

  1. Am Domaincontroller anmelden
  2. DNS Verwaltung öffnen
  3. Neue Zone erstellen: sichel.com –> Externe Name damit der Proxy darüber die AD FS findet
  4. In der neue Zone sowohl Mail als auch ADFS hinzufügen mit den Internen IPs (Bild 2)

Schritt 2 – Wildcard Zertifikate anfordern

  1. Auf die Website der CA wechseln, bei mir: https://ca.sichel.loc/certsrv
  2. Ein Zertifikat anfordern
  3. Erweiterte Zertifikatsanforderung einreichen
  4. Anforderung an Zertifizierungsstelle erstellen oder einreichen –> Evtl. Benachrichtigung mit „Ja“ bestätigen
  5. Wie im Bild entsprechen hinterlegen und ganz unten noch einen Anzeigenamen eintragen (Bild 3)
  6. Anschließend kann das Zertifikat installiert werden –> Achtung: Das Zertifikat wird unter Lokaler Benutzer gespeichert: hier Exportieren und unter Lokaler Computer importieren.
  7. Sicherstellen dass das Zertifikat sowohl auf Proxy als auch auf ADFS installiert wurde
  8. Fertig

Schritt 3 – AD FS Group Managed Service Account (gMSA)

Für die gMSA muss die Gesamtstrukturfunktionsebene (FFL) auf Windows Server 2012 festgelegt sein. Daher habe ich weiter oben im Text „Optional“ geschrieben. Sollten gMSA nicht möglich sein kann auch ein Benutzer angelegt werden( ADFS-ServiceUser, Dom-Admin, Kennwort läuft nie ab). Sollte ein Benutzer angelegt werden entfällt Schritt 3.

  1.  Auf ADFS das PowerShell Modul für Active Directory installieren (Server Manager –> Features –> Remoteserververwaltungstools –> Rollenverwaltungstools –> AD DS)
  2. Im AD eine neue Gruppe erstellen: ADFS Server und den Server ADFS hinzufügen und diesen neu Starten
  3. Anschließend das PS Modul AD auf ADFS öffnen
    1. Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
    2. New-ADServiceAccount -Name ADFS-Service -DNSHostName adfs.sichel.loc -PrincipalsAllowedToRetrieveManagedPassword "ADFS Server"
    3. Install-ADServiceAccount "ADFS-Service"
    4. Test-ADSErviceAccount "ADFS-Service"
    5. –> Ergebnis muss „True“ sein
    6. Fertig
  4. Fertig

Schritt 4 – AD Federation Services installieren

  1. Server Manager öffnen auf ADFS
  2. Rollen und Features hinzufügen
  3. Rollen –> Active Directory-Verbunddienste –> 3x Weiter & Installieren

Schritt 5 – AD Federation Services konfigurieren

  1. Server Manager Meldung: ADFS Konfiguration abschließen, es folgt ein Assistent:
    1. Willkommen –> Erstellt den ersten Verbundserver –> Weiter
    2. Mit AD DS Verbinden (Kann so bleiben) –> Weiter
    3. SSL Zertifikat aus Schritt 2 angeben, Verbunddienstnamen angeben: adfs.sichel.com, Anzeigename festlegen: Sichel IT ADFS –> Weiter
    4. Dienstkonto angeben: ADFS-Service$ –> Weiter
    5. Datenbank: Interne Windows Datenbank –> Weiter
    6. Optionen prüfen –> Weiter
    7. Voraussetzungen –> Konfigurieren
    8. Schließen
  2. AD FS Management Konsole öffnen
  3. Zu Vertrauensstellungen der Vertrauenden Seite wechseln
  4. Unter Aktionen –> Ansprüche nicht unterstützter Vertrauensstellung der vertrauende Seite hinzufügen:
    1. Willkommen –> Start
    2. Anzeigenamen angeben: Sichel IT Exchange Server –> Weiter
    3. Bezeichner konfigurieren:  https://adfs.sichel.com/adfs/services/trust –> Weiter (Bild 4)
    4. Mehrstufige Authentifizierung (so belassen) –> Weiter
    5. Bereit –> Weiter
    6. Autorisierungsregeln anzeigen lassen –> Schließen
  5. Nun öffnet sich ein Assistent zum Hinzufügen von Regeln:
    1. Regelassistent: Vorlage „Alle Benutzer zulassen“ –> Weiter –> Fertig stellen
    2. Fertig
  6. Fertig

 Schritt 6 – Webanwendungsproxy installieren

  1. Anmelden auf Proxy
  2. Sicherstellen dass das Zertifikat vorhanden ist!!!
  3. Server Manager –> Rollen und Features –> Rollen –> Remotezugriff –> Webanwendungsproxy
  4. ServerManager –> Konfiguration abschließen: Assistent:
    1. Willkommen –> Weiter
    2. Name des Verbunddienst (Schritt 5, 1.3) adfs.sichel.com
    3. Benutzername ist Administrator und sein Kennwort –> Weiter
    4. AD FS Proxyzertifikat =*sichel.com –> Weiter
    5. Bestätigung –> Konfigurieren
    6. Web Application Proxy wurde Erfolgreich konfiguriert
    7. Schließen
  5. Fertig

Schritt 7 – Anpassungen im AD

Zunächst müssen wir dem Proxy noch einige SPNs hinzufügen:

  1. Am DC anmelden
  2. ADSI-Editor öffnen
  3. Verbindung zum Standardmäßigem Namenskonext herstellen
  4. Das Computerobjekt vom Proxy-Server suchen / wählen (CN=Proxy)
  5. Eigenschaften öffnen
  6. Das Attribut „servicePrinipalName“ suchen und öffnen
  7. Zwei Werte hinzufügen (Bild 5):
    • HTTP/Proxy
    • HTTP/Proxy.sichel.loc
  8. Fertig

Nun müssen wir noch die Delegierung am Proxy-Server konfigurieren:

  1. AD Benutzer und Computer öffnen
  2. Zum Computerobjekt von Proxy wechseln und die Eigenschaften öffnen
  3. Die Registerkarte „Delegierung“ aufrufen
  4. Den Punkt „Computer bei Delegierung angegebener Dienste vertrauen“ mit dem Punkt „Beliebiges Authentifizierungsprotokoll verwenden“ auswählen
  5. Via „Hinzufügen“ den Exchange Server über die Schaltfläche „Benutzer und Computer“ auswählen
  6. Den Diensttyp „http“ auswählen und mit OK bestätigen (Bild 6)
  7. Den Proxy-Server neu starten
  8. Fertig

Schritt 8 – Exchange Websites veröffentlichen

Da nun alle Konfigurationen hinterlegt sind, können wir jetzt anfangen und die Exchange Websites (OWA, ECP, OAB, ActiveSync & AutoDiscover) veröffentlichen. Dies wird selbstverständlich auf dem WAP erledigt.

  1. Am Proxy anmelden
  2. Remotezugriffsverwaltungskonsole öffnen
  3. Web Application Proxy auswählen
  4. Aktionsmenü –> Veröffentlichen auswählen, es folgt ein Assistent:
    1. Willkommen –> Weiter
    2. Vorauthentifizierung: AD FS –> Weiter (Bild 7)
    3. Vertrauende Seite auswählen: Sichel IT Exchange Server –> Weiter (Bild 8)
    4. Name: OWA; Externe URL: https://mail.sichel.com/OWA/; Externes Zertifikat: *.sichel.com; URL Backend: https://mail.sichel.com/OWA/; SPN: HTTP/ex1.sichel.loc –> Case sensitiv!!! –> Weiter (Bild 9)
    5. Veröffentlichen
    6. Identisch wiederholen für ECP!!!
  5. Erneut auf Veröffentlichen klicken, allerdings bei Vorauthentifizierung „PassThrough“ wählen und für OAB, ActiveSync & Autodiscover setzten.
  6. Anschließend sind sieben Veröffentlichungsregeln hinterlegt
  7. Fertig

Hier im Bild eine Übersicht meiner Regeln:

Regeln Exchange WAP

Schritt 9 – Der erste Test …

Je nachdem wie die Bereitstellungsart der Testumgebung ist, unterscheidet sich der Zugriff „von außen“. Ich habe bei mir als Router einen Windows Server 2012 R2 RRAS Server implementiert. Dieser ist nicht Mitglied der Domäne und hat auschließlich den Rollendienst RRAS Installiert. Dieser hat zwei Netzwerkkarten installiert, eine steht im Domänennetzwerk (bei mir im Privaten Netzwerk nur für Virtuelle Computer) und die zweite steht auf Bridged in mein Heimnetzwerk. Für diese Schnittstelle ist NAT aktiviert und eine Portweiterleitung auf mein Proxy eingerichtet, nur HTTPS / 443. Somit kann ich „von außen“ welches ein Notebook im Heimnetzwerk ist, auf meine virtuellen Server zugreifen, über den Router. An diesem PC habe ich in der HOST-Datei zwei IPs mit Namen hinzugefügt:

  • 192.168.178.150  mail.sichel.com
  • 192.168.178.150  adfs.sichel.com

Dann habe ich noch das Zertifikat meiner Root CA importiert (natürlich mit OID für EV, bekannt aus früheren Beiträgen von mir) und schon kann es wirklich starten.

  1. IE öffnen
  2. https://mail.sichel.com/OWA eingetragen
  3. Ich werde umgeleitet auf: https://adfs.sichel.com
  4. Melde mich dort an –> es klappt :) Wo bin ich? Richtig: Outlook Web App, erneute Authentifizierung, warum? Dazu gleich mehr…
  5. Also Authentifiziere ich mich am Outlook Web App (Adressleiste beachten, ich bin nun auf https://mail.sichel.com/OWA
  6. Erfolgreich, ich kann arbeiten :)

Test 1 abgeschlossen. Kommen wir zum letzten Schritt.

Schritt 10 – Authentifizierung übergeben

Wie beim TMG auch authentifiziere ich mich nun am AD FS, und dieser sollte meine Kennung an den Exchange weitergeben. Das klappt aber nur solange wie der Exchange auf Standardauthentifizierung konfiguriert ist. Nach einer Standardinstallation von Exchange 2010 / 2013 ist dies allerdings nicht der Fall, da steht die OWA & ECP auf Formularbasierender Authentifizierung.

  1. An Exchange ECP anmelden
  2. Server –> Virtuelle Verzeichnisse
  3. OWA auswählen und bearbeiten
  4. Authentifizierung –> Auf Standard stellen (Bild 10)

Dem zufolge muss ich, wenn ich ein SSO implementieren will, die Authentifizierung am Exchange auf Standardauthentifizierung ändern.

Anschließend nach der Änderung, die Internetinformationsdienste neu starten und erneut versuchen anzumelden.

Jetzt klappt’s auch mit dem Nachbarn oder wie man so schön sagt:

  1. https://mail.sichel.com/OWA –> (Bild 11)
  2. Umleitung auf https://adfs.sichel.com/ –>
  3. Authentifizieren –> Umleitung zu https://mail.sichel.com/OWA –>
  4. Angemeldet :) (Bild 12)

Das waren 10 Schritte zum Konfigurieren des neuen Rollendienst „Webanwendungsproxy“ in zusammenarbeit mit Exchange Server 2013. Ich hoffe ich habe damit geholfen Web Application Proxy einzusetzen.

Wie üblich folgen alle Bilder nochmal in der Übersicht:

Viel Erfolg :)