Внимание! Материал, изложенный в этой статье не актуален. Ниже обновлённая версия:
Публикация Exchange Server с помощью ADFS / Web Application Proxy
В предыдущих статьях цикла о Web Application Proxy мы рассмотрели базовые понятия касаемо данной технологии и приступили к первому шагу ее практической реализации – развертывание служб федерации Active Directory. Это нам позволит сей час приступить к конфигурации Web Application Proxy.
Что необходимо будет сделать:
- Произвести подготовку сервера для развертывания
- Импортировать SSL сертификата для Web Application Proxy
- Выполнить развертывание WAP и проверить конфигурацию.
- Подвести итоги
Подготовка сервера под развертывание:
В качестве сервера была выбрана виртуальная машина SRV-WAP Характеристики следующие:
- ОС: Server 2012 R2 Standard
- 2 виртуальными процессора
- 2 ГБ ОЗУ
- Сетевые интерфейсы, DMZ: 192.168.1.5 /24 и LAN 172.16.20.4 /24
- Размещение сервера на обобщенной топологии демо-стенда:
Сервер является членом домена office365.local
Импортирование SSL сертификата для WAP
В качестве сертификата для публикации WAP, я использовал тот же сертификат, который задействовал в предыдущей статье для конфигурирования ADFS. Предварительно нужно его импортировать на локальный сервер. Для этого запустим от имени администратора консоль mmc
Нажав <Ctrl> + <M> добавим оснастку Certificates, выбрав в качестве управления компьютер, а затем локальный компьютер.
Открываем вкладку Personal и через меню All Task выбираем Import
В открывшемся окне, указываем путь и пароль к импортируемому сертификату.
После импорта нужно так же настроим файл Host для возможности разрешения сервера ADFS. Это важный шаг – если данная настройка не будет выполнена, мастер конфигурирования WAP не сможет завершить конфигурацию с службами ADFS.
Для этого, от имени администратора вызываем Notepad. Открываем файл Host по указанному пути:
C:WindowsSystem32driversetchosts
Произведем изменения, добавив в качестве новой строки: IP адрес сервера ADFS и его FQDN. В моем случае, данные выглядят так:
172.16.20.14 adfs.office365.kiev.ua
Развертывание WAP
Запустил Server Manager, меню Manage откроем Add Roles and Features
На шаге выбора ролей, ставим чек-бокс напротив роли Remote Access
При конфигурировании службы ролей, ставим чек-бокс напротив Web Application Proxy и завершаем установку.
После завершения, открываем мастер конфигурации WAP
В поле Federation service name укажем расположение сервера федерации Active Directory, в поле User name – аккаунт локального администратора. На следующем шаге необходимо выбирать SSL сертификат который ранее был проимпортирован на сервер.
Результатом работы мастера будет создание PowerShell коммандлета который произведет конфигурацию WAP.
Конфигурация завершена. В процессе конфигурирования, на стороне служб ADFS, была создана подписка на WAP сервер. Для проверки работоспособности подписки, откроем консоль Remote Access Management Console и перейдем Web Application Proxy. Примером успешной конфигурации будет служить возможность произвести публикацию приложения выбрав Publish. Именно этим я займусь в будущей статье, когда будет производится публикация приложений Exchange Sevrer.
Итоги
Как видно с пошаговки конфигурации, сама конфигурация WAP не является тяжелой задачей, важным фактом будет подготовительная часть. Сами службы не могут работать без сконфигурированной службы федерации и в дальнейших статьях будет видно, что вся информация о публикациях деланных на стороне WAP физически будет располагаться на стороне ADFS. В общем, WAP довольно новая технология, по моему мнению, в следующих версиях серверных операционных системах стоит ожидать уплотнение функционала.
Вопросик: сетевые интерфесы на SRV-WAP настраивались как на TMG (LAN без шлюза, DMZ без DNS серверов)? Rout-ы какие-нибудь писали?
да, маршруты не делал. В них не было необходимости так как использовал только одну подсеть.
Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?
со стороны kerberos, необходимо сделать только делегирование на объекте компьютера WAP сервера для Exchange.
Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?
Добрый день! Если я перевыписывал сертификат после настройки WAS через мастер конфигурирования, каким образом можно заменить старый сертификат для сервиса?
Если я правильно вас понял, для замены сертификата необходимо пройти конфигурационные мастера сначала
Как поменять Host Name в WAP?
то есть, поменять имя сервера?
Я изменил Federation Service name, связь с WAP соответственно прервалась. На сервере где установлен WAP я не нашел где можно изменить имя сервера федерации. При попытке выполнить Install-WebApplicationProxy выдаёт ошибку, в которой сказано, что нет подключения к серверу федерации и при этом сразу падает служба Web Application Proxy.
в этом случае, снесите полностью фичу роли WAP и установите ее заново. Далее по накатанной схеме подцепите к серверам федерации.
Удалил службу Remote Access. На завершающем этапе настройке в виззарде выдаёт: An error occurred when attempting to establish a trust relationship with the federation service. Error: The underlying connection was closed: An unexpected error occurred on a send. На сервере федерации выползают следующие ошибки: ID 415 The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954. ID 278 The SAML artifact resolution endpoint is not configured or it is disabled. The artifact… Подробнее »
Прошу прощения за столь поздний ответ, было много работы. Token-decrypting и Token-signing менять не обязательно. Если проблема не решена, попробуйте вычистить все старые сертификаты и повторить попытку.
Здравствуйте Александр. Можно использовать NLB Citrix NetSceller как WAP?