Upload
trandung
View
214
Download
2
Embed Size (px)
Citation preview
Agenda
- Vorstellung
- Ein bisschen Geschichte
- Die Herausforderung
- Die Alternativen
- WAP und Exchange
- Die Zukunft
11.11.2015 3
Vorstellung
• Markus Hengstler
• MCT, MCM Exchange 2010, MCSM Messaging
• Senior Systems Engineer, UMB AG seit 2009
• Projekte im Bereich Exchange: Migrationen auf neue Versionen,
Migrationen von anderen Plattformen, Zusammenführung oder
Herauslösung von Organisationen, Archivierungslösungen, Loadbalancing,
Reverse Proxy Lösungen, etc...
11.11.2015 4
Ein bisschen Geschichte
- Die meisten Exchange Umgebungen beinhalten einen Reverse Proxy
- Lücken in den älteren Serverbetriebssystemen und Exchange Versionen
lassen das sinnvoll erscheinen
- Microsoft‘s Reverse Proxy Lösungen Internet Security and Acceleration
Server (ISA) respektive der Nachfolger Threat Management Gateway
(TMG) waren dafür sehr beliebt
- Ebenfalls von Microsoft: Unified Access Gateway (UAG) – fand aufgrund
der Komplexität und der Kosten keine grössere Verbreitung im Exchange
Umfeld
- Alle Produkte wurden in der Zwischenzeit abgekündet (TMG 2012, UAG
2014)
11.11.2015 5
Die Herausforderung
- Die Lücke, welche der Wegfall von TMG und UAG hinterliess, hat viele
Hersteller von Firewalls und Loadbalancern auf den Plan gerufen. Sie
bieten Alternativen an (Kemp, Citrix, F5, Sophos, etc)
- Microsoft bietet ebenfalls Lösungen für die Veröffentlichung von Exchange
(und anderen Serverprodukten) an
11.11.2015 6
Welches Produkt ist jetzt das Richtige?
Die Alternativen
Firewall/VPN
+
Produkt und Know-How schon
vorhanden
Authentisierung in der richtigen Zone
OS Bruch
HA oft schon implementiert
-
Eventuell zusätzliche Lizenzen
Funktionsumfang produkteabhängig
Loadbalancer
+
OS Bruch
Know-How schon vorhanden
HA oft schon implementiert
-
Befindet sich üblicherweise im LAN
statt DMZ
Funktionsumfang produkteabhängig
11.11.2015 7
Die Alternativen
Linux-basierte Reverse Proxies
+
Oft kostengünstig
-
Linux Know-How nötig
Authentisierungsverfahren eventuell
nicht unterstützt
Benötigt zusätzliche Loadbalancer für
HA
IIS mit Application Request
Routing
+
Kostengünstig
-
Keine Prä-Authentisierung möglich
Kein OS Bruch
Benötigt zusätzliche Loadbalancer für
HA
11.11.2015 8
Die Alternativen
TMG/UAG bis 2020 weiternutzen
+
Know-How schon vorhanden
Produkt wird noch bis 2020
unterstützt
-
Keine Weiterentwicklung mehr
Eventuell Kompatibilitätsprobleme mit
zukünftigen Updates/Versionen
Kein Reverse Proxy / NAT zum LB
+
Kostengünstig
Einfach zu implementieren
-
Diskussionen mit Security
MFA Software muss gegebenenfalls
direkt auf den Exchange Servern
installiert werden
11.11.2015 9
Web Application Proxy – Der Überblick
11.11.2015 12
+
Rollendienst in Windows Server 2012 R2
Prä-Authentisierung mittels ADFS möglich
HTTPS Reverse Proxy
-
ADFS Infrastruktur zwingend notwendig
Kein HTTP Proxying
Workaround für Clients nötig, die kein SNI beherrschen (Android)
Kein SSL Offloading möglich
Frontend- und Backend-URL müssen identisch sein
Exchange 2010 und WAP 2012 R2
11.11.2015 13
- Prä-Authentisierung nur möglich, wenn WAP Domänenmitglied ist und
Exchange für Kerberos Authentisierung konfiguriert ist
- Ohne Prä-Authentisierung ist keine Konfiguration von ADFS nötig
Exchange 2013/2016 und WAP 2012 R2
- OWA und ECP können nativ mit ADFS authentisiert werden.
- Alle anderen Authentisierungsmethoden müssen für OWA und ECP
deaktiviert werden
11.11.2015 14
- Exchange muss der Authentication Provider, die betroffenen URLs und das
Token Signing Certificate mitgeteilt werden
- Es kann nur eine ADFS Farm konfiguriert werden
Exchange 2013/2016 und WAP 2012 R2 - Konfigurationsschritte
11.11.2015 15
- Die Authentisierungseinstellungen der virtuellen Verzeichnisse müssen
angepasst werden
- ADFS schliesst alle anderen Verfahren aus – es muss deshalb auch intern
ADFS verwendet werden. Dies gilt auch für das Exchange Admin Center
- ADFS unterscheidet selbst ob ein Zugriff von extern über WAP (FBA) oder
intern direkt über die ADFS Server kommt (WIA)
- Achtung: ADFS Infrastruktur muss bezüglich Redundanz mitberücksichtigt
werden!
Exchange 2013/2016 und WAP 2012 R2 - Konfigurationsschritte
11.11.2015 16
- Benutzer gibt URL im Browser ein
- ...und wird zum ADFS Server umgeleitet
Exchange 2013/2016 und WAP 2012 R2 – Aus Benutzersicht
11.11.2015 17
Exchange 2013/2016 und WAP 2012 R2 – Aus Benutzersicht
11.11.2015 19
• Nach der Anmeldung erfolgt eine Umleitung zurück zu Exchange, wo das
Token vom ADFS Server ausgewertet und der Zugriff gewährt wird
Exchange 2016 und WAP 2016
- WAP in Windows Server 2016 (Preview 3) bietet Prä-Authentisierung für
MS-OFBA und Basic Authentication
- In Exchange 2016 ist MAPI over HTTPs Standard Protokoll für Outlook
Zugriffe. Dadurch wird die Authentisierung nur noch über HTTP
durchgeführt – nicht zusätzlich im RPC Tunnel
11.11.2015 20
Exchange 2016 und WAP 2016
- Dies ermöglicht die Prä-Authentisierung von Outlook Zugriffen
11.11.2015 21
Exchange 20xx und WAP 20xx - Stolpersteine
- Autodiscover, EWS, OAB und Office Online Server (Office Web Apps) nicht
vergessen
- Applikations URLs müssen alle mit / abgeschlossen werden – sowohl in der
Konfiguration des Exchange als auch ADFS und WAP
- Für das EWS virtual Directory ist standardmässig keine Basic
Authentication konfiguriert – dies muss hinzugefügt werden
- Default Token Signing Certificate des ADFS Servers ist selbstsigniert und
wird deshalb von Exchange nicht akzeptiert. Entweder gegen Zertifikat einer
internen CA tauschen oder in den Trusted Root Certification Authority Store
der Exchange Server importieren
11.11.2015 22
Die Zukunft
- Exchange 2016 und Outlook 2016 bieten über Active Directory
Authentication Library (ADAL) die Möglichkeit, weitere Faktoren einer
Multi-Faktor Authentisierung abzufragen. Momentan ist dies aber nur für
O365 möglich
11.11.2015 23