Teil 1 Online–Externer Zugriff über ADFS und WAP
Bei vielen Unternehmen stellt sich häufig die Frage, wie ein Zugriff auf den Project Server OnPremise durchgeführt werden kann. Eigentlich eine simple Frage und sicherlich gibt es hier auf dem Markt einige Reverse-Proxy bzw. Firewall-Anbieter die ein…
Einleitung
Viele Unternehmen stehen vor der Herausforderung, interne Webanwendungen wie den Microsoft Project Server oder SharePoint Server sicher für externe Benutzer bereitzustellen. Die Frage lautet häufig: Wie kann ein sicherer und gleichzeitig komfortabler Zugriff aus dem Internet realisiert werden?
Grundsätzlich existieren zahlreiche Reverse-Proxys und Firewall-Lösungen am Markt. In der Praxis zeigt sich jedoch, dass nicht alle Produkte problemlos mit SharePoint beziehungsweise dem Project Server zusammenarbeiten. Insbesondere bei der Authentifizierung oder der Veröffentlichung komplexer Webanwendungen treten häufig Kompatibilitätsprobleme auf.
Viele Administratoren griffen daher in der Vergangenheit auf die Microsoft-Produkte Forefront Unified Access Gateway (UAG) 2010 oder Forefront Threat Management Gateway (TMG) 2010 zurück. Da Microsoft beide Produkte jedoch abgekündigt hat, wurde eine moderne Alternative erforderlich.
Seit Windows Server 2012 R2 steht mit dem Web Application Proxy (WAP) eine leistungsfähige Alternative zur Verfügung. Der Web Application Proxy ist Bestandteil der Rolle Remotezugriff (RAS) und ermöglicht die sichere Veröffentlichung interner Webanwendungen für externe Benutzer.
Besonders interessant wird der Web Application Proxy in Verbindung mit den Active Directory Federation Services (AD FS). Unternehmen, die beispielsweise Microsoft 365, Office 365 oder Project Online mit einem Single Sign-on (SSO) betreiben möchten, kommen an einer AD FS-Infrastruktur kaum vorbei.
Da es zu diesem Thema nur wenige vollständige und praxisnahe Dokumentationen gibt, zeigt diese Artikelserie die komplette Einrichtung Schritt für Schritt. Zusätzlich werden typische Stolperfallen erläutert, auf die man während der Implementierung stoßen kann.
Die in dieser Artikelserie beschriebene Konfiguration dient ausschließlich als Beispiel für eine Test- oder Laborumgebung. Für den produktiven Einsatz müssen zusätzliche Sicherheitsmaßnahmen berücksichtigt werden, beispielsweise hinsichtlich Hochverfügbarkeit, Zertifikatsmanagement, Firewall-Konfiguration, Netzwerksegmentierung und Absicherung der Server.
Benötigte Infrastruktur
Für die in dieser Anleitung beschriebenen Schritte wird folgende Testumgebung verwendet:
- Ein Windows Server 2016 mit Active Directory Domain Services (AD DS), beispielsweise mit der Domäne
intern.local. - Ein separater Windows Server 2016 für die Bereitstellung der Active Directory Federation Services (AD FS).
- Ein weiterer Windows Server 2016 für den Web Application Proxy (WAP).
- Ein Windows Server 2016 mit installiertem Internet Information Services (IIS) oder alternativ ein Microsoft Exchange Server, der den IIS bereits bereitstellt.
Ziel der Artikelserie
Nach Abschluss dieser Anleitung verfügen Sie über eine vollständige AD FS- und Web Application Proxy-Infrastruktur, mit der sich interne Webanwendungen wie SharePoint oder Microsoft Project Server sicher über das Internet veröffentlichen lassen.
Eigenes IT-Problem?
Nicht jeder Fall passt in einen Tipp
Wenn es bei Ihnen komplizierter wird, übernehmen wir das gerne direkt für Sie.
