過去若想要防護遠端連線Exchange Server的安全,必須整合ISA Server、TMG或是UAG之類的解決方案,但這些方案到了2010年便沒有再推出新的版本,這對於導入新版本Exchange Server 2013而想要部署高度安全性遠端存取架構的IT人員來說,該怎麼辦呢?對此,本文將介紹如何使用絕佳的替代方案Web Application Proxy技術來解決這項棘手的安全問題。
TOP 3:如何安裝AD FS伺服器
準備好AD FS伺服器服務所需的Web憑證,以及建立好其專屬使用的服務帳戶之後,便可以開始在這部主機上安裝設定Windows Server 2012 R2版本的AD FS(Ver 3.0)伺服器角色。
在「伺服器管理員」介面中,點選開啟「新增角色及功能」連結。來到如圖9所示的「選取目的地伺服器」頁面後,確認已選擇AD FS伺服器,然後按一下〔下一步〕按鈕。
|
▲圖9 選取目的地伺服器。 |
接著,在「選取伺服器角色」頁面內唯一勾選「Active Directory Federation Services」角色,並按下〔下一步〕按鈕。進入如圖10所示的「確認」頁面後,再次確認即將安裝的伺服器角色是否無誤,然後按下〔安裝〕按鈕。
|
▲圖10 確認安裝選項。 |
圖11所示是完成AD FS伺服器角色基本安裝後的結果頁面。想要讓AD FS服務正常運作,還必須進一步完成提示連結中的設定程序才行。不過,這裡也可以按下〔關閉〕按鈕,後續再安排時間來做設定。
|
▲圖11 完成基本安裝。 |
TOP 4:如何快速完成AD FS服務基本設定
完成AD FS伺服器角色安裝之後,除了可直接經由結果頁面中的「設定此伺服器上的Federation Service」連結來開啟設定精靈外,也可以事後從「伺服器管理員」介面內的驚嘆號提示訊息中來開啟。
如圖12所示,此為AD FS設定精靈的顯示頁面,系統會先提示執行此設定的先決條件,基本上必須以網域管理員群組(Domain Admins)成員角色的身分登入,並且已經準備好AD FS服務專屬的伺服器憑證。
|
▲圖12 AD FS設定精靈。 |
在確認已點取「在同盟伺服器陣列中建立第一部同盟伺服器」項目後,按下〔下一步〕按鈕繼續。
如果目前所登入的網域帳戶並非網域系統管理員的身分,如圖13所示,只要在「連線到AD DS」頁面內按下〔變更〕按鈕並通過身分驗證,即可立即使用指定的網域系統管理員帳戶來完成後續的設定。
|
▲圖13 設定連線網域帳戶。 |
如圖14所示,在「指定服務內容」頁面內,先從「SSL憑證」下拉選單中選擇預先在本機伺服器中所註冊的Web伺服器憑證。完成憑證的選取之後,將會自動顯示同盟服務的名稱。
|
▲圖14 設定服務內容。 |
至於同盟服務的顯示名稱,可以輸入自訂的中文名稱,而這個顯示名稱後續也將會出現在預先驗證的網頁中。關於顯示名稱的設定,之後仍然可以到AD FS管理介面內做修改。