過去若想要防護遠端連線Exchange Server的安全,必須整合ISA Server、TMG或是UAG之類的解決方案,但這些方案到了2010年便沒有再推出新的版本,這對於導入新版本Exchange Server 2013而想要部署高度安全性遠端存取架構的IT人員來說,該怎麼辦呢?對此,本文將介紹如何使用絕佳的替代方案Web Application Proxy技術來解決這項棘手的安全問題。
TOP 6:如何正確設定Web Application Proxy基本組態
完成Web Application Proxy角色服務的基本安裝之後,如果沒有在第一時間選擇「開啟Web應用程式Proxy精靈」來繼續完成設定,此時便可以在「伺服器管理員」介面中,如圖21所示透過驚嘆號圖示的下拉選單來點選開啟此設定精靈繼續。
|
▲圖21 檢視待處理項目。 |
開啟「Web Application Proxy設定精靈」頁面後,切換到如圖22所示的「同盟伺服器」設定頁面,在「Federation Service名稱」欄位中輸入ADFS完整網域連線位址,並輸入網域管理員的帳戶及密碼。最後,按下〔下一步〕按鈕繼續。
|
▲圖22 設定同盟伺服器連線。 |
如圖23所示,在「AD FS Proxy憑證」頁面內,必須選取已預先安裝好的伺服器憑證。在此筆者為了讓它方便與後續其他的服務進行安全信任的連線,因此在當初憑證的一般名稱設定上使用了萬用字元。若要檢查憑證的完整資訊,可以按一下〔檢視〕按鈕,否則就點按〔下一步〕按鈕繼續。
|
▲圖23 選取AD FS Proxy憑證。 |
在如圖24所示的「確認」頁面中,可以看到系統即將在背景執行的PowerShell命令,此命令語法就是用來完成此組態配置的完整命令,可以將其複製起來,未來如果有其他Web Application Proxy需要設定,只要修改此命令中的參數設定,然後再開啟PowerShell命令視窗來執行即可,就不必再開啟此精靈介面了。
|
▲圖24 確認設定。 |
TOP 7:如何設定Web Application Proxy的SPN值
服務主要名稱(Service Principal Name,SPN)的設定值,是決定Web Application Proxy伺服器能否與ADFS伺服器成功整合的重要關鍵。設定Web Application Proxy伺服器的SPN值方式有很多種,這裡以透過ADSI編輯器的方式來做示範。
如圖25所示,開啟ADSI編輯器,然後建立一個新的連線設定。基本上,只要直接按下〔確定〕按鈕,即可立刻讓目前已連線的網域控制站(DC)完成連線作業。
|
▲圖25 ADSI編輯器連線設定。 |
緊接著找到Web Application Proxy電腦的物件,如圖26所示按一下滑鼠右鍵,並點選快速選單中的【內容】。
|
▲圖26 開啟AD物件內容。 |
緊接著,在「屬性編輯器」頁面中尋找一個名為「servicePrincipalName」的項目,加以選取後再按下〔編輯〕按鈕。
如圖27所示,將出現一個「多重字串值編輯器」視窗,顯示目前已存在的所有設定值,可以在此隨時新增或移除,但務必記得以「HTTP/」為字首的Web Application Proxy電腦名稱及完整的網域名稱(FQDN),例如「HTTP/webproxy」、「HTTP/webproxy.lab01.com」都必須存在。
|
▲圖27 多重字串值編輯器。 |
完成Web Application Proxy的SPN設定之後,接著設定將後續所有要發佈的伺服器服務一一加入,成為Web Application Proxy伺服器所信任的電腦與服務。