Exchange Hybrid – Vorbereiten von Verbundservern


Exchange Hybrid - Vorbereiten von Verbundservern 01Das Vorbereiten von Verbundservern ist ein erforderlicher Schritt, bevor Sie mit dem Erstellen einer lokalen Verzeichnisverknüpfung mit Azure AD beginnen… Trotz der hervorragenden Abdeckung des Problems in der offiziellen Dokumentation garantiert niemand, dass der Prozess so verläuft, wie er sollte, wenn Sie alles persönlich einrichten. Und jetzt möchte ich Ihnen von all den Fallstricken erzählen, denen ich begegnen musste.


Wenn Sie sich für das Thema Cloud-Technologien interessieren, empfehle ich, in meinem Blog auf das Cloud-Tag zu verweisen.


Verbundserver vorbereiten

Ich plane, Azure AD Connect in Verbindung mit AD FS bereitzustellen (und dann Hybrid-Eksch zu starten, aber dies ist die nächste Stufe). Der AADC-Installationsassistent konfiguriert Ihre Verbundserverfarm automatisch. Damit dies erfolgreich ist, müssen Sie eine Reihe von vorbereitenden Aufgaben ausführen, die wir in diesem Artikel ausführen werden.

Infrastruktur

In einer minimalen Konfiguration benötigen Sie nur einen AD FS-Server und einen WAP-Proxyserver. In Zukunft können Sie zusätzliche Ressourcen bereitstellen, wenn Sie diese plötzlich benötigen. Im Moment habe ich bereits eine Infrastruktur mit allen erforderlichen Servern in der Erstkonfiguration (unmittelbar nach der Installation des Betriebssystems):

  • AD FS-Server innerhalb des LAN-Perimeters, in die Domäne eingegeben – ADFS01, bq.local (172.16.0.11);
  • Der in der DMZ befindliche WAP-Proxyserver wurde nicht in die Domäne RPX01.bq.local (10.16.0.51) eingegeben.

Auf diesen Servern werden wir alle notwendigen Aufgaben ausführen.

Eine vollständige Liste der Bedingungen für die Bereitstellung von AADC & ADFS finden Sie auf der offiziellen Website .

Anpassung

Das Setup erfolgt gemäß der offiziellen Dokumentation … Selbst wenn ich die Anweisungen auf einem frisch installierten System genau befolge, ist es mir leider nicht gelungen, die Fernbedienung des Servers zu konfigurieren (wer würde das bezweifeln). Daher entstand die Idee, diesen Artikel zu schreiben.

AD FS- und WAP-Server

Wir starten die PowerShell-Konsole mit Administratorrechten und fahren mit der Konfiguration fort. Zunächst aktivieren wir die Fernbedienung des Teams, dies muss erfolgen auf beiden Servern::

Alle folgenden Schritte müssen jedoch ausgeführt werden nur auf dem WAP-Serverwelches sich in der DMZ befindet. Stellen wir also sicher, dass der WinRM-Dienst ausgeführt wird:

Exchange Hybrid - Vorbereiten von Verbundservern 02

Und sofort konfigurieren ::

Auf die Popup-Frage antworten wir bejahend.

Exchange Hybrid - Vorbereiten von Verbundservern 03

Vergessen Sie nicht, die richtigen Ports zu öffnen zwischen WAP und Servern innerhalb des lokalen Netzwerks.

AADC Server

Damit der AADC-Server einem WAP-Server vertraut, der kein Mitglied der Domäne ist, müssen Sie den folgenden Befehl auf dem AADC in PowerShell ausführen:

Wo rpx01.bq.local – fqdn des Proxyservers.

Überprüfen wir nun die Verbindung und starten die Konsole. Lassen Sie mich die Reihenfolge der Schritte aus der offiziellen Dokumentation kopieren, auf die ich oben verwiesen habe. Im Server-Manager:

  • Fügen Sie den DMZ-WAP-Host zum Computerpool hinzu (Server-Manager -> Verwaltung -> Server hinzufügen -> DNS (Registerkarte)).
  • Klicken Sie im Server-Manager auf der Registerkarte Alle Server mit der rechten Maustaste auf den WAP-Server, wählen Sie die Option Verwalten als, und geben Sie die lokalen Anmeldeinformationen (nicht die Domäne) für den WAP-Computer ein.
  • Um Ihre PSH-Remoteverbindung zu testen, klicken Sie im Server-Manager auf der Registerkarte Alle Server mit der rechten Maustaste auf den WAP-Server und wählen Sie Windows PowerShell aus. Eine Remote-PSH-Sitzung sollte geöffnet werden, um die Fähigkeit zum Erstellen von Remote-PowerShell-Sitzungen zu testen.

Damit ist die Arbeit an den AD FS- und WAP-Servern abgeschlossen.

Zertifikat erhalten

Es ist möglich, ein selbstsigniertes Zertifikat zu verwenden. Anschließend müssen Sie es dem Trust Store auf jedem Server hinzufügen.

Ich habe Probleme mit der Zertifikatverwaltung in separaten Artikeln unter dem SSL-Zertifikat-Tag in meinem Blog behandelt (z. B. Anfordern eines IIS-Zertifikats). Wenn Sie plötzlich Fragen haben, lesen Sie diese Einträge. Im Folgenden werde ich jedoch noch auf die wichtigsten Punkte bei der Erlangung eines Zertifikats eingehen.

CSR-Anfrage

Sie können eine Anforderung auf jedem Server generieren, auf dem IIS bereits installiert ist (oder die Rolle in der minimalen Konfiguration manuell festlegen). Aufmachen Internet Information Services Manager – Serverzertifikate::

Exchange Hybrid - Vorbereiten von Verbundservern 04

Des Weiteren Zertifikatanforderung erstellen – Füllen Sie alle erforderlichen Felder aus (dann werden sie in den Eigenschaften des ausgestellten Zertifikats angezeigt):

Exchange Hybrid - Vorbereiten von Verbundservern 05

Wir speichern die Anfrage in einer Klartextdatei. Als nächstes müssen Sie es an eine kommerzielle Zertifizierungsstelle übertragen.

Hinweis: Denken Sie daran, dass es immer noch die Möglichkeit gibt, ein echtes Handelszertifikat anzufordern und es aus absolut rechtlichen Gründen innerhalb von zwei Wochen zur Zahlung zu verwenden. Nach dieser Zeit wird das Zertifikat einfach widerrufen, und Sie haben Zeit, selbst zu entscheiden, ob Sie dies wirklich benötigen.

In den nächsten Schritten müssen Sie zumindest die Tatsache des Domainbesitzes bestätigen, indem Sie einen Link zur Site und einen eindeutigen Code zu den Admin-Mail-Adressen (z. B. postmaster@domain.tld) ​​erhalten.

Zertifikat erhalten

Sobald die CSR-Anfrage an die öffentliche Zertifizierungsstelle gesendet wurde und alle Prüfungen bestanden wurden, sollten Sie eine E-Mail mit einem Archiv erhalten. Das Archiv enthält eine Reihe von Dateien, einschließlich Zertifikaten von Zwischenzentren, zum Beispiel:

Kehren Sie zum IIS-Snap-In zurück und schließen Sie die Zertifikatanforderung ab. Sie benötigen nur eine Datei (im obigen Screenshot ist dies adfs_bissquit.com.crt). Also fallen wir zurück in den Abschnitt Serverzertifikate wie in den vorherigen Kapiteln. Klicken Sie rechts Anfrage zur Installation von Zertifikaten … und geben Sie den Pfad zur Datei an (nichts, dessen Format sich von dem unterscheidet, das der Assistent benötigt):

Exchange Hybrid - Vorbereiten von Verbundservern 06

Danach können Sie direkt aus dem aktuellen Snap-In das soeben angezeigte Zertifikat dorthin exportieren, wo Sie es benötigen. Vergessen Sie nicht, ein sicheres Passwort für den privaten Schlüssel anzugeben.

Hinweis: Ähnliche Aktionen können über das Zertifikat-Snap-In mmc.exe ausgeführt werden. Stellen Sie eine Verbindung zu Ihrem Computerkonto her.

Das exportierte Zertifikat muss im PFX-Format vorliegen (andernfalls haben Sie möglicherweise vergessen, den privaten Schlüssel darin aufzunehmen). Kopieren Sie anschließend dieses Zertifikat und installieren Sie es auf beiden Verbundservern – dem WAP-Proxyserver und dem AD FS-Server.

DNS-Setup

Einer der Hauptpunkte ist das DNS-Setup. Obwohl dieser Prozess in der Dokumentation kurz behandelt wird, lassen der vage Wortlaut und die mangelnde Betonung der Bedeutung der Konfiguration viele Fragen offen. Folgendes sagen die AD FS-Voraussetzungen:

Richten Sie DNS-Einträge für den Namen des AD FS-Verbunddienstes (z. B. sts.contoso.com) sowohl für das Intranet (Ihren internen DNS-Server) als auch für das Extranet (öffentliches DNS über Ihren Domain-Registrar) ein. Stellen Sie für den Intranet-DNS-Eintrag sicher, dass Sie A-Einträge und keine CNAME-Einträge verwenden. Dies ist erforderlich, damit die Windows-Authentifizierung auf Ihrem Computer mit Domänenbeitritt ordnungsgemäß funktioniert.

Wenn Sie versuchen, die Bedeutung zu vermitteln, erhalten Sie ungefähr Folgendes: Es ist erforderlich, dass der Hauptname des Verbunddienstes (ich habe ihn adfs.bissquit.com) in die Adresse aufgelöst wird, die zum AD FS-Server führt. Für externe Clients ist dies die externe Adresse des WAP-Servers (der sich in der DMZ befindet). Bei internen Clients ist dies die Adresse des AD FS-Servers.

All dies führt zu einer nicht offensichtlichen Schlussfolgerung, dass Der WAP-Server und die Clients im LAN müssen den Namen adfs.bissquit.com in die lokale Adresse des AD FS-Servers auflösen (adfs01.bq.local). Hier ist eine schwierige Situation. Die intelligenteste Lösung für das Problem wäre die Konfiguration von Split DNS für den primären Verbundnamen.

Hinweis: Wenn Sie Probleme beim Konfigurieren von Split DNS haben, kann Ihnen mein Artikel Exchange Server und Split DNS helfen. Geschrieben für eksch, wird es zweifellos auch in anderen Fällen nützlich sein.

Wenn Sie die korrekte DNS-Namensauflösung nicht konfigurieren, kann während der Installation von Azure AD Connect der folgende Fehler auftreten:

Exchange Hybrid - Vorbereiten von Verbundservern 07

Aus der Beschreibung geht nicht hervor, dass das Problem genau im DNS liegt, und Meldungen in den Protokollen über Probleme mit WinRM leiten den Fehlerbehebungsprozess im Allgemeinen in die falsche Richtung.

Damit ist die gesamte Arbeit abgeschlossen. Sie können mit der Bereitstellung der Cloud-Integration beginnen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *