close
beitragsbild-time-for-success-1800×1200
Wozu brauche ich das?

Immer wieder erhalten wir Anfragen von Kunden, wie man am einfachsten eine SharePoint Farm auch außerhalb des Firmennetzwerks verfügbar machen kann.  Früher waren dafür zum Beispiel Microsoft Threat Managment Gateway (TMG) oder Unified Access Gateway (UAG) Server als Reverse Proxy im Einsatz. Diese beiden Technologien werden aber in dieser Form nicht mehr weiterentwickelt oder supportet.

Die WebApplication Proxy (WAP) Rolle von Windows Server 2016 kann hier eine mögliche Antwort sein.

Die Idee wäre, öffentliche SharePoint Applikationen ins Internet zu veröffentlichen, ohne die SharePoint Farm selbst zu gefährden:

Die Kombination von WAP und ADFS ermöglicht eine sichere Abschirmung der eigentlichen SharePoint Infrastruktur. Der WAP Server befindet sich in einer DMZ und lässt nur per ADFS authentifizierte Benutzer weiter zur SharePoint Applikation.

Neues in 2016

SharePoint seitig ändert sich an der Authentifizierung und Anbindung an ADFS/WAP eigentlich nicht viel.

Die Windows Server 2016 WAP Rolle bietet aber einige neue Features:

  • Preauthentication für HTTP Basic Protocol
  • Wildcard Domain publishing (sehr Hilfreich bei der Verwendung von SharePoint Apps)
  • HTTP zu HTTPS redirect
  • Verbesserungen an der Administrator Console UI
How to make it work 😉

Der Schlüssel zu einer Erfolgreichen Konfiguration ist das Netzwerk Setup. Der WAP Server ist der Single Point of Contact für jeglichen Netzwerk Traffic, sowohl zu SharePoint als auch zum ADFS Server.

Dazu müssen natürlich die gleichen SSL Zertifikate am WAP Server zur Verfügung gestellt werden.

Das heisst unser WAP Server ist nun der externe Zugriffspunkt für alle intern benötigten Applikationen (SharePoint & ADFS).

Für die SharePoint Applikation ist es zwar nicht unbedingt notwendig, intern und extern den selben DNS Eintrag zu verwenden, aber es vereinfacht die Sache ungemein. Wie jeder weiss, sind Alternate Access Mappings einfach nur ein Krampf. Also der Einfachheit halber, bitte intern und extern die gleichen DNS Einträge verwenden; keep it simple.

SharePoint Application Publishen

Nachdem das Netzwerk Setup überprüft wurde (ping/nslookup) können die SSL Zertifikate am WAP 2016 Server installiert werden. Danach einfach die Web Application Proxy Rolle installieren und den ADFS Endpunkt konfigurieren.

Danach nur noch die SharePoint Web Application veröffentlichen, in etwa so 🙂

… und das wars auch schon. Nun greifen alle Clients über den WAP Server auf die SharePoint Applikation zu.

 

Wie immer versuche ich in diesem Blog nicht zu sehr ins technische Detail zu gehen, hoffe aber einen guten Überblick geschaffen zu haben. Für detailiertere Informationen können Sie mich gerne kontaktieren 🙂

 

 

Tags : AuthenticationSharePoint 2016WAP
Ernst Hanke

The author Ernst Hanke

Ernst Hanke ist als SharePoint Architekt tätig und hat bereits mehr als 10 Jahre Berufserfahrung in der IT-Administration sowie 6 Jahre in der Betreuung und Administration von SharePoint Umgebungen. Heute beschäftigt er sich ausschließlich mit den Microsoft SharePoint Technologien. Ernst berät dabei in seiner Rolle als Architekt zahlreiche österreichische Mittelstands- sowie Großkunden beim Einsatz von SharePoint & Nintex Lösungen. Seine Spezialitäten sind SharePoint Infrastrukturen und Architekturen im hybriden Enterprise Umfeld, also Lösungen von SharePoint Server 2016 On-Premises über Office 365 SharePoint Online und Microsoft Azure IaaS sowie deren kombinierten Einsatzmöglichkeiten. Hier lebt er ganz für seine Rolle als Architekt.

Leave a Response