Wozu brauche ich das?
Immer wieder erhalten wir Anfragen von Kunden, wie man am einfachsten eine SharePoint Farm auch außerhalb des Firmennetzwerks verfügbar machen kann. Früher waren dafür zum Beispiel Microsoft Threat Managment Gateway (TMG) oder Unified Access Gateway (UAG) Server als Reverse Proxy im Einsatz. Diese beiden Technologien werden aber in dieser Form nicht mehr weiterentwickelt oder supportet.
Die WebApplication Proxy (WAP) Rolle von Windows Server 2016 kann hier eine mögliche Antwort sein.
Die Idee wäre, öffentliche SharePoint Applikationen ins Internet zu veröffentlichen, ohne die SharePoint Farm selbst zu gefährden:
Die Kombination von WAP und ADFS ermöglicht eine sichere Abschirmung der eigentlichen SharePoint Infrastruktur. Der WAP Server befindet sich in einer DMZ und lässt nur per ADFS authentifizierte Benutzer weiter zur SharePoint Applikation.
Neues in 2016
SharePoint seitig ändert sich an der Authentifizierung und Anbindung an ADFS/WAP eigentlich nicht viel.
Die Windows Server 2016 WAP Rolle bietet aber einige neue Features:
- Preauthentication für HTTP Basic Protocol
- Wildcard Domain publishing (sehr Hilfreich bei der Verwendung von SharePoint Apps)
- HTTP zu HTTPS redirect
- Verbesserungen an der Administrator Console UI
How to make it work 😉
Der Schlüssel zu einer Erfolgreichen Konfiguration ist das Netzwerk Setup. Der WAP Server ist der Single Point of Contact für jeglichen Netzwerk Traffic, sowohl zu SharePoint als auch zum ADFS Server.
Dazu müssen natürlich die gleichen SSL Zertifikate am WAP Server zur Verfügung gestellt werden.
Das heisst unser WAP Server ist nun der externe Zugriffspunkt für alle intern benötigten Applikationen (SharePoint & ADFS).
Für die SharePoint Applikation ist es zwar nicht unbedingt notwendig, intern und extern den selben DNS Eintrag zu verwenden, aber es vereinfacht die Sache ungemein. Wie jeder weiss, sind Alternate Access Mappings einfach nur ein Krampf. Also der Einfachheit halber, bitte intern und extern die gleichen DNS Einträge verwenden; keep it simple.
SharePoint Application Publishen
Nachdem das Netzwerk Setup überprüft wurde (ping/nslookup) können die SSL Zertifikate am WAP 2016 Server installiert werden. Danach einfach die Web Application Proxy Rolle installieren und den ADFS Endpunkt konfigurieren.
Danach nur noch die SharePoint Web Application veröffentlichen, in etwa so 🙂
… und das wars auch schon. Nun greifen alle Clients über den WAP Server auf die SharePoint Applikation zu.
Wie immer versuche ich in diesem Blog nicht zu sehr ins technische Detail zu gehen, hoffe aber einen guten Überblick geschaffen zu haben. Für detailiertere Informationen können Sie mich gerne kontaktieren 🙂