過去若想要防護遠端連線Exchange Server的安全,必須整合ISA Server、TMG或是UAG之類的解決方案,但這些方案到了2010年便沒有再推出新的版本,這對於導入新版本Exchange Server 2013而想要部署高度安全性遠端存取架構的IT人員來說,該怎麼辦呢?對此,本文將介紹如何使用絕佳的替代方案Web Application Proxy技術來解決這項棘手的安全問題。
在如圖15所示的「指定服務帳戶」頁面中,倘若使用傳統的設定方式,也就是將網域管理員的帳戶直接當作服務帳戶,將會出現群組受管理的服務帳戶無法使用的提示訊息。因此,驗證確定的設定方式,應是將前面所建立好的AD FS專屬服務帳戶(ADFSManaged)選取進來即可。
 |
| ▲圖15 指定服務帳戶。 |
若如圖16所示出現「指定服務帳戶」警示訊息,則是因為在上一步驟中點選「顯示較多的項目」連結所開啟。在此,系統也告知了建立KDS根金鑰的方法。
 |
| ▲圖16 出現KDS金鑰錯誤訊息。 |
切換至「指定設定資料庫」頁面後,須決定AD FS資料庫所要連接使用的SQL Server。在預設的狀態下,會自動在相同的本機系統內安裝簡易版的Windows內建資料庫服務。
倘若在現行的網域中有可用的SQL Server主機與執行個體,也可以考慮在此設定連線的主機與帳戶資訊,讓ADFS的資料庫直接建立在現有的SQL Server伺服器中。
當所指定的SQL Server執行個體中已經存有AD FS的資料庫時,將會出現如圖17所示的「確認覆寫」頁面,這應該是曾經安裝過AD FS伺服器所導致的,此時勾選「覆寫現有的AD FS設定資料庫資料」項目,再按下〔下一步〕按鈕繼續。
 |
| ▲圖17 顯示可能錯誤的訊息。 |
隨後來到「先決條件檢查」頁面內,基本上如果沒有出現警告或錯誤訊息,即表示前面的設定是沒有問題的,按下〔設定〕按鈕繼續。
在最後的結果頁面中,如果出現了設定SPN的錯訊息,代表可能曾經在其他服務帳戶中使用過相同的SPN設定,不過這沒有關係,因為後續仍然可以透過setspn命令工具或ADSI編輯器來查詢、新增或刪除SPN設定。
TOP 5:安裝Web Application Proxy伺服器
Windows Server 2012 R2中的遠端存取管理主控台,已經將最新版本的DirectAccess、傳統VPN服務、Web Application Proxy整合在一起管理。
其中的Web Application Proxy便可以讓企業內HTTP與HTTPS的網站應用程式,透過它來安全發佈到網際網路,讓外部的用戶端必須透過此代理伺服器的連線,才能夠存取所發佈的企業網站。在進一步整合AD FS的預先驗證機制之下,讓存取權限的控管更加安全與可靠。
接下來,將安裝Web Application Proxy伺服器角色。先在「伺服器管理員」介面內點選「新增角色及功能」,來到「選取伺服器角色」頁面後,唯一勾選「遠端存取」繼續。
如圖18所示,在「角色服務」頁面中有「DirectAccess與VPN (RAS)」、「Web Application Proxy」、「路由」三種遠端存取服務可以選取。「路由」服務很適合使用在中小企業內部網路中兩網段之間的路由連線。這裡將只勾選「Web Application Proxy」,然後按下〔下一步〕按鈕繼續。
 |
| ▲圖18 選取角色服務。 |
請注意,勾選「Web Application Proxy」服務項目時,可能會出現如圖19所示的提示訊息,代表這些功能是此服務安裝的必要項目,按一下〔新增功能〕按鈕即可。
 |
| ▲圖19 所需功能程式清單。 |
在「確認安裝選項」頁面中,一旦確認所安裝的角色服務與功能無誤之後,就按下〔安裝〕按鈕。
圖20所示的「安裝進度」頁面便是成功完成Web Application Proxy角色服務安裝後的結果頁面。還可以進一步點選「開啟Web應用程式Proxy精靈」連結,完成此服務相關的必要組態配置,或者先按下〔關閉〕按鈕,等到之後有空再透過「伺服器管理員」介面來繼續完成設定也可以。
 |
| ▲圖20 完成基本安裝程序。 |