How-To-Compute

IT-Pro Blog: Anleitungen, Tipps und Tricks um euch das Leben leichter zu machen.

Netscaler | TMG Ersatz | Exchange 2016 veröffentlichung | Cheatsheet

In meinem jugendlichem Leichtsinn habe ich doch tatsächlich angenommen, ich könnte mir einfach den offiziellen Citrix Guide: Deploying NetScaler with Microsoft Exchange 2016 herunterladen, den darin enthaltenen Anweisungen folgen und hätte anschließend ein funktionierendes Setup. Leider musste ich feststellen, dass der Guide, wie so oft, unvollständig ist. Somit musste ich mir die Informationen aus verschiedenen Quellen zusammensuchen und eine ganze Weile testen, bis ich die passende Konfiguration zusammen hatte. Um euch diesen Aufwand zu ersparen, stelle ich euch am Ende des Artikels mein Cheatsheet zur Verfügung. Vorher aber erst mal ein paar Grundlagen zu meinem Setup und zur generellen veröffentlichung von Exchange über Citrix Netscaler.

Mein Setup:

Netscaler 11.1 Build 51.21.nc VPX: Basis Einstellungen wie NSIP, SNIP, NTP, DNS, etc. habe ich bereits vorgenommen. Lizenz (minimum Enterprise) sowie Zertifikate sind ebenfalls eingespielt.

Mein Exchange in der Version 2016 CU3 läuft auf Windows Server 2016.

Grundlagen:

Zum besseren Verständnis, habe ich versucht den Traffic-Flow so gut und so einfach wie möglich grafisch darzustellen.

  1. Der User verwendet seinen Browser um sich mit https://email.domain.com/owa zu verbinden. Die Anforderung wird über eine Firewall an den Content Switching vServer in der DMZ weitergeleitet.
  2. Der Contentswitching vServer ist so konfiguriert, dass er erkennt, dass es sich um eine Browsersitzung handelt und leitet die Anfrage an den dahinter liegenden Load Balancing vServer (LB-vServer-OWA) weiter.
  3. Der LB-vServer-OWA ist für Forms basend authentifizierung konfiguriert und leitet die Browsersitzung des Users um, an aaa.domain.com.
  4. Dort bekommt der User eine Anmeldemaske angezeigt in der er seine Anmeldedaten eingeben muss (hier kann natürlich auch eine Zweifaktorauthentifizierung konfiguriert werden).
  5. Nachdem der User seine korrekten Zugangsdaten eingegeben hat, wird er wieder zum LB-vServer-OWA umgeleitet, welcher ihn nun direkt zum Exchange weiterleitet. (Die SSL-Sitzung zwischen Client und Server terminiert nach wie vor auf dem Netscaler)
  6. Im gleichen Zug leitet der Netscaler die zuvor eingegebenen Zugangsdaten an OWA weiter, so dass der User direkt auf sein Postfach zugreifen kann, ohne sich erneut Anmelden zu müssen.

Wird beispielsweise Active Sync genutzt, wird der User, basierten auf der angefragten URL, in diesem Fall >>/Microsoft-Server-ActiveSync\<< auf einen anderen Load Balancing vServer umgeleitet. Dieser und alle anderen Load Balancing vServer, mit Ausnahme von OWA, verwenden 401 basierte Authentifizierung. Die Load Balancing vServer haben alle eine 0.0.0.0 IP-Adresse (non-adressable) und sind einfach nur Objekte im Netscaler, welche vom davorgeschaltetem Contentswitching vServer angesprochen werden.

Konfiguration:

  1. Netscaler Hardware oder VPX Appliance
  2. NSIP und SNIP konfiguriert
  3. Mindestens Enterprise Lizenz eingespielt
  4. Firewall ports konfiguriert, siehe Abbildung
  5. 2 öffentliche IP-Adressen, 1x Contentswitching vServer, 1x AAA vServer
  6. Öffentliche DNS Namen
  7. Ein vertrauenswürdiges SSL-Zertifikat auf dem Netscaler

Ich habe kurz darüber nachgedacht Screenshots von allen notwendigen Einstellungen im Netscaler GUI zu machen. Leider ändert Citrix das GUI, gefühlt alle 3 Monate. Somit habe ich mich auf die Kommandzeilenbefehle beschränkt. Im angehängten Cheatsheet müsst ihr die im oberen Teil angezeigten Variablen nur per Suchen und Ersetzen durch eure Werte ersetzen und das ganze schließlich in die Kommandozeile des Netscalers einfügen. ACHTUNG: Ihr solltet vorher auf jeden Fall eine Sicherung eurer Konfiguration machen!!! Die Datei ist aktuell für einen Standalone Exchange Server ausgelegt, kann aber natürlich um einen zweiten Exchange Server erweitert werden. Hier die Datei

Netscaler-Exchange2016-Veroeffentlichung

Solltet ihr irgendwelche Fehler entdecken, hinterlasst einfach einen Kommentar

Viel Spaß

Dennis

3 Comments

Add a Comment
  1. Hi ,

    super Artikel ! Bei mir funktioniert alles soweit, bis auf die Übergabe der Credentials vom AAA zur OWA-Anmeldemaske.
    Hierbei muss ich mich immer doppelt anmelden.

    Hast du eine Idee ?

    1. Stefan Wendrich

      Ist OWA für Form Based oder Windows Integrated Authentication konfiguriert? Ist eine Traffic Policy vorhanden und wird diese auch richtig angewendet ?

  2. Vielen Dank! Hat geklappt, jedoch fehlt die LDAP Policy – aber die ist ja gleich erstellt (dann evtl. das LDAP Server Objekt nicht global erstellen). Nur zur Info.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

How-To-Compute © 2017 Frontier Theme