So migrieren Sie Ihren F5 BIG-IP Exchange Service mit Edge Security Pack zu Kemp

Veröffentlicht am

Heute geben wir Ihnen eine technische Anleitung, wie Sie Ihren F5 BIG-IP Exchange Virtual Server mit dem Access Policy Manager (APM) von F5 auf einen Kemp Exchange Virtual Service mit dem Edge Security Pack (ESP) von Kemp migrieren können. Dies ist ein wertvoller technischer Leitfaden, wenn Sie derzeit F5 BIG-IP-Produkte verwenden und sich für die Migration eines erweiterten Dienstes mit iRules und erweiterten Modulen wie APM interessieren. In diesem Walk-Through verwenden wir unseren Exchange OWA-Dienst mit formularbasierter Client-Seite und formularbasierter Server-Seite.

Anforderungen an Architektur/Design

  • Microsoft Exchange-Backend mit OWA, das für "Formularbasiert" konfiguriert ist
  • Kemp LoadMaster Load Balancer mit Enterprise- oder Enterprise Plus-Supportpaket (oder Probephase Lizenz)

Terminologie

F5 verwendet unterschiedliche Begriffe für einige Funktionen und Technologien.  Unten ist ein Diagramm, das die F5-Begriffe mit dem abbildet, was in der Kemp-Dokumentation verwendet wird.

F5Kemp
Virtual ServersVirtual Services 
iApp Template 
SSL-ProfileSSL-Acceleration 
iRulesContent Rules 
MonitorsHealth Checks 
APM ASW
Server Pool Sub Virtual Service

Template

Kemp bietet eine Exchange-Konfigurationsvorlage, die mit allen erforderlichen Konfigurationsparametern vorkonfiguriert ist.  Dies erleichtert die Kemp-Konfiguration, da nur die kundenspezifischen Informationen angegeben werden müssen (IP-Adressen, Servernamen usw.). Um unsere beliebten Anwendungsvorlagen herunterzuladen, navigieren Sie bitte hier. Wählen Sie die entsprechende Vorlage je nach Ihrer Exchange-Version aus. In diesem Fall haben wir Exchange 2016 gewählt.

Navigieren Sie auf dem Kemp-Load-Balancer zum Importieren der Vorlage im linken Menü zu Virtuelle Dienste > Vorlagen > Durchsuchen > Importieren.

A screenshot of a social media postDescription automatically generated

Exportieren Ihrer F5 SSL-Zertifikate

Navigieren Sie auf Ihrer F5 BIG-IP zu: System > Certificate Management > Traffic Certificate Management > SSL-Zertifikatsliste > Archiv.

A screenshot of a social media postDescription automatically generated

Wählen Sie Zertifikate > Archiv generieren & herunterladen

A screenshot of a social media postDescription automatically generated

Mit dieser Aktion wird eine ZIP-Datei mit Ihre Zertifikate und Schlüssel.  Die entpackte Datei enthält 2 Ordner, "ssl.crt" & "ssl.key".

  • Benennen Sie Dateien in "ssl.crt" um, indem Sie der Datei ".crt" hinzufügen Namen.
  • Benennen Sie Dateien in "ssl.key" um, indem Sie der Datei ".key" hinzufügen Namen.

Importieren Ihres F5 SSL-Zertifikats

Navigieren Sie auf Ihrem LoadMaster zu Zertifikate & Sicherheit > Importzertifikat.

A screenshot of a cell phoneDescription automatically generated

Wählen Sie für die Zertifikatsdatei Ihre .crt-Datei und für die Schlüsseldatei Ihre .key-Datei. Ein Passwort ist nicht erforderlich, es sei denn, Sie importieren ein PFX-Zertifikat.

iRules im Vergleich zu Inhaltsregeln

Sowohl F5 als auch Kemp können den Datenverkehr anhand der HTTP-URL zu einem bestimmten Exchange-Pool leiten. F5 erreicht dies mit iRules, während Kemp Content Rules verwendet, die einem Sub VS zugewiesen werden.

OWA iRulewhen HTTP_REQUEST { switch -glob — [string tolower [HTTP::p ath]] {                             "/owa*"                         pool /Common/Exchange2016.app/Exchange2016_owa_pool3              return } Diese Funktion kann auf Kemp leicht erreicht werden, indem eine einfache Content-Switching-Regel erstellt wird.

A screenshot of a cell phoneDescription automatically generated

Alle Regeln für Exchange-Inhalte sind Teil von der Vorlage und sind bereits jedem Exchange-Pool zugeordnet, z. B. OWA & ECP.

  • Weitere Informationen zu Inhaltsregeln finden Sie hier.
  • Die F5 iRule Conversion KB finden Sie hier.

Konfiguration des virtuellen Dienstes

Navigieren Sie zu Virtual Services > Hinzufügen Neu > IP- >Benutzervorlage hinzufügen > Exchange 2016 auswählen HTTPs mit ESP neu verschlüsselt.

A screenshot of a cell phoneDescription automatically generated

Hinzufügen von echten Servern zu Sub VSNavigieren Sie zu Virtuelle Dienste > Ändern Sie Sub-VS > Real-Server > Real-Server hinzufügen. Aktivieren Sie "Zu allen SubVS hinzufügen". Dadurch wird Ihr Server allen Exchange Sub VS wie OWA & ECP hinzugefügt.

A screenshot of a social media postDescription automatically generated

F5 APM-Richtlinie & Kemp SSO-Manager

In der F5-Umgebung konfigurieren Sie ein Authentifizierungs-SSO-Profil, das mit Ihrem virtuellen Server verknüpft wird. Kemp verwendet eine ähnliche Logik, bei der Sie ein Single Sign On-Profil erstellen und es mit Ihrem Virtual Service oder Sub VS verknüpfen.

Übersicht über ESP High Level

LDAP-Endpunkt erstellen

Zertifikate & Sicherheit > LDAP Konfiguration > Hinzufügen eines neuen LDAP-Endpunkts

A screenshot of a cell phoneDescription automatically generated

SSO-Profil erstellen

Navigieren Sie zu Virtual Services > Manage SSO-> Neue clientseitige Konfiguration hinzufügen

A screenshot of a cell phoneDescription automatically generated

Zuordnen des SSO-Profils zu Sub-VS

Navigieren Sie zu Virtual Services > Modify > LM_auth Sub VS und OWA Sub VS und weisen Sie Ihrem zuvor erstellten SSO-Profil "kemptest.com" zu. Außerdem müssen Sie Ihren virtuellen Host für Ihren FQDN konfigurieren. z.B. "mail.kemptest.com".

A screenshot of a cell phoneDescription automatically generated

Abschließen und Testen der Migration

Sobald dies abgeschlossen ist, sollten Sie in der Lage sein, mit Ihrem Exchange-Client eine Verbindung zu dem neu erstellten virtuellen Dienst herzustellen und auf den Dienst auf dem Kemp-Load-Balancer zuzugreifen, wie Sie es mit Ihrem F5 BIG-IP-Load-Balancer getan haben. Die gesamte F5-Funktionalität wurde auf die Kemp-Lösung migriert und bietet eine optimale Anwendungserfahrung (AX).

Erweiterte Konfiguration

Wenn Sie eine Multi-Faktor-Authentifizierungslösung (MFA) implementieren möchten, lesen Sie bitte diesen Blog. Weitere Informationen zu bestimmten ESP-Austauschoptionen finden Sie in diesem Knowledge Base-Artikel.

Um mehr zu erfahren, empfehlen wir die Lektüre dieses Blogbeitrags zu Exchange: Load Balancing Microsoft Exchange Server 2019. Weitere Informationen zum Migrieren von F5 iRules zu LoadMaster finden Sie hier.

Veröffentlicht am

Darren Morrissey

Darren ist Enterprise Engineer in Kemp, hat einen Abschluss mit Auszeichnung in Computernetzwerken und Systemmanagement und lebt in Limerick, Irland. Darren ist ein Experte für Front-End-Authentifizierungsprotokolle und hat einen Hintergrund in Cloud Computing, Windows Server und Cisco-Netzwerken. Darrens Schwerpunkt liegt auf der Unterstützung von Unternehmenskunden bei der Fehlerbehebung und der Bereitstellung von Lösungen für komplexe Probleme auf Netzwerk- und Anwendungsebene.