Heute geben wir Ihnen eine technische Anleitung, wie Sie Ihren F5 BIG-IP Exchange Virtual Server mit dem Access Policy Manager (APM) von F5 auf einen Kemp Exchange Virtual Service mit dem Edge Security Pack (ESP) von Kemp migrieren können. Dies ist ein wertvoller technischer Leitfaden, wenn Sie derzeit F5 BIG-IP-Produkte verwenden und sich für die Migration eines erweiterten Dienstes mit iRules und erweiterten Modulen wie APM interessieren. In diesem Walk-Through verwenden wir unseren Exchange OWA-Dienst mit formularbasierter Client-Seite und formularbasierter Server-Seite.
Anforderungen an Architektur/Design
- Microsoft Exchange-Backend mit OWA, das für "Formularbasiert" konfiguriert ist
- Kemp LoadMaster Load Balancer mit Enterprise- oder Enterprise Plus-Supportpaket (oder Probephase Lizenz)
Terminologie
F5 verwendet unterschiedliche Begriffe für einige Funktionen und Technologien. Unten ist ein Diagramm, das die F5-Begriffe mit dem abbildet, was in der Kemp-Dokumentation verwendet wird.
| F5 | Kemp |
| Virtual Servers | Virtual Services |
| iApp | Template |
| SSL-Profile | SSL-Acceleration |
| iRules | Content Rules |
| Monitors | Health Checks |
| APM | ASW |
| Server Pool | Sub Virtual Service |
Template
Kemp bietet eine Exchange-Konfigurationsvorlage, die mit allen erforderlichen Konfigurationsparametern vorkonfiguriert ist. Dies erleichtert die Kemp-Konfiguration, da nur die kundenspezifischen Informationen angegeben werden müssen (IP-Adressen, Servernamen usw.). Um unsere beliebten Anwendungsvorlagen herunterzuladen, navigieren Sie bitte hier. Wählen Sie die entsprechende Vorlage je nach Ihrer Exchange-Version aus. In diesem Fall haben wir Exchange 2016 gewählt.
Navigieren Sie auf dem Kemp-Load-Balancer zum Importieren der Vorlage im linken Menü zu Virtuelle Dienste > Vorlagen > Durchsuchen > Importieren.
Exportieren Ihrer F5 SSL-Zertifikate
Navigieren Sie auf Ihrer F5 BIG-IP zu: System > Certificate Management > Traffic Certificate Management > SSL-Zertifikatsliste > Archiv.
Wählen Sie Zertifikate > Archiv generieren & herunterladen
Mit dieser Aktion wird eine ZIP-Datei mit Ihre Zertifikate und Schlüssel. Die entpackte Datei enthält 2 Ordner, "ssl.crt" & "ssl.key".
- Benennen Sie Dateien in "ssl.crt" um, indem Sie der Datei ".crt" hinzufügen Namen.
- Benennen Sie Dateien in "ssl.key" um, indem Sie der Datei ".key" hinzufügen Namen.
Importieren Ihres F5 SSL-Zertifikats
Navigieren Sie auf Ihrem LoadMaster zu Zertifikate & Sicherheit > Importzertifikat.
Wählen Sie für die Zertifikatsdatei Ihre .crt-Datei und für die Schlüsseldatei Ihre .key-Datei. Ein Passwort ist nicht erforderlich, es sei denn, Sie importieren ein PFX-Zertifikat.
iRules im Vergleich zu Inhaltsregeln
Sowohl F5 als auch Kemp können den Datenverkehr anhand der HTTP-URL zu einem bestimmten Exchange-Pool leiten. F5 erreicht dies mit iRules, während Kemp Content Rules verwendet, die einem Sub VS zugewiesen werden.
OWA iRulewhen HTTP_REQUEST { switch -glob — [string tolower [HTTP::p ath]] { "/owa*" pool /Common/Exchange2016.app/Exchange2016_owa_pool3 return } Diese Funktion kann auf Kemp leicht erreicht werden, indem eine einfache Content-Switching-Regel erstellt wird.
Alle Regeln für Exchange-Inhalte sind Teil von der Vorlage und sind bereits jedem Exchange-Pool zugeordnet, z. B. OWA & ECP.
Konfiguration des virtuellen Dienstes
Navigieren Sie zu Virtual Services > Hinzufügen Neu > IP- >Benutzervorlage hinzufügen > Exchange 2016 auswählen HTTPs mit ESP neu verschlüsselt.
Hinzufügen von echten Servern zu Sub VSNavigieren Sie zu Virtuelle Dienste > Ändern Sie Sub-VS > Real-Server > Real-Server hinzufügen. Aktivieren Sie "Zu allen SubVS hinzufügen". Dadurch wird Ihr Server allen Exchange Sub VS wie OWA & ECP hinzugefügt.
F5 APM-Richtlinie & Kemp SSO-Manager
In der F5-Umgebung konfigurieren Sie ein Authentifizierungs-SSO-Profil, das mit Ihrem virtuellen Server verknüpft wird. Kemp verwendet eine ähnliche Logik, bei der Sie ein Single Sign On-Profil erstellen und es mit Ihrem Virtual Service oder Sub VS verknüpfen.
Übersicht über ESP High Level
LDAP-Endpunkt erstellen
Zertifikate & Sicherheit > LDAP Konfiguration > Hinzufügen eines neuen LDAP-Endpunkts
SSO-Profil erstellen
Navigieren Sie zu Virtual Services > Manage SSO-> Neue clientseitige Konfiguration hinzufügen
Zuordnen des SSO-Profils zu Sub-VS
Navigieren Sie zu Virtual Services > Modify > LM_auth Sub VS und OWA Sub VS und weisen Sie Ihrem zuvor erstellten SSO-Profil "kemptest.com" zu. Außerdem müssen Sie Ihren virtuellen Host für Ihren FQDN konfigurieren. z.B. "mail.kemptest.com".
Abschließen und Testen der Migration
Sobald dies abgeschlossen ist, sollten Sie in der Lage sein, mit Ihrem Exchange-Client eine Verbindung zu dem neu erstellten virtuellen Dienst herzustellen und auf den Dienst auf dem Kemp-Load-Balancer zuzugreifen, wie Sie es mit Ihrem F5 BIG-IP-Load-Balancer getan haben. Die gesamte F5-Funktionalität wurde auf die Kemp-Lösung migriert und bietet eine optimale Anwendungserfahrung (AX).
Erweiterte Konfiguration
Wenn Sie eine Multi-Faktor-Authentifizierungslösung (MFA) implementieren möchten, lesen Sie bitte diesen Blog. Weitere Informationen zu bestimmten ESP-Austauschoptionen finden Sie in diesem Knowledge Base-Artikel.
Um mehr zu erfahren, empfehlen wir die Lektüre dieses Blogbeitrags zu Exchange: Load Balancing Microsoft Exchange Server 2019. Weitere Informationen zum Migrieren von F5 iRules zu LoadMaster finden Sie hier.
