none
Reverse Proxy mit ADFS unter Web Application Proxy 2012 R2 RRS feed

  • Frage

  • Hallo zusammen,

    ich möchte unseren SharePoint 2013 Server über den WAP mit ADFS Authentifizierung anbinden. Wenn ich die Seite externe aufrufe, komme ich bis auf den ADFS Server, dieser meldet aber sofort einen Fehler.

    ich habe folgenden IST Zustand.

    - 2 bestehende ADFS Server, die über einen Loadbalancer HA sind. Der FQDN ist sowohl intern als auch extern verfügbar (fs.domain.de)

    - 1 WAP, der mit dem ADFS Server verbunden ist (Laut Eventlog auch immer erfolgreich)
       -2 NICs (DMZ und internes Netzs)
       - ADFS und SharePoint sind über einen Host Eintrag auf die interne IP bekannt.

    Im SharePoint habe ich Kerberos aktiviert und den SPN des entsprechenden Dienstekontos gesetzt. HTTP/Intranet.domain.de und HTTP/Intranet.

    Über den ADFS habe ich eine Non-Claims-Aware Relying Party Trust eingerichtet. Als Identifier habe ich https://fs.domain.de/adfs/services/sharepoint gewählt.

    Im AD habe ich dann dem Computeraccount auch den SPN HTTP/Intranet.domain.de und HTTP/Intranet gesetzt.

    Im WAP habe ich dann eine Veröffentlichung mit ADFS Anbindung erstellt. Als SPN habe ich den HTTP/Intranet.domain.de gesetzt. Die Veröffentlichung wurde dann erfolgreich gesetzt.

    Wenn ich auf die ADFS Seite umgeleitet werde, sehe ich im Eventlog den Fehler 511 und 364. Der übergebene Identifier, den ich in der URI sehe, passt nicht zu dem Identifier den ich im ADFS hinterlegt habe.

    Wo habe ich jetzt den Knoten im Kopf?

    Stefan

    Dienstag, 1. März 2016 13:34

Antworten

  • Hallo Stefan,

    der Web Application Proxy Server übernimmt automatisch auch die Rolle ein ADFS Proxys. Damit das Ganze funktioniert, müssen alle ADFS Requests über den ADFS Proxy/WAP laufen. Das heißt intern und extern, sollte der fs.domain.de auf die IP Addresse/n der WAP Server zeigen und nicht auf die IP Addresse des ADFS Servers direkt.

    Mein Tipp: Probiert das Ganze mal aus mithilfe eines Test Clients in dem Ihr die Windows HOSTS Datei (C:\Windows\System32\Drivers\etc\hosts) anpasst und die IP Adresse des WAP Servers anstatt des ADFS Servers für fs.domain.de einträgt.

    Viele Grüße
    Andrei

    • Als Antwort markiert Stefan BGV Montag, 7. März 2016 10:19
    Donnerstag, 3. März 2016 16:08

Alle Antworten

  • Hallo Stefan BGV,

    da das Thema inhaltlich besser in das Forum "SharePoint" passt, werde ich es dorthin verschieben. Vielleicht hat da ja schon jemand mit mehr Erfahrung. 

    Gruß

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 2. März 2016 09:31
    Moderator
  • Hi,

    vergleiche deine Konfig mal mit folgender Anleitung:

    http://blogs.msdn.com/b/sambetts/archive/2014/12/10/publishing-sharepoint-with-windows-server-2012-r2-web-application-proxy.aspx

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Mittwoch, 2. März 2016 10:10
  • Hallo Stefan,

    der Web Application Proxy Server übernimmt automatisch auch die Rolle ein ADFS Proxys. Damit das Ganze funktioniert, müssen alle ADFS Requests über den ADFS Proxy/WAP laufen. Das heißt intern und extern, sollte der fs.domain.de auf die IP Addresse/n der WAP Server zeigen und nicht auf die IP Addresse des ADFS Servers direkt.

    Mein Tipp: Probiert das Ganze mal aus mithilfe eines Test Clients in dem Ihr die Windows HOSTS Datei (C:\Windows\System32\Drivers\etc\hosts) anpasst und die IP Adresse des WAP Servers anstatt des ADFS Servers für fs.domain.de einträgt.

    Viele Grüße
    Andrei

    • Als Antwort markiert Stefan BGV Montag, 7. März 2016 10:19
    Donnerstag, 3. März 2016 16:08