Neustále sa zoznámime s novými funkciami systému Windows Server 2012 R2. Skôr sme hovorili o firemnom náprotivku DropBox v systéme Windows Server 2012 R2 s názvom Work Folders. Dnes budeme hovoriť o ďalšej inovácii novej serverovej platformy - funkcií Proxy webových aplikácií. Web Application Proxy je nová funkcia role Vzdialený prístup v systéme Windows 2012 R2, ktorý umožňuje publikovanie aplikácií HTTP / HTTPS umiestnených na okraji podnikovej siete na klientskych zariadeniach (predovšetkým mobilných zariadeniach) mimo jeho obvodu. Vzhľadom na možnosť integrácie s AD FS (služba môže fungovať ako proxy ADFS), je možné zabezpečiť autentizáciu externých používateľov, ktorí sa snažia o prístup k publikovaným aplikáciám.
Web Application Proxy poskytuje rovnaké možnosti publikovania aplikácií ako Forefront Unified Access Gateway (UAG), ale táto služba vám tiež umožňuje interakciu s inými servermi a službami, čím poskytuje flexibilnejšiu a efektívnejšiu konfiguráciu..
Funkcia Web Application Proxy v podstate vykonáva túto funkciu reverzný reverzný proxy, organizovanie prenosu požiadaviek klientov z externej siete na interný server a je bránou firewall na aplikačnej úrovni.
Server so službou Web Application Proxy prijíma externý prenos HTTP / HTTPS a ukončí ho, po ktorom v jeho mene iniciuje nové pripojenie k internej aplikácii (webový server). tj Externí používatelia nemajú priamy prístup k internej aplikácii. Akákoľvek iná prevádzka prijatá serverom proxy webových aplikácií je odmietnutá (vrátane požiadaviek HTTP / HTTPS, ktoré možno použiť pri útokoch DoS, SSL a 0-dňové, je zamietnutých).
Požiadavky organizácie Web Application Proxy a kľúčové vlastnosti:
- Systém je možné nasadiť na servery so systémom Windows Server 2012 R2 zahrnutým v doméne Active Directory s úlohami AD FS a Proxy webových aplikácií. Tieto roly musia byť nainštalované na rôznych serveroch..
- Schému Active Directory musíte inovovať na systém Windows Server 2012 R2 (nemusíte inovovať radiče domény na systém Windows Server 2012 R2).
- Ako klientske zariadenia sú podporované zariadenia so systémom Windows OS, IOS (iPad a iPhone). Práca na klientoch pre Android a Windows Phone ešte nebola dokončená
- Autentifikáciu klienta vykonáva služba Active Directory Federation Services (ADFS), ktorá tiež funguje ako proxy server ADFS..
- Na obrázku je znázornené typické usporiadanie servera s úlohou Web Application Proxy. Tento server je umiestnený vo vyhradenej zóne DMZ a je oddelený od externej (internet) a vnútornej siete (intranet) pomocou brán firewall. V tejto konfigurácii vyžaduje server Web Application Proxy dve rozhrania - internú (intranetovú) a externú (DMZ).
Nainštalujte rolu ADFS v systéme Windows Server 2012 R2
Na zaistenie dodatočnej bezpečnosti sa na serveri ADFS vykonáva predbežná autentifikácia externých klientov, inak sa na cieľovom serveri aplikácie použije menej overená autentifikácia (ktorá je menej bezpečná). Preto prvým krokom pri konfigurácii servera proxy webových aplikácií je inštalácia roly na samostatný server Služby federácie služby Active Directory.
Pri inštalácii služby ADFS musíte vybrať certifikát SSL, ktorý sa použije na šifrovanie, ako aj názvy DNS, ktoré budú klienti používať pri pripájaní (príslušné záznamy musíte vytvoriť sami v zóne DNS)..
Potom musíte zadať účet služby pre službu ADFS. Upozorňujeme, že názov ADFS musí byť uvedený v atribúte Account Principal Name na účte. Môžete to urobiť príkazom:
setspn -F -S host / adfs.winitpro.ru adfssvc
Nakoniec zadajte databázu, v ktorej sa budú informácie ukladať: môže to byť vstavaná databáza na rovnakom serveri (WID - Windows Internal Database) alebo samostatná databáza na vyhradenom serveri SQL..
Nainštalujte službu proxy webových aplikácií
Ďalším krokom je konfigurácia samotnej služby Web Application Proxy. Pripomíname, že služba Web Application Proxy v systéme Windows Server 2012 R2 je súčasťou „Vzdialený prístup". Inštalovať službu Proxy webových aplikácií a spustite sprievodcu nastavením.
V prvej fáze vás sprievodca vyzve, aby ste zadali názov servera ADFS a parametre účtu, ktorý má prístup k tejto službe..
Ďalej musíte zadať certifikát (uistite sa, že alternatívne názvy certifikátu obsahujú názov servera ADFS).
rada. Overte, či sú vaše zóny DNS správne nakonfigurované: server s rolou WAP musí byť schopný rozlíšiť názov servera ADFS a zase môže preložiť názov proxy servera. Certifikáty na oboch serveroch musia obsahovať názov federačnej služby.Publikovanie aplikácie prostredníctvom servera proxy webových aplikácií
Po nainštalovaní rolí ADFS a Web Application Proxy (ktoré tiež fungujú ako ADFS Proxy) môžete prejsť priamo na publikovanie mimo konkrétnej aplikácie. Môžete to urobiť pomocou konzoly R.používať konzolu na správu prístupu.
Spustite Sprievodcu publikovaním a určte, či chcete na predbežnú autentizáciu použiť ADFS (toto je naša možnosť).
Potom musíte nastaviť názov zverejnenej aplikácie, použitý certifikát, externú adresu URL (použije sa na pripojenie externých používateľov) a internú adresu URL servera, na ktorý sa budú posielať žiadosti..
rada. Ak chcete externú aplikáciu presmerovať na alternatívny port, musíte ju zadať v adrese URL smerujúcej na interný server. Napríklad, ak chcete presmerovať externé požiadavky https (port 443) na port 4443, musíte zadať:URL koncového servera: lync.winitpro.local: 4443
Vyplňte sprievodcu a toto je koniec zverejnenia aplikácií. Ak sa teraz pokúsite získať prístup k publikovanej externej adrese URL pomocou prehliadača, prehliadač bude najskôr presmerovaný na autentifikačnú službu (ADFS Proxy) a po úspešnom overení bude používateľ odoslaný priamo na internú stránku (webovú aplikáciu)..
Vďaka novej službe Web Application Proxy v systéme Windows Server 2012 R2 je možné implementovať funkčnosť reverzného servera proxy, aby bolo možné publikovať interné služby podniku zvonka bez potreby použitia brán firewall a produktov tretích strán, ako napríklad Forefront atď..