Folytatjuk a Windows Server 2012 R2 új funkcióinak megismerését. Korábban a DropBox vállalati párjáról beszéltünk a Windows Server 2012 R2 Work Folders néven. Ma az új szerverplatform egy újabb innovációjáról - a funkciókról - beszélünk Webes alkalmazás proxy. A Web Application Proxy egy új szerepkör Távoli hozzáférés a Windows 2012 R2 programban, amely lehetővé teszi a vállalati hálózat kerületén elhelyezkedő HTTP / HTTPS alkalmazások közzétételét az ügyféleszközökön (elsősorban mobil eszközökön) a kerületen kívül. Az AD FS-hez való integráció lehetősége miatt (a szolgáltatás ADFS-proxyként is működhet) lehetséges a közzétett alkalmazásokhoz hozzáférni próbáló külső felhasználók hitelesítése..
A Web Application Proxy ugyanazokat az alkalmazás-közzétételi képességeket biztosítja, mint a Forefront Unified Access Gateway (UAG), de ez a szolgáltatás lehetővé teszi más kiszolgálókkal és szolgáltatásokkal való interakciót is, ezáltal rugalmasabb és ésszerűbb konfigurációt biztosítva..
A Web Application Proxy alapvetően végrehajtja a funkciót fordított fordított proxy, megszervezi az ügyfélkérések továbbítását a külső hálózatról a belső szerverre, és az alkalmazás szintjén tűzfal.
A Web Application Proxy szolgáltatással rendelkező kiszolgáló külső HTTP / HTTPS forgalmat fogad és megszünteti, miután új kapcsolatot létesít a belső alkalmazás (webszerver) felé. Ie a külső felhasználók nem igazán kapnak közvetlen hozzáférést a belső alkalmazáshoz. A Web Application Proxy által fogadott összes forgalmat elutasítják (ideértve a DoS, SSL és 0 napos támadásokban használható HTTP / HTTPS kéréseket is).
A Web Application Proxy szervezeti követelményei és főbb jellemzői:
- A rendszer telepíthető az Active Directory tartományba tartozó Windows Server 2012 R2 rendszert futtató kiszolgálókra, az AD FS és a Web Application Proxy szerepkörökkel. Ezeket a szerepeket különféle szerverekre kell telepíteni..
- Frissítenie kell az Active Directory sémát a Windows Server 2012 R2-re (nem kell frissítenie a tartományvezérlőket a Windows Server 2012 R2-re)
- Ügyféleszközként a Windows operációs rendszert, az IOS-t (iPad és iPhone) támogató eszközök támogatottak. Az Android és a Windows Phone klienseivel kapcsolatos munka még nem fejeződött be
- Az ügyfél-hitelesítést az Active Directory Federation Services (ADFS) hajtja végre, amely szintén ADFS proxyként működik..
- A Web Application Proxy szerepkörrel rendelkező kiszolgáló tipikus elrendezését az ábra mutatja. Ez a szerver egy dedikált DMZ zónában található, és tűzfalak választják el a külső (Internet) és a belső hálózat (Intranet) számára. Ebben a konfigurációban a Web Application Proxy két interfész működéséhez szükséges - a belső (intranet) és a külső (DMZ)
Telepítse az ADFS szerepet a Windows Server 2012 R2 rendszeren
További biztonság érdekében a külső ügyfelek előzetes hitelesítését az ADFS kiszolgálón hajtják végre, egyébként az átviteli hitelesítést az alkalmazás célkiszolgálón használják (amely kevésbé biztonságos). Ezért a Web Application Proxy konfigurálásának első lépése a szerep telepítése külön kiszolgálóra Active Directory összevonási szolgáltatások.
Az ADFS telepítésekor ki kell választania a titkosításhoz használni kívánt SSL tanúsítványt, valamint a DNS-neveket, amelyeket az ügyfelek használnak a csatlakozáskor (a DNS-zónában a megfelelő bejegyzéseket magadnak kell létrehozniuk)..
Ezután meg kell adnia az ADFS szolgáltatás szolgáltatásfiókját. Felhívjuk figyelmét, hogy az ADFS nevét meg kell adni a fiók Service Principal Name attribútumában. Ezt megteheti a következő paranccsal:
setspn -F -S host / adfs.winitpro.ru adfssvc
Végül adja meg azt az adatbázist, amelyben az információkat tárolni fogja: lehet beépített adatbázis ugyanazon a kiszolgálón (WID - Windows Internal Database) vagy külön adatbázis egy dedikált SQL szerveren.
Telepítse a Web Application Proxy szolgáltatást
A következő lépés maga a Web Application Proxy szolgáltatás konfigurálása. Emlékezzünk arra, hogy a Web Application Proxy szolgáltatás a Windows Server 2012 R2-ben a „Távoli hozzáférés”. Telepítési szolgáltatás Webes alkalmazás proxy és futtassa a telepítővarázslót.
Az első lépésben a varázsló felszólítja az ADFS-kiszolgáló nevének és a szolgáltatáshoz hozzáférő fiók paramétereinek megadására..
Ezután meg kell határoznia a tanúsítványt (ellenőrizze, hogy a tanúsítvány alternatív nevei tartalmazzák-e az ADFS-kiszolgáló nevét).
tanács. Ellenőrizze, hogy a DNS-zónák megfelelően vannak-e konfigurálva: a WAP-szerepkörrel rendelkező kiszolgálónak képesnek kell lennie az ADFS-kiszolgáló nevének feloldására, és ez viszont meg tudja oldani a proxyszerver nevét. Mindkét kiszolgálón lévő tanúsítványoknak tartalmazniuk kell az összevonási szolgáltatás nevét.Publikáljon egy alkalmazást a Web Application Proxy segítségével
Az ADFS és a Web Application Proxy (amely szintén ADFS Proxyként működik) szerepeinek telepítése után közvetlenül a közzétételre léphet egy adott alkalmazáson kívül. Ezt megteheti az R konzol segítségével.emote hozzáférés-kezelő konzol.
Futtassa a közzétételi varázslót, és adja meg, hogy használni akarja-e az ADFS-t előhitelesítéshez (ez a lehetőségünk).
Ezután be kell állítania a közzétett alkalmazás nevét, a használt tanúsítványt, a külső URL-t (amelyet a külső felhasználók fognak használni a csatlakozáshoz) és annak a szervernek a belső URL-jét, amelyre a kéréseket elküldik.
tanács. Ha átirányítani szeretné a külső alkalmazást egy alternatív portra, akkor azt meg kell adnia a belső szerverre mutató URL-ben. Például, ha a külső https-kéréseket (443-as port) átirányítani akarja a 4443-as portra, meg kell adnia:Háttérkiszolgáló URL-je: lync.winitpro.local: 4443
Töltse ki a varázslót, és ezzel véget ér az alkalmazások közzététele. Ha most megpróbál hozzáférni a közzétett külső URL-hez egy böngészővel, akkor a böngészőt először átirányítja a hitelesítési szolgáltatásra (ADFS Proxy), és a sikeres hitelesítés után a felhasználót közvetlenül a belső oldalra (webes alkalmazás) küldi el..
A Windows Server 2012 R2 új Web Application Proxy szolgáltatásának köszönhetően megvalósítható a fordított proxy szerver funkciója annak érdekében, hogy a vállalkozás belső szolgáltatásai kívülről is megjelenjenek, anélkül, hogy harmadik féltől származó tűzfalakat és termékeket, például a Forefrontot stb. Kellene használni..