Proxy webové aplikace v systému Windows Server 2012 R2

I nadále se seznamujeme s novými funkcemi systému Windows Server 2012 R2. Dříve jsme hovořili o firemním protějšku DropBoxu v systému Windows Server 2012 R2 nazvaném Work Folders. Dnes budeme hovořit o další inovaci nové serverové platformy - funkcí Proxy webové aplikace. Web Application Proxy je nová funkce role Vzdálený přístup v systému Windows 2012 R2, který umožňuje publikovat aplikace HTTP / HTTPS umístěné po obvodu podnikové sítě na klientských zařízeních (především mobilních zařízeních) za jeho hranicí. Vzhledem k možnosti integrace s AD FS (služba může fungovat jako proxy ADFS), je možné poskytnout autentizaci externím uživatelům, kteří se pokoušejí získat přístup k publikovaným aplikacím.

Webový aplikační proxy poskytuje stejné možnosti publikování aplikací jako Forefront Unified Access Gateway (UAG), ale tato služba vám také umožňuje interakci s jinými servery a službami, čímž poskytuje flexibilnější a efektivnější konfiguraci..

Funkce Web Application Proxy v podstatě vykonává tuto funkci reverzní proxy, organizování přenosu klientských požadavků z externí sítě na interní server a je to firewall na aplikační úrovni.

Server se službou Web Application Proxy přijímá externí přenos HTTP / HTTPS a ukončí jej, poté jménem svého uživatele inicializuje nové připojení k interní aplikaci (webový server). I.e. externí uživatelé nemají přímý přístup k interní aplikaci. Jakýkoli jiný přenos přijatý serverem proxy webových aplikací je odmítnut (včetně požadavků HTTP / HTTPS, které lze použít v DoS, SSL a 0denní útoky jsou odmítnuty).

Požadavky organizace Web Application Proxy a klíčové vlastnosti:

  • Systém lze nasadit na servery se systémem Windows Server 2012 R2 zahrnutým v doméně Active Directory s rolemi AD FS a Proxy webových aplikací. Tyto role musí být nainstalovány na různých serverech..
  • Musíte upgradovat schéma služby Active Directory na systém Windows Server 2012 R2 (nemusíte upgradovat řadiče domény na systém Windows Server 2012 R2)
  • Jako klientská zařízení jsou podporována zařízení se systémem Windows OS, IOS (iPad a iPhone). Práce na klientech pro Android a Windows Phone ještě nebyla dokončena
  • Ověření klienta provádí služba ADFS (Active Directory Federation Services), která také funguje jako proxy server ADFS..
  • Na obrázku je znázorněno typické rozložení serveru s rolí webové aplikace Proxy. Tento server je umístěn ve vyhrazené zóně DMZ a je odděleny od externí (internet) a interní sítě (intranet) pomocí firewallů. V této konfiguraci vyžaduje server Web Application Proxy dvě rozhraní - interní (intranet) a externí (DMZ).

Nainstalujte roli ADFS v systému Windows Server 2012 R2

Pro zajištění další bezpečnosti se na serveru ADFS provádí předběžná autentizace externích klientů, jinak se na cílovém serveru aplikace použije předběžné ověření (což je méně bezpečné). Proto prvním krokem při konfiguraci serveru proxy webových aplikací je instalace role na samostatný server Federační služby Active Directory.

Při instalaci služby ADFS je třeba vybrat certifikát SSL, který bude použit pro šifrování, jakož i názvy DNS, které budou klienti používat při připojení (odpovídající položky budete muset vytvořit v zóně DNS sami)..

Poté musíte zadat účet služby pro službu ADFS. Vezměte prosím na vědomí, že název ADFS musí být uveden v atributu Název hlavního účtu služby. Můžete to provést příkazem:

setspn -F -S hostitel / adfs.winitpro.ru adfssvc

Nakonec určete databázi, ve které budou informace uloženy: může to být zabudovaná databáze na stejném serveru (WID - Windows Internal Database) nebo samostatná databáze na vyhrazeném serveru SQL.

Nainstalujte službu proxy webových aplikací

Dalším krokem je konfigurace samotné služby Web Application Proxy. Připomeňme, že služba Web Application Proxy v systému Windows Server 2012 R2 je součástí „Vzdálený přístup" Nainstalujte službu Proxy webové aplikace a spusťte průvodce nastavením.

V první fázi vás průvodce vyzve k zadání názvu serveru ADFS a parametrů účtu, který má přístup k této službě..

Dále je třeba zadat certifikát (ujistěte se, že alternativní názvy certifikátu obsahují název serveru ADFS).

Tip. Ověřte, zda jsou vaše zóny DNS správně nakonfigurovány: server s rolí WAP musí být schopen přeložit název serveru ADFS a zase může přeložit název proxy serveru. Certifikáty na obou serverech musí obsahovat název federační služby.

Publikování aplikace prostřednictvím serveru proxy webových aplikací

Po nainstalování rolí ADFS a Web Application Proxy (který také funguje jako ADFS Proxy) můžete přejít přímo k publikování mimo konkrétní aplikaci. To lze provést pomocí konzoly R.emote konzolu pro správu přístupu.

Spusťte průvodce publikováním a určete, zda chcete pro předběžné ověření použít ADFS (to je naše možnost).

Pak musíte nastavit název publikované aplikace, použitý certifikát, externí URL (bude používána externími uživateli pro připojení) a interní URL serveru, na který budou zasílány požadavky.

Tip. Pokud chcete přesměrovat externí aplikaci na alternativní port, musíte ji zadat v adrese URL směřující na interní server. Pokud například chcete přesměrovat externí požadavky https (port 443) na port 4443, musíte zadat:

URL koncového serveru: lync.winitpro.local: 4443

Dokončete průvodce a toto je konec zveřejnění aplikací. Pokud se nyní pokusíte získat přístup k publikované externí adrese URL pomocí prohlížeče, prohlížeč bude nejprve přesměrován na ověřovací službu (ADFS Proxy) a po úspěšném ověření bude uživatel odeslán přímo na interní web (webovou aplikaci).

Díky nové službě Web Application Proxy v systému Windows Server 2012 R2 je možné implementovat funkčnost reverzního proxy serveru, aby bylo možné publikovat interní služby podniku venku, aniž by bylo nutné používat brány firewall a produkty třetích stran, například Forefront atd..