Serwer proxy aplikacji sieci Web w systemie Windows Server 2012 R2

Kontynuujemy zapoznanie się z nowymi funkcjami systemu Windows Server 2012 R2. Wcześniej rozmawialiśmy o korporacyjnym odpowiedniku DropBox w systemie Windows Server 2012 R2 o nazwie Foldery robocze. Dzisiaj porozmawiamy o kolejnej innowacji nowej platformy serwerowej - funkcjach Serwer proxy aplikacji sieci Web. Serwer proxy aplikacji sieci Web to nowa funkcja roli Zdalny dostęp w systemie Windows 2012 R2, który umożliwia publikowanie aplikacji HTTP / HTTPS znajdujących się na obwodzie sieci firmowej na urządzeniach klienckich (głównie urządzeniach mobilnych) poza jego granicami. Ze względu na możliwość integracji z AD FS (usługa może działać jako proxy ADFS), możliwe jest zapewnienie uwierzytelnienia użytkowników zewnętrznych próbujących uzyskać dostęp do opublikowanych aplikacji.

Serwer proxy aplikacji sieci Web zapewnia takie same możliwości publikowania aplikacji, jak brama Ufront (Forefront Unified Access Gateway), ale ta usługa umożliwia także interakcję z innymi serwerami i usługami, zapewniając w ten sposób bardziej elastyczną i usprawnioną konfigurację..

Serwer proxy aplikacji sieci Web zasadniczo wykonuje tę funkcję odwrotne odwrotne proxy, organizuje przekazywanie żądań klientów z sieci zewnętrznej do wewnętrznego serwera i jest zaporą ogniową na poziomie aplikacji.

Serwer z usługą Web Application Proxy odbiera zewnętrzny ruch HTTP / HTTPS i przerywa go, po czym inicjuje nowe połączenie z aplikacją wewnętrzną (serwerem WWW) w jego imieniu. Tj. Użytkownicy zewnętrzni tak naprawdę nie mają bezpośredniego dostępu do wewnętrznej aplikacji. Wszelki inny ruch odbierany przez serwer proxy aplikacji sieci Web jest odrzucany (w tym żądania HTTP / HTTPS, które mogą być używane w DoS, SSL i ataki 0-dniowe są odrzucane).

Wymagania organizacji i kluczowe funkcje serwera proxy aplikacji sieci Web:

  • System można wdrożyć na serwerach z systemem Windows Server 2012 R2 zawartych w domenie Active Directory z rolami AD FS i proxy aplikacji sieci Web. Te role muszą być zainstalowane na różnych serwerach..
  • Musisz zaktualizować schemat usługi Active Directory do systemu Windows Server 2012 R2 (nie musisz aktualizować kontrolerów domeny do systemu Windows Server 2012 R2)
  • Jako urządzenia klienckie obsługiwane są urządzenia z systemem operacyjnym Windows, IOS (iPad i iPhone). Prace nad klientami dla Androida i Windows Phone nie zostały jeszcze zakończone
  • Uwierzytelnianie klienta jest wykonywane przez usługi federacyjne Active Directory (ADFS), które działają również jako proxy ADFS..
  • Typowy układ serwera z rolą serwera proxy aplikacji sieci Web pokazano na rysunku. Serwer ten znajduje się w dedykowanej strefie DMZ i jest oddzielony od sieci zewnętrznej (Internet) i wewnętrznej (Intranet) zaporami ogniowymi. W tej konfiguracji serwer proxy aplikacji sieci Web wymaga do działania dwóch interfejsów - wewnętrznego (intranet) i zewnętrznego (DMZ)

Zainstaluj rolę ADFS w systemie Windows Server 2012 R2

Aby zapewnić dodatkowe bezpieczeństwo, wstępne uwierzytelnianie klientów zewnętrznych jest wykonywane na serwerze ADFS, w przeciwnym razie uwierzytelnianie tranzytowe jest stosowane na serwerze docelowym aplikacji (co jest mniej bezpieczne). Dlatego pierwszym krokiem w konfiguracji serwera proxy aplikacji sieci Web jest zainstalowanie roli na osobnym serwerze Usługi federacyjne Active Directory.

Podczas instalowania programu ADFS musisz wybrać certyfikat SSL, który będzie używany do szyfrowania, a także nazwy DNS, które będą używane przez klientów podczas łączenia się (musisz samodzielnie utworzyć odpowiednie wpisy w strefie DNS).

Następnie musisz określić konto usługi dla usługi ADFS. Należy pamiętać, że nazwa ADFS musi być określona w atrybucie głównej nazwy usługi konta. Możesz to zrobić za pomocą polecenia:

setspn -F -S host / adfs.winitpro.ru adfssvc

Na koniec określ bazę danych, w której będą przechowywane informacje: może to być wbudowana baza danych na tym samym serwerze (WID - wewnętrzna baza danych systemu Windows) lub osobna baza danych na dedykowanym serwerze SQL.

Zainstaluj usługę serwera proxy aplikacji sieci Web

Następnym krokiem jest skonfigurowanie samej usługi serwera proxy aplikacji sieci Web. Pamiętaj, że usługa serwera proxy aplikacji sieci Web w systemie Windows Server 2012 R2 jest częścią „Zdalny dostęp„ Zainstaluj usługę Serwer proxy aplikacji sieci Web i uruchom kreatora instalacji.

W pierwszym etapie kreator wyświetla monit o podanie nazwy serwera ADFS i parametrów konta, które ma dostęp do tej usługi.

Następnie musisz określić certyfikat (upewnij się, że alternatywne nazwy certyfikatu zawierają nazwę serwera ADFS).

Wskazówka. Sprawdź, czy strefy DNS są poprawnie skonfigurowane: serwer z rolą WAP musi być w stanie rozpoznać nazwę serwera ADFS, a on z kolei może rozpoznać nazwę serwera proxy. Certyfikaty na obu serwerach muszą zawierać nazwę usługi federacyjnej.

Opublikuj aplikację za pośrednictwem serwera proxy aplikacji sieci Web

Po zainstalowaniu ról programu ADFS i serwera proxy aplikacji sieci Web (który działa również jako serwer proxy programu ADFS) można przejść bezpośrednio do publikowania poza określoną aplikacją. Możesz to zrobić za pomocą konsoli R.emote konsoli zarządzania dostępem.

Uruchom kreatora publikowania i określ, czy chcesz używać programu ADFS do wstępnego uwierzytelnienia (jest to nasza opcja).

Następnie musisz ustawić nazwę opublikowanej aplikacji, użyty certyfikat, zewnętrzny adres URL (będzie on używany przez zewnętrznych użytkowników do połączenia) oraz wewnętrzny adres URL serwera, do którego będą wysyłane żądania.

Wskazówka. Jeśli chcesz przekierować zewnętrzną aplikację na alternatywny port, musisz określić ją w adresie URL wskazującym na serwer wewnętrzny. Na przykład jeśli chcesz przekierowywać zewnętrzne żądania https (port 443) na port 4443, musisz określić:

Adres URL serwera zaplecza: lync.winitpro.local: 4443

Ukończ kreatora, a to już koniec publikacji aplikacji. Teraz, jeśli spróbujesz uzyskać dostęp do opublikowanego zewnętrznego adresu URL za pomocą przeglądarki, przeglądarka zostanie najpierw przekierowana do usługi uwierzytelniania (proxy ADFS), a po udanym uwierzytelnieniu użytkownik zostanie wysłany bezpośrednio do strony wewnętrznej (aplikacji internetowej).

Dzięki nowej usłudze proxy aplikacji sieci Web w systemie Windows Server 2012 R2 możliwe jest zaimplementowanie funkcjonalności odwrotnego serwera proxy w celu publikowania wewnętrznych usług przedsiębiorstwa na zewnątrz bez potrzeby korzystania z zapór i produktów innych firm, w tym takich jak Forefront itp..