Proxy za spletno aplikacijo v sistemu Windows Server 2012 R2

Še naprej se seznanjamo z novimi funkcijami sistema Windows Server 2012 R2. Prej smo govorili o podjetniškem kolegu DropBox v operacijskem sistemu Windows Server 2012 R2 z imenom Work Folders. Danes bomo govorili o še eni novosti nove strežniške platforme - funkcijah Proxy za spletno aplikacijo. Proxy za spletno aplikacijo je nova funkcija vlog Oddaljeni dostop v operacijskem sistemu Windows 2012 R2, ki omogoča objavljanje aplikacij HTTP / HTTPS, ki se nahajajo na obodu korporativnega omrežja, na odjemalskih napravah (predvsem mobilnih napravah) zunaj njegovega oboda. Zaradi možnosti integracije z AD FS (storitev lahko deluje kot ADFS proxy) je mogoče zagotoviti avtentikacijo zunanjih uporabnikov, ki poskušajo dostopati do objavljenih aplikacij.

Proxy za spletno aplikacijo ponuja enake možnosti objavljanja aplikacij kot Forefront Unified Access Gateway (UAG), vendar ta storitev omogoča tudi interakcijo z drugimi strežniki in storitvami, s čimer zagotavlja bolj prilagodljivo in poenostavljeno konfiguracijo..

Proxy za spletno aplikacijo v bistvu opravlja funkcijo povratni povratni proxy, organiziranje prenosa zahtev strank od zunanjega omrežja do notranjega strežnika in je požarni zid na ravni aplikacij.

Strežnik s spletno aplikacijo Proxy prejme zunanji promet HTTP / HTTPS in ga prekine, po katerem v njegovem imenu sproži novo povezavo z notranjo aplikacijo (spletni strežnik). I.e. zunanji uporabniki v resnici ne dobijo neposrednega dostopa do interne aplikacije. Vsak drug promet, ki ga prejme proxy spletne aplikacije, se zavrne (vključno z zahtevami HTTP / HTTPS, ki se lahko uporabljajo v DoS, SSL in 0-dnevnih napadih se zavrne).

Zahteve organizacije in ključne funkcije za spletno aplikacijo Proxy:

  • Sistem je mogoče namestiti na strežnikih z operacijskim sistemom Windows Server 2012 R2, vključenimi v domeno Active Directory, z vlogama AD FS in spletnega programa Proxy. Te vloge morajo biti nameščene na različnih strežnikih..
  • Morate nadgraditi shemo Active Directory na Windows Server 2012 R2 (ni treba nadgraditi krmilnikov domen na Windows Server 2012 R2)
  • Kot odjemalske naprave so podprte naprave z operacijskim sistemom Windows, IOS (iPad in iPhone). Delo na odjemalcih za Android in Windows Phone še ni končano
  • Preverjanje odjemalca izvajajo storitve Active Directory Federation Services (ADFS), ki deluje tudi kot proxy ADFS..
  • Na sliki je prikazana tipična postavitev strežnika z vlogo spletnega strežnika Proxy. Ta strežnik se nahaja v namenskem območju DMZ in je od zunanjega (internet) in notranjega omrežja (intranet) ločen z požarnimi zidovi. V tej konfiguraciji proxy za spletno aplikacijo potrebujeta dva vmesnika za delovanje - notranji (intranet) in zunanji (DMZ)

Namestite vlogo ADFS na Windows Server 2012 R2

Za dodatno varnost se na strežniku ADFS izvede predhodna avtentikacija zunanjih odjemalcev, sicer pa se preverjanje pristnosti uporablja na ciljnem strežniku aplikacije (kar je manj varno). Zato je prvi korak pri konfiguriranju strežnika Proxy Web Namestitev vloge na ločenem strežniku Storitve zveze Active Directory.

Ko nameščate ADFS, morate izbrati potrdilo SSL, ki bo uporabljeno za šifriranje, ter imena DNS, ki jih bodo uporabniki uporabljali pri povezovanju (ustrezne vnose v coni DNS boste morali ustvariti sami).

Nato morate določiti račun storitve za storitev ADFS. Upoštevajte, da mora biti ime ADFS navedeno v atributu računa glavnega imena storitve. To lahko storite z ukazom:

setpn -F -S gostitelj / adfs.winitpro.ru adfssvc

In na koncu določite bazo podatkov, v kateri bodo informacije shranjene: lahko je vgrajena baza podatkov na istem strežniku (WID - Windows Internal Database) ali ločena baza podatkov na namenskem strežniku SQL.

Namestite strežnik proxy spletnih aplikacij

Naslednji korak je sama konfigurirati storitev spletnega strežnika Proxy. Spomnimo se, da je storitev spletnega programa Proxy v sistemu Windows Server 2012 R2 del programa »Oddaljeni dostop" Namestite servis Proxy za spletno aplikacijo in zaženite čarovnika za nastavitev.

Na prvi stopnji čarovnik pozove, da določite ime strežnika ADFS in parametre računa, ki ima dostop do te storitve.

Nato morate določiti potrdilo (preverite, ali alternativna imena potrdila vsebujejo ime strežnika ADFS).

Namig. Preverite, ali so vaše cone DNS pravilno konfigurirane: strežnik z vlogo WAP mora biti sposoben razrešiti ime strežnika ADFS in lahko nato razreši ime strežnika proxy. Potrdila na obeh strežnikih morajo vsebovati ime zvezne storitve.

Objavite aplikacijo prek proxy za spletno aplikacijo

Ko so nameščene vloge ADFS in proxy za spletno aplikacijo (ki deluje tudi kot ADFS proxy), lahko greste neposredno na objavo zunaj določene aplikacije. To lahko storite s konzolo R.čustvena konzola za upravljanje dostopa.

Zaženite čarovnika za objavo in določite, ali želite uporabljati ADFS za predhodno preverjanje pristnosti (to je naša možnost).

Nato morate nastaviti ime objavljene aplikacije, uporabljeno potrdilo, zunanji URL (zunanji uporabniki ga bodo uporabljali za povezavo) in notranji URL strežnika, na katerega bodo zahteve poslane.

Namig. Če želite zunanjo aplikacijo preusmeriti na nadomestno vrata, jo morate določiti v naslovu URL, ki kaže na notranji strežnik. Če želite na primer preusmeriti zunanje zahteve https (vrata 443) na vrata 4443, morate določiti:

URL nadomestnega strežnika: lync.winitpro.local: 4443

Izpolnite čarovnika in s tem je konec objave aplikacij. Zdaj, če poskusite dostop do objavljenega zunanjega URL-ja s pomočjo brskalnika, bo brskalnik najprej preusmerjen na storitev overjanja (ADFS Proxy), po uspešni avtentikaciji pa bo uporabnik poslan neposredno na interno spletno mesto (spletna aplikacija).

Zahvaljujoč novi storitvi spletnega strežnika Proxy v sistemu Windows Server 2012 R2 je mogoče uvesti funkcionalnost povratnega proxy strežnika za objavo notranjih storitev podjetja zunaj, ne da bi morali uporabljati zunanje požarne zidove in izdelke, vključno s predvajanjem Forefront itd..