Kami terus berkenalan dengan fitur-fitur baru Windows Server 2012 R2. Sebelumnya, kami berbicara tentang mitra perusahaan DropBox di Windows Server 2012 R2 yang disebut Folder Pekerjaan. Hari ini kita akan berbicara tentang inovasi lain dari platform server baru - fungsi Proxy aplikasi web. Proxy Aplikasi Web adalah fitur peran baru Akses jarak jauh pada Windows 2012 R2, yang memungkinkan penerbitan aplikasi HTTP / HTTPS yang terletak di batas jaringan perusahaan pada perangkat klien (terutama perangkat seluler) di luar batasnya. Karena kemungkinan integrasi dengan AD FS (layanan dapat bertindak sebagai proxy ADFS), dimungkinkan untuk memberikan otentikasi pengguna eksternal yang mencoba mengakses aplikasi yang dipublikasikan.
Proxy Aplikasi Web menyediakan kemampuan penerbitan aplikasi yang sama dengan Forefront Unified Access Gateway (UAG), tetapi layanan ini juga memungkinkan Anda untuk berinteraksi dengan server dan layanan lain, sehingga memberikan konfigurasi yang lebih fleksibel dan efisien..
Proxy Aplikasi Web pada dasarnya menjalankan fungsinya membalikkan proksi terbalik, mengatur relay permintaan klien dari jaringan eksternal ke server internal, dan merupakan firewall pada level aplikasi.
Server dengan layanan Proxy Aplikasi Web menerima lalu lintas HTTP / HTTPS eksternal dan menghentikannya, setelah itu memulai koneksi baru ke aplikasi internal (server web) atas namanya. Yaitu pengguna eksternal tidak benar-benar mendapatkan akses langsung ke aplikasi internal. Lalu lintas lain yang diterima oleh Proxy Aplikasi Web ditolak (termasuk permintaan HTTP / HTTPS yang dapat digunakan dalam DoS, SSL, dan serangan 0-hari ditolak).
Persyaratan organisasi Proxy Aplikasi Web dan fitur utama:
- Sistem ini dapat digunakan pada server yang menjalankan Windows Server 2012 R2 yang termasuk dalam domain Active Directory dengan peran AD FS dan Aplikasi Web Proxy. Peran ini harus diinstal pada server yang berbeda..
- Anda harus memutakhirkan skema Direktori Aktif ke Windows Server 2012 R2 (Anda tidak perlu memutakhirkan pengontrol domain ke Windows Server 2012 R2)
- Sebagai perangkat klien, perangkat dengan OS Windows, iOS (iPad dan iPhone) didukung. Bekerja pada klien untuk Android dan Windows Phone belum selesai
- Otentikasi klien dilakukan oleh Layanan Federasi Direktori Aktif (ADFS), yang juga bertindak sebagai proksi ADFS..
- Layout khas server dengan peran Proxy Aplikasi Web ditunjukkan pada gambar. Server ini terletak di zona DMZ khusus dan dipisahkan dari jaringan eksternal (Internet) dan internal (Intranet) oleh firewall. Dalam konfigurasi ini, Proxy Aplikasi Web memerlukan dua antarmuka untuk berfungsi - internal (Intranet) dan eksternal (DMZ)
Instal peran ADFS pada Windows Server 2012 R2
Untuk memberikan keamanan tambahan, pra-otentikasi klien eksternal dilakukan pada server ADFS, jika tidak, otentikasi pass-through digunakan pada server tujuan aplikasi (yang kurang aman). Oleh karena itu, langkah pertama dalam mengonfigurasi Proxy Aplikasi Web adalah menginstal peran pada server terpisah Layanan Federasi Direktori Aktif.
Saat memasang ADFS, Anda harus memilih sertifikat SSL yang akan digunakan untuk enkripsi, serta nama DNS yang akan digunakan oleh klien saat menghubungkan (Anda harus membuat sendiri entri yang sesuai di zona DNS sendiri).
Maka Anda perlu menentukan akun layanan untuk layanan ADFS. Harap perhatikan bahwa nama ADFS harus ditentukan dalam atribut Nama Pokok Layanan dari akun. Anda dapat melakukan ini dengan perintah:
setspn -F -S host / adfs.winitpro.ru adfssvc
Dan akhirnya, tentukan database di mana informasi akan disimpan: itu bisa menjadi built-in database pada server yang sama (WID - Windows Internal Database) atau database terpisah pada server SQL khusus.
Instal Layanan Proxy Aplikasi Web
Langkah selanjutnya adalah mengkonfigurasi layanan Proxy Aplikasi Web itu sendiri. Ingatlah bahwa layanan Proxy Aplikasi Web di Windows Server 2012 R2 adalah bagian dari "Akses jarak jauh" Instal layanan Proxy aplikasi web dan jalankan wizard pengaturan.
Pada tahap pertama, wisaya meminta Anda menentukan nama server ADFS dan parameter akun yang memiliki akses ke layanan ini.
Selanjutnya, Anda perlu menentukan sertifikat (pastikan bahwa nama-nama alternatif sertifikat berisi nama server ADFS).
Kiat. Verifikasi bahwa zona DNS Anda dikonfigurasikan dengan benar: server dengan peran WAP harus dapat menyelesaikan nama server ADFS, dan pada gilirannya, dapat menyelesaikan nama server proxy. Sertifikat di kedua server harus menyertakan nama layanan federasi.Menerbitkan aplikasi melalui Proxy Aplikasi Web
Setelah peran ADFS dan Proxy Aplikasi Web (yang juga berfungsi sebagai Proxy ADFS) diinstal, Anda dapat langsung menuju ke penerbitan di luar aplikasi tertentu. Anda dapat melakukan ini menggunakan konsol R.emote konsol manajemen akses.
Jalankan wizard penerbitan dan tentukan apakah Anda ingin menggunakan ADFS untuk preauthentication (ini adalah pilihan kami).
Kemudian Anda perlu mengatur nama aplikasi yang diterbitkan, sertifikat yang digunakan, URL eksternal (itu akan digunakan oleh pengguna eksternal untuk terhubung) dan URL internal server yang akan dikirimi permintaan.
Kiat. Jika Anda ingin mengarahkan kembali aplikasi eksternal ke port alternatif, Anda harus menentukannya di URL yang menunjuk ke server internal. Misalnya, jika Anda ingin mengarahkan permintaan https eksternal (port 443) ke port 4443, Anda perlu menentukan:URL server backend: lync.winitpro.local: 4443
Lengkapi wizard, dan ini adalah akhir dari publikasi aplikasi. Sekarang, jika Anda mencoba mengakses URL eksternal yang diterbitkan menggunakan browser, browser akan diarahkan ke layanan otentikasi terlebih dahulu (ADFS Proxy), dan setelah otentikasi berhasil, pengguna akan dikirim langsung ke situs internal (aplikasi web).
Berkat layanan Proxy Aplikasi Web baru di Windows Server 2012 R2, dimungkinkan untuk mengimplementasikan fungsionalitas server proxy terbalik untuk menerbitkan layanan internal perusahaan di luar tanpa perlu menggunakan firewall dan produk pihak ketiga, termasuk seperti Forefront, dll..