Web Application Proxy в Server 2012 R2, функционал и использование на примере публикации приложений Exchange 2013 (часть 3)

Внимание! Материал, изложенный в этой статье не актуален. Ниже обновлённая версия:

Публикация Exchange Server с помощью ADFS / Web Application Proxy

В предыдущих статьях цикла о Web Application Proxy мы рассмотрели базовые понятия касаемо данной технологии и приступили к первому шагу ее практической реализации – развертывание служб федерации Active Directory. Это нам позволит сей час приступить к конфигурации Web Application Proxy.

Что необходимо будет сделать:
  • Произвести подготовку сервера для развертывания
  • Импортировать SSL сертификата для Web Application Proxy
  • Выполнить развертывание WAP и проверить конфигурацию.
  • Подвести итоги

Подготовка сервера под развертывание:

В качестве сервера была выбрана виртуальная машина SRV-WAP Характеристики следующие:

  • ОС: Server 2012 R2 Standard
  • 2 виртуальными процессора
  • 2 ГБ ОЗУ
  • Сетевые интерфейсы, DMZ: 192.168.1.5 /24 и LAN 172.16.20.4 /24
    Размещение сервера на обобщенной топологии демо-стенда:

WAP Network

Сервер является членом домена office365.local

Импортирование SSL сертификата для WAP

В качестве сертификата для публикации WAP, я использовал тот же сертификат, который задействовал в предыдущей статье для конфигурирования ADFS. Предварительно нужно его импортировать на локальный сервер. Для этого запустим от имени администратора консоль mmc

12-22-2013 9-27-11 PM

Нажав <Ctrl> + <M> добавим оснастку Certificates, выбрав в качестве управления компьютер, а затем локальный компьютер.

12-22-2013 9-27-51 PM

Открываем вкладку Personal и через меню All Task выбираем Import

12-22-2013 9-29-24 PM

В открывшемся окне, указываем путь и пароль к импортируемому сертификату.

12-22-2013 9-30-21 PM

12-22-2013 9-30-54 PM

После импорта нужно так же настроим файл Host для возможности разрешения сервера ADFS. Это важный шаг – если данная настройка не будет выполнена, мастер конфигурирования WAP не сможет завершить конфигурацию с службами ADFS.

Для этого, от имени администратора вызываем Notepad. Открываем файл Host по указанному пути:

C:WindowsSystem32driversetchosts

12-22-2013 10-11-39 PM

Произведем изменения, добавив в качестве новой строки: IP адрес сервера ADFS и его FQDN. В моем случае, данные выглядят так:

172.16.20.14 adfs.office365.kiev.ua

 

Развертывание WAP

Запустил Server Manager, меню Manage откроем Add Roles and Features

12-22-2013 9-12-27 PM

На шаге выбора ролей, ставим чек-бокс напротив роли Remote Access

12-22-2013 9-16-06 PM

При конфигурировании службы ролей, ставим чек-бокс напротив Web Application Proxy и завершаем установку.

12-22-2013 9-18-22 PM

12-22-2013 9-20-21 PM

После завершения, открываем мастер конфигурации WAP

12-22-2013 9-37-37 PM

В поле Federation service name укажем расположение сервера федерации Active Directory, в поле User name – аккаунт локального администратора. На следующем шаге необходимо выбирать SSL сертификат который ранее был проимпортирован на сервер.

12-22-2013 9-40-25 PM 12-22-2013 10-00-42 PM

Результатом  работы мастера будет создание PowerShell коммандлета который произведет конфигурацию WAP.

Конфигурация завершена. В процессе конфигурирования, на стороне служб ADFS, была создана подписка на WAP сервер. Для проверки работоспособности подписки, откроем консоль Remote Access Management Console и перейдем Web Application Proxy. Примером успешной конфигурации будет служить возможность произвести публикацию приложения выбрав Publish. Именно этим я займусь в будущей статье, когда будет производится публикация приложений Exchange Sevrer.

12-22-2013 9-55-03 PM

Итоги

Как видно с пошаговки конфигурации, сама конфигурация WAP не является тяжелой задачей, важным фактом будет подготовительная часть. Сами службы не могут работать без сконфигурированной службы федерации и в дальнейших статьях будет видно, что вся информация о публикациях деланных на стороне WAP физически будет располагаться на стороне ADFS. В общем, WAP довольно новая технология, по моему мнению, в следующих версиях серверных операционных системах стоит ожидать уплотнение функционала.

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

14 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Dima Fedorov
19.03.2014 18:00

Вопросик: сетевые интерфесы на SRV-WAP настраивались как на TMG (LAN без шлюза, DMZ без DNS серверов)? Rout-ы какие-нибудь писали?

Alexander Tkachenko
19.03.2014 21:01
Ответить на  Dima Fedorov

да, маршруты не делал. В них не было необходимости так как использовал только одну подсеть.

Arslan
Arslan
04.08.2014 22:36

Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?

Alexander Tkachenko
05.08.2014 08:54
Ответить на  Arslan

со стороны kerberos, необходимо сделать только делегирование на объекте компьютера WAP сервера для Exchange.

Arslan
Arslan
04.08.2014 21:36

Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?

Сергей
Сергей
30.01.2015 11:17

Добрый день! Если я перевыписывал сертификат после настройки WAS через мастер конфигурирования, каким образом можно заменить старый сертификат для сервиса?

Александр Ткаченко
Александр Ткаченко
01.02.2015 10:05
Ответить на  Сергей

Если я правильно вас понял, для замены сертификата необходимо пройти конфигурационные мастера сначала

Сергей
Сергей
30.01.2015 13:43

Как поменять Host Name в WAP?

Александр Ткаченко
Александр Ткаченко
01.02.2015 10:08
Ответить на  Сергей

то есть, поменять имя сервера?

Сергей
Сергей
02.02.2015 08:58

Я изменил Federation Service name, связь с WAP соответственно прервалась. На сервере где установлен WAP я не нашел где можно изменить имя сервера федерации. При попытке выполнить Install-WebApplicationProxy выдаёт ошибку, в которой сказано, что нет подключения к серверу федерации и при этом сразу падает служба Web Application Proxy.

Александр Ткаченко
Александр Ткаченко
02.02.2015 09:36
Ответить на  Сергей

в этом случае, снесите полностью фичу роли WAP и установите ее заново. Далее по накатанной схеме подцепите к серверам федерации.

Сергей
Сергей
03.02.2015 08:57

Удалил службу Remote Access. На завершающем этапе настройке в виззарде выдаёт: An error occurred when attempting to establish a trust relationship with the federation service. Error: The underlying connection was closed: An unexpected error occurred on a send. На сервере федерации выползают следующие ошибки: ID 415 The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954. ID 278 The SAML artifact resolution endpoint is not configured or it is disabled. The artifact… Подробнее »

Александр Ткаченко
Александр Ткаченко
27.02.2015 23:04

Прошу прощения за столь поздний ответ, было много работы. Token-decrypting и Token-signing менять не обязательно. Если проблема не решена, попробуйте вычистить все старые сертификаты и повторить попытку.

Taryel
Taryel
27.06.2018 08:59

Здравствуйте Александр. Можно использовать NLB Citrix NetSceller как WAP?