Web Application Proxy в Server 2012 R2, функционал и использование на примере публикации приложений Exchange 2013 (часть 3)

В предыдущих статьях цикла о Web Application Proxy мы рассмотрели базовые понятия касаемо данной технологии и приступили к первому шагу ее практической реализации – развертывание служб федерации Active Directory. Это нам позволит сей час приступить к конфигурации Web Application Proxy.

Что необходимо будет сделать:
  • Произвести подготовку сервера для развертывания
  • Импортировать SSL сертификата для Web Application Proxy
  • Выполнить развертывание WAP и проверить конфигурацию.
  • Подвести итоги

Подготовка сервера под развертывание:

В качестве сервера была выбрана виртуальная машина SRV-WAP Характеристики следующие:

  • ОС: Server 2012 R2 Standard
  • 2 виртуальными процессора
  • 2 ГБ ОЗУ
  • Сетевые интерфейсы, DMZ: 192.168.1.5 /24 и LAN 172.16.20.4 /24
    Размещение сервера на обобщенной топологии демо-стенда:

WAP Network

Сервер является членом домена office365.local

Импортирование SSL сертификата для WAP

В качестве сертификата для публикации WAP, я использовал тот же сертификат, который задействовал в предыдущей статье для конфигурирования ADFS. Предварительно нужно его импортировать на локальный сервер. Для этого запустим от имени администратора консоль mmc

12-22-2013 9-27-11 PM

Нажав <Ctrl> + <M> добавим оснастку Certificates, выбрав в качестве управления компьютер, а затем локальный компьютер.

12-22-2013 9-27-51 PM

Открываем вкладку Personal и через меню All Task выбираем Import

12-22-2013 9-29-24 PM

В открывшемся окне, указываем путь и пароль к импортируемому сертификату.

12-22-2013 9-30-21 PM

12-22-2013 9-30-54 PM

После импорта нужно так же настроим файл Host для возможности разрешения сервера ADFS. Это важный шаг – если данная настройка не будет выполнена, мастер конфигурирования WAP не сможет завершить конфигурацию с службами ADFS.

Для этого, от имени администратора вызываем Notepad. Открываем файл Host по указанному пути:

C:WindowsSystem32driversetchosts

12-22-2013 10-11-39 PM

Произведем изменения, добавив в качестве новой строки: IP адрес сервера ADFS и его FQDN. В моем случае, данные выглядят так:

172.16.20.14 adfs.office365.kiev.ua

 

Развертывание WAP

Запустил Server Manager, меню Manage откроем Add Roles and Features

12-22-2013 9-12-27 PM

На шаге выбора ролей, ставим чек-бокс напротив роли Remote Access

12-22-2013 9-16-06 PM

При конфигурировании службы ролей, ставим чек-бокс напротив Web Application Proxy и завершаем установку.

12-22-2013 9-18-22 PM

12-22-2013 9-20-21 PM

После завершения, открываем мастер конфигурации WAP

12-22-2013 9-37-37 PM

В поле Federation service name укажем расположение сервера федерации Active Directory, в поле User name – аккаунт локального администратора. На следующем шаге необходимо выбирать SSL сертификат который ранее был проимпортирован на сервер.

12-22-2013 9-40-25 PM 12-22-2013 10-00-42 PM

Результатом  работы мастера будет создание PowerShell коммандлета который произведет конфигурацию WAP.

Конфигурация завершена. В процессе конфигурирования, на стороне служб ADFS, была создана подписка на WAP сервер. Для проверки работоспособности подписки, откроем консоль Remote Access Management Console и перейдем Web Application Proxy. Примером успешной конфигурации будет служить возможность произвести публикацию приложения выбрав Publish. Именно этим я займусь в будущей статье, когда будет производится публикация приложений Exchange Sevrer.

12-22-2013 9-55-03 PM

Итоги

Как видно с пошаговки конфигурации, сама конфигурация WAP не является тяжелой задачей, важным фактом будет подготовительная часть. Сами службы не могут работать без сконфигурированной службы федерации и в дальнейших статьях будет видно, что вся информация о публикациях деланных на стороне WAP физически будет располагаться на стороне ADFS. В общем, WAP довольно новая технология, по моему мнению, в следующих версиях серверных операционных системах стоит ожидать уплотнение функционала.

14 thoughts on “Web Application Proxy в Server 2012 R2, функционал и использование на примере публикации приложений Exchange 2013 (часть 3)

  1. Вопросик: сетевые интерфесы на SRV-WAP настраивались как на TMG (LAN без шлюза, DMZ без DNS серверов)? Rout-ы какие-нибудь писали?

  2. Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?

    • со стороны kerberos, необходимо сделать только делегирование на объекте компьютера WAP сервера для Exchange.

  3. Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?

  4. Сергей 30.01.2015 at 11:17 - Reply

    Добрый день! Если я перевыписывал сертификат после настройки WAS через мастер конфигурирования, каким образом можно заменить старый сертификат для сервиса?

    • Александр Ткаченко 01.02.2015 at 10:05 - Reply

      Если я правильно вас понял, для замены сертификата необходимо пройти конфигурационные мастера сначала

      • Сергей 02.02.2015 at 08:58 - Reply

        Я изменил Federation Service name, связь с WAP соответственно прервалась. На сервере где установлен WAP я не нашел где можно изменить имя сервера федерации. При попытке выполнить Install-WebApplicationProxy выдаёт ошибку, в которой сказано, что нет подключения к серверу федерации и при этом сразу падает служба Web Application Proxy.

        • Александр Ткаченко 02.02.2015 at 09:36 - Reply

          в этом случае, снесите полностью фичу роли WAP и установите ее заново. Далее по накатанной схеме подцепите к серверам федерации.

          • Сергей 03.02.2015 at 08:57 -

            Удалил службу Remote Access. На завершающем этапе настройке в виззарде выдаёт:

            An error occurred when attempting to establish a trust relationship with the federation service. Error: The underlying connection was closed: An unexpected error occurred on a send.

            На сервере федерации выползают следующие ошибки:

            ID 415
            The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

            ID 278
            The SAML artifact resolution endpoint is not configured or it is disabled.

            The artifact resolution service is not started.

            User Action
            If the artifact resolution service is required, use the AD FS Management snap-in to configure or enable the SAML artifact resolution endpoint.

            Я использую сертификат выписанный моим центром сертификации по шаблону WebServer. В альтернативных именах указан днс на сервер федерации.
            Есть ещё какие-то требования к сертификату? Просто под старое имя сервера федерации я использовал такой же сертификат и все было нормально, теперь как только я меняю Federation Service name, Federation Service identifier, Service communications certificate связь отваливается. На сервере WAP я конечно меняю в хостах днс на новое имя федерации, сервер пингуется, но связь установить WAP с FS не может. Нужно ли менять Token-decrypting и Token-signing сертификаты? У меня они сейчас самоподписные на CN=старому имени службы федерации. Я пробовал поменять их на свой сертификат – не помогло.

            Спасибо.

  5. Александр Ткаченко 27.02.2015 at 23:04 - Reply

    Прошу прощения за столь поздний ответ, было много работы. Token-decrypting и Token-signing менять не обязательно. Если проблема не решена, попробуйте вычистить все старые сертификаты и повторить попытку.

  6. Здравствуйте Александр. Можно использовать NLB Citrix NetSceller как WAP?

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.