Web Application Proxy в Server 2012 R2, функционал и использование на примере публикации приложений Exchange 2013 (часть 3)

В предыдущих статьях цикла о Web Application Proxy мы рассмотрели базовые понятия касаемо данной технологии и приступили к первому шагу ее практической реализации – развертывание служб федерации Active Directory. Это нам позволит сей час приступить к конфигурации Web Application Proxy.

Что необходимо будет сделать:
  • Произвести подготовку сервера для развертывания
  • Импортировать SSL сертификата для Web Application Proxy
  • Выполнить развертывание WAP и проверить конфигурацию.
  • Подвести итоги

Подготовка сервера под развертывание:

В качестве сервера была выбрана виртуальная машина SRV-WAP Характеристики следующие:

  • ОС: Server 2012 R2 Standard
  • 2 виртуальными процессора
  • 2 ГБ ОЗУ
  • Сетевые интерфейсы, DMZ: 192.168.1.5 /24 и LAN 172.16.20.4 /24
    Размещение сервера на обобщенной топологии демо-стенда:

WAP Network

Сервер является членом домена office365.local

Импортирование SSL сертификата для WAP

В качестве сертификата для публикации WAP, я использовал тот же сертификат, который задействовал в предыдущей статье для конфигурирования ADFS. Предварительно нужно его импортировать на локальный сервер. Для этого запустим от имени администратора консоль mmc

12-22-2013 9-27-11 PM

Нажав <Ctrl> + <M> добавим оснастку Certificates, выбрав в качестве управления компьютер, а затем локальный компьютер.

12-22-2013 9-27-51 PM

Открываем вкладку Personal и через меню All Task выбираем Import

12-22-2013 9-29-24 PM

В открывшемся окне, указываем путь и пароль к импортируемому сертификату.

12-22-2013 9-30-21 PM

12-22-2013 9-30-54 PM

После импорта нужно так же настроим файл Host для возможности разрешения сервера ADFS. Это важный шаг – если данная настройка не будет выполнена, мастер конфигурирования WAP не сможет завершить конфигурацию с службами ADFS.

Для этого, от имени администратора вызываем Notepad. Открываем файл Host по указанному пути:

C:WindowsSystem32driversetchosts

12-22-2013 10-11-39 PM

Произведем изменения, добавив в качестве новой строки: IP адрес сервера ADFS и его FQDN. В моем случае, данные выглядят так:

172.16.20.14 adfs.office365.kiev.ua

 

Развертывание WAP

Запустил Server Manager, меню Manage откроем Add Roles and Features

12-22-2013 9-12-27 PM

На шаге выбора ролей, ставим чек-бокс напротив роли Remote Access

12-22-2013 9-16-06 PM

При конфигурировании службы ролей, ставим чек-бокс напротив Web Application Proxy и завершаем установку.

12-22-2013 9-18-22 PM

12-22-2013 9-20-21 PM

После завершения, открываем мастер конфигурации WAP

12-22-2013 9-37-37 PM

В поле Federation service name укажем расположение сервера федерации Active Directory, в поле User name — аккаунт локального администратора. На следующем шаге необходимо выбирать SSL сертификат который ранее был проимпортирован на сервер.

12-22-2013 9-40-25 PM 12-22-2013 10-00-42 PM

Результатом  работы мастера будет создание PowerShell коммандлета который произведет конфигурацию WAP.

Конфигурация завершена. В процессе конфигурирования, на стороне служб ADFS, была создана подписка на WAP сервер. Для проверки работоспособности подписки, откроем консоль Remote Access Management Console и перейдем Web Application Proxy. Примером успешной конфигурации будет служить возможность произвести публикацию приложения выбрав Publish. Именно этим я займусь в будущей статье, когда будет производится публикация приложений Exchange Sevrer.

12-22-2013 9-55-03 PM

Итоги

Как видно с пошаговки конфигурации, сама конфигурация WAP не является тяжелой задачей, важным фактом будет подготовительная часть. Сами службы не могут работать без сконфигурированной службы федерации и в дальнейших статьях будет видно, что вся информация о публикациях деланных на стороне WAP физически будет располагаться на стороне ADFS. В общем, WAP довольно новая технология, по моему мнению, в следующих версиях серверных операционных системах стоит ожидать уплотнение функционала.

14
Оставить комментарий

avatar
7 Цепочка комментария
7 Ответы по цепочке
0 Последователи
 
Популярнейший комментарий
Цепочка актуального комментария
6 Авторы комментариев
TaryelАлександр ТкаченкоСергейArslanAlexander Tkachenko Авторы недавних комментариев
  Подписаться  
новее старее большинство голосов
Уведомление о
Dima Fedorov
Гость

Вопросик: сетевые интерфесы на SRV-WAP настраивались как на TMG (LAN без шлюза, DMZ без DNS серверов)? Rout-ы какие-нибудь писали?

Alexander Tkachenko
Гость

да, маршруты не делал. В них не было необходимости так как использовал только одну подсеть.

Arslan
Гость
Arslan

Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?

Alexander Tkachenko
Гость

со стороны kerberos, необходимо сделать только делегирование на объекте компьютера WAP сервера для Exchange.

Arslan
Гость
Arslan

Не нашел ни слова о дополнительных настройках kerberos, он при данной конфигурации разве не нужен?

Сергей
Гость
Сергей

Добрый день! Если я перевыписывал сертификат после настройки WAS через мастер конфигурирования, каким образом можно заменить старый сертификат для сервиса?

Александр Ткаченко
Гость
Александр Ткаченко

Если я правильно вас понял, для замены сертификата необходимо пройти конфигурационные мастера сначала

Сергей
Гость
Сергей

Как поменять Host Name в WAP?

Александр Ткаченко
Гость
Александр Ткаченко

то есть, поменять имя сервера?

Сергей
Гость
Сергей

Я изменил Federation Service name, связь с WAP соответственно прервалась. На сервере где установлен WAP я не нашел где можно изменить имя сервера федерации. При попытке выполнить Install-WebApplicationProxy выдаёт ошибку, в которой сказано, что нет подключения к серверу федерации и при этом сразу падает служба Web Application Proxy.

Александр Ткаченко
Гость
Александр Ткаченко

в этом случае, снесите полностью фичу роли WAP и установите ее заново. Далее по накатанной схеме подцепите к серверам федерации.

Сергей
Гость
Сергей

Удалил службу Remote Access. На завершающем этапе настройке в виззарде выдаёт: An error occurred when attempting to establish a trust relationship with the federation service. Error: The underlying connection was closed: An unexpected error occurred on a send. На сервере федерации выползают следующие ошибки: ID 415 The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954. ID 278 The SAML artifact resolution endpoint is not configured or it is disabled. The artifact… Подробнее »

Александр Ткаченко
Гость
Александр Ткаченко

Прошу прощения за столь поздний ответ, было много работы. Token-decrypting и Token-signing менять не обязательно. Если проблема не решена, попробуйте вычистить все старые сертификаты и повторить попытку.

Taryel
Гость
Taryel

Здравствуйте Александр. Можно использовать NLB Citrix NetSceller как WAP?