Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Server 2012 R2 AD FS + Web application Proxy

Автор: HmH
Дата сообщения: 28.10.2013 11:25




Всем привет!

Web application proxy - создан для публикации приложений в мир
На сегодняшний день функционала достаточно для публикации приложений в том числе Exchange, Lync, SharePoint и новой роли Work Folders

Так же думаю что подойдет и для публикации RDS 2012/2012 R2
И наконец можно будет забыть о TMG


Подробнее
TechNet
Презентация c TechEd

Публикация через Web Application Proxy продуктов Exchange 2010/2013, Lync 2010/2013, Office Web Apps
А также можно дописать скрипт и для публикации Remote Desktop Services! Смысл один и тот же...
PowerShell Deployment of Web Application Proxy and ADFS in Under 10 Minutes

И мы наконец отказываемся от таких продуктов как TMG/UAG для публикации этих сервисов в мир


[more=Была проблема >]
Настроил сие чудо по мануалам:
1 и 2

Не работают правила публикации с pre-authentication через AD FS
Вываливает ошибку
На сервере с ролью AD FS в логах
Source: AD FS EventID: 511
General:

Код: The incoming sign-in request is not allowed due to an invalid Federation Service configuration.

Request url:
/adfs/ls?version=1.0&action=signin&realm=urn'%'3AAppProxy'%'3Acom&appRealm=99eef496-e43e-e311-9411-00155dfe080e&returnUrl=https'%'3A'%'2F'%'2Fmail.corp.com'%'2Fowa&client-request-id=A6436A7A-D303-0000-C46A-43A603D3CE01

User Action:
Examine the Federation Service configuration and take the following actions:
Verify that the sign-in request has all the required parameters and is formatted correctly.
Verify that a web application proxy relying party trust exists, is enabled, and has identifiers which match the sign-in request parameters.
Verify that the target relying party trust object exists, is published through the web application proxy, and has identifiers which match the sign-in request parameters.
Автор: zcreat
Дата сообщения: 30.10.2013 03:03
малость другой механизм, но пока от TMG отказаться не получится .. (
http://blog.peterdahl.net/post/How-does-the-Mirosoft-Windows-2012-R2-Web-Application-Proxy-compare-to-the-Microsoft-Forefront-UAG-2010
Автор: HmH
Дата сообщения: 30.10.2013 11:08
zcreat
Это старый пост от 13. июня 2013 13:41
С выходом RTM ситуация несколько изменилась...

Прочитай полностью PowerShell Deployment of Web Application Proxy and ADFS in Under 10 Minutes
Автор: HmH
Дата сообщения: 03.11.2013 10:37
Получилось опубликовать RDS через WAP с авторизвцей через AD FS
Но почему то все равно спрашивает пароль когда запускаеш RemoteAPP

Такая же фигня была и когда я публиковал RDS через TMG с авторизацией через Kerberos
Тогда крутил-крутил и плюнул...

Может кто решал уже эту проблему? Хотелось бы SSO настроить...
Автор: cromarty
Дата сообщения: 30.01.2014 22:33
В продолжении темы, недавно нашел цикл статей о Web application Proxy http://it-community.in.ua/2013/12/web-application-proxy1.html/ Для тех кто с почтовым эксом работает, самое оно.
Автор: ezif
Дата сообщения: 27.02.2014 19:58
Добрый день.
у меня есть веб сервер на внутреннем сервере например 192.168.1.6:8089, несколько сайтов на нем, некоторые для работы, некоторые выставить наружу, раньше что в ISA, что в TMG, все было просто, указал внешний урл, указал внутренний IP, указал на какой порт редирект.
Как реализовать это на 2012 сервере? WAP говорит что только https может публиковать, да и с портами там не все ясно.
Если кто сталкивался, буду признателен. спасибо.
Автор: HmH
Дата сообщения: 20.03.2014 23:48
ezif
Просто на шлюзе порты пробрось (port forward)...
WAN > 192.168.1.6:8089

WAP - это публикация, множество web приложений (требующих защиты) по протоколу https НА ОДНОМ IP

раньше так было нельзя (ну вообще можно на TMG с существенными ограничениями)

Добавлено:
cromarty
Давно сделано, а так же RD Services 2012 R2 опубликовал через WAP
Автор: Allan Stark
Дата сообщения: 24.03.2014 20:44
А в таком вот варианте:
http://social.technet.microsoft.com/Forums/getfile/434873

Пробовал кто-то публиковать? У меня пока не получается, судя по NetMonitor-у WAPx слушает только обычные сетевые интерфейсы и глух к PPP...
Автор: HmH
Дата сообщения: 29.04.2014 22:49
Allan Stark

Цитата:
...судя по NetMonitor-у WAPx слушает только обычные сетевые интерфейсы и глух к PPP...


Не совсем понятна схема...

Если я правильно понял, то по схеме клиенты VPN'ятся на FreeBSD (VPN PPTP так это не безопасно его использовать) для получения доступа к WAP ?

Если так то это не правильный вариант использования...
WAP это EDGE сервер, то есть один из интерфейсов может иметь RealIP
Если хочешь профаирволить то пробрасывай порты с FreeBSD

Если нужна доп. безопасность, то в связке AD FS + WAP можно настроить MS MFA при помощи Azure AD

Ну и как бы смылс то всей связки это как раз заменить TMG имея возможность безопасно публиковать любые приложения в инет по одному 443 порту минуя VPN...

А если FreeBSD это роутер удаленного офиса, то почему бы не поднять между IPSec ну или OpenVPN туннель?
Автор: slobodyand
Дата сообщения: 19.09.2014 10:25
а что именно ты в ДНС напутал, у меня таже ошибка
Автор: HmH
Дата сообщения: 18.10.2014 21:40
slobodyand
Уже и не помню...

Используй скрипты, в шапке ссылка есть...
Автор: gloomyllirik
Дата сообщения: 13.08.2015 11:04
HmH
если не сложно, опишите, пожалуйста, подробней, как вы опубликовали RDS через WAP, да еще и с авторизацией ADFS.
Автор: Paromshick
Дата сообщения: 13.08.2015 11:24
Вот так не подойдет?
Автор: gloomyllirik
Дата сообщения: 13.08.2015 11:53
Paromshick
я уже установил ADFS и WAP роли.
публиковал web-приложения через сквозной режим, публиковал Exchange OWA и ECP через аутентификацию/авторизацию на ADFS.
но вот что касается публикации RDS - пока не могу допереть...
Автор: Paromshick
Дата сообщения: 13.08.2015 12:47
gloomyllirik
Публикуется роль RDG. Считается, что она уже настроена

Добавлено:
https://technet.microsoft.com/en-us/library/dn765486.aspx
Автор: gloomyllirik
Дата сообщения: 13.08.2015 13:14
Paromshick
спасибо, уже сам разобрался. просто тупанул, забыл про rdg...
Автор: Dmitriy_Kolesnikov
Дата сообщения: 13.10.2015 23:35
Прошу совета.
У меня в локалке есть несколько HTTP\HTTPS разнородных серверов - там самые разные веб-серверы и ОС.
Один маршрутизатор с NAT (W2012R2 + RRAS) и на него один белый IP-адрес.
Я хочу сделать простой проброс (pass thrue) HTTP+HTTPS трафика через маршрутизатор в зависимости от СИМВОЛЬНОГО имени хоста, к которому обратился клиент:
www.mycompany.ru -> 192.168.1.1
pay.mycompany.ru -> 192.168.1.2
portal.mycompany.ru -> 192.168.1.3
www.company2.ru -> 192.168.1.4
etc

Я не хочу, чтобы при маршрутизации HTTPS-трафик как-либо модифицировался.

Можно ли реализовать сие с помощью Web Application Proxy?
Автор: fsv2k5
Дата сообщения: 23.10.2015 16:37
Dmitriy_Kolesnikov
да

Страницы: 1

Предыдущая тема: Проброс принтера из MacOS в терминал Win2k8 R2


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.