Продължаваме да се запознаваме с новите функции на Windows Server 2012 R2. По-рано говорихме за корпоративния колега на DropBox в Windows Server 2012 R2, наречен Work Folders. Днес ще говорим за още едно нововъведение на новата сървърна платформа - функции Прокси за уеб приложение. Прокси за уеб приложение е нова функция на ролята Отдалечен достъп в Windows 2012 R2, която позволява публикуване на HTTP / HTTPS приложения, разположени по периметъра на корпоративната мрежа на клиентски устройства (предимно мобилни устройства) извън периметъра му. Поради възможността за интеграция с AD FS (услугата може да действа като ADFS прокси), е възможно да се осигури автентификация на външни потребители, които се опитват да получат достъп до публикувани приложения.
Прокси за уеб приложение предоставя същите възможности за публикуване на приложения като Forefront Unified Access Gateway (UAG), но тази услуга ви позволява да взаимодействате и с други сървъри и услуги, като по този начин предоставя по-гъвкава и рационализирана конфигурация..
Прокси за уеб приложение по същество изпълнява функцията обратен обратен прокси, организиране на релето на клиентски заявки от външната мрежа към вътрешния сървър и е защитна стена на ниво приложение.
Сървър с прокси услуга за уеб приложения получава външен HTTP / HTTPS трафик и го прекратява, след което инициира нова връзка с вътрешното приложение (уеб сървър) от негово име. Т.е. външните потребители всъщност не получават директен достъп до вътрешното приложение. Всеки друг трафик, получен от прокси за уеб приложение, се отхвърля (включително HTTP / HTTPS заявки, които могат да се използват в DoS, SSL и 0-дневни атаки се отхвърлят).
Изисквания и основни характеристики за организация на уеб приложението прокси:
- Системата може да бъде разгърната на сървъри, работещи под Windows Server 2012 R2, включени в домейн Active Directory с ролите AD FS и Web Application Proxy. Тези роли трябва да бъдат инсталирани на различни сървъри..
- Трябва да надстроите схемата на Active Directory до Windows Server 2012 R2 (не е необходимо да надстройвате контролерите на домейни до Windows Server 2012 R2)
- Като клиентски устройства се поддържат устройства с Windows OS, IOS (iPad и iPhone). Работата с клиенти за Android и Windows Phone все още не е приключила
- Автентификацията на клиента се извършва от Active Directory Federation Services (ADFS), която също действа като ADFS прокси..
- Типичното оформление на сървър с роля на прокси за уеб приложение е показано на фигурата. Този сървър е разположен в специализирана DMZ зона и е отделен от външната (Интернет) и вътрешната мрежа (Интранет) чрез защитни стени. В тази конфигурация проксито за уеб приложение изисква да работят два интерфейса - вътрешния (интранет) и външният (DMZ)
Инсталирайте ролята на ADFS на Windows Server 2012 R2
За да се осигури допълнителна сигурност, предварителното удостоверяване на външни клиенти се извършва на ADFS сървъра, в противен случай автентификацията за преминаване се използва на целевия сървър на приложението (което е по-малко защитено). Следователно, първата стъпка в конфигурирането на прокси сървъра за уеб приложения е инсталирането на ролята на отделен сървър Услуги на федерацията на Active Directory. 
Когато инсталирате ADFS, трябва да изберете SSL сертификата, който ще се използва за криптиране, както и имената на DNS, които ще се използват от клиенти при свързване (ще трябва да създадете съответните записи в DNS зоната сами).
След това трябва да посочите сервизната сметка за услугата ADFS. Моля, обърнете внимание, че името на ADFS трябва да бъде посочено в атрибута Основно име на услугата на акаунта. Можете да направите това с командата:
setspn -F -S хост / adfs.winitpro.ru adfssvc
И накрая, посочете базата данни, в която ще се съхранява информацията: тя може да бъде вградена база данни на същия сървър (WID - Windows Internal Database) или отделна база данни на специализиран SQL сървър. 
Инсталиране на услугата за прокси на уеб приложения
Следващата стъпка е да конфигурирате самата услуга на уеб приложението прокси. Спомнете си, че услугата прокси за уеб приложение в Windows Server 2012 R2 е част от „Отдалечен достъп". Инсталиране на услуга Прокси за уеб приложение и стартирайте съветника за настройка.
На първия етап съветникът ви подканва да посочите името на ADFS сървъра и параметрите на акаунта, който има достъп до тази услуга.
След това трябва да посочите сертификата (уверете се, че алтернативните имена на сертификата съдържат името на ADFS сървъра).
Публикуване на приложение чрез прокси за уеб приложение
След като се инсталират ролите на ADFS и Web Application Proxy (който също работи като ADFS Proxy), можете да преминете директно към публикуване извън конкретно приложение. Можете да направите това с помощта на конзолата R.емоционална конзола за управление на достъпа.
Изпълнете съветника за публикуване и посочете дали искате да използвате ADFS за предварителна проверка (това е нашата възможност).
След това трябва да зададете името на публикуваното приложение, използвания сертификат, външния URL адрес (той ще се използва от външни потребители за свързване) и вътрешния URL адрес на сървъра, до който ще бъдат изпратени заявките.
съвет. Ако искате да пренасочите външното приложение към алтернативен порт, трябва да го посочите в URL адреса, сочещ към вътрешния сървър. Например, ако искате да пренасочите външни https заявки (порт 443) към порт 4443, трябва да посочите:URL адрес на сървъра за резервни дни: lync.winitpro.local: 4443
Попълнете съветника и това е краят на публикуването на приложенията. Сега, ако се опитате да получите достъп до публикувания външен URL адрес чрез браузър, браузърът първо ще бъде пренасочен към услугата за удостоверяване (ADFS Proxy), а след успешното удостоверяване потребителят ще бъде изпратен директно до вътрешния сайт (уеб приложение).
Благодарение на новата услуга за уеб приложение Proxy в Windows Server 2012 R2 е възможно да се реализира функционалността на обратен прокси сървър, за да се публикуват вътрешни услуги на предприятие отвън, без да е необходимо да се използват защитни стени на трети страни и продукти, включително като Forefront и др..
