Настройка Web Application Proxy и публикация Exchnage

В современном мире, все больше корпоративных сервисов необходимо делать доступными для сотрудников, которые находятся вне офиса. На уровне датацентров этот вопрос решен давно и надолго, а вот малый и средний бизнес, использовавший TMG, оказался в недоумении от сложности проксирования на IIS в Windows Server 2012. Но в Windows Server 2012 R2 появился Web Application Proxy, который совместно с ранее рассмотренным AD FS делает публикацию ресурсов немногим сложнее проброса портов на шлюзе.

Несмотря на то, что WAP пока далек от совершенства, он все-таки работает, он прост, а самое главное бесплатен и потребляет минимум ресурсов.

В этой статье я покажу публикацию не только веб-сайтов IIS, но и публикацию Exchange, которая требует некоторых дополнительных действий.

Что касается системных требований, они предельно скромны: 1GHz vCPU, 1Gb vRAM, 20Gb vHDD (slow SATA storage) вполне достаточно. Дополнительных лицензий клиентского доступа не требуется, и если на хосте установлен Windows Server, то лицензирование вполне может обойтись в $0.

Устанавливать WAP теоретически можно на сервера с другими ролями, но лучше выделить отдельный сервер, учитывая что и ресурсы, и лицензии минимальны.

На сервере WAP соблазнительно отключить GUI, но этого делать не стоит: консоль при запуске с другого сервера настойчиво предлагает по новой пройти Wizard, видимо, сказывается общая сырость WAP:

20

Если Вы найдете способ удаленного управления WAP, сообщите об этом в комментариях.

Первым делом, экспортируем сертификат с сервера AD FS и импортируем его на сервер WAP:

60

61

Теперь установим WAP, который является частью роли  Remote Access:

Add-WindowsFeature Web-Application-Proxy

После установки, запустим предельно понятный Мастер:

62

63

64

Разумеется, нужно пробросить https трафик на WAP сервер создав соответствующее правило на шлюзе.

Теперь, когда установка и настройка окончены, можно опубликовать какой-нибудь примитивный сервис, который не умеет работать с AD FS (у меня как раз таковой существует):

66 67 68

Теперь, когда все готово, можем проверить результат перейдя по адресу с компьютера, который находится вне домена и вне корпоративной сети:

69

Аналогичным образом опубликуем сам AD FS:

71

.. и проверим результат:

72

Перейдем к публикации более “продвинутых” сервисов, например Exchange, который поддерживает преаутентификацию AD FS для OWA и ECP.

Первым делом, делегируем компьютеру WAP службы http тех серверов, чьи сервисы будем публиковать:

03

Теперь, можно создать так называемое “доверие” с помощью интуитивного мастера:

04

05

06

07

Теперь, нужно создать правило авторизации в новом мастере. Я разрешу доступ всем пользователям, в продуктивной среде есть возможность создать гибкие правила, которые будут соответствовать корпоративным политикам безопасности, если таковые, конечно, имеются и адекватны:

08

После этого, убедитесь что каталоги Exchange настроены правильно – OwaVirtualDirectory и EcpVirtualDirectory используют встроенную проверку Windows:

21

Теперь, опубликуем каталоги OWA и ECP используя AD FS:

09

… а Autodiscover, ews, activesync, oab, powershell, rpc используя Pass-through:

10

В результате, публикация Exchange в моем случае будет выглядеть вот так:

15

Проверим результат на компьютере вне домена и корпоративной сети используя браузер:

12

.. Outlook:

14

16

В конце важно проверить, что смартфоны и планшеты будут функционировать, для этого сначала воспользуемся Remote Connectivity Analyzer :

18

19

Теперь перейдем к практике и проверим работу на iOS 7.0.4:

20140128_162443000_iOS

20140128_162620000_iOS

На этом настройку Web Application Proxy и публикацию приложений можно считать успешно законченной.

Надеюсь озвученная информация будет полезной, а если нужна будет помощь — используйте форму на главной странице моего сайта.