Atenção durante o deployment do WAP e ADFS

6 de novembro de 2014 Deixe um comentário

Saudações,

Em continuidade a série de posts sobre WAP (Web Application Proxy) e ADFS (Active Directory Federation Services), vamos falar sobre alguns percalços que podem impactar no planejamento de sua estrutura de servidores de proxy reverso, bem como no bom funcionamento de seu serviço de federação.

Lembrando que publiquei no TechNet Wiki os primeiros artigos desta série: Implementando o Web Application Proxy e publicando aplicações via WAP no modo Pass-through.

Além desses artigos, publiquei um post nesse blog sobre as correções lançadas para WAP. Vc pode ler o post clicando aqui.

Vamos relembrar alguns conceitos e requisitos do WAP:

1. O WAP precisa do ADFS (Active Directory Federation Services) como base de dados e para os serviços de pré-autenticação (Claims, OAuth, KCD, MFBA, etc)

2. Para que haja comunicação entre eles é necessário exportar o certificado do ADFS e, caso estejam em DMZ´s diferentes, ter as portas 80, 443 e 49443 abertas no firewall

3. O certificado do ADFS pode ser gerado a partir de uma CA interna mesmo (Active Directory Certificate Services). Os certificados das aplicações a serem publicadas também podem ser do mesmo tipo, mas, facilita se for de CA´s externas (CertSign por exemplo). Entretanto, se o uso da CA interna para publicação de suas aplicações for mandatório, você precisa publicar a sua CRL (Certificate Revocation List) e se certificar que, os acessos externos irão ter o certificado ROOT instalado.

Lembrando que a porta 49443 é usada para configurar client certificate authentication. Se você não pretende usar essa funcionalidade, não precisa abrir essa porta.

Alguns problemas que encontrei em laboratórios e também em alguns clientes foram problemas de conexão entre o WAP e o ADFS. No momento da instalação ocorreu o erro abaixo:

An error occurred when attempting to establish a trust relationship with the federation service. Error: The underlying connection was closed: An unexpected error occurred on a send.

Este erro mostra um problema no certificado que foi exportado do ADFS para o servidor do WAP, ou seja, não é possível estabelecer uma relação de confiança entre WAP e ADFS.

Ao olhar o certificado no WAP Server, dá pra notar um pequeno detalhe (mas que diz tudo):

image

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Nesse ponto encontramos a razão do problema, mas, como se corrige isso?

Veja bem, o certificado na figura acima não contem a chave privada. Pra ter certeza, você faz um novo export a partir do ADFS e constata que a chave privada não pode ser exportada.

Chega-se a conclusão de que antes do ADFS ser instalado, um certificado para ele foi requisitado na CA interna, porém, no momento da requisição do certificado não foi selecionada a opção de fazer a chave privada ser exportável:

image

Desta forma, vemos que o problema maior do pensávamos e a solução se dá em algumas alterações no próprio ADFS. Veja abaixo como o ADFS controla esta parte de certificados:

 image

Com base na figura acima, vemos que o ADFS usa o certificado gerado para 3 finalidades – Service Communications, Token-decrypting e Token-signing. A comunicação entre WAP e ADFS se dá através do Service Communications. Para resolver este problema e outros que possam a vir a ocorrer por conta disso, é necessário seguir os passos abaixo:

* Gerar um novo certificado para o ADFS a partir do Snap-In “Certificates”, solicitando a partir da sua CA interna e com a chave privada exportável

* Alterar o certificado usado pelo Service Communications: Na figura acima, lado direito, Sessão “Actions”, opção “Set Service Communications Certificate”. Surgirá uma tela com os certificados instalados localmente e você escolhe aquele que foi gerado com a chave privada exportável.

Resolvido? Não!!! Além dos passos acima, é necessário executar comandos de power shell para que a alteração feita no ADFS, reflita no arquivo http.sys (responsável pelo gerenciamento da parte de certificados)

Para esta finalidade é necessário usar o CmdLet Set-AdfsSslCertificate para definir o novo certificado gerado para o ADFS. Além disso, você irá precisar do ThumbPrint number (a identificação do seu certificado). Na figura abaixo você verá como coletar essa informação:

image

Agora execute o comando abaixo para alterar o certificado no http.sys:

Set-ADFSCertifcate -CertificateType Service-Communication -Thumbprint xxxxxxxx

O mesmo procedimento deve ser adotado para alterar o certificado do Token-decrypting e Token-signing. Não se esqueça de exportar o certificado novo para o servidor do Web Application Proxy (com a chave privada).

Se você instalou seu ADFS somente para esta finalidade e está no começo do seu deployment, vc pode também remover o ADFS e reinstala-lo ao invés de usar os passos acima.

Uma previsão que me foi dada pelo pessoal de desenvolvimento do ADFS é que, para a próxima versão, o http.sys já entenda a alteração de certificado feita na interface gráfica do ADFS, poupando assim tempo do administrador.

Outro fator, embora pequeno, que causou problemas em cliente foi no momento da configuração do Web Application Proxy. Em determinado momento você precisa dizer ao WAP qual será o ADFS Server que ele irá usar como base de dados e para pré-autenticação:

image

Alguns erros de instalação e falha de comunicação ocorriam porque o Federation Service name não está sendo corretamente declarado (vide figura acima).

No campo “Federation Service name” você tem que colocar o nome que criou para seu ADFS (adfs.domínio.com ou federation.dominio.com, etc). O erro ocorria porque em alguns casos, era colocado o FQDN do servidor e aí, não era possível estabelecer a comunicação entre o servidor WAP e o ADFS.

Espero que o post possa ser útil e ajudar aqueles que estão pensando em usar o WAP como proxy reverso.

Abraços

Uilson

Correções recentes para Web Application Proxy e ADFS

15 de outubro de 2014 Deixe um comentário

Saudações,

Após minha palestra sobre Web Application Proxy para o MVP Show Cast (clique aqui para ler o resumo e também para ter acesso ao video), postei um artigo no TechNet Wiki sobre como implementar o WAP e seus pré-requisitos. Para ler o artigo clique aqui.

Durante este período de uso da ferramenta, alguns problemas foram reportados e documentados pela Microsoft. A resolução dos mesmos se dá com a aplicação do KB2975719, lançado em agosto deste ano. Este update vem a corrigir também problemas nas versões Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2.

O link para o KB – http://support.microsoft.com/kb/2975719

Para quem usa o Web Application Proxy com ADFS, abaixo a lista de problemas reportdos que são resolvidos com o KB citado:

Update to enable or disable the HttpOnly feature for a WAP or an application in Windows Server

http://support.microsoft.com/kb/2982037

Expired certificates cannot be removed when automatic certificate rollover is disabled in Windows Server 2012 R2

http://support.microsoft.com/kb/2976996

You cannot sign in to a web application when you use certificate authentication method in Windows Server 2012 R2

http://support.microsoft.com/kb/2975066

2971171 ADFS authentication issue for Active Directory users when extranet lockout is enabled

http://support.microsoft.com/kb/2971171

ExtendedProtectionTokenCheck setting keeps being disabled in AD FS 3.0 in Windows Server 2012 R2

http://support.microsoft.com/kb/2978096

You are prompted to re-enter credentials frequently when using Work Folders by using ADFS authentication in Windows 8.1

http://support.microsoft.com/kb/2975719

You cannot log on to an AD FS server when you use an alternative UPN suffix account in Windows Server 2012 R2

http://support.microsoft.com/kb/2980756

AD FS cannot start on a non-English language-based server in Windows Server 2012 R2 or Windows Server 2008 R2

http://support.microsoft.com/kb/2975070

Update to support the SAML sender-vouches token in STS on a Windows Server 2012 R2-based AD FS server

http://support.microsoft.com/kb/2975067

Single Sign-On is available for Office 365 users to access SharePoint Online sites in Windows 2012 R2

http://support.microsoft.com/kb/2958298

Para os próximos posts vamos falar sobre o passo a passo na publicação de aplicações com pré-autenticação e via Passthrough.

Iremos tratar também das mudanças implementadas no Windows Server Technical Preview para o WAP e o ADFS.

Abraços

Uilson

Resumo da minha palestra sobre Web Application Proxy no MVP ShowCast 2014

24 de setembro de 2014 3 comentários

Saudações,

Na última segunda (22/09/2014) entreguei a palestra “Proxy Reverso com Web Application Proxy no Windows Server 2012 R2”. Tivemos uma audiência de 10 pessoas que conseguiram me aguentar até o final e aprender um pouco sobre como proteger suas aplicações que precisam ser acessadas externamente.

Falei sobre o conceito do produto – Uma função agregada à role Remote Access do Windows Server 2012 R2 – e finalidade dentro da corporação, possibilitando acessar aplicações corporativas de qualquer lugar com qualquer dispositivo (notebook, tablets, smart phones).

Mostrei sua integração ao Active Directory Federation Services 3.0 (o usando como base de dados e para autorização e pré-autenticação).

Mostrei também que é possível fazer a pré-autenticação usando Claims-based identity, MSFBA, OAuth, KCD e Client Certificate Authentication (via ADFS) e passthrough (acesso direto do WAP Server ao BackEnd Server). É possível também (via Power Shell) fazer a autenticação via certificado a partir do próprio WAP.

Mostrei também a topologia mais adequada ao produto:

image

Mantenha sempre o WAP em uma DMZ com um back-firewall protegendo sua rede interna e assim as requisições que chegam ao proxy reverso e não são autorizadas e pré-autenticadas pelo ADFS interno, não são passadas ao rede local.

Falei que o WAP também atua como um AD FS Proxy – lembrando que a partir do Windows Server 2012 R2, o AD FS Proxy não existe mais, cabendo ao WAP este papel.

Foi falado da atenção que se deve ter na questão do deployment do WAP. Você precisa conecta-lo a um ADFS pré-definido para pré-autenticação, autorização e para base de dados do produto. Mostramos que, para que essa parte seja bem sucedida vc precisa ter instalado no WAP o certificado do seu ADFS interno e também apontar para ele através do ADFS Name (e não com o hostname da máquina…erro esse que até eu cometi). Além disso é necessário que o WAP Server e o ADFS interno se comuniquem a partir das portas 80, 443 e 49443 (para client certificate autentication).

Mostrei o passo a passo da instalação do WAP e as configurações iniciais que devem ser feitas. Além disso, mostrei algumas limitações do produto que deverão ser corrigidas na próxima versão.

Os contratempos

Como em todas as áreas da vida, a lei de Murphy também afeta os evangelistas técnicos, os MVP´s e MTAC´s como eu. No momento da Palestra meu note não se conectava a sala de transmissão, visto estarmos usando o LiveMeeting e, por muito pouco não tivemos que cancelar a apresentação.

Para evitar esse desastre, e para minha sorte, tinha outro notebook com o client do LiveMeeting instalado e aí foi possível entregar a palestra, porém, não tive tempo de migrar minhas VM´s de um lado para o outro….dessa forma, não foi possível fazer a demo que preparei. Só espero que meu amigo MVP Alberto Oliveira não me estrangule…rs..rs..rs…

Brincadeiras a parte, consegui demonstrar o processo de publicação de aplicações via passthrough a partir de screen shots. Não foi como eu queria, mas, deu pra mostrar algo.

O que me esqueci de falar nesse desespero todo:

1 – Cuidado com a parte de certificados digitais que fazem o trust entre ADFS e WAP. Apesar de ter dito que é necessário ter a chave privada exportável, eu me esqueci de dizer que, qualquer alteração de certificado no ADFS afeta o WAP, visto que, o Federation Services só valida as alterações de certificado no http.sys após uma série de comandos power shell (problema este que será resolvido na próxima versão do produto).

2 – Me esqueci de falar que o WAP não deve ser inserido no domínio, a menos que você vá autenticar na aplicação a partir de KCD (Kerberos Constrained Delegation)…nesse caso é imprescindível que o WAP seja inserido em seu domínio.

Continuando

Fiz um pequeno overview do Azure AD Application Proxy. A ferramenta de proxy reverso do Microsoft Azure que faz o mesmo papel do WAP, porém, totalmente voltado para núvem.

Após a palestra, eu e o Luciano Lima (moderador) falamos sobre os programas Microsoft para disseminação de conteúdo, tais como o Programa MVP, o MVP Mentoring, o Microsoft Curah e o Microsoft Virtual Academy.

Diferente das outras palestras que entreguei, nesta eu só mostrei os links de referência para estudo no final. E para agilizar o Luciano Lima criou um curah com todos os links da minha apresentação e neles você terá um vasto material para aprendizado do WAP, podendo inclusive ver videos e montar seu laboratório de testes.

Para acessar curah criado pelo Luciano Lima, clique no link http://curah.microsoft.com/210943/mvp-showcast-2014-proxy-reverso-com-web-application-proxy-no-windows-server-2012-r2

Para assistir o video da palestra, basta acessar o mesmo link no qual foi feito a inscrição. Ao entrar na página, você deverá clicar no botão “exibir online” na parte direita da tela e será direcionado a área de download.

Como falei posteriormente, o aprendizado do WAP requer um conhecimento no AD Federation Services. Dessa forma disponibilizei uma página no Curah da Microsoft onde você encontra dois links com vasto conteúdo sobre a ferramenta e também o passo a passo para deployment. Clique no link abaixo:

http://curah.microsoft.com/211422/windows-server-2012-r2-passo-a-passo-instalando-o-active-directory-federation-services-30

Para os próximos dias estarei trabalhando numa série de posts sobre WAP e ADFS que serão publicados não só aqui, mas também nos canais que escrevo (TechNet Wiki e CooperaTI).

Finalizando, queria agradecer ao amigo Alberto Oliveira pela nova oportunidade (espero contribuir em outros eventos) e ao Luciano Lima pela imensa ajuda na moderação da palestra!

Espero que o conteúdo ajude e até a próxima!

Abraços

Uilson

Funcionalidades de Proxy no Windows 8.1

2 de setembro de 2014 2 comentários

Saudações,

No fim do ano passado, o mestre Fábio Hara precisava de alguém que falasse sobre as funcionalidades de proxy no Windows 8.1 em um mini treinamento online. Aceitei a incumbência e fiz o trabalho. O video inicialmente está no site do Channel9 da Microsoft. Em breve deverá fazer parte de um treinamento do MVA, ainda não definido.

Entretanto, já é possível assisti-lo e tirar suas dúvidas com relação a essa funcionalidade. Clique na imagem abaixo e assista esse mini treinamento:

image

Espero que o video possa ser útil e ajudar a otimizar as suas tarefas diárias.

Abraços

Uilson

MVP ShowCast 2014 – Estarei lá novamente!

25 de agosto de 2014 Deixe um comentário

Saudações,

Mais uma vez o grupo MVP (Most Valuable Professional) da Microsoft promove o evento MVP ShowCast! Uma grande quantidade de palestras para ITPro´s e profissionais de DEV com ênfase em ferramentas Microsoft. Nestas palestras você verá algumas melhores práticas e dicas de implementação que vão ajudar no seu dia a dia.

Serão 64 webcast´s que ocorrerão entre os dias 15 de setembro a 09 de outubro de 2014, sempre as 12:00 hs e as 20:00 hs.

Como no ano passado, mais uma vez tive a honra de ser convidade para palestrar e este ano estarei falando sobre Web Application Proxy – nova feature de reverse proxy do Windows Server 2012 R2.

Se você ainda usa o Forefront TMG para reverse proxy e está a procura de uma opção para substitui-lo, não perca minha palestra que ocorrerá no dia 22 de setembro as 20:00 hs com moderação do meu amigo MVP Alberto Oliveira. Para se inscreverem na minha palestra basta clicar na imagem abaixo e você será direcionado a página de inscrição:

banner

Além da minha palestra teremos temas muito importantes e interessantes a ser tratados que recomendo a você que não perca! Para tal, visite a página do MVP ShowCast 2014, veja todas as trilhas e faça a sua inscrição nas palestras de seu interesse. Clique aqui para ser direcionado ao site do MVP Show Cast.

Espero que, aqueles que se inscreverem na minha trilha gostem do conteúdo, pois, estou fazendo o meu melhor para oferecer um conteúdo dos melhores para ajudar a tantos quantos for possível!

Um bom evento a todos e um abraço!

Uilson

Certificados SHA2 e CA Windows Server 2003

15 de agosto de 2014 Deixe um comentário

Saudações,

Hoje em um cliente, vimos uma situação que achei interessante compartilhar aqui. O ambiente consiste em Domain Controllers Windows Server 2008 R2 e uma gama de sabores de Windows espalhados pelo ambiente (desde 2003 até 2012).

Uma aplicação usada no cliente necessitava de um certificado geral internamente, porém, a origem da requisição solicitava um certificado no padrão SHA2 (CNG – Cryptography Next Geneation), o que não era possível ser gerado.

Aí você me pergunta: Porque?

Simplesmente porque o Windows Server 2003 não dá suporte ao SHA2, deixando a geração de PKI´s limitada ao SHA1. Preocupante para quem precisa de certificados para logon de smart card e autenticação TLS.

Uma workaround para este caso é a aplicação do KB938397 que coloca o Windows Server 2003 (a partir do SP2) no mesmo nível funcional do Windows XP pós service pack 3.

Como seria isso?

Antes do service pack 3, o Windows XP também não oferecia suporte ao SHA2. Pós SP3 foram inseridas algumas funcionalidades limitadas no módulo rsaenh.dll, incluindo as seguintes hashes SHA2: SHA-256, SHA-384, SHA-512. A hashe SHA-224 não foi incluída..

No KB 938397 é possível fazer o download o fix para ser instalado na sua estrutura de CA´s Windows Server 2003.

O conteúdo deste post é resultado de pesquisa no Windows PKI Blog – http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Maiores dúvidas, deixem seus comentários que responderei assim que possível.

Espero que este post possa ajudar!

Abraços,

Uilson

CategoriasNão categorizado

Appliances Celestix para Direct Access – Solução eficaz e de fácil implementação

31 de julho de 2014 Deixe um comentário

Saudações,

Ontem (30/07/2014) participei de um WebMinar entregue pelo amigo Richard Hicks sobre as funcionalidades dos appliances da Celestix Networks para implementação do Direct Access.

O produto, além de implementar o Direct Access, também permite fazer proxy reverso com Web Application Proxy e também o Remote Desktop Gateway. O Appliance vem com uma versão customizada do Windows Server 2012 R2, porém, o uso deve ser unica e exclusivamente para as finalidades citadas:

1. Uma plataforma integrada que provê acesso seguro, dinâmico e abrangente através de datacenters e núvem para usuários externos.

2. Windows Server 2012 R2 based Unified Remote Access para conexões já usadas atualmente (RRAS based VPN, DirectAccess e Web Application Proxy) pelas corporações e também suporte a BYOD (Bring your own device)

3. Implantação rápida e uma interface de gerenciamento única

4. Acesso Remoto seguro para paplicações em núvem e on-premisses

5. Acesso Site to Site VPN entre ambientes privados, núvem pública ou núvem híbrida

6. Simplifica e garante a segurança do processo de migração através de um processo fim a fim de monitoramento e auditoria da conexão estabelecida.

Considerando o tamanho de sua infra e a abrangência do seu acesso externo, o produto é uma solução eficaz que alia alta performance, eficácia e facilidade no deployment com um custo mais baixo.

Para todas as informações referentes aos appliances da Celestix Networks, bem como os modelos e a documentação, clique no link abaixo:

http://www.celestix.com/products/cloud/

Espero que as informações acima possam ajudar e ser úteis.

Abraços

Uilson

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 923 outros seguidores

%d blogueiros gostam disto: