TechEd North America 2014 – Tudo sobre ARR, WAP e AD FS

10 de dezembro de 2014 Deixe um comentário

Saudações,

Depois de alguns dias extremamente ocupado, voltamos aqui pra continuar nossa série de posts em que foco no aprendizado do AD Federation Services 3.0 e Web Application Proxy.

Hoje quero deixar como presente de fim de ano uma série de links onde você poderá ter acesso aos conteúdos referentes a AD Federation Services e Web Application Proxy que foram apresentados no TechEd North America de 2014.

Abaixo os links para diversos HOL (Hands On Lab) e videos das sessões em que foram tratados temas como WAP, ADFS, Claims-Aware, entre outros que estão disponíveis no site do Channel9:

HOL – Application Request Routing – ARR – Neste Lab você aprende a instalar e configurar o Application Request Routing para publicar o Lync Server.

HOL – Windows Server 2012 R2 – Implementing Claims-aware Applications – Neste lab, você aprende como configurar e implementar a nova feature de proteção de acessos e informações no Windows Server 2012 R2 incluindo WorkPlace Join e Seamless Second Factor Authentication.

HOL – Windows Server 2012 R2 – New features in Active Directory Federation Services – O Active Directory Federation Services (AD FS) usa claims-based authentication para prover single sign-on (SSO) web-based access para recursos internos em um parceiro federado ou na núvem. No Windows Server 2012 R2, o AD FS traz diversas novas funcionalidades, incluindo device registration (Workplace Join) para autenticação de dispositivos e SSO, melhorias na multi-factor authentication para gerenciamento de riscos, customização simplificada do processo de autenticação, além da possibilidade de oferecer a opção de alteração de senha para o usuário quando um dispositivo registrado está sendo usado.

Neste você aprenderá como configurar o AD FS para habilitar o Workplace Join, configurar um relying party trust, configurar o  Web Application Proxy habilitando o AD FS para clientes externos, customizar a página de sign-in do AD FS, melhorando a experiência do usuário, habilitar a alteração de senha para dispositivos registrados e configurar multi-factor authentication.

Video – Troubleshooting Active Directory Federation Services (AD FS) and the Web Application Proxy – Aprenda como efetura a análise de problemas no AD FS e no WAP.

Video – Publishing Microsoft Exchange Server: Which TLA Should You Choose? – Com a saída do Forefront TMG, veja quais opções você tem para o proxy reverso de sua infra de servidores Exchange.

Video – Introducing Web Application Proxy in Windows Server 2012 R2: Enable Work from Anywhere – Tive a oportunidade de assistir essa sessão remotamente. O conteúdo é excelente e aborda todas as funcionalidades do WAP e também entra na configuração do Azure AD Application Proxy (o WAP dentro do Azure).

Para ver todo conteúdo exposto no TechEd North America 2014 clique aqui.

Espero que o conteúdo seja útil e o ajude no seu aprendizado. Em caso de dúvidas deixe seu comentário!

Bom entretenimento!

Abraços

Uilson

Atenção durante o deployment do WAP e ADFS

6 de novembro de 2014 2 comentários

Saudações,

Em continuidade a série de posts sobre WAP (Web Application Proxy) e ADFS (Active Directory Federation Services), vamos falar sobre alguns percalços que podem impactar no planejamento de sua estrutura de servidores de proxy reverso, bem como no bom funcionamento de seu serviço de federação.

Lembrando que publiquei no TechNet Wiki os primeiros artigos desta série: Implementando o Web Application Proxy e publicando aplicações via WAP no modo Pass-through.

Além desses artigos, publiquei um post nesse blog sobre as correções lançadas para WAP. Vc pode ler o post clicando aqui.

Vamos relembrar alguns conceitos e requisitos do WAP:

1. O WAP precisa do ADFS (Active Directory Federation Services) como base de dados e para os serviços de pré-autenticação (Claims, OAuth, KCD, MFBA, etc)

2. Para que haja comunicação entre eles é necessário exportar o certificado do ADFS e, caso estejam em DMZ´s diferentes, ter as portas 80, 443 e 49443 abertas no firewall

3. O certificado do ADFS pode ser gerado a partir de uma CA interna mesmo (Active Directory Certificate Services). Os certificados das aplicações a serem publicadas também podem ser do mesmo tipo, mas, facilita se for de CA´s externas (CertSign por exemplo). Entretanto, se o uso da CA interna para publicação de suas aplicações for mandatório, você precisa publicar a sua CRL (Certificate Revocation List) e se certificar que, os acessos externos irão ter o certificado ROOT instalado.

Lembrando que a porta 49443 é usada para configurar client certificate authentication. Se você não pretende usar essa funcionalidade, não precisa abrir essa porta.

Alguns problemas que encontrei em laboratórios e também em alguns clientes foram problemas de conexão entre o WAP e o ADFS. No momento da instalação ocorreu o erro abaixo:

An error occurred when attempting to establish a trust relationship with the federation service. Error: The underlying connection was closed: An unexpected error occurred on a send.

Este erro mostra um problema no certificado que foi exportado do ADFS para o servidor do WAP, ou seja, não é possível estabelecer uma relação de confiança entre WAP e ADFS.

Ao olhar o certificado no WAP Server, dá pra notar um pequeno detalhe (mas que diz tudo):

image

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Nesse ponto encontramos a razão do problema, mas, como se corrige isso?

Veja bem, o certificado na figura acima não contem a chave privada. Pra ter certeza, você faz um novo export a partir do ADFS e constata que a chave privada não pode ser exportada.

Chega-se a conclusão de que antes do ADFS ser instalado, um certificado para ele foi requisitado na CA interna, porém, no momento da requisição do certificado não foi selecionada a opção de fazer a chave privada ser exportável:

image

Desta forma, vemos que o problema maior do pensávamos e a solução se dá em algumas alterações no próprio ADFS. Veja abaixo como o ADFS controla esta parte de certificados:

 image

Com base na figura acima, vemos que o ADFS usa o certificado gerado para 3 finalidades – Service Communications, Token-decrypting e Token-signing. A comunicação entre WAP e ADFS se dá através do Service Communications. Para resolver este problema e outros que possam a vir a ocorrer por conta disso, é necessário seguir os passos abaixo:

* Gerar um novo certificado para o ADFS a partir do Snap-In “Certificates”, solicitando a partir da sua CA interna e com a chave privada exportável

* Alterar o certificado usado pelo Service Communications: Na figura acima, lado direito, Sessão “Actions”, opção “Set Service Communications Certificate”. Surgirá uma tela com os certificados instalados localmente e você escolhe aquele que foi gerado com a chave privada exportável.

Resolvido? Não!!! Além dos passos acima, é necessário executar comandos de power shell para que a alteração feita no ADFS, reflita no arquivo http.sys (responsável pelo gerenciamento da parte de certificados)

Para esta finalidade é necessário usar o CmdLet Set-AdfsSslCertificate para definir o novo certificado gerado para o ADFS. Além disso, você irá precisar do ThumbPrint number (a identificação do seu certificado). Na figura abaixo você verá como coletar essa informação:

image

Agora execute o comando abaixo para alterar o certificado no http.sys:

Set-ADFSCertifcate -CertificateType Service-Communication -Thumbprint xxxxxxxx

O mesmo procedimento deve ser adotado para alterar o certificado do Token-decrypting e Token-signing. Não se esqueça de exportar o certificado novo para o servidor do Web Application Proxy (com a chave privada).

Se você instalou seu ADFS somente para esta finalidade e está no começo do seu deployment, vc pode também remover o ADFS e reinstala-lo ao invés de usar os passos acima.

Uma previsão que me foi dada pelo pessoal de desenvolvimento do ADFS é que, para a próxima versão, o http.sys já entenda a alteração de certificado feita na interface gráfica do ADFS, poupando assim tempo do administrador.

Outro fator, embora pequeno, que causou problemas em cliente foi no momento da configuração do Web Application Proxy. Em determinado momento você precisa dizer ao WAP qual será o ADFS Server que ele irá usar como base de dados e para pré-autenticação:

image

Alguns erros de instalação e falha de comunicação ocorriam porque o Federation Service name não está sendo corretamente declarado (vide figura acima).

No campo “Federation Service name” você tem que colocar o nome que criou para seu ADFS (adfs.domínio.com ou federation.dominio.com, etc). O erro ocorria porque em alguns casos, era colocado o FQDN do servidor e aí, não era possível estabelecer a comunicação entre o servidor WAP e o ADFS.

Espero que o post possa ser útil e ajudar aqueles que estão pensando em usar o WAP como proxy reverso.

Abraços

Uilson

Correções recentes para Web Application Proxy e ADFS

15 de outubro de 2014 1 comentário

Saudações,

Após minha palestra sobre Web Application Proxy para o MVP Show Cast (clique aqui para ler o resumo e também para ter acesso ao video), postei um artigo no TechNet Wiki sobre como implementar o WAP e seus pré-requisitos. Para ler o artigo clique aqui.

Durante este período de uso da ferramenta, alguns problemas foram reportados e documentados pela Microsoft. A resolução dos mesmos se dá com a aplicação do KB2975719, lançado em agosto deste ano. Este update vem a corrigir também problemas nas versões Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2.

O link para o KB – http://support.microsoft.com/kb/2975719

Para quem usa o Web Application Proxy com ADFS, abaixo a lista de problemas reportdos que são resolvidos com o KB citado:

Update to enable or disable the HttpOnly feature for a WAP or an application in Windows Server

http://support.microsoft.com/kb/2982037

Expired certificates cannot be removed when automatic certificate rollover is disabled in Windows Server 2012 R2

http://support.microsoft.com/kb/2976996

You cannot sign in to a web application when you use certificate authentication method in Windows Server 2012 R2

http://support.microsoft.com/kb/2975066

2971171 ADFS authentication issue for Active Directory users when extranet lockout is enabled

http://support.microsoft.com/kb/2971171

ExtendedProtectionTokenCheck setting keeps being disabled in AD FS 3.0 in Windows Server 2012 R2

http://support.microsoft.com/kb/2978096

You are prompted to re-enter credentials frequently when using Work Folders by using ADFS authentication in Windows 8.1

http://support.microsoft.com/kb/2975719

You cannot log on to an AD FS server when you use an alternative UPN suffix account in Windows Server 2012 R2

http://support.microsoft.com/kb/2980756

AD FS cannot start on a non-English language-based server in Windows Server 2012 R2 or Windows Server 2008 R2

http://support.microsoft.com/kb/2975070

Update to support the SAML sender-vouches token in STS on a Windows Server 2012 R2-based AD FS server

http://support.microsoft.com/kb/2975067

Single Sign-On is available for Office 365 users to access SharePoint Online sites in Windows 2012 R2

http://support.microsoft.com/kb/2958298

Para os próximos posts vamos falar sobre o passo a passo na publicação de aplicações com pré-autenticação e via Passthrough.

Iremos tratar também das mudanças implementadas no Windows Server Technical Preview para o WAP e o ADFS.

Abraços

Uilson

Resumo da minha palestra sobre Web Application Proxy no MVP ShowCast 2014

24 de setembro de 2014 3 comentários

Saudações,

Na última segunda (22/09/2014) entreguei a palestra “Proxy Reverso com Web Application Proxy no Windows Server 2012 R2”. Tivemos uma audiência de 10 pessoas que conseguiram me aguentar até o final e aprender um pouco sobre como proteger suas aplicações que precisam ser acessadas externamente.

Falei sobre o conceito do produto – Uma função agregada à role Remote Access do Windows Server 2012 R2 – e finalidade dentro da corporação, possibilitando acessar aplicações corporativas de qualquer lugar com qualquer dispositivo (notebook, tablets, smart phones).

Mostrei sua integração ao Active Directory Federation Services 3.0 (o usando como base de dados e para autorização e pré-autenticação).

Mostrei também que é possível fazer a pré-autenticação usando Claims-based identity, MSFBA, OAuth, KCD e Client Certificate Authentication (via ADFS) e passthrough (acesso direto do WAP Server ao BackEnd Server). É possível também (via Power Shell) fazer a autenticação via certificado a partir do próprio WAP.

Mostrei também a topologia mais adequada ao produto:

image

Mantenha sempre o WAP em uma DMZ com um back-firewall protegendo sua rede interna e assim as requisições que chegam ao proxy reverso e não são autorizadas e pré-autenticadas pelo ADFS interno, não são passadas ao rede local.

Falei que o WAP também atua como um AD FS Proxy – lembrando que a partir do Windows Server 2012 R2, o AD FS Proxy não existe mais, cabendo ao WAP este papel.

Foi falado da atenção que se deve ter na questão do deployment do WAP. Você precisa conecta-lo a um ADFS pré-definido para pré-autenticação, autorização e para base de dados do produto. Mostramos que, para que essa parte seja bem sucedida vc precisa ter instalado no WAP o certificado do seu ADFS interno e também apontar para ele através do ADFS Name (e não com o hostname da máquina…erro esse que até eu cometi). Além disso é necessário que o WAP Server e o ADFS interno se comuniquem a partir das portas 80, 443 e 49443 (para client certificate autentication).

Mostrei o passo a passo da instalação do WAP e as configurações iniciais que devem ser feitas. Além disso, mostrei algumas limitações do produto que deverão ser corrigidas na próxima versão.

Os contratempos

Como em todas as áreas da vida, a lei de Murphy também afeta os evangelistas técnicos, os MVP´s e MTAC´s como eu. No momento da Palestra meu note não se conectava a sala de transmissão, visto estarmos usando o LiveMeeting e, por muito pouco não tivemos que cancelar a apresentação.

Para evitar esse desastre, e para minha sorte, tinha outro notebook com o client do LiveMeeting instalado e aí foi possível entregar a palestra, porém, não tive tempo de migrar minhas VM´s de um lado para o outro….dessa forma, não foi possível fazer a demo que preparei. Só espero que meu amigo MVP Alberto Oliveira não me estrangule…rs..rs..rs…

Brincadeiras a parte, consegui demonstrar o processo de publicação de aplicações via passthrough a partir de screen shots. Não foi como eu queria, mas, deu pra mostrar algo.

O que me esqueci de falar nesse desespero todo:

1 – Cuidado com a parte de certificados digitais que fazem o trust entre ADFS e WAP. Apesar de ter dito que é necessário ter a chave privada exportável, eu me esqueci de dizer que, qualquer alteração de certificado no ADFS afeta o WAP, visto que, o Federation Services só valida as alterações de certificado no http.sys após uma série de comandos power shell (problema este que será resolvido na próxima versão do produto).

2 – Me esqueci de falar que o WAP não deve ser inserido no domínio, a menos que você vá autenticar na aplicação a partir de KCD (Kerberos Constrained Delegation)…nesse caso é imprescindível que o WAP seja inserido em seu domínio.

Continuando

Fiz um pequeno overview do Azure AD Application Proxy. A ferramenta de proxy reverso do Microsoft Azure que faz o mesmo papel do WAP, porém, totalmente voltado para núvem.

Após a palestra, eu e o Luciano Lima (moderador) falamos sobre os programas Microsoft para disseminação de conteúdo, tais como o Programa MVP, o MVP Mentoring, o Microsoft Curah e o Microsoft Virtual Academy.

Diferente das outras palestras que entreguei, nesta eu só mostrei os links de referência para estudo no final. E para agilizar o Luciano Lima criou um curah com todos os links da minha apresentação e neles você terá um vasto material para aprendizado do WAP, podendo inclusive ver videos e montar seu laboratório de testes.

Para acessar curah criado pelo Luciano Lima, clique no link http://curah.microsoft.com/210943/mvp-showcast-2014-proxy-reverso-com-web-application-proxy-no-windows-server-2012-r2

Para assistir o video da palestra, basta acessar o mesmo link no qual foi feito a inscrição. Ao entrar na página, você deverá clicar no botão “exibir online” na parte direita da tela e será direcionado a área de download.

Como falei posteriormente, o aprendizado do WAP requer um conhecimento no AD Federation Services. Dessa forma disponibilizei uma página no Curah da Microsoft onde você encontra dois links com vasto conteúdo sobre a ferramenta e também o passo a passo para deployment. Clique no link abaixo:

http://curah.microsoft.com/211422/windows-server-2012-r2-passo-a-passo-instalando-o-active-directory-federation-services-30

Para os próximos dias estarei trabalhando numa série de posts sobre WAP e ADFS que serão publicados não só aqui, mas também nos canais que escrevo (TechNet Wiki e CooperaTI).

Finalizando, queria agradecer ao amigo Alberto Oliveira pela nova oportunidade (espero contribuir em outros eventos) e ao Luciano Lima pela imensa ajuda na moderação da palestra!

Espero que o conteúdo ajude e até a próxima!

Abraços

Uilson

Funcionalidades de Proxy no Windows 8.1

2 de setembro de 2014 2 comentários

Saudações,

No fim do ano passado, o mestre Fábio Hara precisava de alguém que falasse sobre as funcionalidades de proxy no Windows 8.1 em um mini treinamento online. Aceitei a incumbência e fiz o trabalho. O video inicialmente está no site do Channel9 da Microsoft. Em breve deverá fazer parte de um treinamento do MVA, ainda não definido.

Entretanto, já é possível assisti-lo e tirar suas dúvidas com relação a essa funcionalidade. Clique na imagem abaixo e assista esse mini treinamento:

image

Espero que o video possa ser útil e ajudar a otimizar as suas tarefas diárias.

Abraços

Uilson

MVP ShowCast 2014 – Estarei lá novamente!

25 de agosto de 2014 Deixe um comentário

Saudações,

Mais uma vez o grupo MVP (Most Valuable Professional) da Microsoft promove o evento MVP ShowCast! Uma grande quantidade de palestras para ITPro´s e profissionais de DEV com ênfase em ferramentas Microsoft. Nestas palestras você verá algumas melhores práticas e dicas de implementação que vão ajudar no seu dia a dia.

Serão 64 webcast´s que ocorrerão entre os dias 15 de setembro a 09 de outubro de 2014, sempre as 12:00 hs e as 20:00 hs.

Como no ano passado, mais uma vez tive a honra de ser convidade para palestrar e este ano estarei falando sobre Web Application Proxy – nova feature de reverse proxy do Windows Server 2012 R2.

Se você ainda usa o Forefront TMG para reverse proxy e está a procura de uma opção para substitui-lo, não perca minha palestra que ocorrerá no dia 22 de setembro as 20:00 hs com moderação do meu amigo MVP Alberto Oliveira. Para se inscreverem na minha palestra basta clicar na imagem abaixo e você será direcionado a página de inscrição:

banner

Além da minha palestra teremos temas muito importantes e interessantes a ser tratados que recomendo a você que não perca! Para tal, visite a página do MVP ShowCast 2014, veja todas as trilhas e faça a sua inscrição nas palestras de seu interesse. Clique aqui para ser direcionado ao site do MVP Show Cast.

Espero que, aqueles que se inscreverem na minha trilha gostem do conteúdo, pois, estou fazendo o meu melhor para oferecer um conteúdo dos melhores para ajudar a tantos quantos for possível!

Um bom evento a todos e um abraço!

Uilson

Certificados SHA2 e CA Windows Server 2003

15 de agosto de 2014 Deixe um comentário

Saudações,

Hoje em um cliente, vimos uma situação que achei interessante compartilhar aqui. O ambiente consiste em Domain Controllers Windows Server 2008 R2 e uma gama de sabores de Windows espalhados pelo ambiente (desde 2003 até 2012).

Uma aplicação usada no cliente necessitava de um certificado geral internamente, porém, a origem da requisição solicitava um certificado no padrão SHA2 (CNG – Cryptography Next Geneation), o que não era possível ser gerado.

Aí você me pergunta: Porque?

Simplesmente porque o Windows Server 2003 não dá suporte ao SHA2, deixando a geração de PKI´s limitada ao SHA1. Preocupante para quem precisa de certificados para logon de smart card e autenticação TLS.

Uma workaround para este caso é a aplicação do KB938397 que coloca o Windows Server 2003 (a partir do SP2) no mesmo nível funcional do Windows XP pós service pack 3.

Como seria isso?

Antes do service pack 3, o Windows XP também não oferecia suporte ao SHA2. Pós SP3 foram inseridas algumas funcionalidades limitadas no módulo rsaenh.dll, incluindo as seguintes hashes SHA2: SHA-256, SHA-384, SHA-512. A hashe SHA-224 não foi incluída..

No KB 938397 é possível fazer o download o fix para ser instalado na sua estrutura de CA´s Windows Server 2003.

O conteúdo deste post é resultado de pesquisa no Windows PKI Blog – http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx

Maiores dúvidas, deixem seus comentários que responderei assim que possível.

Espero que este post possa ajudar!

Abraços,

Uilson

CategoriasNão categorizado
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 931 outros seguidores

%d blogueiros gostam disto: