Novas correções para Web Application Proxy e AD Federation Services 3.0

28 de junho de 2015 2 comentários

Saudações,

Este post (em caráter extraordinário) tem como intuíto ajuda-lo a documentar as novas recentes correções para você que usa o Web Application Proxy juntamente com o AD Federation Services 3.0.

Para saber as correções lançadas para os meses de outubro de novembro de 2014, veja o meu post do dia 15 de outubro do ano passado com a lista.

Abaixo a lista das últimas correções conforme informações da equipe do Application Proxy Blog:

Para servidores com Web Application Proxy:

3042127 "HTTP 400 – Bad Request" error when you open a shared mailbox through WAP in Windows Server 2012 R2

3042121 AD FS token replay protection for Web Application Proxy authentication tokens in Windows Server 2012 R2

3020813 You are prompted for authentication when you run a web application in Windows Server 2012 R2 AD FS

3025080 Operation fails when you try to save an Office file through Web Application Proxy in Windows Server 2012 R2

Para servidores com AD Federation Services:

3045711 MS15-040: Vulnerability in Active Directory Federation Services could allow information disclosure

3035025 Hotfix for update password feature so that users are not required to use registered device in Windows Server 2012 R2

3033917 AD FS cannot process SAML response in Windows Server 2012 R2  

3018886 You are prompted for a username and password two times when you access Windows Server 2012 R2 AD FS server from intranet

3025078 You are not prompted for username again when you use an incorrect username to log on to Windows Server 2012 R2

3020773 Time-out failures after initial deployment of Device Registration service in Windows Server 2012 R2

Continue acompanhando este blog! Estarei dando maiores informações e laboratórios com a versão do WAP para Windows Server 2012 R2 e também postarei alguns testes e cenários com a nova versão para Windows Server 2016 Technical Preview.

Abraços

Uilson

Categorias:Não categorizado

Usando o DNS Policies do Windows Server 2016 TP para balanceamento de carga

24 de junho de 2015 4 comentários

Saudações

Um das grandes mudanças que vem com o Windows Server 2016 TP não se resume somente ao que tenho mostrado nesse blog acerca do Web Application Proxy e AD Federation Services.

Hoje vamos abrir mais as possibilidades e compartilhar sobre algumas mudanças que o serviço de DNS também ganhou.

O Windows Server 2016 Technical Preview traz o DNS policies, uma nova feature na role DNS server.

As políticas são criadas para controlar como o DNS Server controla as requisições baseado em diversos parâmetros. O pessoal do Network Blog da Microsoft escreveu uma série de artigos onde detalham as funcionalidades do DNS Policies entre elas a parte de traffic management, deployment do split-brain DNS e criação de DNS query filters usando as políticas.

Neste post vou partilhar com vocês algo que eles também já detalharam, o balanceamento de carga de aplicações via DNS Policies. Para quem usa DNS no Windows Server 2008 ou 2012, trata-se de uma evolução do Round Robin.

Os procedimentos a seguir foram feitos em laboratório montado por mim usando como base de estudo o artigo do pessoal do Network Blog, no endereço abaixo:

http://blogs.technet.com/b/networking/archive/2015/05/20/application-load-balancing-using-dns-server-policies.aspx

Para ilustrar melhor, vamos imaginar um ambiente em que eu tenho meus servidores de aplicação espalhados em 4 datacenters. São Paulo, Rio de Janeiro, Fortaleza e Belo Horizonte. Lembrando que esse é um ambiente fictício. Estou compartilhando aqui o que aprendi estudando o artigo acima citado e o laboratório que fiz.

A diferença deste laboratório para o que foi postado no link acima é que, no meu caso, tenho em São Paulo e Rio de Janeiro, servidores que podem receber mais carga de acessos do que nas outras duas filiais.

No exemplo pelo pessoal do Network Blog, eles possuem 3 ambientes, sendo o primeiro o que tem mais condições de receber a caga de requisições em relação aos dois últimos.

No caso do nosso post aqui, vamos nos ater ao desenho abaixo:

image

Usando por base o exemplo acima, o DNS Policies irá distribuir as requisições entre os servidores fazendo com que as 3 primeiras requisições sejam direcionadas para São Paulo, as próximas 3 para Rio de Janeiro, as 2 seguintes para Fortaleza e as próximas 2 para Belo Horizonte. O processo se repete constantemente.

Agora, tecnicamente falando, como isso pode ser feito? Vamos listar os procedimentos:

Criar os zone scopes

O zone scope é uma instância única em um zone. Um zone pode conter diversos escopos e esses escopos podem conter diversos registros. No nosso laboratório, iremos criar os escopos SP_Scope (para São Paulo), RJ_Scope (para Rio de Janeiro), For_Scope (para Fortaleza) e BH_Scope (para Belo Horizonte). Lembrando que nosso zone tem o nome de uilson.net.

Todos os procedimentos listados aqui são feitos via Power Shell:

Criando o Zone Scope para São Paulo com o comando Add-DnsServerZoneScope -ZoneName "uilson.net" -Name "SP_Scope"

image

Repetir os processos para os sites do Rio, Fortaleza e Belo Horizonte:

Add-DnsServerZoneScope -ZoneName "uilson.net" -Name "RJ_Scope"

Add-DnsServerZoneScope -ZoneName "uilson.net" -Name "For_Scope"

Add-DnsServerZoneScope -ZoneName "uilson.net" -Name "BH_Scope"

Inserir os registros nos Zones Scopes

O próximo passo do nosso laboratório é inserir o registro dos web servers nos zones scopes criados no passo anterior.

Dentro dos zone scopes do domínio uilson.net vou inserir o registro “app” para que a chamada “app.uilson.net” retorne a aplicação a sere balanceada pelo DNS Policies.

O registro app será criado em cada zone scope com o IP referente ao web server da localidade conforme abaixo:

SP_Scope – 10.10.0.10

RJ_Scope – 10.10.1.10

For_Scope – 10.10.2.10

BH_Scope – 10.10.3.10

O primeiro registro a ser criado será no zone scope SP_Scope:

Add-DnsServerResourceRecord -ZoneName "uilson.net" -A -Name "app" -IPv4Address "10.10.0.10" -ZoneScope "SP_Scope"

image

Repetir o comando para os demais sites, alterando IP e Zone Scope name:

Add-DnsServerResourceRecord -ZoneName "uilson.net" -A -Name "app" -IPv4Address "10.10.1.10" -ZoneScope "RJ_Scope"

Add-DnsServerResourceRecord -ZoneName "uilson.net" -A -Name "app" -IPv4Address "10.10.2.10" -ZoneScope "For_Scope"

Add-DnsServerResourceRecord -ZoneName "uilson.net" -A -Name "app" -IPv4Address "10.10.3.10" -ZoneScope "BH_Scope"

Criação da política

Agora que nosso laboratório já tem os zone scopes e os registros criados em cada um deles, nos resta agora criar a política que irá distribuir as requisições entre os DNS Servers de acordo com o que foi planejado no começo deste post.

Relembrando que em nosso laboratório fictício, o hardware dos servidores de São Paulo e Rio de Janeiro têm condições de receberem um número maior de requisições (ambos ficarão com 30% da carga) e os servidores de Fortaleza e Belo Horizonte, com um hardware e menor poder de carga, ficam com 20% das requisições cada um.

A política é configurada através do comando abaixo:

Add-DnsServerQueryResolutionPolicy -Name "AppServerPolicy" -Action ALLOW – -ZoneScope "SP_Scope,3;RJ_Scope,3;For_Scope,2;BH_Scope,2" -ZoneName "uilson.net"

image

Repare na sintaxe do comando PS que após cada zone scope name vem uma vírgula e um número:

SP_Scope,3

RJ_Scope,3

For_Scope,2

BH_Scope,2

Desta forma eu defino que São Paulo receberá as 3 primeiras requisições, o Rio de Janeiro as próximas 3, Fortaleza receberá as 2 seguintes e Belo Horizonte as 2 próximas. O fluxo de repete constantemente.

Vale ressaltar que o processo de balanceamento de carga pelo DNS Policies melhorou muito em relação ao DNS Round Robin. Entretanto, pelo que vi no meu laboratório, algumas limitações permanecem…tais como a impossibilidade de determinar se um host está ou não disponível. Ao menos não encontrei nada que mudasse esse quadro.

Tendo em vista ainda estarmos na versão Technical Preview do Windows Server 2016, imagino que nem tudo o que estamos vendo permanecerá como está. Mudanças podem ocorrer no decorrer do período de testes.

Conclusão

Neste post mostrei pra você como configurar o serviço de balanceamento de carga de aplicações via DNS do Windows Server 2016 Technical Preview, utilizando a nova feature DNS Policies.

Expliquei como se cria os escopos de zona, adição dos registros e criação das políticas em face ao planejamento inicial.

Recomendo o uso deste recurso em aplicações de uso interno de sua corporação. O mesmo não se aplica a acessos externos.

Assim que eu reestruturar meu laboratório vamos retornar aos testes com a nova versão do Web Application Proxy no Windows Server 2016 TP e também o Application Request Router.

Espero que o conteúdo seja útil!

Abraços

Uilson

Mais uma opção ao Forefront TMG–Kemp LoadMaster

20 de maio de 2015 Deixe um comentário

Saudações,

No dia 19/05 deste ano participei de um evento da Kemp Technologies em que demonstraram o produto Kemp LoadMaster.

Um appliance onde é possível controlar os acessos inbound e outbound, balanceando a carga para sua infraestrutura de servidores WEB, Exchange Server e também atuando como proxy reverso e firewall.

Fica aqui essa solução como mais uma alternativa para você que ainda usa o Forefront TMG e está analisando para o que e como migrar. Lembre-se também das outras alternativas que deixei no post publicado em 14/julho/2014 sobre como fica o serviço de proxy e forward proxy pós TMG.

Você pode usar o Kemp LoadMaster como balanceador bare-metal – para sistemas operacionais propriamente ditos – como cloud balancer – provendo acesso otimizado a aplicações e serviços em núvem pública e híbrida no Microsoft Azure e Amazon.

Você pode também usar sua infraestrutura de servidores Hyper-V, VMWare, Citrix XEN e VirtualBox, pois o Kemp LoadMaster tb pode ser adquirido através de appliances virtuais que são facilmente instalados e seus hosts de vitualização.

Abaixo a figura mostra os modelos disponíveis. Cada um deles é indicado para um tipo de ambiente:

image

Abaixo as especificações de cada um deles:

image

image

Para ter acesso a essas e outras informações, além de poder baixar os appliances virtuais do produto, vá em:

http://kemptechnologies.com/loadmaster-family-virtual-server-load-balancers-application-delivery-controllers

Para não ficar somente no campo do proxy reverso, a Kemp também oferece o produto Kemp Web Application Firewall Pack (AFP), agora disponível em todas as versões do Kemp LoadMaster:

wafdiagram

Trabalha na camada 7 de aplicação provendo segurança para acessos inbound e outbound de suas aplicações WEB, on-premisses ou cloud.

No produto você tem os serviços de Intrusion Detection, e Intrusion Prevention, atuando de forma pró-ativa no controle de acessos a aplicações.

Para conhecer em detalhes do produto vá em:

http://kemptechnologies.com/solutions/waf

Espero que as informações possam ser úteis e ajudem na tomada de decisões sobre para qual produto migrar durante sua migração do TMG.

Abraços

Uilson

O que muda no Web Application Proxy do Windows Server Technical Preview

17 de abril de 2015 Deixe um comentário

Saudações,

Desde Julho de 2014 comecei uma série de posts falando sobre a nova funcionalidade de proxy reverso para substituir o Forefront TMG – Web Application Proxy.

Desde então foram duas palestras (MVP Show Cast e Quintas da TI), diversos artigos postados neste espaço, FastVue, Microsoft Curah e TechNet Wiki que buscaram mostrar porque o uso desta funcionalidade agrega valor e reduz custos.

Hoje quero mostrar as mudanças que foram implementadas na funcionalidade com a chegada do novo Windows Server Technical Preview.

Antes de qualquer coisa, quero registrar que as informações abaixo tem como origem o documento What’s New in Web Application Proxy in Windows Server Technical Preview

1. Pre-autenticação para publicação de aplicações em HTTP Basic

O HTTP Basic é um protocolo de autorização usado por muitos outros protocolos, incluindo ActiveSync, para conexão de smartphones ou tablets, com seu mailbox do Exchange. Atualmente o Web Application Proxy interage tradicionamente com o AD Federation Services com redirecionamentos não suportados com clientes ActiveSync.

Na nova versão do Web Application Proxy o administrador tem suporte para publicação de aplicações usando HTTP basic através de um redirecionamento non-claims no relying party trust do Active Directory Federation Service.

Para mais informações sobre publicação HTTP basic, vá em Publishing Applications using AD FS Preauthentication.

2. Publicação de aplicações no padrão Wildcard domain

Para suportar cenários envolvendo SharePoint 2013, agora é possível publicar múltiplas aplicações com uma única URL externa apontando para um domínio específico, por exemplo, https://*.uilson.net. Desta forma, a publicação de aplicações do SharePoint fica mais simples e rápido.

3. Redirecionamento HTTP para HTTPS

Para garantir que os usuários acessem uma aplicação HTTPS, mesmo digitando HTTP na barra de endereços do browser, a nova versão do Web Application Proxy vem com suporte de redirecionamento HTTP para HTTPS.

Exemplo – http://app.uilson.net ==> https://app.uilson.net

4. Publicação HTTP

Na nova versão do Web Application Proxy você poderá publicar aplicações HTTP usando pre-autenticação pass-through.

5. Publicação do Remote Desktop Gateway

Para detalhes desta nova funcionalidade clique em Publishing Applications with SharePoint, Exchange and RDG

6. New debug log for better troubleshooting and improved service log for complete audit trail and improved error handling

Para detalhes desta nova funcionalidade clique em Troubleshooting Web Application Proxy

7. Administrator Console UI improvements

Uma interface melhorada para facilitar a criação e administração do ambiente de aplicações publicadas.

8. Propagation of client IP address to backend applications

Com esta nova funcionalidade, os desenvolvedores poderão incluir em suas aplicações informações sobre o IP real de origem de um determinado acesso. Esse tipo de informação era possível no TMG, porém, envolvia uma série de verificações a serem feitas no ambiente. Neste caso, fica mais simples e rápido.

Com as informações acima, você pode acessar o site da Microsoft, baixar o último build do Windows Server Technical Preview, montar a infra estrutura que deverá seguir os passos listados neste artigo que escrevi para o TechNert Wiki e testar os itens listados.

Estou devendo para os leitores e seguidores deste blog as demonstrações práticas de posts anteriores. Assim que conseguir montar uma nova infra de laboratório estarei fazendo todas e publicando no TechNet Wiki.

Espero poder contribuir para o aprendizado de vocês!

Abraços

Uilson

Resumo e video da palestra sobre Web Application Proxy no Quintas da TI

30 de março de 2015 Deixe um comentário

Saudações,

No dia 19 de março deste ano, 20 e poucos colegas compareceram a minha palestra sobre Web Application Proxy no Quintas da TI.

Falamos teoricamente sobre a feature, como era no AD FS Proxy, como fazer o sizing, as melhores práticas na montagem da infra estrutura, dicas para quem ainda usa o Forefront TMG como proxy reverso e o passo a passo a instalação da feature, além de alguns comandos Power Shell para otimização de tarefas.

Como estou atualmente sem estrutura própria para montar o laboratório de demonstrações, quero deixar aqui minha intenção de retornar um outro dia com um conteúdo mais prático para que todos possam ver, diretamente no Windows Server 2012 R2, como se monta o ambiente.

Conforme combinado, estou deixando aqui link para acesso ao PPT:

http://pt.slideshare.net/uilsonsouza/proxy-reverso-com-web-application-proxy

Podem usar a vontade as informações contidas nos slides.

Além disso, o video da palestra já foi disponibilizado pelo pessoal do Quintas da TI. Se você não teve a chance de estar conosco ao vivo, pode rever na integra clicando no link abaixo:

https://www.youtube.com/watch?v=25kJ3j0ctN8

Se tiverem dúvidas acerca do conteúdo, terei o maior prazer em responder os questionamentos. Podem me contatar através dos comentários deste post!

Abraços

Uilson

Categorias:Não categorizado

Não perca minha palestra sobre Web Application Proxy no Quintas da TI

9 de março de 2015 Deixe um comentário

Saudações!

Mais uma vez tive a honra de ser convidado pelo pessoal do Windows Study Group para palestrar no evento online Quintas da TI.

Para quem ainda não sabe, este evento tem sido realizado já a alguns anos e tem sido um grande sucesso de audiência por parte da comunidade técnica e também traz uma série de grandes palestrantes com conteúdos valiosos para nosso aprendizado.

Este ano, vou repetir a palestra que apresentei no MVP ShowCast 2014 – Web Application Proxy.

Quem participar do evento ficará por dentro de todos os detalhes desta feature que venho mostrando em diversos artigos técnicos, posts e curations desde meados de 2014.

Vamos falar de como fazer o design, deployment e os tipos de publicação. Veremos como se dá a relação do WAP com o AD Federation Services, quais as dependências e no fim vou deixar uma vasta documentação para estudo.

Os leitores deste blog tem acompanhado aqui e no TechNet Wiki uma série de posts sobre Web Application Proxy e AD Federation Services no que tange a publicação de aplicações corporativas e sobre como substituir a parte de reverse proxy do Forefront TMG com esta feature que vem junto com o Windows Server 2012 R2.

Para se inscrever na minha palestra clique na figura abaixo:

palestra_quintas

Terei também a honra de entregar este webcast tendo o amigo Thiago Guirotto como moderador e também colaborando no conteúdo técnico da apresentação.

Além da minha palestra, outras também estão sendo entregues e eu, no seu lugar, não perderia nenhuma delas. Todas com conteúdo excelente e palestrantes da mais alta qualidade. Clique na figura abaixo para acessar o site do evento e se inscrever na palestra que for da sua conveniência:

image

 

Espero ter sua presença na palestra e peço que prestigiem os outros colegas. Você só tem a ganhar!

Vejo você lá!

Abraços

Uilson

Categorias:Não categorizado

Web Application Proxy – Backup e Restore de publicações

25 de fevereiro de 2015 Deixe um comentário

Saudações,

Demorei um pouco a escrever mais por algumas mudanças que estão ocorrendo, mas, vamos lá!

Antes de entrar no assunto principal deste post, quero compatilhar o link para um post no Application Proxy Blog. Nele você verá um anúncio com mudanças no Azure AD Application Proxy.

Se você acompanhou minha palestra no MVP Show Cast em 2014, viu que, dei uma introdução sobre esta que nada mais é que uma versão do WAP dentro do Azure.

O post fala acerca das mudanças que foram implementadas na funcionalidade, sendo uma delas muito legal! Até o lançamento desta versão, só podia usar o Azure AD App Proxy quem tinha a subscription Premium do Azure Active Directory.

A partir de agora, os clientes que usam a subscription Basic também terão direito a usar a ferramenta.

Uma excelente novidade entre outras tantas que foram implementadas e que você pode conferir no link abaixo:

http://blogs.technet.com/b/applicationproxyblog/archive/2015/02/23/new-azure-ad-application-proxy-features-are-now-available.aspx

Vamos entrar no assunto! Como no TMG, o Web Application Proxy também dá a opção de gerar um arquivo XML com tudo que foi publicado na feature.

Se formos pensar no backup de publicações, já adianto que não existe a necessidade de fazer nada no servidor do WAP Server. Uma vez que o mesmo usa o AD Federation Services como base de dados, tudo que você publicou estará ali e a preocupação principal fica em como manter uma cópia desta base de dados, seja ela a partir do Windows Internal Database ou por um servidor SQL Server (dependendo do tamanho da sua infra).

Entretanto, para casos em que você precisa testar publicações e/ou alterar as existentes (o que, nesta versão do WAP só é possível fazê-lo apagando e recriando a publicação), o procedimento de export e import ajuda muito até mesmo para evitar que uma mudança destas afete posteriormente o acesso ao back end server.

Neste post irei mostrar os comandos usados para export e import de publicações e posteriormente, irei fazer um laboratório que será publicado no TechNet Wiki.

Vamos lá:

Este procedimento é possível a partir de cmdlets do Power Shell, sendo que, os comandos para import/export de publicações, além de muitos outros que podem ser usados para o Web Application Proxy são listados no link abaixo:

http://blogs.technet.com/b/applicationproxyblog/archive/2014/08/20/web-application-proxy-powershell-cheat-sheet.aspx

Para exportar as publicações criadas em seu WAP Server use o exemplo abaixo:

Get-WebApplicationProxyApplication | Export-Clixml "ExportedApps"

Para importar a partir do xml criado no exemplo acima, use a sintaxe abaixo:

Import-Clixml "ExportedApps" | Add-WebApplicationProxyApplication

Aparentemente não existe uma linha de comando para export/import de uma única publicação (esterei vendo isso e retorno aqui).

Reiterando o que disse acima, farei um laboratório mostrando o uso destes comandos na prática no TechNet Wiki.

Espero que o conteúdo possa ajudar!

Abraços

Uilson

Categorias:Não categorizado
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 978 outros seguidores

%d blogueiros gostam disto: