Início > Active Directory Federation Services, Power Shell, Proxy Reverso, Web Application Proxy > Otimizando tarefas com PowerShell–Implementação e administração Web Application Proxy

Otimizando tarefas com PowerShell–Implementação e administração Web Application Proxy

Saudações,

Peço imensas desculpas pela demora, mas, alguns fatores como excesso de trabalho e uma cirurgia de extação do dente do siso levaram a isso. Mas, vamos lá!

Dando seguimento a nossa série de artigos sobre otimização de tarefas com PowerShell, vamos falar sobre a implementação do Web Application Proxy com ADFS via linha de comando. Lembrando que o primeiro artigo da série está disponível e ali falamos sobre os comandos PS para tarefas do Active Directory.

Antes de prosseguir, vamos apenas idealizar um ambiente onde vc tem seus back-end servers, um AD FS na sua rede interna, acabou de instalar um Windows Server 2012 R2 em sua DMZ e precisa instalar o Web Application Proxy nele. Algo mais ou menos como no desenho abaixo:

 

image

Para você que vem do TMG, não se esqueça que o Web Application Proxy exige um Firewall de borda (Edge Firewall), pois o mesmo não tem essa função, OK?

Vamos imaginar aqui nossos endereços fictícios:

Servidor de aplicação (Back-End Server) – https://appserver.uilson.net

Servidor do AD FS – https://adfs.uilson.net – criar um Relying Part chamado “My-App_Relying_Part”

Servidor do Web Application Proxy – Vai receber as requisições para as URL´s acima. Deve ter instalado o certificado das aplicações instaladas no Back-End Server e o do AD Federation Services

Agora que já temos nosso ambiente idealizado, vamos meter a mão na massa:

1. Instalando a Feature do Remote Access e habilitando o Web Application Proxy:

Install-WindowsFeature -IncludeManagementTools -name Web-Application-Proxy

Após executar a linha acima, a feature estará instalada. Vamos habilitar o Web Application Proxy:

Install-WebApplicationProxy -FederationServiceTrustCredential $Credential -CertificateThumbprint ‘22121D02DCBF80F440B5E26D52B92BC255D59F95’ -FederationServiceName ‘adfs.uilson.net’

OBS: Para quem ainda não sabe, o Thumbprint do certificado pode ser obtido através do comando abaixo:

Ou através da GUI usando o MMC Certificates…mas via PowerShell é tudo mais rápido e fácil né? Então vamos usa-lo e deixar o mouse um pouquinho de lado!

Depois de instalar, acesse a console ou veja via Power Shell se os serviços estão OK. Use o comando abaixo:

Get-Service ‘appproxysvc’,’appproxyctrl’,’adfssrv’ | fl -property *

Você deverá receber o retorno abaixo:

image

OK! Agora que o ambiente está instalado e os serviços estão em status “Running”, vamos publicar uma aplicação:

2. Publicando aplicações:

Opção 1 – Publicando uma aplicação web via PassThrough:

Add-WebApplicationProxyApplication -BackendServerUrl ‘https://appserver.uilson.net/myapp’ -ExternalCertificateThumbprint ‘8d8aa70358c538c7de50f5723571b9979696b5b2’ -ExternalUrl ‘https://extranet.uilson.net/’ -Name ‘Extranet Application’ -ExternalPreAuthentication PassThrough

Neste exemplo você vai publicar uma aplicação que está em seu Back-End Server, não terá pré-autenticação de um AD Federation Services, ou seja, esse trabalho fica a cargo da sua aplicação. Esse é um caso em que você tem certeza do que vai compartilhar e que não haverá brechas de segurança, nem tampouco acessos indevidos. É por isso que se faz necessário um tempo de planejamento da sua infra de Web Application Proxy.

Também é necessário que você tenha instalado em seu servidor Web Application Proxy o certificado da aplicação web do seu Back-End Server.

Opção 2 – Publicando uma aplicação com pré-autenticação do AD Federation Services:

Neste caso sugiro que você use o PowerShell ISE – basta digitar ISE na linha de comando do PowerShell:

Add-WebApplicationProxyApplication
-BackendServerURL ‘https://appserver.uilson.net/myapp’
-ExternalCertificateThumbprint ‘1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b’
-ExternalURL ‘
https://extranet.uilson.net’
-Name ‘MyApp Extranet Publishing’
-ExternalPreAuthentication ADFS
-ADFSRelyingPartyName ‘My-App_Relying_Part’

Neste caso você publicou uma aplicação que vai ser pré-autenticada em seu AD Federation Services e a requisição será encaminhada para seu Back-End Server.

Agora, se você tem uma quantidade expressiva de aplicações a serem publicadas e que irão ser pré-autenticadas pelo seu AD Federation Services, é mais interessante vc publicar seu portal AD FS onde terá todas as aplicações listadas e assim o usuário poderá escolher para qual quer mandar  a requisição:

Add-WebApplicationProxyApplication -BackendServerUrl ‘https://adfs.uilson.net’ -ExternalCertificateThumbprint ‘8d8aa70358c538c7de50f5723571b9979696b5b2’ -ExternalUrl ‘https://adfs.uilson.net/’ -Name ‘ADFS Extranet App Portal’ -ExternalPreAuthentication PassThrough

Aqui o usuário verá seu portal do AD FS e escolherá qual aplicação quer entrar.

Para listar as aplicações publicadas em seu WAP digite o cmdlet  Get-WebApplicationProxyApplication

Abaixo um links com listas de comandos que serão muito úteis para otimizar seu tempo administrando sua farm de servidores WAP. Também usei esses links como base para montar este artigo:

https://blogs.technet.microsoft.com/applicationproxyblog/2014/08/20/web-application-proxy-powershell-cheat-sheet/

https://technet.microsoft.com/en-us/library/dn383640.aspx

https://technet.microsoft.com/en-us/library/dn383659.aspx

Então é isso pessoal! Dessa forma você implementa, publica e administra seu ambiente Web Application Proxy. No nosso próximo post irei falar sobre a implementação e administração do AD Federation Services via PowerShell.

Vale ressaltar que, em determinado momento você veja que é necessário aumentar sua infra de servidores Web Application Proxy. Nos links acima você encontra orientações e linhas de comando PowerShell para fazer isso da melhor forma possível e bem mais rápido.

Mais uma vez obrigado pela audiência no blog e espero que o conteúdo possa ser útil.

Abraços

Uilson

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: