Web Application Proxy in Windows Server

Applies To: Windows ServerВ® 2016

This content is relevant for the on-premises version of Web Application Proxy. To enable secure access to on-premises applications over the cloud, see the Azure AD Application Proxy content.

The content in this section describes what’s new and changed in the Web Application Proxy for Windows Server 2016. The new features and changes listed here are the ones most likely to have the greatest impact as you work with the Preview.

Web Application Proxy New Features

Preauthentication for HTTP Basic application publishing

HTTP Basic is the authorization protocol used by many protocols, including ActiveSync, to connect rich clients, including smartphones, with your Exchange mailbox. Web Application Proxy traditionally interacts with AD FS using redirections which is not supported on ActiveSync clients. This new version of Web Application Proxy provides support to publish an app using HTTP basic by enabling the HTTP app to receive a non-claims relying party trust for the application to the Federation Service.

For more information on HTTP basic publishing, see Publishing Applications using AD FS Preauthentication

Wildcard domain publishing of applications

To support scenarios such as SharePoint 2013, the external URL for the application can now include a wildcard to enable you to publish multiple applications from within a specific domain, for example, https://*.sp-apps.contoso.com. This will simplify publishing of SharePoint apps.

HTTP to HTTPS redirection

In order to make sure your users can access your app, even if they neglect to type HTTPS in the URL, Web Application Proxy now supports HTTP to HTTPS redirection.

It is now possible to publish HTTP applications using pass-through preauthentication

Publishing of Remote Desktop Gateway apps

For more information on RDG in Web Application Proxy, see Publishing Applications with SharePoint, Exchange and RDG

New debug log for better troubleshooting and improved service log for complete audit trail and improved error handling

For more information on troubleshooting, see Troubleshooting Web Application Proxy

Administrator Console UI improvements

Propagation of client IP address to backend applications

Прокси-служба веб-приложения в Windows Server 2016 Web Application Proxy in Windows Server 2016

Область применения. Windows Server 2016 Applies To: Windows Server 2016

Это содержимое относится к локальной версии прокси веб-приложения. Чтобы обеспечить безопасный доступ к локальным приложениям в облаке, ознакомьтесь с содержимым AD application proxy Azure. This content is relevant for the on-premises version of Web Application Proxy. To enable secure access to on-premises applications over the cloud, see the Azure AD Application Proxy content.

В этом разделе описано, что нового и изменено в прокси веб-приложения для Windows Server 2016. The content in this section describes what’s new and changed in the Web Application Proxy for Windows Server 2016. Новые функции и изменения, перечисленные здесь, скорее всего, оказывают наибольшее влияние на работу с предварительной версией. The new features and changes listed here are the ones most likely to have the greatest impact as you work with the Preview.

Новые возможности прокси веб-приложения в Windows Server 2016 Web Application Proxy new features in Windows Server 2016

Предварительная проверка подлинности при публикации приложений HTTP Basic Preauthentication for HTTP Basic application publishing

HTTP Basic — это протокол авторизации, используемый многими протоколами, включая ActiveSync, для подключения полнофункциональных клиентов, включая смартфоны, с почтовым ящиком Exchange. HTTP Basic is the authorization protocol used by many protocols, including ActiveSync, to connect rich clients, including smartphones, with your Exchange mailbox. Прокси веб-приложения обычно взаимодействует с AD FS с использованием перенаправлений, которые не поддерживаются клиентами ActiveSync. Web Application Proxy traditionally interacts with AD FS using redirections which is not supported on ActiveSync clients. Эта новая версия прокси веб-приложения обеспечивает поддержку публикации приложения с помощью HTTP Basic, позволяя приложению HTTP получить отношение доверия с проверяющей стороной, не относящейся к утверждениям, для приложения с служба федерации. This new version of Web Application Proxy provides support to publish an app using HTTP basic by enabling the HTTP app to receive a non-claims relying party trust for the application to the Federation Service.

Дополнительные сведения о публикации HTTP Basic см. в статье Публикация приложений с помощью AD FS Предварительная проверка подлинности . For more information on HTTP basic publishing, see Publishing Applications using AD FS Preauthentication

Доменная публикация приложений с подстановочными знаками Wildcard domain publishing of applications

Для поддержки таких сценариев, как SharePoint 2013, внешний URL-адрес приложения теперь может содержать подстановочный знак, позволяющий публиковать несколько приложений в определенном домене, например https://*. SP-Apps. contoso. com. To support scenarios such as SharePoint 2013, the external URL for the application can now include a wildcard to enable you to publish multiple applications from within a specific domain, for example, https://*.sp-apps.contoso.com. Это упростит публикацию приложений SharePoint. This will simplify publishing of SharePoint apps.

Перенаправление трафика HTTP в HTTPS HTTP to HTTPS redirection

Чтобы пользователи могли получить доступ к приложению, даже если в URL-адресе не введено значение HTTPS, прокси веб-приложения теперь поддерживает перенаправление HTTP в HTTPS. In order to make sure your users can access your app, even if they neglect to type HTTPS in the URL, Web Application Proxy now supports HTTP to HTTPS redirection.

Публикация HTTP HTTP Publishing

Теперь можно опубликовать приложения HTTP, используя сквозную предварительную проверку подлинности. It is now possible to publish HTTP applications using pass-through preauthentication

Публикация приложений шлюза удаленный рабочий стол Publishing of Remote Desktop Gateway apps

Дополнительные сведения о RDG в прокси веб-приложения см. в статье Публикация приложений с помощью SharePoint, Exchange и RDG . For more information on RDG in Web Application Proxy, see Publishing Applications with SharePoint, Exchange and RDG

Новый журнал отладки для улучшения устранения неполадок и Улучшенный журнал службы для полного аудита и улучшенной обработки ошибок New debug log for better troubleshooting and improved service log for complete audit trail and improved error handling

Дополнительные сведения об устранении неполадок см. в разделе Устранение неполадок прокси веб-приложения . For more information on troubleshooting, see Troubleshooting Web Application Proxy

Улучшения пользовательского интерфейса консоль администратора Administrator Console UI improvements

Распространение IP-адреса клиента в серверные приложения Propagation of client IP address to backend applications

Web Application Proxy in Windows Server 2016

Applies To: Windows Server 2016

This content is relevant for the on-premises version of Web Application Proxy. To enable secure access to on-premises applications over the cloud, see the Azure AD Application Proxy content.

The content in this section describes what’s new and changed in the Web Application Proxy for Windows Server 2016. The new features and changes listed here are the ones most likely to have the greatest impact as you work with the Preview.

Web Application Proxy new features in Windows Server 2016

Preauthentication for HTTP Basic application publishing

HTTP Basic is the authorization protocol used by many protocols, including ActiveSync, to connect rich clients, including smartphones, with your Exchange mailbox. Web Application Proxy traditionally interacts with AD FS using redirections which is not supported on ActiveSync clients. This new version of Web Application Proxy provides support to publish an app using HTTP basic by enabling the HTTP app to receive a non-claims relying party trust for the application to the Federation Service.

For more information on HTTP basic publishing, see Publishing Applications using AD FS Preauthentication

Wildcard domain publishing of applications

To support scenarios such as SharePoint 2013, the external URL for the application can now include a wildcard to enable you to publish multiple applications from within a specific domain, for example, https://*.sp-apps.contoso.com. This will simplify publishing of SharePoint apps.

HTTP to HTTPS redirection

In order to make sure your users can access your app, even if they neglect to type HTTPS in the URL, Web Application Proxy now supports HTTP to HTTPS redirection.

It is now possible to publish HTTP applications using pass-through preauthentication

Publishing of Remote Desktop Gateway apps

For more information on RDG in Web Application Proxy, see Publishing Applications with SharePoint, Exchange and RDG

New debug log for better troubleshooting and improved service log for complete audit trail and improved error handling

For more information on troubleshooting, see Troubleshooting Web Application Proxy

Administrator Console UI improvements

Propagation of client IP address to backend applications

Прокси-служба веб-приложения в Windows Server Web Application Proxy in Windows Server

Область применения: Windows Server® 2016 Applies To: Windows Server® 2016

Это содержимое относится к локальной версии прокси веб-приложения. Чтобы обеспечить безопасный доступ к локальным приложениям в облаке, ознакомьтесь с содержимым AD application proxy Azure. This content is relevant for the on-premises version of Web Application Proxy. To enable secure access to on-premises applications over the cloud, see the Azure AD Application Proxy content.

В этом разделе описано, что нового и изменено в прокси веб-приложения для Windows Server 2016. The content in this section describes what’s new and changed in the Web Application Proxy for Windows Server 2016. Новые функции и изменения, перечисленные здесь, скорее всего, оказывают наибольшее влияние на работу с предварительной версией. The new features and changes listed here are the ones most likely to have the greatest impact as you work with the Preview.

Новые возможности прокси веб-приложения Web Application Proxy New Features

Предварительная проверка подлинности при публикации приложений HTTP Basic Preauthentication for HTTP Basic application publishing

HTTP Basic — это протокол авторизации, используемый многими протоколами, включая ActiveSync, для подключения полнофункциональных клиентов, включая смартфоны, с почтовым ящиком Exchange. HTTP Basic is the authorization protocol used by many protocols, including ActiveSync, to connect rich clients, including smartphones, with your Exchange mailbox. Прокси веб-приложения обычно взаимодействует с AD FS с использованием перенаправлений, которые не поддерживаются клиентами ActiveSync. Web Application Proxy traditionally interacts with AD FS using redirections which is not supported on ActiveSync clients. Эта новая версия прокси веб-приложения обеспечивает поддержку публикации приложения с помощью HTTP Basic, позволяя приложению HTTP получить отношение доверия с проверяющей стороной, не относящейся к утверждениям, для приложения с служба федерации. This new version of Web Application Proxy provides support to publish an app using HTTP basic by enabling the HTTP app to receive a non-claims relying party trust for the application to the Federation Service.

Дополнительные сведения о публикации HTTP Basic см. в статье Публикация приложений с помощью AD FS Предварительная проверка подлинности . For more information on HTTP basic publishing, see Publishing Applications using AD FS Preauthentication

Доменная публикация приложений с подстановочными знаками Wildcard domain publishing of applications

Для поддержки таких сценариев, как SharePoint 2013, внешний URL-адрес приложения теперь может содержать подстановочный знак, позволяющий публиковать несколько приложений в определенном домене, например https://*. SP-Apps. contoso. com. To support scenarios such as SharePoint 2013, the external URL for the application can now include a wildcard to enable you to publish multiple applications from within a specific domain, for example, https://*.sp-apps.contoso.com. Это упростит публикацию приложений SharePoint. This will simplify publishing of SharePoint apps.

Перенаправление трафика HTTP в HTTPS HTTP to HTTPS redirection

Чтобы пользователи могли получить доступ к приложению, даже если в URL-адресе не введено значение HTTPS, прокси веб-приложения теперь поддерживает перенаправление HTTP в HTTPS. In order to make sure your users can access your app, even if they neglect to type HTTPS in the URL, Web Application Proxy now supports HTTP to HTTPS redirection.

Публикация HTTP HTTP Publishing

Теперь можно опубликовать приложения HTTP, используя сквозную предварительную проверку подлинности. It is now possible to publish HTTP applications using pass-through preauthentication

Публикация приложений шлюза удаленный рабочий стол Publishing of Remote Desktop Gateway apps

Дополнительные сведения о RDG в прокси веб-приложения см. в статье Публикация приложений с помощью SharePoint, Exchange и RDG . For more information on RDG in Web Application Proxy, see Publishing Applications with SharePoint, Exchange and RDG

Новый журнал отладки для улучшения устранения неполадок и Улучшенный журнал службы для полного аудита и улучшенной обработки ошибок New debug log for better troubleshooting and improved service log for complete audit trail and improved error handling

Дополнительные сведения об устранении неполадок см. в разделе Устранение неполадок прокси веб-приложения . For more information on troubleshooting, see Troubleshooting Web Application Proxy

Улучшения пользовательского интерфейса консоль администратора Administrator Console UI improvements

Распространение IP-адреса клиента в серверные приложения Propagation of client IP address to backend applications

Использование прокси-службы веб-приложения и федеративных служб Active Directory — сервер отчетов Power BI Use Web Application Proxy and Active Directory Federated Services — Power BI Report Server

В этой статье описывается, как использовать прокси-службы веб-приложения (WAP) и службы федерации Active Directory (AD FS) для подключения к серверу отчетов Power BI и SQL Server Reporting Services (SSRS) 2016 и более поздних версий. This article discusses how to use Web Application Proxy (WAP) and Active Directory Federated Services (AD FS) to connect to Power BI Report Server, and SQL Server Reporting Services (SSRS) 2016 and later. Благодаря этой интеграции пользователи, которые находятся вне корпоративной сети, могут получать доступ к своим отчетам на сервере отчетов Power BI и в службах Reporting Services со своих клиентских браузеров и использовать предварительную проверку подлинности AD FS. Through this integration, users who are away from the corporate network can access their Power BI Report Server and Reporting Services reports from their client browsers and be protected by AD FS preauthentication. Для мобильных приложений Power BI также необходимо настроить OAuth для подключения к серверу отчетов Power BI и службам SSRS. For the Power BI mobile apps, you also need to configure OAuth to connect to Power BI Report Server and SSRS.

Предварительные требования Prerequisites

Конфигурация служб доменных имен (DNS) Domain Name Services (DNS) configuration

• Определите общедоступный URL-адрес, к которому будет подключаться пользователь. Determine the public URL that the user will connect to. Он может выглядеть, как в следующем примере: https://reports.contosolab.com . It may look similar to this example: https://reports.contosolab.com .
• Настройте запись DNS для имени узла, например reports.contosolab.com , чтобы указать общедоступный IP-адрес сервера прокси-служб веб-приложения (WAP). Configure your DNS record for the host name, reports.contosolab.com , for example, to point to the public IP address of the Web Application Proxy (WAP) server.
• Настройте общедоступную запись DNS для сервера AD FS. Configure a public DNS record for your AD FS server. Например, вы можете настроить для сервера AD FS следующий URL-адрес: https://adfs.contosolab.com . For example, you may have configured the AD FS server with the following URL: https://adfs.contosolab.com .
• Настройте запись DNS, чтобы она указывала на общедоступный IP-адрес сервера прокси-служб веб-приложения (WAP), например adfs.contosolab.com . Configure your DNS record to point to the public IP address of the Web Application Proxy (WAP) server, for example adfs.contosolab.com . Он публикуется как часть приложения WAP. It’s published as part of the WAP application.

Сертификаты Certificates

Необходимо настроить сертификаты как для приложения WAP, так и для сервера AD FS. You need to configure certificates for both the WAP application and the AD FS server. Оба сертификата должны быть частью действительного центра сертификации, который распознают ваши компьютеры. Both of these certificates must be part of a valid certificate authority that your machines recognize.

1. Настройка сервера отчетов 1. Configure the report server

Следует убедиться в наличии допустимого имени субъекта-службы (SPN). We need to make sure that we have a valid Service Principal Name (SPN). Действующее имя субъекта-службы обеспечивает правильную проверку подлинности Kerberos и включает сервер отчетов для согласования проверки подлинности. The valid SPN enables the proper Kerberos authentication to occur and enables the report server for negotiate authentication.

Имя субъекта-службы (SPN) Service Principal Name (SPN)

Имя субъекта-службы — это уникальный идентификатор для службы, которая использует проверку подлинности Kerberos. The SPN is a unique identifier for a service that uses Kerberos authentication. Убедитесь, что вы указали правильное имя субъекта-службы HTTP для сервера отчетов. Make sure you have a proper HTTP SPN present for your report server.

Руководство по настройке правильного имени субъекта-службы (SPN) для сервера отчетов см. в статье о регистрации имени субъекта-службы (SPN) для сервера отчетов. For information on how to configure the proper Service Principal Name (SPN) for your report server, see Register a Service Principal Name (SPN) for a Report Server.

Включение проверки подлинности с согласованием Enabling negotiate authentication

Чтобы включить сервер отчетов для использования проверки подлинности Kerberos, необходимо указать RSWindowsNegotiate в качестве типа проверки подлинности на сервере отчетов. To enable a report server to use Kerberos authentication, you need to configure the Authentication Type of the report server to be RSWindowsNegotiate. Его можно настроить в файле rsreportserver.config file. You configure it in the rsreportserver.config file.

2. Настройка служб федерации Active Directory (AD FS) 2. Configure Active Directory Federation Services (AD FS)

Вам необходимо настроить AD FS на сервере Windows 2016 в вашей среде. You need to configure AD FS on a Windows 2016 server within your environment. Для этой настройки, в диспетчере серверов в разделе «Управление» выберите «Добавить роли и компоненты». The configuration can be done through the Server Manager and selecting Add Roles and Features under Manage. Дополнительные сведения см. в документации служб федерации Active Directory. For more information, see Active Directory Federation Services.

На сервере AD FS с помощью приложения управления AD FS выполните следующие действия. On the AD FS server, using AD FS Management App, complete these steps.

Щелкните правой кнопкой мыши Отношения доверия с проверяющей стороной > Добавить отношение доверия проверяющей стороны. Right-click Relying Party Trusts > Add Relying Party Trust.

Выполните действия, описанные в мастере добавления отношения доверия проверяющей стороны. Follow the steps in Add Relying Party Trust wizard.

Выберите параметр Не поддерживающие утверждения, чтобы использовать встроенную систему безопасности Windows в качестве механизма проверки подлинности. Choose the Non claims aware option to use Windows Integrated security as the authentication mechanism.

Введите нужное имя в поле Укажите отображаемое имя и выберите команду Далее. Enter a name you prefer in the Specify Display Name and select Next. Добавьте идентификатор отношения доверия проверяющей стороны: /adfs/services/trust Add the Relying party trust identifier: /adfs/services/trust

Например: https://adfs.contosolab.com/adfs/services/trust For example: https://adfs.contosolab.com/adfs/services/trust

Выберите политику управления доступом, которая соответствует требованиям вашей организации, а затем нажмите кнопку Далее. Choose the Access Control Policy that fits your organization’s needs, and select Next.

Нажмите кнопку Далее, а затем выберите команду Завершить, чтобы завершить работу мастера добавления отношений доверия проверяющей стороны. Select Next, then select Finish to complete the Add Relying Party Trust wizard.

По завершении настройки свойства отношений доверия проверяющей стороны должны выглядеть следующим образом. When completed, the properties of the Relying Party Trusts should look like the following.

3. Настройка прокси-службы веб-приложения (WAP) 3. Configure Web Application Proxy (WAP)

Вам понадобится включить роль Windows прокси-службы веб-приложения (роль) на сервере в вашей среде. You want to enable the Web Application Proxy (Role) Windows role on a server in your environment. Эта роль должна быть включена на сервере Windows 2016. It must be on a Windows 2016 server. Дополнительные сведения см. в статье о прокси-службе веб-приложения в Windows Server 2016 и в разделе о публикации приложений с помощью предварительной проверки подлинности AD FS. For more information, see Web Application Proxy in Windows Server 2016 and Publishing Applications using AD FS Preauthentication.

Настройка ограниченного делегирования Configure constrained delegation

Чтобы перейти с проверки подлинности с помощью форм на проверку подлинности Windows, понадобится использовать ограниченное делегирование с переходом протоколов. To transition from Forms authentication to Windows authentication, we need to use constrained delegation with protocol transitioning. Этот этап является частью конфигурации Kerberos. This step is part of the Kerberos configuration. В конфигурации сервера отчетов уже определено имя субъекта-службы сервера отчетов. We already defined the report server SPN within the report server configuration.

Теперь необходимо настроить в Active Directory ограниченное делегирование на учетную запись компьютера сервера WAP. We need to configure constrained delegation on the WAP Server machine account within Active Directory. Если у вас нет прав на доступ Active Directory, обратитесь к администратору домена. You may need to work with a domain administrator if you don’t have rights to Active Directory.

Чтобы настроить ограниченное делегирование, выполните следующие действия. To configure constrained delegation, follow these steps.

На компьютере со средствами Active Directory запустите средство Пользователи и компьютеры Active Directory. On a machine that has the Active Directory tools installed, launch Active Directory Users and Computers.

Найдите учетную запись компьютера для сервера WAP. Find the machine account for your WAP server. По умолчанию она будет находиться в контейнере Компьютеры. By default, it will be in the Computers container.

Щелкните правой кнопкой мыши сервер WAP и выберите пункт Свойства. Right-click the WAP server and go to Properties.

На вкладке Делегирование выберите параметр Доверять этому компьютеру при делегировании указанных служб и Использовать любой протокол проверки подлинности. On the Delegation tab, select Trust this computer for delegation to specified services only and then Use any authentication protocol.

Этот параметр задает ограниченное делегирование для этой учетной записи компьютера сервера WAP. This option sets up constrained delegation for this WAP Server machine account. Далее нужно указать службы, которые этот компьютер может делегировать. We then need to specify the services that this machine is allowed to delegate to.

Выберите Добавить в поле служб. Select Add under the services box.

Выберите Пользователи или компьютеры. Select Users or Computers.

Введите учетную запись службы, которую вы используете для сервера отчетов. Enter the service account that you are using for the report server. Это та же учетная запись, которая использовалась для добавления имени субъекта-службы HTTP в предыдущем разделе конфигурации сервера отчетов. This account is the same one you used to add the HTTP SPN in the earlier report server configuration section.

Выберите имя субъекта-службы HTTP для сервера отчетов, а затем нажмите кнопку ОК. Select the HTTP SPN for the report server, then select OK.

Вы можете видеть только имя субъекта-службы NetBIOS. You may only see the NetBIOS SPN. Фактически оно выбирает имена субъекта-службы NetBIOS и полного доменного имени, если они оба существуют. It will actually select both the NetBIOS and FQDN SPNs, if they both exist.

При установке флажка Развернуто результат должен выглядеть примерно так, как показано в примере ниже. When you select the Expanded check box, the result should look similar to the following example.

Добавление приложения WAP Add WAP Application

На сервере прокси-служб веб-приложения откройте консоль управления удаленным доступом и выберите в области навигации пункт Прокси веб-приложения. On the Web Application Proxy server, open the Remote Access Management console and select Web Application Proxy in the Navigation pane.

В области Задачи выберите Опубликовать. In the Tasks pane, select Publish.

На странице приветствия нажмите кнопку Далее. On the Welcome page, select Next.

На странице Предварительная проверка подлинности выберите Active Directory Federation Services (AD FS) (Службы федерации Active Directory (AD FS)), а затем нажмите кнопку Далее. On the Preauthentication page, select Active Directory Federation Services (AD FS), then select Next.

Выберите предварительную проверку подлинности Интернет и MSOFBA, так как будет настроен только доступ с помощью браузера к серверу отчетов, без доступа с помощью мобильных приложений. Select Web and MSOFBA preauthentication as we are going to set up just the Browser access for the report server, and not mobile app access.

Добавьте пункт Проверяющая сторона, созданный на сервере AD FS, как показано ниже, а затем нажмите кнопку Далее. Add the Relying Party that we created in the AD FS server as shown below, then select Next.

В разделе Внешний URL-адрес укажите общедоступный URL-адрес, настроенный на сервере WAP. In the External URL section, put in the publicly accessible URL configured on the WAP server. Добавьте URL-адрес, настроенный с использованием сервера отчетов (Диспетчер конфигурации сервера отчетов), как показано ниже, в разделе URL-адрес внутреннего сервера. Add the URL configured with the report server (Report Server Configuration Manager) as shown below in the Backend Server URL section. Добавьте имя субъекта-службы сервера отчетов в разделе Имя субъекта-службы внутреннего сервера. Add the SPN of the report server in the Backend server SPN section.

Нажмите кнопку Далее, а затем — Опубликовать. Select Next and Publish.

Выполните следующую команду PowerShell, чтобы проверить конфигурацию WAP. Run the following PowerShell command to validate the WAP configuration.