- Прокси-служба веб-приложения в Windows Server 2016
- Новые возможности прокси веб-приложения в Windows Server 2016
- Настройка параметров прокси-сервера в Windows
- Настройка параметров прокси-сервера с помощью протокола автоматического обнаружения веб-прокси (WPAD)
- Настройка параметров прокси-сервера в Internet Explorer или с помощью групповой политики
- Файлы автоматической конфигурации прокси/автоматической конфигурации (PAC)
- Программное обеспечение клиента прокси/брандмауэра
- Справка
- Прокси-служба веб-приложения в Windows Server
- Новые возможности прокси веб-приложения
- Планирование сервера политики сети в качестве прокси-сервера RADIUS
- Планирование конфигурации NPS
- Основные шаги
- Планирование клиентов RADIUS
- Основные шаги
- Планирование групп удаленных серверов RADIUS
- Основные шаги
- Планирование правил управления атрибутами для пересылки сообщений
- Основные шаги
- Планирование политик запросов на подключение
- Основные шаги
- Планирование учета NPS
- Основные шаги
Прокси-служба веб-приложения в Windows Server 2016
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Данный материал относится к локальной версии прокси-сервера веб-приложения. Сведения о безопасном доступе к локальным приложениям через облако см. в содержимом прокси-сервера приложения Azure AD.
В этом разделе описано, что нового и изменено в прокси веб-приложения для Windows Server 2016. Новые функции и изменения, перечисленные здесь, скорее всего, оказывают наибольшее влияние на работу с предварительной версией.
Новые возможности прокси веб-приложения в Windows Server 2016
Предварительная проверка подлинности при публикации приложений HTTP Basic
HTTP Basic — это протокол авторизации, используемый многими протоколами, включая ActiveSync, для подключения полнофункциональных клиентов, включая смартфоны, с почтовым ящиком Exchange. Прокси веб-приложения обычно взаимодействует с AD FS с использованием перенаправлений, которые не поддерживаются клиентами ActiveSync. Эта новая версия прокси веб-приложения обеспечивает поддержку публикации приложения с помощью HTTP Basic, позволяя приложению HTTP получить отношение доверия с проверяющей стороной, не относящейся к утверждениям, для приложения с служба федерации.
Доменная публикация приложений с подстановочными знаками
для поддержки таких сценариев, как SharePoint 2013, внешний URL-адрес приложения теперь может содержать подстановочный знак, позволяющий публиковать несколько приложений из определенного домена, например https://*. sp-apps. contoso. com. это упростит публикацию SharePoint приложений.
Перенаправление трафика HTTP в HTTPS
Чтобы пользователи могли получить доступ к приложению, даже если в URL-адресе не введено значение HTTPS, прокси веб-приложения теперь поддерживает перенаправление HTTP в HTTPS.
Теперь можно опубликовать приложения HTTP, используя сквозную предварительную проверку подлинности.
Публикация приложений шлюза удаленный рабочий стол
дополнительные сведения о RDG в прокси веб-приложения см. в статье публикация приложений с помощью SharePoint, Exchange и RDG .
Новый журнал отладки для улучшения устранения неполадок и Улучшенный журнал службы для полного аудита и улучшенной обработки ошибок
Дополнительные сведения об устранении неполадок см. в разделе Устранение неполадок прокси веб-приложения .
Улучшения пользовательского интерфейса консоль администратора
Распространение IP-адреса клиента в серверные приложения
Настройка параметров прокси-сервера в Windows
Доступно несколько методов настройки Windows для подключения к Интернету с помощью прокси-сервера. Метод, который будет работать лучше всего для вас, зависит от типов приложений, которые вы используете.
Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 2777643
Домашние пользователи. Эта статья предназначена для использования агентами поддержки и ИТ-специалистами. Дополнительные сведения о настройке прокси-сервера на домашнем компьютере см. в следующей статье:
Настройка параметров прокси-сервера с помощью протокола автоматического обнаружения веб-прокси (WPAD)
Рекомендуется использовать WPAD для настройки Windows для использования прокси-сервера в Интернете. Конфигурация делается с помощью DNS или DHCP. Он не требует параметров на клиентских компьютерах. Пользователи могут привозить компьютеры и устройства из дома или других мест и автоматически открывать конфигурацию прокси-сервера в Интернете.
Настройка параметров прокси-сервера в Internet Explorer или с помощью групповой политики
Если вы предпочитаете статически настраивать клиентские компьютеры с помощью параметров прокси-сервера в Интернете, используйте один из следующих методов:
- Настройка параметров в Internet Explorer вручную.
- Настройка компьютеров, присоединив к домену, с помощью групповой политики.
Приложениям, которые не получают параметры прокси в Internet Explorer, может потребоваться установить параметры в каждом приложении для настройки параметров прокси.
Файлы автоматической конфигурации прокси/автоматической конфигурации (PAC)
Параметры файловой конфигурации (PAC) прокси-сервера также можно настраивать вручную в Internet Explorer или с помощью групповой политики. При использовании Microsoft Store приложений тип приложения определяет, используются ли параметры прокси, полученные из файлов PAC. Кроме того, у приложения могут быть параметры для настройки параметров прокси.
Программное обеспечение клиента прокси/брандмауэра
Программное обеспечение клиента прокси/брандмауэра имеет определенный характер для бренда прокси-сервера, который вы используете. Шлюз microsoft Forefront Threat Management Gateway (TMG) 2010 является примером прокси-сервера, который может использовать клиентские программы для управления настройками прокси. Клиентское программное обеспечение прокси/брандмауэра, установленное в качестве драйвера LSP, не будет работать Windows с любыми современными и Microsoft Store приложениями, но будет работать со стандартными приложениями. Клиентское программное обеспечение прокси/брандмауэра, установленное в качестве драйвера WFP, будет работать с Windows во всех приложениях. Обратитесь к производителю прокси-серверов, если у вас есть другие вопросы об использовании клиентского программного обеспечения производителя вместе с Windows.
Клиентский инструмент брандмауэра TMG/ISA основан на LSP и не будет работать с приложениями Modern/Microsoft Store.
Справка
Дополнительные сведения о настройке параметров прокси-сервера с помощью групповой политики см. в следующей статье:
Средства расширения и Параметры
Прокси-служба веб-приложения в Windows Server
применимо к: Windows server 2022, Windows server 2019, Windows server® 2016
Данный материал относится к локальной версии прокси-сервера веб-приложения. Сведения о безопасном доступе к локальным приложениям через облако см. в содержимом прокси-сервера приложения Azure AD.
В этом разделе описано, что нового и изменено в прокси веб-приложения для Windows Server 2016. Новые функции и изменения, перечисленные здесь, скорее всего, оказывают наибольшее влияние на работу с предварительной версией.
Новые возможности прокси веб-приложения
Предварительная проверка подлинности при публикации приложений HTTP Basic
HTTP Basic — это протокол авторизации, используемый многими протоколами, включая ActiveSync, для подключения полнофункциональных клиентов, включая смартфоны, с почтовым ящиком Exchange. Прокси веб-приложения обычно взаимодействует с AD FS с использованием перенаправлений, которые не поддерживаются клиентами ActiveSync. Эта новая версия прокси веб-приложения обеспечивает поддержку публикации приложения с помощью HTTP Basic, позволяя приложению HTTP получить отношение доверия с проверяющей стороной, не относящейся к утверждениям, для приложения с служба федерации.
Доменная публикация приложений с подстановочными знаками
для поддержки таких сценариев, как SharePoint 2013, внешний URL-адрес приложения теперь может содержать подстановочный знак, позволяющий публиковать несколько приложений из определенного домена, например https://*. sp-apps. contoso. com. это упростит публикацию SharePoint приложений.
Перенаправление трафика HTTP в HTTPS
Чтобы пользователи могли получить доступ к приложению, даже если в URL-адресе не введено значение HTTPS, прокси веб-приложения теперь поддерживает перенаправление HTTP в HTTPS.
Теперь можно опубликовать приложения HTTP, используя сквозную предварительную проверку подлинности.
Публикация приложений шлюза удаленный рабочий стол
дополнительные сведения о RDG в прокси веб-приложения см. в статье публикация приложений с помощью SharePoint, Exchange и RDG .
Новый журнал отладки для улучшения устранения неполадок и Улучшенный журнал службы для полного аудита и улучшенной обработки ошибок
Дополнительные сведения об устранении неполадок см. в разделе Устранение неполадок прокси веб-приложения .
Улучшения пользовательского интерфейса консоль администратора
Распространение IP-адреса клиента в серверные приложения
Планирование сервера политики сети в качестве прокси-сервера RADIUS
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
При развертывании сервера политики сети (NPS) в качестве протокол RADIUS прокси-сервера NPS получает запросы на подключение от клиентов RADIUS, таких как серверы доступа к сети или другие прокси-серверы RADIUS, а затем перенаправляет эти запросы к серверам, на которых выполняются серверы политики сети или другие серверы RADIUS. Эти рекомендации по планированию можно использовать для упрощения развертывания RADIUS.
Эти рекомендации по планированию не включают обстоятельства, в которых требуется развернуть NPS в качестве сервера RADIUS. При развертывании NPS в качестве сервера RADIUS сервер политики сети выполняет проверку подлинности, авторизацию и учет для запросов на подключение к локальному домену и доменам, которые доверяют локальному домену.
Перед развертыванием сервера политики сети в качестве прокси-сервера RADIUS в сети используйте следующие рекомендации по планированию развертывания.
Спланируйте конфигурацию NPS.
Спланируйте клиенты RADIUS.
Планирование групп удаленных серверов RADIUS.
Планирование правил управления атрибутами для пересылки сообщений.
Планирование политик запросов на подключение.
Планирование учета NPS.
Планирование конфигурации NPS
При использовании NPS в качестве прокси-сервера RADIUS сервер политики сети перенаправляет запросы на подключение к серверу политики сети или другим серверам RADIUS для обработки. По этой причине членство в домене прокси-сервера NPS не имеет значения. Прокси-сервер не должен регистрироваться в службах домен Active Directory (AD DS), так как ему не требуется доступ к свойствам входящих звонков учетных записей пользователей. Кроме того, не нужно настраивать политики сети на прокси-сервере NPS, так как прокси-сервер не выполняет авторизацию для запросов на подключение. Прокси-сервер политики сети может быть членом домена или изолированным сервером без членства в домене.
Сервер политики сети должен быть настроен для взаимодействия с клиентами RADIUS, также называемыми серверами сетевого доступа, с использованием протокола RADIUS. Кроме того, можно настроить типы событий, которые будут записываться в журнал событий, а также ввести описание для сервера.
Основные шаги
Во время планирования конфигурации прокси-сервера NPS можно выполнить следующие действия.
Определите порты RADIUS, используемые прокси-сервером NPS для получения сообщений RADIUS от клиентов RADIUS и для отправки сообщений RADIUS членам удаленных групп RADIUS-серверов. UDP-порты по умолчанию — 1812 и 1645 для сообщений проверки подлинности RADIUS и UDP-порты 1813 и 1646 для RADIUS-сообщений учета.
Если прокси-сервер NPS настроен с несколькими сетевыми адаптерами, определите адаптеры, по которым должен быть разрешен трафик RADIUS.
Определите типы событий, которые должны записываться NPS в журнал событий. Можно регистрировать отклоненные запросы на подключение, успешные запросы на подключение или и то, и другое.
Определите, развертывается ли более одного прокси-сервера NPS. Чтобы обеспечить отказоустойчивость, используйте по крайней мере два прокси-сервера NPS. Один прокси-сервер NPS используется в качестве основного прокси-сервера RADIUS, а другой используется в качестве резервной копии. Затем каждый клиент RADIUS настраивается как на прокси-серверах NPS. Если основной прокси-сервер NPS становится недоступным, клиенты RADIUS отправляют Access-Request сообщения на альтернативный прокси-сервер NPS.
Спланируйте сценарий, используемый для копирования одной конфигурации прокси-сервера NPS в другие прокси NPS для экономии административных издержек и предотвращения неверной настройки сервера. NPS предоставляет команды Netsh, позволяющие копировать конфигурацию прокси-сервера NPS или его часть для импорта на другой прокси-сервер NPS. Команды можно выполнять вручную в командной строке Netsh. Однако если вы сохраните последовательность команд в качестве скрипта, вы можете запустить сценарий позже, если вы решите изменить конфигурацию прокси-сервера.
Планирование клиентов RADIUS
RADIUS-клиенты — это серверы сетевого доступа, такие как точки беспроводного доступа, серверы виртуальной частной сети (VPN), коммутаторы с поддержкой 802.1 X и серверы удаленного доступа. Прокси-серверы RADIUS, которые перенаправляют сообщения запроса на подключение на серверы RADIUS, также являются RADIUS-клиентами. Сервер политики сети поддерживает все серверы доступа к сети и прокси-серверы RADIUS, соответствующие протоколу RADIUS, как описано в RFC 2865, «Служба удаленного доступа к аутентификации (RADIUS)» и RFC 2866, «учет RADIUS».
Кроме того, точки беспроводного доступа и коммутаторы должны поддерживать проверку подлинности 802.1 X. Если требуется развернуть протокол EAP или протокол PEAP, точки доступа и коммутаторы должны поддерживать использование протокола EAP.
Чтобы проверить базовое взаимодействие подключений PPP для точек беспроводного доступа, настройте точку доступа и клиент доступа для использования протокола проверки пароля (PAP). Используйте дополнительные протоколы проверки подлинности на основе PPP, такие как PEAP, до тех пор, пока не протестировали те, которые планируется использовать для сетевого доступа.
Основные шаги
При планировании клиентов RADIUS можно выполнить следующие действия.
Задокументируйте зависящие от поставщика атрибуты (VSA), которые необходимо настроить в NPS. Если NAS требует VSA, заполните данные VSA для последующего использования при настройке политик сети в NPS.
Задокументируйте IP-адреса клиентов RADIUS и прокси-сервера NPS, чтобы упростить настройку всех устройств. При развертывании клиентов RADIUS необходимо настроить для них использование протокола RADIUS с IP-адресом прокси-сервера NPS, введенным в качестве сервера проверки подлинности. При настройке NPS для взаимодействия с клиентами RADIUS необходимо ввести IP-адреса клиентов RADIUS в оснастку NPS.
Создайте общие секреты для конфигурации на клиентах RADIUS и в оснастке NPS. Необходимо настроить RADIUS-клиенты с помощью общего секрета или пароля, которые также будут входить в оснастку NPS при настройке клиентов RADIUS в NPS.
Планирование групп удаленных серверов RADIUS
При настройке удаленной группы серверов RADIUS на прокси-сервере NPS вы указываете прокси-сервер NPS, куда будут отправлены некоторые или все сообщения запросов на подключение, получаемые от серверов доступа к сети и прокси-серверов NPS или других прокси RADIUS.
NPS можно использовать в качестве прокси-сервера RADIUS для пересылки запросов на подключение к одной или нескольким группам удаленных серверов RADIUS, и каждая группа может содержать один или несколько серверов RADIUS. Если требуется, чтобы прокси-сервер NPS перенаправлял сообщения нескольким группам, настройте одну политику запросов на подключение для каждой группы. Политика запросов на подключение содержит дополнительные сведения, такие как правила управления атрибутами, которые указывают прокси-серверу NPS, какие сообщения должны быть отправлены в группу удаленных серверов RADIUS, указанную в политике.
Вы можете настроить удаленные группы серверов RADIUS с помощью команд Netsh для NPS, настроив группы непосредственно в оснастке NPS в разделе удаленные группы серверов RADIUS или запустив мастер создания политики запроса на подключение.
Основные шаги
Во время планирования групп удаленных серверов RADIUS можно выполнить следующие действия.
Определите домены, содержащие серверы RADIUS, на которых прокси-сервер NPS должен пересылать запросы на подключение. Эти домены содержат учетные записи пользователей, подключающихся к сети через развертываемые клиенты RADIUS.
Определите, нужно ли добавлять новые серверы RADIUS в домены, где RADIUS еще не развернут.
Задокументируйте IP-адреса серверов RADIUS, которые необходимо добавить в удаленные группы RADIUS-серверов.
Определите, сколько групп удаленных серверов RADIUS необходимо создать. В некоторых случаях лучше создать одну группу удаленных серверов RADIUS для каждого домена, а затем добавить в нее серверы RADIUS для домена. Однако могут возникнуть ситуации, в которых имеется большой объем ресурсов в одном домене, включая большое количество пользователей с учетными записями пользователей в домене, большое количество контроллеров домена и большое количество серверов RADIUS. Или домен может охватывать большую географическую область, что приведет к тому, что серверы сетевого доступа и серверы RADIUS будут находиться в расположениях, расположенных далеко друг от друга. В этих и, возможно, в других случаях можно создать несколько удаленных групп серверов RADIUS для каждого домена.
Создайте общие секреты для конфигурации на прокси-сервере NPS и на удаленных RADIUS-серверах.
Планирование правил управления атрибутами для пересылки сообщений
Правила обработки атрибутов, настроенные в политиках запросов на подключение, позволяют выявление Access-Request сообщений, которые необходимо пересылать в конкретную группу удаленных серверов RADIUS.
Вы можете настроить NPS для пересылки всех запросов на подключение к одной группе удаленных серверов RADIUS без использования правил обработки атрибутов.
Однако при наличии нескольких расположений, для которых необходимо перенаправить запросы на подключение, необходимо создать политику запросов на подключение для каждого расположения, а затем настроить политику с помощью группы удаленных серверов RADIUS, в которую будут пересылаться сообщения, а также с помощью правил обработки атрибутов, указывающих серверу политики сети, какие сообщения пересылать.
Можно создать правила для следующих атрибутов.
Называется-Station-ID. Номер телефона сервера сетевого доступа (NAS). Значением этого атрибута является символьная строка. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.
Вызывающий-Station-ID. Номер телефона, используемый вызывающим объектом. Значением этого атрибута является символьная строка. Для указания кодов областей можно использовать синтаксис сопоставления шаблонов.
Имя пользователя. Имя пользователя, предоставленное клиентом доступа и включенное NAS в сообщении Access-Request RADIUS. Значением этого атрибута является символьная строка, которая обычно содержит имя области и имя учетной записи пользователя.
Чтобы правильно заменить или преобразовать имена областей в имени пользователя запроса на подключение, необходимо настроить правила обработки атрибутов для атрибута User-Name в соответствующей политике запросов на подключение.
Основные шаги
Во время планирования правил обработки атрибутов можно выполнить следующие действия.
Спланируйте маршрутизацию сообщений от NAS через прокси-сервер к удаленным серверам RADIUS, чтобы убедиться в наличии логического пути, с помощью которого перенаправлять сообщения на серверы RADIUS.
Определите один или несколько атрибутов, которые необходимо использовать для каждой политики запросов на подключение.
Задокументируйте правила обработки атрибутов, которые планируется использовать для каждой политики запросов на подключение, и сопоставьте правила с группой удаленных серверов RADIUS, в которую перенаправляются сообщения.
Планирование политик запросов на подключение
Политика запросов на подключение по умолчанию настраивается для NPS, если она используется в качестве сервера RADIUS. Дополнительные политики запросов на подключение можно использовать для определения более конкретных условий, создания правил обработки атрибутов, указывающих серверу политики сети, какие сообщения следует пересылать в удаленные группы RADIUS-серверов, а также для указания дополнительных атрибутов. Используйте мастер создания новой политики запросов на подключение для создания общих или настраиваемых политик запросов на подключение.
Основные шаги
В ходе планирования политик запросов на подключение можно выполнить следующие действия.
Удалите политику запросов на подключение по умолчанию на каждом сервере политики сети, который работает исключительно в качестве прокси-сервера RADIUS.
Планируйте дополнительные условия и параметры, необходимые для каждой политики, объединяя эти сведения с группой удаленных серверов RADIUS и правилами управления атрибутами, запланированными для политики.
Разработайте план для распространения общих политик запросов на подключение ко всем прокси-серверам NPS. Создайте политики, общие для нескольких прокси-серверов NPS в одном NPS, а затем используйте команды Netsh для NPS, чтобы импортировать политики запросов на подключение и конфигурацию сервера для всех других учетных записей-посредников.
Планирование учета NPS
при настройке сервера политики сети в качестве прокси-сервера radius его можно настроить для выполнения учета radius с помощью файлов журнала формата NPS, файлов журнала формата, совместимых с базой данных, или журнала SQL Server.
Кроме того, можно пересылать сообщения учета в группу удаленных серверов RADIUS, которая выполняет учет с помощью одного из этих форматов ведения журнала.
Основные шаги
При планировании учета NPS можно выполнить следующие действия.
Определите, должен ли прокси-сервер NPS выполнять службы учета или перенаправлять сообщения учета в группу удаленных серверов RADIUS для учета.
Запланируйте отключение учета локального прокси-сервера NPS, если планируется перенаправлять сообщения учета на другие серверы.
Спланируйте шаги по настройке политики запросов на подключение, если вы планируете перенаправлять сообщения учета на другие серверы. При отключении локального учета для прокси-сервера NPS для каждой политики запросов на подключение, настроенной на этом прокси-сервере, необходимо включить и правильно настроить перенаправление сообщений учета.
определите формат ведения журнала, который вы хотите использовать: файлы журнала формата IAS, файлы журнала формата, совместимые с базой данных, или журнал SQL Server NPS.
Сведения о настройке балансировки нагрузки для сервера политики сети в качестве прокси-сервера RADIUS см. в статье Балансировка нагрузки прокси-серверов NPS.