「Webアプリケーションプロキシ」は、ネットワークの境界に設置することで、HTTP/HTTPSのリバースプロキシとして機能するゲートウェイです。同時に、AD FSのプロキシとしても機能し、社外のユーザーに対してフェデレーション認証機能を提供します。Windows 8.1およびモバイルデバイスに対しては、Webアプリケーションプロキシ経由での社内参加をサポートできます。
Webアプリケーションプロキシを展開するには、少なくとも1つのパブリックIPv4アドレスが必要になります。NAT(Network Address Translation:ネットワークアドレス変換)の背後に設置する場合は、パブリックIPv4アドレスへのHTTP/HTTPSトラフィックをWebアプリケーションプロキシのサーバに転送するように、IPマスカレードを構成することで対応可能です。
また、Webアプリケーションプロキシで公開する社内リソースのURLをWebアプリケーションプロキシのパブリックIPv4アドレスに名前解決できるように、インターネット向けのDNSサーバ(またはサービス)も必要です。
Webアプリケーションプロキシの役割のインストールと構成は、Windows Server 2012 R2とほとんど変わりません。変更点があるとすれば、「新しいアプリケーションの公開ウィザード」に「サポートされるクライアント」オプションが追加されたことです(画面5)。
Windows Server 2016では、ここで「WebおよびMSOFBA」(Windows Server 2012 R2のウィザードの構成に相当)、「HTTP基本」「OAuth2」の選択が可能になりました。「HTTP基本」および「OAuth2」はWindows Server 2012 R2でも構成できましたが、Windows PowerShellでオプションを構成する必要がありました。
例えば、「ワークフォルダー」をAD FS認証とWebアプリケーションプロキシで構成する方法が以下のドキュメントの「Step 4」で説明されていますが、その手順に含まれる「Set-WebApplicationProxyApplication -UseOAuthAuthentication」の実行はWindows Server 2016では不要になります。
その他のアプリケーションの公開については、以下のドキュメントを参考にしてください。
今回の検証環境では、IIS Webサーバ上の単純なWebサイト(クレーム非対応)と「ワークフォルダー」を社内に展開し、WebアプリケーションプロキシにおいてIIS WebサイトをAD FS事前認証で、ワークフォルダーをパススルーで公開するように構成します(画面6)。
Windows Server 2012 R2以降のAD FSでは、クレーム非対応のWebアプリケーションのための証明書利用者信頼を作成し、WebアプリケーションプロキシでAD FS事前認証とともに公開することが可能です。
しかし、その場合は、WebアプリケーションプロキシサーバとアプリケーションサーバのSPN(コンピュータアカウントのservicePrincipalName属性)を構成し、Webアプリケーションプロキシサーバ(コンピュータアカウントのプロパティの「委任」タブで設定)にアプリケーションサーバのサービスに対する委任設定を行う必要があることに注意してください。この構成がなされていないと、WebアプリケーションプロキシによるAD FS認証後、「HTTP 500エラー」が返されます。
ワークフォルダーは、Windows Server 2012 R2以降のファイルサーバでサポートされるようになったHTTP/HTTPSベースのファイル同期サービスです。マイクロソフトのクラウドサービスである「OneDrive」や「OneDrive for Business」の環境を、オンプレミスに展開するものと考えると分かりやすいでしょう。
社内では通常の共有フォルダとして利用でき、社外あるいは個人デバイスからはワークフォルダーとして同じファイルにアクセスして、作業を継続できます。ネットワークから切断されている場合は、オフライン利用も可能です。
ワークフォルダーは既定でWindows認証を用います。Windows認証構成のワークフォルダーは、Webアプリケーションプロキシのパススルー認証で公開することが可能です。オプションでワークフォルダーをAD FS認証に切り替えることもできます。その場合は、WebアプリケーションプロキシのAD FS事前認証でワークフォルダーを公開することが可能です。
次回は、Azure ADのディレクトリとオンプレミスのActive Directoryドメインのディレクトリ統合を解説します。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。
Copyright © ITmedia, Inc. All Rights Reserved.