連載
» 2016年11月11日 05時00分 公開

vNextに備えよ! 次期Windows Serverのココに注目(62:特別編):「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その3) (2/2)

[山市良,テクニカルライター]
前のページへ 1|2       

Webアプリケーションプロキシのインストールと構成

 「Webアプリケーションプロキシ」は、ネットワークの境界に設置することで、HTTP/HTTPSのリバースプロキシとして機能するゲートウェイです。同時に、AD FSのプロキシとしても機能し、社外のユーザーに対してフェデレーション認証機能を提供します。Windows 8.1およびモバイルデバイスに対しては、Webアプリケーションプロキシ経由での社内参加をサポートできます。

 Webアプリケーションプロキシを展開するには、少なくとも1つのパブリックIPv4アドレスが必要になります。NAT(Network Address Translation:ネットワークアドレス変換)の背後に設置する場合は、パブリックIPv4アドレスへのHTTP/HTTPSトラフィックをWebアプリケーションプロキシのサーバに転送するように、IPマスカレードを構成することで対応可能です。

 また、Webアプリケーションプロキシで公開する社内リソースのURLをWebアプリケーションプロキシのパブリックIPv4アドレスに名前解決できるように、インターネット向けのDNSサーバ(またはサービス)も必要です。

 Webアプリケーションプロキシの役割のインストールと構成は、Windows Server 2012 R2とほとんど変わりません。変更点があるとすれば、「新しいアプリケーションの公開ウィザード」に「サポートされるクライアント」オプションが追加されたことです(画面5)。

画面5 画面5 Windows Server 2012 R2ではWindows PowerShellでしか構成できなかったHTTP基本認証やOAuth認証の構成を、Windows Server 2016ではウィザードから選択できるようになった

 Windows Server 2016では、ここで「WebおよびMSOFBA」(Windows Server 2012 R2のウィザードの構成に相当)、「HTTP基本」「OAuth2」の選択が可能になりました。「HTTP基本」および「OAuth2」はWindows Server 2012 R2でも構成できましたが、Windows PowerShellでオプションを構成する必要がありました。

 例えば、「ワークフォルダー」をAD FS認証とWebアプリケーションプロキシで構成する方法が以下のドキュメントの「Step 4」で説明されていますが、その手順に含まれる「Set-WebApplicationProxyApplication -UseOAuthAuthentication」の実行はWindows Server 2016では不要になります。

 その他のアプリケーションの公開については、以下のドキュメントを参考にしてください。

社内Webサイト/アプリおよびワークフォルダーの準備と公開

 今回の検証環境では、IIS Webサーバ上の単純なWebサイト(クレーム非対応)と「ワークフォルダー」を社内に展開し、WebアプリケーションプロキシにおいてIIS WebサイトをAD FS事前認証で、ワークフォルダーをパススルーで公開するように構成します(画面6)。

画面6 画面6 社内ネットワークに展開したイントラネットWebサイトと「ワークフォルダー」

 Windows Server 2012 R2以降のAD FSでは、クレーム非対応のWebアプリケーションのための証明書利用者信頼を作成し、WebアプリケーションプロキシでAD FS事前認証とともに公開することが可能です。

 しかし、その場合は、WebアプリケーションプロキシサーバとアプリケーションサーバのSPN(コンピュータアカウントのservicePrincipalName属性)を構成し、Webアプリケーションプロキシサーバ(コンピュータアカウントのプロパティの「委任」タブで設定)にアプリケーションサーバのサービスに対する委任設定を行う必要があることに注意してください。この構成がなされていないと、WebアプリケーションプロキシによるAD FS認証後、「HTTP 500エラー」が返されます。

 ワークフォルダーは、Windows Server 2012 R2以降のファイルサーバでサポートされるようになったHTTP/HTTPSベースのファイル同期サービスです。マイクロソフトのクラウドサービスである「OneDrive」や「OneDrive for Business」の環境を、オンプレミスに展開するものと考えると分かりやすいでしょう。

 社内では通常の共有フォルダとして利用でき、社外あるいは個人デバイスからはワークフォルダーとして同じファイルにアクセスして、作業を継続できます。ネットワークから切断されている場合は、オフライン利用も可能です。

 ワークフォルダーは既定でWindows認証を用います。Windows認証構成のワークフォルダーは、Webアプリケーションプロキシのパススルー認証で公開することが可能です。オプションでワークフォルダーをAD FS認証に切り替えることもできます。その場合は、WebアプリケーションプロキシのAD FS事前認証でワークフォルダーを公開することが可能です。

 次回は、Azure ADのディレクトリとオンプレミスのActive Directoryドメインのディレクトリ統合を解説します。

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。