Publicación de aplicaciones con SharePoint, Exchange y RDG
Este contenido es relevante para la versión local del Proxy de aplicación web. Para habilitar el acceso seguro a aplicaciones locales a través de la nube, consulte el contenido del proxy de aplicación de Microsoft Entra.
En este tema se describen las tareas necesarias para publicar SharePoint Server, Exchange Server o Puerta de enlace de Escritorio remoto (RDP) a través de Proxy de aplicación web.
Nota
Esta información se proporciona tal cual. Servicios de Escritorio remoto admite y recomienda usar el proxy de la aplicación de Azure para proporcionar acceso remoto seguro a las aplicaciones locales.
Publicación de SharePoint Server
Puede publicar un sitio de SharePoint a través de Proxy de aplicación web cuando se configura el sitio de SharePoint para la autenticación basada en notificaciones o la autenticación de Windows integrada. Si quiere usar Servicios de federación de Active Directory (AD FS) para la autenticación previa, debe configurar un usuario de confianza mediante uno de los asistentes.
Si el sitio de SharePoint usa la autenticación basada en notificaciones, debe utilizar el Asistente para agregar la relación de confianza para usuario autenticado para la aplicación.
Si el sitio de SharePoint usa la autenticación integrada de Windows, debe utilizar el Asistente para agregar relación de confianza para usuario autenticado no basado en notificaciones para configurar la relación de confianza para usuario autenticado para la aplicación. Puede usar IWA con una aplicación web basada en notificaciones si configura el KDC.
Para permitir que los usuarios se autentiquen mediante la autenticación de Windows integrada, el servidor de Proxy de aplicación web debe estar asociado a un dominio.
Debe configurar la aplicación para que admita la delegación restringida de Kerberos. Puede hacerlo en el controlador de dominio para cualquier aplicación. También puede configurar la aplicación directamente en el servidor backend si se está ejecutando en Windows Server 2012 R2 o Windows Server 2012. Para más información, consulte Novedades de la autenticación Kerberos. También debe asegurarse de que los servidores del Proxy de aplicación web estén configurados para la delegación a los nombres principales de servicio de los servidores backend. Para seguir los pasos de configuración del Proxy de aplicación web para publicar una aplicación mediante la autenticación integrada de Windows, consulte Configuración de un sitio para usar la autenticación integrada de Windows.
Si el sitio de SharePoint se configura mediante asignaciones de acceso alternativas (AAM) o colecciones de sitios denominadas host, puede usar diferentes direcciones URL de los servidores externos y back-end para publicar la aplicación. Sin embargo, si no configura el sitio de SharePoint con AAM o colecciones de sitios denominadas host, deberá usar las mismas direcciones URL de los servidores externos y back-end.
Publicación de Exchange Server
En la siguiente tabla se describen los servicios de Exchange que puede publicar a través de Proxy de aplicación web y la autenticación previa compatible para estos servicios:
Servicio de Exchange | Autenticación previa | Notas |
---|---|---|
Outlook Web App | - AD FS con autenticación no basada en notificaciones - Tránsito - AD FS usando autenticación basada en notificaciones para Exchange 2013 Service Pack 1 (SP1) local |
Para más información, vea: Usar la autenticación basada en notificaciones de AD FS con Outlook Web App y EAC |
Panel de control de Exchange | Paso a través | |
Outlook en cualquier lugar | Paso a través | Debe publicar tres direcciones URL adicionales para que Outlook en cualquier lugar funcione correctamente: - La dirección URL de detección automática, EWS y OAB (en el caso del modo de caché de Outlook). |
Exchange ActiveSync | Paso a través AD FS mediante el protocolo de autorización básico HTTP |
|
Servicios web de Exchange | Paso a través | |
Detección automática | Paso a través | |
Libreta de direcciones sin conexión | Paso a través |
Para publicar Outlook Web App con la autenticación integrada de Windows, debe usar el Asistente para agregar relación de confianza para usuario autenticado no basado en notificaciones para configurar la relación de confianza para la aplicación.
Para permitir que los usuarios se autentiquen mediante la delegación restringida de Kerberos, el servidor web Application Proxy debe estar unido a un dominio.
Debe configurar la aplicación para que admita la autenticación restringida de Kerberos. Además, debe registrar un nombre principal de servicio (SPN) en la cuenta con la que se ejecuta el servicio web. Puede hacerlo en el controlador de dominio o en los servidores backend. En un entorno de Exchange con equilibrio de carga, esto requeriría el uso de la cuenta de servicio alternativa, consulte Configuración de la autenticación Kerberos para servidores de acceso de cliente con equilibrio de carga
También puede configurar la aplicación directamente en el servidor backend si se está ejecutando en Windows Server 2012 R2 o Windows Server 2012. Para más información, consulte Novedades de la autenticación Kerberos. También debe asegurarse de que los servidores del Proxy de aplicación web estén configurados para la delegación a los nombres principales de servicio de los servidores backend.
Publicación de Puerta de enlace de Escritorio remoto a través de Proxy de aplicación web
Si desea restringir el acceso a la Puerta de enlace de acceso remoto y agregar autenticación previa para el acceso remoto, puede implementarlo a través del Proxy de aplicación web. Esta es una buena manera de asegurarse de que tiene una autenticación previa enriquecida para RDG, incluida MFA. La publicación sin autenticación previa también es una opción y proporciona un único punto de entrada en los sistemas.
Cómo publicar una aplicación en RDG mediante la autenticación de tránsito del Proxy de aplicación web
La instalación será diferente en función de si los roles acceso web de Escritorio remoto (/rdweb) y puerta de enlace de Escritorio remoto (rpc) están en el mismo servidor o en servidores diferentes.
Si los roles acceso web de Escritorio remoto y puerta de enlace de Escritorio remoto se hospedan en el mismo servidor RDG, simplemente puede publicar el FQDN raíz en el Proxy de aplicación web, como, https://rdg.contoso.com/.
También puede publicar los dos directorios virtuales individualmente, por ejemplo,https://rdg.contoso.com/rdweb/ y https://rdg.contoso.com/rpc/.
Si el acceso web de Escritorio remoto y la puerta de enlace de Escritorio remoto se hospedan en servidores RDG independientes, debe publicar individualmente los dos directorios virtuales. Puede usar los mismos FQDN externos o diferentes, por ejemplo, https://rdweb.contoso.com/rdweb/ y https://gateway.contoso.com/rpc/.
Si los FQDN externos e internos son diferentes, no debe deshabilitar la traducción de encabezados de solicitud en la regla de publicación RDWeb. Para ello, ejecute el siguiente script de PowerShell en el servidor del Proxy de aplicación web, pero debe habilitarse de forma predeterminada.
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$false
Nota
Si necesita admitir clientes enriquecidos como RemoteApp y Conexiones de escritorio o conexiones de Escritorio remoto de iOS, éstos no admiten la autenticación previa, por lo que tendrá que publicar RDG mediante la autenticación de tránsito.
Cómo publicar una aplicación en RDG mediante la autenticación de acceso directo del Proxy de aplicación web
La autenticación previa con RDG del Proxy de aplicación web funciona pasando la cookie de autenticación previa obtenida por Internet Explorer que se pasa al cliente de conexión a Escritorio remoto (mstsc.exe). A continuación, se usa en el cliente de conexión a Escritorio remoto (mstsc.exe). El cliente de conexión a Escritorio remoto lo usará como prueba de autenticación.
El siguiente procedimiento indica al servidor Colección que incluya las propiedades RDP personalizadas necesarias en los archivos RDP de aplicación remota que se envían a los clientes. Estos indican al cliente que se requiere la autenticación previa y que pasan las cookies de la dirección del servidor de autenticación previa al cliente de conexión a Escritorio remoto (mstsc.exe). Junto con deshabilitar la característica HttpOnly en la Proxy de aplicación web., esto permite al cliente de conexión a Escritorio remoto (mstsc.exe) utilizar la cookie de Proxy de aplicación web obtenida a través del explorador.
La autenticación en el servidor de Acceso web de Escritorio remoto seguirá usando el inicio de sesión del formulario de acceso web de Escritorio remoto. Esto proporciona el menor número de solicitudes de autenticación de usuario, ya que el formulario de inicio de sesión de Acceso web de Escritorio remoto crea un almacén de credenciales del lado cliente que puede usar el cliente de conexión a Escritorio remoto (mstsc.exe) para cualquier inicio posterior de la aplicación remota.
En primer lugar, cree una relación de confianza para usuario autenticado manual en AD FS como si publicara una aplicación compatible con notificaciones. Esto significa que tiene que crear una relación de confianza ficticia para usuario autenticado que esté allí para aplicar la autenticación previa, de modo que obtenga la autenticación previa sin la delegación restringida de Kerberos en el servidor publicado. Una vez que un usuario se ha autenticado, se pasa todo lo demás.
Advertencia
Es posible que parezca que el uso de la delegación es preferible, pero no resuelve completamente los requisitos de SSO de mstsc y hay problemas al delegar en el directorio /rpc porque el cliente espera controlar la propia autenticación de puerta de enlace de Escritorio remoto.
Para crear una relación de confianza para usuario autenticado manual, siga los pasos descritos en la Consola de administración de AD FS:
Use el asistente Agregar Relación de confianza para usuario autenticado
Seleccione Ingresar datos sobre el usuario de confianza manualmente.
Acepte todos los valores de configuración predeterminados.
Para el identificador de confianza para usuario autenticado, escriba el FQDN externo que usará para el acceso RDG, por ejemplo https://rdg.contoso.com/.
Esta es la relación de confianza para usuario autenticado que usará al publicar la aplicación en Proxy de aplicación web.
Publique la raíz del sitio (por ejemplo, https://rdg.contoso.com/) en Proxy de aplicación web. Establezca la autenticación previa en AD FS y use la relación de confianza para usuario autenticado que creó anteriormente. Esto permitirá que /rdweb y /rpc usen la misma cookie de autenticación de Proxy de aplicación web.
Es posible publicar /rdweb y /rpc como aplicaciones independientes e incluso usar servidores publicados diferentes. Solo tiene que asegurarse de que publica la misma relación de confianza para usuario autenticado que el token de Proxy de aplicación web para la relación de confianza para usuario autenticado y, por tanto, es válido en todas las aplicaciones publicadas con la misma relación de confianza para usuario autenticado.
Si los FQDN externos e internos son diferentes, no debe deshabilitar la traducción de encabezados de solicitud en la regla de publicación RDWeb. Para ello, ejecute el siguiente script de PowerShell en el servidor del Proxy de aplicación web, pero debe habilitarse de forma predeterminada.
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$true
Deshabilite la propiedad de cookie HttpOnly en Proxy de aplicación web en la aplicación publicada de RDG. Para permitir el acceso al control ActiveX de RDG a la cookie de autenticación de Proxy de aplicación web, debe deshabilitar la propiedad HttpOnly en la cookie de Proxy de aplicación web.
Esto requiere que instale el paquete acumulativo de actualizaciones de noviembre de 2014 para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2 (KB3000850).
Después de instalar la revisión, ejecute el siguiente script de PowerShell en el servidor Proxy de aplicación web especificando el nombre de aplicación correspondiente:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$true
Deshabilitar HttpOnly permite el acceso de control ActiveX de RDG a la cookie de autenticación del Proxy de aplicación web.
Configure la recopilación de RDG pertinente en el servidor de Colección para permitir que el cliente de conexión a Escritorio remoto (mstsc.exe) sepa que la autenticación previa es necesaria en el archivo rdp.
En Windows Server 2012 y Windows Server 2012 R2, esto se logra mediante la ejecución del siguiente cmdlet de PowerShell en el servidor de recopilación de RDG:
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"
Asegúrese de eliminar los corchetes < y > al reemplazar por sus propios valores, por ejemplo:
Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"
En Windows Server 2008 R2:
Inicie sesión en Terminal Server con una cuenta que tenga privilegios de administrador.
Vaya a Iniciar>herramientas administrativas>Terminal Services>Administrador de RemoteApp de TS.
En el panel Introducción del administrador de RemoteApp de TS, junto a Configuración de RDP, haga clic en Cambiar.
En la pestaña Ajustes personalizados de RDP, escriba los siguientes ajustes del RDP en el cuadro de Ajustes personalizados del RDP:
pre-authentication server address: s: https://externalfqdn/rdweb/
require pre-authentication:i:1
Haga clic en Guardar cuando acabe.
Esto indica al servidor de Colección que incluya las propiedades RDP personalizadas en los archivos RDP que se envían a los clientes. Estos le dicen al cliente que se requiere autenticación previa y que pase las cookies para la dirección del servidor de autenticación previa al cliente de Conexión a Escritorio remoto (mstsc.exe). Junto con deshabilitar la característica HttpOnly en la Proxy de aplicación web, esto permite al cliente de conexión a Escritorio remoto (mstsc.exe) utilizar la cookie de Proxy de aplicación web obtenida a través del explorador.
Para más información sobre RDP, consulte Configuración del escenario de OTP de puerta de enlace de TS.