Установка і настройка проксі-сервера веб-додатків

Даний матеріал відноситься до локальної версії проксі-сервера веб-додатки. Відомості про безпечний доступ до локальних додатків через хмару см. У вмісті проксі-сервера додатки Azure AD.

У цьому розділі описано, як встановити роль віддаленого доступу до служби ролі Проксі-сервер веб-додатки і як налаштувати сервер Проксі-сервер веб-додатки для підключення до сервера Служби федерації Active Directory (AD FS). Перед плануванням етапів розгортання переконайтеся, що виконали кроки планування з розділу Планування проксі-сервера веб-додатків.

У цьому розділі наводяться приклади командлетів Windows PowerShell, які можна використовувати для автоматизації деяких описаних процедур. Додаткові відомості див. У розділі Використання командлетів.

Сервери Проксі-сервер веб-додатки вимагають наявності таких сертифікатів в сховище сертифікатів на кожному сервері Проксі-сервер веб-додатки.

Сертифікат, суб'єкт якого включає ім'я служби федерації. Якщо ви хочете використовувати підключення до робочого місця, сертифікат також повинен включати альтернативні імена суб'єктів: <имя службы федерации>.<домен> і enterpriseregistration.<домен>.

Сертифікат з підстановочних знаками, сертифікат з альтернативними іменами суб'єкта, кілька сертифікатів з альтернативним іменем суб'єкта або декілька сертифікатів, суб'єкт яких включає кожне веб-додаток.

Копія сертифіката, виданого зовнішніх серверів, при використанні попередньої перевірки справжності клієнтських сертифікатів.

Налаштування шаблонів сертифікатів

Залежно від вашого розгортання і вимог до перевірки автентичності вам можуть знадобитися додаткові шаблони сертифікатів у внутрішньому центрі сертифікації (ЦС).

Налаштування шаблону сертифіката

У внутрішньому центрі сертифікації створіть шаблон сертифіката, як описано в розділі Створення шаблонів сертифікатів.

Розгорніть шаблон сертифіката, як описано в розділі Розгортання шаблонів сертифікатів.

Налаштування сертифікатів веб-додатки

Відкритий - наданий стороннім центром.

Закритий - потрібні такі сертифікати (якщо вони ще не існують).

Сертифікат веб-сайту, який використовується для перевірки автентичності сервера. Суб'єктом сертифіката має бути повне доменне ім'я з можливістю зовнішнього дозволу, доступне з Інтернету. Сертифікат може бути заснований на шаблоні сертифіката, створеному в розділі Налаштування шаблонів сертифікатів.

Точка поширення списку відкликання сертифікатів (CRL), доступна через Інтернет.

Переконайтеся, що сертифікат веб-сайту, який використовується для перевірки автентичності сервера, відповідає таким вимогам.

В поле "Покращена використання ключа" використовуйте ідентифікатор об'єкта перевірки автентичності сервера.

В поле "Точки розповсюдження списку відкликаних (CRL)" вкажіть точку розповсюдження списку відкликаних сертифікатів, доступну клієнтським пристроїв, підключеним до Інтернету.

У сертифіката повинен бути закритий ключ.

Сертифікат необхідно імпортувати безпосередньо в особисте сховище сертифікатів.

В імені сертифіката може бути підстановлювальний знак. Сертифікат з Символи узагальнення та ім'ям суб'єкта * .contoso.com можна використовувати для веб-додатків в домені contoso.com, наприклад sharepoint.contoso.com і owa.contoso.com. Такий сертифікат з Символи узагальнення можна використовувати для веб-сайту sharepoint.internal.contoso.com.

Для приєднання до робочого місця потрібно сертифікат з наступними альтернативними іменами суб'єкта.

Щоб розгорнути Проксі-сервер веб-додатки, необхідно встановити роль віддаленого доступу до служби ролі Проксі-сервер веб-додатки на сервері, який буде працювати як сервер Проксі-сервер веб-додатки.

Повторіть цю процедуру для всіх серверів, які хочете розгорнути в якості серверів Проксі-сервер веб-додатки.

Do this step using Windows PowerShell

Установка служби ролі Проксі-сервер веб-додатки

На панелі моніторінгаПроксі-сервер веб-додатки консолі Диспетчер серверів на сервері клацніть Додати ролі і компоненти.

У вікні майстра додавання ролей і компонентів тричі натисніть кнопку Далі. щоб перейти на екран вибору ролей сервера.

У діалоговому вікні Вибір ролей сервера виберіть пункт Віддалений доступ і натисніть кнопку Далі.

Клацніть двічі Далі.

У діалоговому вікні Вибір служб ролей виберіть Проксі-сервер веб-додатки. клацніть пункт Додати компоненти. а потім натисніть кнопку Далі.

У діалоговому вікні Підтвердження обраних елементів для установки натисніть кнопку Встановити.

У діалоговому вікні Хід установки переконайтеся в успішному завершенні установки, а потім натисніть кнопку Закрити.

Еквівалентні команди Windows PowerShell

Наступні командлети Windows PowerShell виконують ту ж функцію, що і попередня процедура. Вводите кожен командлет в одному рядку, незважаючи на те, що тут вони можуть відображатися розбитими на кілька рядків через обмеження форматування.

Необхідно налаштувати Проксі-сервер веб-додатки для підключення до сервера AD FS.

Повторіть цю процедуру для всіх серверів, які хочете розгорнути в якості серверів Проксі-сервер веб-додатки.

Do this step using Windows PowerShell

Налаштування Проксі-сервер веб-додатки

На сервері Проксі-сервер веб-додатки відкрийте консоль управління віддаленим доступом: На екрані Пуск натисніть стрілку Додатки. На екрані Додатки введітеRAMgmtUI.exe. а потім натисніть клавішу ВВОД.Еслі з'явиться діалогове вікно керування обліковими записами. підтвердіть, що відображається в ньому дію саме те, що потрібно, і натисніть кнопку Так.

В області навігації виберіть Проксі-сервер веб-додатки.

На консолі управління віддаленим доступом в середній області клацніть Запустити майстер настройки Проксі-сервер веб-додатки.

У майстра настройки Проксі-сервер веб-додатки в діалоговому вікні привітання натисніть кнопку Далі.

У діалоговому вікні Сервер федерації виконайте такі дії і натисніть кнопку Далі.

В поле Ім'я служби федерації введіть повне доменне ім'я служби федерації для сервера AD FS, наприклад fs.contoso.com.

В полях Ім'я користувача і Пароль введіть облікові дані локального адміністратора на серверах AD FS.

У діалоговому вікні Сертифікат проксі-сервера AD FS в списку сертифікатів, встановлених на сервері Проксі-сервер веб-додатки, виберіть сертифікат, який Проксі-сервер веб-додатки буде використовувати для функцій проксі AD FS, і натисніть кнопку Далі.

Обраний тут сертифікат повинен бути тим, суб'єкт якого є ім'ям служби федерації, наприклад fs.contoso.com. Якщо ви плануєте використовувати приєднання до робочого місця, це повинен бути сертифікат з альтернативними іменами суб'єкта, зазначеними в розділі Налаштування авторизації та сертифікатів.

У діалоговому вікні Результати переконайтеся в успішному завершенні настройки, а потім натисніть кнопку Закрити.

Еквівалентні команди Windows PowerShell

Наступні командлети Windows PowerShell виконують ту ж функцію, що і попередня процедура. Вводите кожен командлет в одному рядку, незважаючи на те, що тут вони можуть відображатися розбитими на кілька рядків через обмеження форматування.

Наступна команда запропонує ввести облікові дані локального адміністратора на серверах AD FS.

Схожі статті