Даний матеріал відноситься до локальної версії проксі-сервера веб-додатки. Відомості про безпечний доступ до локальних додатків через хмару см. У вмісті проксі-сервера додатки Azure AD.
У цьому розділі описано, як встановити роль віддаленого доступу до служби ролі Проксі-сервер веб-додатки і як налаштувати сервер Проксі-сервер веб-додатки для підключення до сервера Служби федерації Active Directory (AD FS). Перед плануванням етапів розгортання переконайтеся, що виконали кроки планування з розділу Планування проксі-сервера веб-додатків.
У цьому розділі наводяться приклади командлетів Windows PowerShell, які можна використовувати для автоматизації деяких описаних процедур. Додаткові відомості див. У розділі Використання командлетів.
Сервери Проксі-сервер веб-додатки вимагають наявності таких сертифікатів в сховище сертифікатів на кожному сервері Проксі-сервер веб-додатки.
Сертифікат, суб'єкт якого включає ім'я служби федерації. Якщо ви хочете використовувати підключення до робочого місця, сертифікат також повинен включати альтернативні імена суб'єктів: <имя службы федерации>.<домен> і enterpriseregistration.<домен>.
Сертифікат з підстановочних знаками, сертифікат з альтернативними іменами суб'єкта, кілька сертифікатів з альтернативним іменем суб'єкта або декілька сертифікатів, суб'єкт яких включає кожне веб-додаток.
Копія сертифіката, виданого зовнішніх серверів, при використанні попередньої перевірки справжності клієнтських сертифікатів.
Налаштування шаблонів сертифікатів
Залежно від вашого розгортання і вимог до перевірки автентичності вам можуть знадобитися додаткові шаблони сертифікатів у внутрішньому центрі сертифікації (ЦС).
Налаштування шаблону сертифіката
У внутрішньому центрі сертифікації створіть шаблон сертифіката, як описано в розділі Створення шаблонів сертифікатів.
Розгорніть шаблон сертифіката, як описано в розділі Розгортання шаблонів сертифікатів.
Налаштування сертифікатів веб-додатки
Відкритий - наданий стороннім центром.
Закритий - потрібні такі сертифікати (якщо вони ще не існують).
Сертифікат веб-сайту, який використовується для перевірки автентичності сервера. Суб'єктом сертифіката має бути повне доменне ім'я з можливістю зовнішнього дозволу, доступне з Інтернету. Сертифікат може бути заснований на шаблоні сертифіката, створеному в розділі Налаштування шаблонів сертифікатів.
Точка поширення списку відкликання сертифікатів (CRL), доступна через Інтернет.
Переконайтеся, що сертифікат веб-сайту, який використовується для перевірки автентичності сервера, відповідає таким вимогам.
В поле "Покращена використання ключа" використовуйте ідентифікатор об'єкта перевірки автентичності сервера.
В поле "Точки розповсюдження списку відкликаних (CRL)" вкажіть точку розповсюдження списку відкликаних сертифікатів, доступну клієнтським пристроїв, підключеним до Інтернету.
У сертифіката повинен бути закритий ключ.
Сертифікат необхідно імпортувати безпосередньо в особисте сховище сертифікатів.
В імені сертифіката може бути підстановлювальний знак. Сертифікат з Символи узагальнення та ім'ям суб'єкта * .contoso.com можна використовувати для веб-додатків в домені contoso.com, наприклад sharepoint.contoso.com і owa.contoso.com. Такий сертифікат з Символи узагальнення можна використовувати для веб-сайту sharepoint.internal.contoso.com.
Для приєднання до робочого місця потрібно сертифікат з наступними альтернативними іменами суб'єкта.
Щоб розгорнути Проксі-сервер веб-додатки, необхідно встановити роль віддаленого доступу до служби ролі Проксі-сервер веб-додатки на сервері, який буде працювати як сервер Проксі-сервер веб-додатки.
Повторіть цю процедуру для всіх серверів, які хочете розгорнути в якості серверів Проксі-сервер веб-додатки.
Do this step using Windows PowerShell
Установка служби ролі Проксі-сервер веб-додатки
На панелі моніторінгаПроксі-сервер веб-додатки консолі Диспетчер серверів на сервері клацніть Додати ролі і компоненти.
У вікні майстра додавання ролей і компонентів тричі натисніть кнопку Далі. щоб перейти на екран вибору ролей сервера.
У діалоговому вікні Вибір ролей сервера виберіть пункт Віддалений доступ і натисніть кнопку Далі.
Клацніть двічі Далі.
У діалоговому вікні Вибір служб ролей виберіть Проксі-сервер веб-додатки. клацніть пункт Додати компоненти. а потім натисніть кнопку Далі.
У діалоговому вікні Підтвердження обраних елементів для установки натисніть кнопку Встановити.
У діалоговому вікні Хід установки переконайтеся в успішному завершенні установки, а потім натисніть кнопку Закрити.
Еквівалентні команди Windows PowerShell
Наступні командлети Windows PowerShell виконують ту ж функцію, що і попередня процедура. Вводите кожен командлет в одному рядку, незважаючи на те, що тут вони можуть відображатися розбитими на кілька рядків через обмеження форматування.
Необхідно налаштувати Проксі-сервер веб-додатки для підключення до сервера AD FS.
Повторіть цю процедуру для всіх серверів, які хочете розгорнути в якості серверів Проксі-сервер веб-додатки.
Do this step using Windows PowerShell
Налаштування Проксі-сервер веб-додатки
На сервері Проксі-сервер веб-додатки відкрийте консоль управління віддаленим доступом: На екрані Пуск натисніть стрілку Додатки. На екрані Додатки введітеRAMgmtUI.exe. а потім натисніть клавішу ВВОД.Еслі з'явиться діалогове вікно керування обліковими записами. підтвердіть, що відображається в ньому дію саме те, що потрібно, і натисніть кнопку Так.
В області навігації виберіть Проксі-сервер веб-додатки.
На консолі управління віддаленим доступом в середній області клацніть Запустити майстер настройки Проксі-сервер веб-додатки.
У майстра настройки Проксі-сервер веб-додатки в діалоговому вікні привітання натисніть кнопку Далі.
У діалоговому вікні Сервер федерації виконайте такі дії і натисніть кнопку Далі.
В поле Ім'я служби федерації введіть повне доменне ім'я служби федерації для сервера AD FS, наприклад fs.contoso.com.
В полях Ім'я користувача і Пароль введіть облікові дані локального адміністратора на серверах AD FS.
У діалоговому вікні Сертифікат проксі-сервера AD FS в списку сертифікатів, встановлених на сервері Проксі-сервер веб-додатки, виберіть сертифікат, який Проксі-сервер веб-додатки буде використовувати для функцій проксі AD FS, і натисніть кнопку Далі.
Обраний тут сертифікат повинен бути тим, суб'єкт якого є ім'ям служби федерації, наприклад fs.contoso.com. Якщо ви плануєте використовувати приєднання до робочого місця, це повинен бути сертифікат з альтернативними іменами суб'єкта, зазначеними в розділі Налаштування авторизації та сертифікатів.
У діалоговому вікні Результати переконайтеся в успішному завершенні настройки, а потім натисніть кнопку Закрити.
Еквівалентні команди Windows PowerShell
Наступні командлети Windows PowerShell виконують ту ж функцію, що і попередня процедура. Вводите кожен командлет в одному рядку, незважаючи на те, що тут вони можуть відображатися розбитими на кілька рядків через обмеження форматування.
Наступна команда запропонує ввести облікові дані локального адміністратора на серверах AD FS.