Acest material se referă la versiunea locală a proxy-ului aplicației Web. Pentru informații despre accesul securizat la aplicațiile locale prin cloud, consultați conținutul serverului proxy Azure AD.
Această secțiune descrie modul de a defini rolul de acces de la distanță la serviciu ca un proxy aplicație Web, și cum să configurați serverul de aplicații web server proxy pentru Active Directory (AD FS) pentru a se conecta la serverul Federation Services. Înainte de planificarea fazelor de implementare, asigurați-vă că ați finalizat pașii de planificare de la Planificarea unui proxy de aplicație Web.
Această secțiune oferă exemple de cmdlet-uri Windows PowerShell pe care le puteți utiliza pentru a automatiza unele dintre procedurile descrise. Pentru mai multe informații, consultați Utilizarea cmdlet-urilor.
Servere Proxy-ul aplicației Web necesită să aveți următoarele certificate în magazinul de certificate pe fiecare server proxy al aplicației Web.
Un certificat al cărui subiect include numele serviciului de federație. Dacă doriți să utilizați conexiunea la locul de muncă, certificatul trebuie să includă și nume alternative de subiecte: <имя службы федерации>.<домен> și enterprisregistration.<домен>.
Un certificat cu metacaractere, un certificat cu nume de subiecte alternative, mai multe certificate cu un nume de subiect alternativ sau mai multe certificate, al căror subiect include fiecare aplicație web.
O copie a certificatului emis la servere externe când se utilizează pre-autentificarea certificatelor client.
Configurarea șabloanelor de certificate
În funcție de implementarea dvs. și de cerințele de autentificare, este posibil să aveți nevoie de șabloane de certificate suplimentare în cadrul autorității de certificare interne (CA).
Configurarea șablonului certificatului
În cadrul autorității interne de certificare, creați un șablon de certificat, așa cum este descris în Crearea șabloanelor de certificate.
Extindeți șablonul de certificat, așa cum este descris în secțiunea Implementarea șabloanelor de certificate.
Configurarea certificatelor aplicațiilor web
Deschis - furnizat de un centru terț.
Închis - necesită următoarele certificate (în cazul în care nu există deja).
Un certificat de site Web utilizat pentru autentificarea serverului. Subiectul certificatului ar trebui să fie un nume de domeniu complet calificat, cu opțiunea de permisiune externă, accesibilă de pe Internet. Un certificat poate fi bazat pe un șablon de certificat creat în secțiunea Configurați șabloanele certificatelor.
CRL Distribuție Point (CRL), disponibil pe Internet.
Verificați dacă certificatul site-ului Web utilizat pentru autentificarea serverului îndeplinește următoarele cerințe.
În câmpul "Utilizare îmbunătățită a cheilor", utilizați identificatorul obiectului de autentificare a serverului.
În caseta "Puncte de distribuție a listei de revocări (CRL)", specificați punctul de distribuție pentru listele de revocare a certificatelor care sunt disponibile pentru dispozitivele client conectate la Internet.
Certificatul trebuie să aibă o cheie privată.
Certificatul trebuie importat direct în magazinul de certificate personale.
Un certificat poate avea un nume de machetă în numele certificatului. Certificat cu caracter wildcard și numele subiectului * .contoso.com pot fi folosite pentru aplicatii web din contoso.com de domeniu, de exemplu, sharepoint.contoso.com și owa.contoso.com. Un astfel de certificat nu poate fi utilizat pentru site-ul sharepoint.internal.contoso.com.
Pentru a vă alătura la locul de muncă, aveți nevoie de un certificat cu următoarele nume de subiecte alternative.
Pentru a implementa proxy-ul aplicației Web, trebuie să instalați rolul de acces de la distanță cu serviciul server proxy aplicație Web pe serverul care va acționa ca server proxy de aplicație Web.
Repetați această procedură pentru toate serverele pe care doriți să le implementați ca servere de servere Web Proxy.
Faceți acest pas utilizând Windows PowerShell
Instalarea serviciului de roluri Serverul proxy al aplicației Web
În Proxy Web pentru aplicația Web din consola Server Manager de pe server, faceți clic pe Adăugare roluri și caracteristici.
În Add Roles Wizard, și cele trei componente, faceți clic pe Următorul. Pentru a accesa ecranul de selecție a rolurilor serverului.
În caseta de dialog Alegeți rolurile serverului, faceți clic pe Acces la distanță, apoi pe Următorul.
Faceți dublu clic pe Următorul.
În caseta de dialog Selectare servicii servicii, selectați serverul proxy de aplicație Web. faceți clic pe Adăugați funcții. apoi faceți clic pe Următorul.
În caseta de dialog Confirmare elemente selectate, faceți clic pe Instalați pentru a instala.
În caseta de dialog Instalare progres, verificați dacă instalarea are succes, apoi faceți clic pe Închidere.
Comenzile Windows PowerShell echivalente
Următoarele cmdlet-uri Windows PowerShell îndeplinesc aceeași funcție ca procedura precedentă. Introduceți fiecare cmdlet într-o singură linie, chiar dacă acestea pot fi afișate aici defalcate în mai multe linii din cauza restricțiilor de formatare.
Trebuie să configurați serverul proxy de aplicație Web pentru a vă conecta la serverul AD FS.
Repetați această procedură pentru toate serverele pe care doriți să le implementați ca servere de servere Web Proxy.
Faceți acest pas utilizând Windows PowerShell
Configurați proxy-ul aplicației Web
În serverul proxy de aplicație Web, deschideți Consola de administrare a accesului la distanță: În ecranul Start, faceți clic pe săgeata Aplicații. În ecranul Aplicații, tastați RAMgmtUI.exe. apoi apăsați ENTER. Dacă apare caseta de dialog User Account Control. Confirmați că acțiunea afișată în ea este exact ceea ce doriți, apoi faceți clic pe Da.
În panoul de navigare, faceți clic pe Proxy aplicație web.
În consola Remote Access Management din panoul de mijloc, faceți clic pe Run the Wizard Setup Proxy Web.
În expertul de configurare proxy pentru aplicații Web, în caseta de dialog Bun venit, faceți clic pe Următorul.
În caseta de dialog Server Server, urmați acești pași, apoi faceți clic pe Următorul.
În câmpul Federația serviciului de servicii, introduceți FQDN al serviciului Federație pentru serverul AD FS, de exemplu, fs.contoso.com.
În câmpurile Nume utilizator și parolă, introduceți acreditările administratorului local pe serverele AD FS.
În caseta de dialog certificat, AD FS server proxy în lista de certificate instalate pe serverul de aplicații proxy server web, selectați certificatul, care este un proxy aplicație web este folosit pentru funcțiile AD FS proxy, apoi faceți clic pe Următorul.
Certificatul selectat aici trebuie să fie cel al cărui subiect este numele serviciului Federație, de exemplu fs.contoso.com. Dacă intenționați să utilizați conexiunea la locul de muncă, trebuie să fie un certificat cu numele alternativ al subiectului specificat în Configurarea autorităților și certificatelor de certificare.
În caseta de dialog Rezultate, verificați dacă configurația are succes, apoi faceți clic pe Închidere.
Comenzile Windows PowerShell echivalente
Următoarele cmdlet-uri Windows PowerShell îndeplinesc aceeași funcție ca procedura precedentă. Introduceți fiecare cmdlet într-o singură linie, chiar dacă acestea pot fi afișate aici defalcate în mai multe linii din cauza restricțiilor de formatare.
Următoarea comandă vă solicită să introduceți acreditările administratorului local pe serverele AD FS.