Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento obsah je relevantní pro místní verzi proxy webových aplikací. Pokud chcete povolit zabezpečený přístup k místním aplikacím přes cloud, přečtěte si obsah proxy aplikací Microsoft Entra.
Toto téma popisuje úlohy potřebné k publikování serveru SharePoint Server, Exchange Serveru nebo brány vzdálené plochy (RDP) prostřednictvím proxy webových aplikací.
Poznámka:
Tyto informace jsou poskytovány as-is. Služby Vzdálené pracovní plochy podporují a doporučují používat Azure App Proxy k zajištění zabezpečeného vzdáleného přístupu k místním aplikacím.
Publikování SharePoint Serveru
SharePointový web můžete publikovat prostřednictvím proxy webových aplikací, když je web Služby SharePoint nakonfigurovaný pro ověřování na základě deklarací identity nebo integrované ověřování systému Windows. Pokud chcete pro předběžné ověřování použít službu Active Directory Federation Services (AD FS), musíte nakonfigurovat důvěřující stranu pomocí některého z průvodců.
Pokud web SharePoint používá ověřování na základě deklarací identity, musíte použít Průvodce pro přidání vztahu důvěryhodnosti přijímající strany ke konfiguraci vztahu důvěryhodnosti pro aplikaci.
Pokud sharepointový web používá integrované ověřování systému Windows, musíte použít Průvodce přidáním vztahu důvěryhodnosti předávající strany bez deklarací identity ke konfiguraci vztahu důvěryhodnosti předávající strany pro aplikaci. IWA můžete použít s webovou aplikací založenou na nárocích, pokud nakonfigurujete službu KDC.
Aby se uživatelé mohli ověřovat pomocí integrovaného ověřování systému Windows, musí být proxy server webových aplikací připojený k doméně.
Aplikaci musíte nakonfigurovat tak, aby podporovala omezené delegování Kerberos. Můžete to udělat na řadiči domény pro libovolnou aplikaci. Aplikaci můžete také nakonfigurovat přímo na back-endovém serveru, pokud je spuštěná ve Windows Serveru 2012 R2 nebo Windows Serveru 2012 . Další informace najdete v tématu Co je nového v ověřování protokolem Kerberos. Musíte také zajistit, aby proxy servery webových aplikací byly nakonfigurovány pro delegování na názvy hlavních služeb backendových serverů. Návod, jak nakonfigurovat proxy webových aplikací pro publikování aplikace pomocí integrovaného ověřování systému Windows, naleznete v tématu Konfigurace webu pro použití integrovaného ověřování systému Windows.
Pokud je váš sharepointový web nakonfigurovaný pomocí mapování alternativních přístupů (AAM) nebo kolekcí webů pojmenovaných hostitelem, můžete k publikování aplikace použít různé adresy URL externího a back-endového serveru. Pokud ale nenakonfigurujete sharepointový web pomocí AAM nebo kolekcí webů pojmenovaných hostitelem, musíte použít stejné adresy URL externího a back-endového serveru.
Publikování Exchange Serveru
Následující tabulka popisuje služby Exchange, které můžete publikovat prostřednictvím proxy webových aplikací a podporované předběžné ověřování pro tyto služby:
| Služba Exchange | Předběžné ověření | Poznámky |
|---|---|---|
| Outlook Web App | – AD FS využívající ověřování nezaložené na deklaracích identity - Průchozí – AD FS využívající ověřování na základě nároků pro místní službu Exchange 2013 Service Pack 1 (SP1) |
Další informace najdete v tématu: Použití služby AD FS s využitím ověřování pomocí deklarací identity v Outlook Web Appu a EAC |
| Ovládací panely Systému Exchange | Průchozí | |
| Outlook Anywhere | Průchozí | Aby outlook Anywhere fungoval správně, musíte publikovat další adresy URL: – URL Autodiscover, EWS a OAB (v případě režimu mezipaměti Outlooku) |
| Exchange ActiveSync | Průchozí AD FS s využitím základního autorizačního protokolu HTTP |
|
| Webové služby systému Exchange | Průchozí | |
| Automatické zjišťování | Průchozí | |
| Offline adresář | Průchozí |
Pokud chcete publikovat Outlook Web App pomocí integrovaného ověřování systému Windows, musíte použít Průvodce přidáním vztahu důvěryhodnosti předávající strany bez deklarací identity ke konfiguraci vztahu důvěryhodnosti předávající strany pro aplikaci.
Aby se uživatelé mohli ověřovat pomocí omezeného delegování protokolu Kerberos, musí být proxy server webových aplikací připojený k doméně.
Aplikaci musíte nakonfigurovat tak, aby podporovala ověřování protokolem Kerberos. Kromě toho musíte zaregistrovat hlavní název služby (SPN) k účtu, pod kterým webová služba běží. Můžete to udělat na řadiči domény nebo na back-endových serverech. V prostředí Exchange s vyrovnáváním zatížení by to vyžadovalo použití účtu alternativní služby, viz Konfigurace ověřování protokolem Kerberos pro servery pro klientský přístup s vyrovnáváním zatížení.
Aplikaci můžete také nakonfigurovat přímo na back-endovém serveru, pokud je spuštěná ve Windows Serveru 2012 R2 nebo Windows Serveru 2012. Další informace najdete v tématu Co je nového v ověřování protokolem Kerberos. Musíte také zajistit, aby proxy servery webových aplikací byly nakonfigurovány pro delegování na názvy hlavních služeb backendových serverů.
Publikování brány vzdálené plochy prostřednictvím proxy webových aplikací
Pokud chcete omezit přístup k bráně vzdáleného přístupu a přidat předběžné ověřování pro vzdálený přístup, můžete ho zavést prostřednictvím proxy webových aplikací. Je to opravdu dobrý způsob, jak zajistit, abyste měli komplexní předautentizaci pro RDG, včetně vícefaktorového ověřování. Publikování bez předběžného ověřování je také možností a poskytuje jediný bod vstupu do vašich systémů.
Jak publikovat aplikaci v RDG pomocí autentizace průchodu webového aplikačního proxy.
Instalace se bude lišit v závislosti na tom, zda jsou role RD Web Access (/rdweb) a RD Gateway (rpc) na stejném serveru nebo na různých serverech.
Pokud jsou role RD Web Access a RD Gateway hostovány na stejném serveru RDG, můžete jednoduše publikovat kořenový plně kvalifikovaný název domény ve proxy web aplikací, jako například
https://rdg.contoso.com/.Tyto dva virtuální adresáře můžete publikovat také jednotlivě, napříkladhttps://rdg.contoso.com/rdweb/
https://rdg.contoso.com/rpc/.Pokud je webový přístup k VP a brána VP hostované na samostatných serverech RDG, musíte tyto dva virtuální adresáře publikovat jednotlivě. Můžete použít stejný nebo jiný externí plně kvalifikovaný název domény, například
https://rdweb.contoso.com/rdweb/ahttps://gateway.contoso.com/rpc/.Pokud se externí a interní FQDN liší, neměli byste v pravidle publikování RDWeb zakázat překlad hlaviček požadavků. Můžete to provést spuštěním následujícího skriptu PowerShellu na proxy serveru webových aplikací, ale ve výchozím nastavení by měl být povolený.
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$falsePoznámka:
Pokud potřebujete podporovat komplexní klienty, jako jsou Připojení ke vzdálené ploše nebo připojení přes iOS Vzdálenou plochu, tyto klienty nepodporují předběžné ověřování, takže je nutné publikovat RDG pomocí předávacího ověřování.
Publikování aplikace v RDG pomocí proxy webových aplikací s předběžným ověřováním
Předběžné ověřování proxy webových aplikací pomocí RDG funguje předáním souboru cookie předběžného ověření získaného aplikací Internet Explorer předávaného klientovi připojení ke vzdálené ploše (mstsc.exe). Toto pak používá klient pro připojení ke vzdálené ploše (mstsc.exe). Klient připojení ke vzdálené ploše ho pak používá jako doklad o ověření.
Následující postup říká serveru kolekce, aby do souborů RDP vzdálené aplikace odesílaných klientům zahrnul nezbytné vlastní vlastnosti protokolu RDP vzdálené aplikace. Tímto se sdělí klientovi, že je vyžadována předautentizace a že musí předat soubory cookie s adresou serveru pro předautentizaci klientovi Připojení ke vzdálené ploše (mstsc.exe). Ve spojení se zákazem funkce HttpOnly v aplikaci Proxy webových aplikací to umožňuje klientovi připojení ke vzdálené ploše (mstsc.exe) využívat soubor cookie proxy webových aplikací získaný prostřednictvím prohlížeče.
Ověřování na serveru webového přístupu k Vzdálené ploše bude stále používat přihlášení pomocí formuláře webového přístupu k Vzdálené ploše. To poskytuje nejmenší počet výzev k ověření uživatele, protože přihlašovací formulář RD Web Access vytvoří úložiště přihlašovacích údajů na straně klienta, které pak může použít klient Připojení ke vzdálené ploše (mstsc.exe) pro jakékoli následné spuštění vzdálené aplikace.
Nejprve ve službě AD FS vytvořte ruční důvěryhodný vztah s předávající stranou, jako byste publikovali aplikaci uznávající deklarace. To znamená, že musíte vytvořit simulovaný důvěryhodný vztah k přijímající straně, který má zajistit předběžné ověřování, abyste dosáhli předběžného ověřování bez potřeby omezeného delegování protokolu Kerberos na publikovaný server. Jakmile se uživatel autentizuje, je vše ostatní předáno.
Výstraha
Může se zdát, že použití delegování je vhodnější, ale zcela nevyřeší požadavky na SSO pro mstsc a při delegování do adresáře /rpc dochází k problémům, protože klient očekává, že zpracuje ověřování samotné RD Gateway.
Pokud chcete vytvořit ruční nastavení důvěryhodnosti předávající strany, postupujte podle kroků v konzole správy služby AD FS:
Použijte průvodce přidáním důvěryhodného vztahu strany
Vyberte Zadat údaje o důvěřující straně ručně.
Přijměte všechna výchozí nastavení.
Jako identifikátor důvěryhodnosti spoléhající strany zadejte externí plně kvalifikovaný doménový název, který použijete pro přístup k RDG, například
https://rdg.contoso.com/.Jedná se o vztah důvěryhodnosti předávající strany, kterou použijete při publikování aplikace v proxy webových aplikací.
Publikujte kořen webu (například
https://rdg.contoso.com/) v proxy webových aplikací. Nastavte předběžné ověřování na službu AD FS a použijte důvěryhodnost přenášející strany, kterou jste vytvořili výše. Tím se umožní, aby /rdweb a /rpc používaly stejný soubor cookie pro ověřování pomocí proxy webových aplikací.Je možné publikovat /rdweb a /rpc jako samostatné aplikace a dokonce použít různé publikované servery. Stačí zajistit, abyste publikovali oba pomocí stejného vztahu důvěryhodnosti spoléhající strany, protože token proxy webové aplikace je vydán pro tento vztah důvěryhodnosti spoléhající strany a je proto platný ve všech aplikacích publikovaných se stejným vztahem důvěryhodnosti.
Pokud se externí a interní FQDN liší, neměli byste v pravidle publikování RDWeb zakázat překlad hlaviček požadavků. Můžete to provést spuštěním následujícího skriptu PowerShellu na proxy serveru webových aplikací, ale ve výchozím nastavení by měl být povolený:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$trueZakažte vlastnost HttpOnly cookie v Proxy webových aplikací v publikované aplikaci RDG. Aby ovládací prvek ActiveX RDG měl přístup k autentizačnímu souboru cookie proxy webových aplikací, musíte zakázat vlastnost HttpOnly tohoto souboru cookie.
To vyžaduje instalaci kumulativní aktualizace z listopadu 2014 pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2 (KB3000850).)
Po instalaci opravy hotfix spusťte na proxy serveru webových aplikací následující skript PowerShellu, který určuje příslušný název aplikace:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$trueZakázání protokolu HttpOnly umožňuje ovládacímu prvku ActiveX RDG přístup k ověřovacímu souboru cookie proxy webových aplikací.
Nakonfigurujte příslušnou kolekci RDG na serveru kolekce, aby klient připojení ke vzdálené ploše (mstsc.exe) věděl, že se v souboru rdp vyžaduje předběžné ověření.
Ve Windows Serveru 2012 a Windows Serveru 2012 R2 to lze provést spuštěním následující rutiny PowerShellu na serveru kolekce RDG:
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"Při nahrazení vlastními hodnotami nezapomeňte odebrat <> závorky, například:
Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"V systému Windows Server 2008 R2:
Přihlaste se k terminálovému serveru pomocí účtu s oprávněními správce.
Přejděte do nabídky Start>Nástroje pro správu>Terminálové služby>TS RemoteApp Manager.
V podokně Přehled správce TS RemoteAppu vedle nastavení protokolu RDP klikněte na Změnit.
Na kartě Vlastní nastavení protokolu RDP zadejte do pole Vlastní nastavení protokolu RDP následující nastavení protokolu RDP:
pre-authentication server address: s: https://externalfqdn/rdweb/require pre-authentication:i:1Až budete hotovi, klikněte na Použít.
To serveru kolekce říká, aby do souborů RDP odesílaných klientům zahrnul vlastní vlastnosti protokolu RDP. Tyto sdělují klientovi, že je vyžadováno předběžné ověření, a aby předal soubory cookie serveru předběžného ověření klientovi připojení ke vzdálené ploše (mstsc.exe). To ve spojení se zákazem HttpOnly v aplikaci Proxy webových aplikací umožňuje klientovi připojení ke vzdálené ploše (mstsc.exe) využívat ověřovací soubor cookie proxy webových aplikací získaný prostřednictvím prohlížeče.
Další informace o protokolu RDP najdete v tématu Konfigurace scénáře jednorázového hesla brány TS.