Freigeben über

Veröffentlichen einer Serverfarm über HTTPS

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

So veröffentlichen Sie eine Serverfarm über HTTPS

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Bereich Aufgaben auf die Registerkarte Toolbox.

  3. Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte, klicken Sie anschließend auf Neu, und wählen Sie dann Serverfarm aus.

  4. Führen Sie die Arbeitsschritte des Assistenten für neue Serverfarmen aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Serverfarmname

    Geben Sie einen Namen für die Serverfarm ein. Geben Sie z. B. Inhaltsserverfarm ein.

    Server

    Server in dieser Farm

    Klicken Sie für jeden Webserver, den Sie in die Serverfarm einbeziehen möchten, auf Hinzufügen. Klicken Sie dann in Serverdetails auf Durchsuchen, und geben Sie in Geben Sie den zu verwendenden Objektnamen ein den NetBIOS-Namen des Webservers ein. Klicken Sie auf Namen überprüfen, klicken Sie auf OK, und klicken Sie anschließend erneut auf OK.

    Konnektivitätsüberwachung der Serverfarm

    Methode für die Überwachung der Serverfarmkonnektivität

    Wählen Sie die Methode aus, die von Forefront TMG zum Überprüfen der Verbindung mit den Webservern in der Serverfarm verwendet werden soll. Wenn Sie HTTP/HTTPS-"GET"-Anforderung senden auswählen und keine URL angeben möchten, die von der URL abweicht, die für diese Serverfarm in der Webveröffentlichungsregel festgelegt wird, oder Sie einen benutzerdefinierten Hostheader angeben möchten, der sich vom Hostheader unterscheidet, der auf Basis der Webveröffentlichungsregel gesendet wird, dann klicken Sie auf Konfigurieren, geben Sie dann die URL und den Hostheader ein, und klicken Sie anschließend auf OK.

    Fertigstellen des Assistenten

    Überprüfen Sie die Einstellungen, und klicken Sie dann auf Fertig stellen.

  5. Wenn ein Meldungsfeld angezeigt wird, das angibt, dass die Systemrichtlinienregel HTTP/HTTPS-Anforderungen von Forefront TMG an ausgewählte Server für Konnektivitätsverifizierungen zulassen aktiviert wird, dann klicken Sie auf OK.

  6. Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte, klicken Sie anschließend auf Neu, und wählen Sie dann Weblistener aus, um den Assistenten für neue Weblistener zu öffnen.

  7. Führen Sie die Arbeitsschritte des Assistenten für neue Weblistener aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Weblistenername

    Geben Sie einen Namen für den Weblistener ein. Geben Sie z. B. HTTPS-Serverfarmlistener ein.

    Sicherheit der Clientverbindung

    Wählen Sie Sichere SSL-Verbindungen mit Clients erforderlich aus.

    Weblistener-IP-Adressen

    In diesen Netzwerken auf eingehende Webanforderungen achten

    Wählen Sie das Netzwerk Extern aus. Klicken Sie auf IP-Adressen auswählen, und aktivieren Sie dann die Option Angegebene IP-Adressen auf dem Forefront TMG-Computer im ausgewählten Netzwerk. Wählen Sie unter Verfügbare IP-Adressen die entsprechende IP-Adresse aus, klicken Sie auf Hinzufügen und anschließend auf OK.

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Listener-SSL-Zertifikate</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
          <p>

          </p>
        </td>
        <td colspan="2">
          <p>Wählen Sie <strong>Ein einziges Zertifikat für diesen Weblistener verwenden</strong> aus, klicken Sie auf <strong>Zertifikat auswählen</strong>, und wählen Sie dann ein Zertifikat aus, bei dem der Hostname, den Benutzer für den Zugriff auf die veröffentlichte Website verwenden, im Feld <strong>Ausgestellt für</strong> angezeigt wird.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Authentifizierungseinstellungen</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Legen Sie fest, wie die Clients die Anmeldeinformationen an Forefront TMG übermitteln sollen</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Aktivieren Sie für die HTTP-Authentifizierung (die Standardoption) ein oder mehrere der Kontrollkästchen. In einer Arbeitsgruppenbereitstellung können Sie nur <strong>Standard</strong> auswählen.</p>
          <p>Wenn die Clients ein Zertifikat bereitstellen sollen, wählen Sie in der Dropdownliste die Option <strong>SSL-Clientzertifikatsauthentifizierung</strong> aus. </p>
          <p>Wählen Sie für formularbasierte Authentifizierung in der Dropdownliste die Option <strong>HTML-Formularauthentifizierung</strong> aus.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Weitere delegierte Benutzeranmeldeinformationen im Formular erfassen</strong>
          </p>
          <p>Dieses Kontrollkästchen wird nur angezeigt, wenn die Option <strong>HTML-Formularauthentifizierung</strong> aktiviert ist.</p>
        </td>
        <td colspan="2">
          <p>Aktivieren Sie dieses Kontrollkästchen nur, wenn Sie <strong>RADIUS OTP</strong> oder <strong>SecurID</strong> auswählen möchten.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Legen Sie fest, wie Forefront TMG die Client-Anmeldeinformationen überprüfen soll</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Wenn Sie für die HTTP-Authentifizierung die Standardauthentifizierung in einer Arbeitsgruppe auswählen, können Sie <strong>LDAP (Active Directory)</strong> oder <strong>RADIUS</strong> auswählen.</p>
          <p>Wählen Sie für die formularbasierte Authentifizierung eine der verfügbaren Optionen aus.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Einstellungen für einmaliges </strong>
            <strong>Anmelden (SSO)</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>SSO für Websites aktivieren, die mit diesem Weblistener veröffentlicht werden</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Die einmalige Anmeldung (SSO) ist nur bei Verwendung der formularbasierten Authentifizierung verfügbar. Wenn Sie das einmalige Anmelden (SSO) aktivieren, müssen Sie auf <strong>Hinzufügen</strong> klicken und dann eine Domäne angeben, in der das einmalige Anmelden angewendet wird.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Fertigstellen des Assistenten</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>Überprüfen Sie die Einstellungen, und klicken Sie dann auf <strong>Fertig stellen</strong>.</p>
        </td>
      </tr>
    </table>

  8. Klicken Sie im Bereich Aufgaben auf die Registerkarte Aufgaben.

  9. Klicken Sie auf der Registerkarte Aufgaben auf Websites veröffentlichen, um den Assistenten für neue Webveröffentlichungsregeln zu öffnen.

  10. Führen Sie die Arbeitsschritte des Assistenten für neue Webveröffentlichungsregeln aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Name der Webveröffentlichungsregel

    Geben Sie einen Namen für die Webveröffentlichungsregel ein. Geben Sie z. B. Serverfarm (HTTPS) ein.

    Regelaktion auswählen

    Aktion

    Aktivieren Sie die Option Zulassen.

    Veröffentlichungstyp

    Aktivieren Sie die Option Serverfarm mit Webserver-Lastenausgleich veröffentlichen.

    Sicherheit der Serververbindung

    Wählen Sie SSL verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen aus.

    Interne Veröffentlichungsdetails (1)

    Interner Sitename

    Geben Sie den vollqualifizierten Domänennamen (FQDN) eines der Mitglieder der Serverfarm an.

    Interne Veröffentlichungsdetails (2)

    Pfad (optional)

    Geben Sie den Pfad zu Ihrer Website ein.

    Serverfarm angeben

    Wählen Sie die zu veröffentlichende Serverfarm aus

    Wählen Sie in der Dropdownliste die in Schritt 4 erstellte Serverfarm aus.

    Legen Sie fest, wie Forefront TMG den Lastenausgleich für eingehende Webanforderungen durchführen soll

    Aktivieren Sie die Option Cookiegestützter Lastenausgleich.

    Details des öffentlichen Namens

    Anforderungen annehmen für

    Wählen Sie Diesen Domänennamen (unten eingeben) aus.

    Öffentlicher Name

    Geben Sie den öffentlichen vollqualifizierten Domänenname oder die IP-Adresse ein, die externe Benutzer verwenden werden, um auf die veröffentlichte Website zuzugreifen.

    Weblistener auswählen

    Weblistener

    Wählen Sie in der Dropdownliste den in Schritt 7 erstellten Weblistener aus.

    Authentifizierungsdelegierung

    Legen Sie die Methode fest, mit der Forefront TMG sich beim veröffentlichten Webserver authentifizieren soll

    Wählen Sie Keine Delegierung, keine direkte Authentifizierung des Clients aus.

    Benutzersätze

    Diese Regel betrifft Anforderungen von folgenden Benutzersätzen

    Ändern Sie die Standardoption Alle authentifizierten Benutzer nicht.

    Fertigstellen des Assistenten

    Überprüfen Sie die Einstellungen, und klicken Sie dann auf Fertig stellen.

  11. Klicken Sie im Detailbereich auf Übernehmen und dann auf OK.

    12. Hinweis

    • Der interne Sitename muss in eine IP-Adresse aufgelöst werden können.

    • Von Forefront TMG wird automatisch eine Linkübersetzungszuordnung zwischen dem internen Sitenamen und dem ersten in der Regel angegebenen öffentlichen Namen erstellt. Diese Zuordnung wird verwendet, um Links zu übersetzen, die den internen Sitenamen für den Verweis auf die Serverfarm auf Webseiten und in E-Mail-Nachrichten verwenden, die externe Benutzer möglicherweise erhalten.

    • Forefront TMG ändert den ursprünglichen Hostheader, der von einer Browseranwendung bereitgestellt wird, standardmäßig in einen Hostheader, der dem internen Sitenamen entspricht.

    • Wenn die Veröffentlichung über SSL erfolgt, muss ein für den öffentlichen Hostnamen der veröffentlichten Website ausgestelltes SSL-Serverzertifikat im persönlichen Speicher für den lokalen Computer auf dem Forefront TMG-Computer installiert werden. Wenn die Webveröffentlichungsregel eine SSL-Verbindung zwischen dem Forefront TMG-Computer und einem Mitglied der veröffentlichten Serverfarm erfordert, kann ein eindeutiges Serverzertifikat mit einem Namen, der dem Namen oder der IP-Adresse des Servers entspricht, auf jedem Mitglied der veröffentlichten Serverfarm installiert werden oder es kann dasselbe Zertifikat mit einem Namen, der dem internen Sitenamen entspricht, auf allen Mitgliedern der Serverfarm installiert werden. Weitere Informationen zum Abrufen und Installieren von SSL-Serverzertifikaten finden Sie unter Konfigurieren von Serverzertifikaten für die SSL-Webveröffentlichung.

    • Sie können die Weise konfigurieren, in der Anmeldeinformationen an den veröffentlichten Server in einer Webveröffentlichungsregel übergeben werden.

    • Eingehende Clientanforderungen werden von Webveröffentlichungsregeln mit der entsprechenden Website auf dem Webserver verglichen.

    • Sie können Webveröffentlichungsregeln erstellen, die Datenverkehr ablehnen, um eingehenden Datenverkehr zu blockieren, der den Bedingungen der Regel entspricht.

    • Forefront TMG unterscheidet bei Pfaden nicht zwischen Groß-/Kleinschreibung. Wenn der Webserver sowohl "ordnera" als auch "OrdnerA" enthält, und Sie einen Pfad zu einem der Ordner veröffentlichen, dann werden beide Ordner veröffentlicht.

    • Weitere Informationen zu anderen Einstellungen in den Webveröffentlichungsregeln finden Sie unter Planen einer Veröffentlichung.

    Verwandte Themen

    Konzepte

    Veröffentlichen von Webservern über HTTPS