Menerbitkan Aplikasi dengan SharePoint, Exchange, dan RDG
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Isi ini relevan untuk versi lokal Proksi Aplikasi Web. Untuk mengaktifkan akses aman ke aplikasi lokal melalui cloud, lihat konten proksi aplikasi Microsoft Entra.
Topik ini menjelaskan tugas yang diperlukan untuk menerbitkan SharePoint Server, Server Exchange atau Gateway Desktop Jauh (RDP) melalui Web Proksi Aplikasi.
Catatan
Informasi ini disediakan apa adanya. Layanan Desktop Jarak Jauh mendukung dan merekomendasikan penggunaan Proksi Aplikasi Azure untuk menyediakan akses jarak jauh yang aman ke aplikasi lokal.
Menerbitkan SharePoint Server
Anda bisa menerbitkan situs SharePoint melalui web Proksi Aplikasi saat situs SharePoint dikonfigurasi untuk autentikasi berbasis klaim atau autentikasi Windows Terintegrasi. Jika Anda ingin menggunakan Layanan Federasi Direktori Aktif (AD FS) untuk pra-autentikasi, Anda harus mengonfigurasi pihak yang mengandalkan menggunakan salah satu wizard.
Jika situs SharePoint menggunakan autentikasi berbasis klaim, Anda harus menggunakan Panduan Tambahkan Kepercayaan Pihak yang Mengandalkan untuk mengonfigurasi kepercayaan pihak yang mengandalkan untuk aplikasi tersebut.
Jika situs SharePoint menggunakan autentikasi Windows Terintegrasi, Anda harus menggunakan Wizard Tambahkan Kepercayaan Pihak Yang Mengandalkan Berbasis Non-Klaim untuk mengonfigurasi kepercayaan pihak yang mengandalkan aplikasi. Anda dapat menggunakan IWA dengan aplikasi web berbasis klaim asalkan Anda mengonfigurasi KDC.
Untuk mengizinkan pengguna mengautentikasi menggunakan autentikasi Windows Terintegrasi, server Web Proksi Aplikasi harus bergabung ke domain.
Anda harus mengonfigurasi aplikasi untuk mendukung delegasi yang dibatasi Kerberos. Anda dapat melakukan ini pada pengendali domain untuk aplikasi apa pun. Anda juga dapat mengonfigurasi aplikasi langsung di server backend jika berjalan di Windows Server 2012 R2 atau Windows Server 2012 . Untuk informasi selengkapnya, lihat Apa yang Baru dalam Autentikasi Kerberos. Anda juga harus memastikan bahwa server Web Proksi Aplikasi dikonfigurasi untuk delegasi ke nama perwakilan layanan server backend. Untuk panduan cara mengonfigurasi Web Proksi Aplikasi menerbitkan aplikasi menggunakan autentikasi Windows Terintegrasi, lihat Mengonfigurasi situs untuk menggunakan autentikasi Windows Terintegrasi.
Jika situs SharePoint Anda dikonfigurasi menggunakan pemetaan akses alternatif (AAM) atau kumpulan situs bernama host, Anda bisa menggunakan URL server eksternal dan backend yang berbeda untuk menerbitkan aplikasi Anda. Namun, jika Anda tidak mengonfigurasi situs SharePoint menggunakan AAM atau kumpulan situs bernama host, Anda harus menggunakan URL server eksternal dan backend yang sama.
Menerbitkan Server Exchange
Tabel berikut ini menjelaskan layanan Exchange yang bisa Anda terbitkan melalui web Proksi Aplikasi dan pra-autentikasi yang didukung untuk layanan ini:
| Layanan pertukaran | Pra-autentikasi | Catatan |
|---|---|---|
| Outlook Web App | - Layanan Federasi Direktori Aktif menggunakan autentikasi berbasis non-klaim - Pass-through - Layanan Federasi Direktori Aktif menggunakan autentikasi berbasis klaim untuk Layanan Exchange 2013 Lokal Pak 1 (SP1) |
Untuk informasi selengkapnya lihat: Menggunakan autentikasi berbasis klaim Layanan Federasi Direktori Aktif dengan Outlook Web App dan EAC |
| Panel Kontrol Exchange | Pass-through | |
| Outlook Di Mana Saja | Pass-through | Anda harus menerbitkan URL tambahan agar Outlook Anywhere berfungsi dengan benar: - URL autodiscover, EWS, dan OAB (dalam kasus mode cache Outlook). |
| Exchange ActiveSync | Pass-through Layanan Federasi Direktori Aktif menggunakan protokol otorisasi HTTP Basic |
|
| Layanan Web Exchange | Pass-through | |
| Autodiscover | Pass-through | |
| Buku Alamat Offline | Pass-through |
Untuk menerbitkan Outlook Web App menggunakan autentikasi Windows Terintegrasi, Anda harus menggunakan Wizard Tambahkan Kepercayaan Pihak Yang Mengandalkan Berbasis Non-Klaim untuk mengonfigurasi kepercayaan pihak yang mengandalkan aplikasi.
Untuk mengizinkan pengguna mengautentikasi menggunakan delegasi yang dibatasi Kerberos, server web Proksi Aplikasi harus bergabung ke domain.
Anda harus mengonfigurasi aplikasi untuk mendukung autentikasi Kerberos. Selain itu, Anda perlu mendaftarkan nama perwakilan layanan (SPN) ke akun tempat layanan web berjalan. Anda dapat melakukan ini pada pengendali domain atau di server backend. Di lingkungan Exchange seimbang beban, ini akan memerlukan penggunaan Akun Layanan Alternatif, lihat Mengonfigurasi autentikasi Kerberos untuk server Akses Klien yang seimbang beban
Anda juga dapat mengonfigurasi aplikasi langsung di server backend jika berjalan di Windows Server 2012 R2 atau Windows Server 2012. Untuk informasi selengkapnya, lihat Apa yang Baru dalam Autentikasi Kerberos. Anda juga harus memastikan bahwa server Web Proksi Aplikasi dikonfigurasi untuk delegasi ke nama perwakilan layanan server backend.
Menerbitkan Gateway Desktop Jauh melalui Proksi Aplikasi Web
Jika Anda ingin membatasi akses ke Gateway Akses Jarak Jauh dan menambahkan pra-autentikasi untuk akses jarak jauh, Anda dapat meluncurkannya melalui Web Proksi Aplikasi. Ini adalah cara yang sangat baik untuk memastikan Anda memiliki pra-autentikasi yang kaya untuk RDG termasuk MFA. Penerbitan tanpa pra-autentikasi juga merupakan opsi dan menyediakan satu titik entri ke dalam sistem Anda.
Cara menerbitkan aplikasi di RDG menggunakan web Proksi Aplikasi autentikasi pass-through
Penginstalan akan berbeda tergantung pada apakah peran RD Web Access (/rdweb) dan RD Gateway (rpc) Anda berada di server yang sama atau di server yang berbeda.
Jika peran RD Web Access dan RD Gateway dihosting di server RDG yang sama, Anda cukup menerbitkan FQDN akar di Web Proksi Aplikasi seperti, https://rdg.contoso.com/.
Anda juga dapat menerbitkan dua direktori virtual satu per satu, misalnyahttps://rdg.contoso.com/rdweb/ dan https://rdg.contoso.com/rpc/.
Jika RD Web Access dan Gateway RD dihosting di server RDG terpisah, Anda harus menerbitkan dua direktori virtual satu per satu. Anda dapat menggunakan FQDN eksternal yang sama atau berbeda, misalnya https://rdweb.contoso.com/rdweb/ dan https://gateway.contoso.com/rpc/.
Jika FQDN Eksternal dan Internal berbeda, Anda tidak boleh menonaktifkan terjemahan header permintaan pada aturan penerbitan RDWeb. Ini dapat dilakukan dengan menjalankan skrip PowerShell berikut ini di server web Proksi Aplikasi tetapi harus diaktifkan secara default.
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$falseCatatan
Jika Anda perlu mendukung klien kaya seperti RemoteApp dan Desktop Koneksi ions atau koneksi Desktop Jauh iOS, ini tidak mendukung pra-autentikasi sehingga Anda harus menerbitkan RDG menggunakan autentikasi pass-through.
Cara menerbitkan aplikasi di RDG menggunakan Web Proksi Aplikasi dengan pra-autentikasi
Web Proksi Aplikasi pra-autentikasi dengan RDG berfungsi dengan meneruskan cookie pra-autentikasi yang diperoleh oleh Internet Explorer yang diteruskan ke klien Koneksi ion Desktop Jarak Jauh (mstsc.exe). Ini kemudian digunakan oleh klien Koneksi ion Desktop Jauh (mstsc.exe). Ini kemudian digunakan oleh klien Koneksi ion Desktop Jauh sebagai bukti autentikasi.
Prosedur berikut memberi tahu server Koleksi untuk menyertakan properti RDP kustom yang diperlukan dalam file RDP Aplikasi Jarak Jauh yang dikirim ke klien. Ini memberi tahu klien bahwa pra-autentikasi diperlukan dan untuk meneruskan cookie untuk alamat server pra-autentikasi ke klien Koneksi ion Desktop Jauh (mstsc.exe) . Bersama dengan menonaktifkan fitur HttpOnly pada aplikasi Web Proksi Aplikasi, ini memungkinkan klien Koneksi ion Desktop Jauh (mstsc.exe) untuk menggunakan cookie Web Proksi Aplikasi yang diperoleh melalui browser.
Autentikasi ke server RD Web Access masih akan menggunakan log masuk formulir RD Web Access. Ini menyediakan jumlah permintaan autentikasi pengguna paling sedikit karena formulir masuk Akses Web RD membuat penyimpanan kredensial sisi klien yang kemudian dapat digunakan oleh klien Koneksi ion Desktop Jauh (mstsc.exe) untuk peluncuran Aplikasi Jarak Jauh berikutnya.
Pertama, buat Kepercayaan Pihak yang Mengandalkan manual di Layanan Federasi Direktori Aktif seolah-olah Anda menerbitkan aplikasi sadar klaim. Ini berarti Bahwa Anda harus membuat kepercayaan pihak yang mengandalkan dummy yang ada untuk memberlakukan pra-autentikasi, sehingga Anda mendapatkan pra-autentikasi tanpa Delegasi yang Dibatasi Kerberos ke server yang diterbitkan. Setelah pengguna mengautentikasi, segala sesuatu yang lain diteruskan.
Peringatan
Mungkin tampak bahwa menggunakan delegasi lebih disukai tetapi tidak sepenuhnya menyelesaikan persyaratan SSO mstsc dan ada masalah saat mendelegasikan ke direktori /rpc karena klien mengharapkan untuk menangani autentikasi Gateway RD itu sendiri.
Untuk membuat Kepercayaan Pihak yang Mengandalkan manual, ikuti langkah-langkah di Konsol Manajemen Layanan Federasi Direktori Aktif:
Gunakan wizard Tambahkan Kepercayaan Pihak yang Mengandalkan
Pilih Masukkan data tentang pihak yang mengandalkan secara manual.
Terima semua pengaturan default.
Untuk pengidentifikasi Kepercayaan Pihak yang Mengandalkan, masukkan FQDN eksternal yang akan Anda gunakan untuk akses RDG, misalnya https://rdg.contoso.com/.
Ini adalah kepercayaan pihak yang mengandalkan yang akan Anda gunakan saat menerbitkan aplikasi di Web Proksi Aplikasi.
Terbitkan akar situs (misalnya, https://rdg.contoso.com/ ) di web Proksi Aplikasi. Atur pra-autentikasi ke Layanan Federasi Direktori Aktif dan gunakan kepercayaan pihak yang mengandalkan yang Anda buat di atas. Ini akan mengaktifkan /rdweb dan /rpc untuk menggunakan cookie autentikasi web Proksi Aplikasi yang sama.
Dimungkinkan untuk menerbitkan /rdweb dan /rpc sebagai aplikasi terpisah dan bahkan untuk menggunakan server yang diterbitkan yang berbeda. Anda hanya perlu memastikan bahwa Anda menerbitkan keduanya menggunakan Kepercayaan Pihak Yang Mengandalkan yang sama dengan token web Proksi Aplikasi dikeluarkan untuk Kepercayaan Pihak Yang Mengandalkan dan karenanya valid di seluruh aplikasi yang diterbitkan dengan Kepercayaan Pihak Yang Mengandalkan yang sama.
Jika FQDN Eksternal dan Internal berbeda, Anda tidak boleh menonaktifkan terjemahan header permintaan pada aturan penerbitan RDWeb. Ini dapat dilakukan dengan menjalankan skrip PowerShell berikut ini di server web Proksi Aplikasi tetapi harus diaktifkan secara default:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$trueNonaktifkan properti cookie HttpOnly di Web Proksi Aplikasi pada aplikasi yang diterbitkan RDG. Untuk mengizinkan akses kontrol RDG ActiveX ke cookie autentikasi Web Proksi Aplikasi, Anda harus menonaktifkan properti HttpOnly pada cookie web Proksi Aplikasi.
Ini mengharuskan Anda menginstal rollup pembaruan November 2014 untuk Windows RT 8.1, Windows 8.1, dan Windows Server 2012 R2 (KB3000850).
Setelah menginstal perbaikan, jalankan skrip PowerShell berikut ini di server Web Proksi Aplikasi yang menentukan nama aplikasi yang relevan:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$trueMenonaktifkan HttpOnly memungkinkan akses kontrol RDG ActiveX ke cookie autentikasi Web Proksi Aplikasi.
Konfigurasikan koleksi RDG yang relevan di server Koleksi untuk mengizinkan klien Koneksi ion Desktop Jauh (mstsc.exe) mengetahui bahwa pra-autentikasi diperlukan dalam file rdp.
Di Windows Server 2012 dan Windows Server 2012 R2 ini dapat dicapai dengan menjalankan cmdlet PowerShell berikut di server Koleksi RDG:
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"Pastikan Anda menghapus tanda < kurung siku dan > saat mengganti dengan nilai Anda sendiri, misalnya:
Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"Di Windows Server 2008 R2:
Masuk ke Server Terminal dengan akun yang memiliki hak istimewa Administrator.
Buka Mulai>Administrative Tools>Terminal Services>TS RemoteApp Manager.
Di panel Gambaran Umum TS RemoteApp Manager, di samping Pengaturan RDP, klik Ubah.
Pada tab Pengaturan RDP Kustom, ketik pengaturan RDP berikut ini ke dalam kotak Pengaturan RDP Kustom:
pre-authentication server address: s: https://externalfqdn/rdweb/require pre-authentication:i:1Setelah selesai, klik Terapkan.
Ini memberi tahu server Koleksi untuk menyertakan properti RDP kustom dalam file RDP yang dikirim ke klien. Ini memberi tahu klien bahwa pra-autentikasi diperlukan dan untuk meneruskan cookie untuk alamat server pra-autentikasi ke klien Koneksi ion Desktop Jauh (mstsc.exe) . Ini, bersama dengan menonaktifkan HttpOnly pada aplikasi Web Proksi Aplikasi, memungkinkan klien Koneksi ion Desktop Jauh (mstsc.exe) untuk menggunakan cookie autentikasi Web Proksi Aplikasi yang diperoleh melalui browser.
Untuk informasi selengkapnya tentang RDP, lihat Mengonfigurasi Skenario OTP Gateway TS.
Baca juga
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk