Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta zawartość jest odpowiednia dla lokalnej wersji serwera proxy aplikacji internetowej. Aby włączyć bezpieczny dostęp do aplikacji lokalnych przez chmurę, zobacz zawartość serwera proxy aplikacji Microsoft Entra.
W tym temacie opisano zadania niezbędne do publikowania programu SharePoint Server, programu Exchange Server lub bramy usług pulpitu zdalnego (RDP) za pośrednictwem serwera proxy aplikacji internetowej.
Note
Ta informacja jest udostępniana as-is. Usługi pulpitu zdalnego obsługują i zaleca korzystanie z serwera proxy aplikacji platformy Azure w celu zapewnienia bezpiecznego dostępu zdalnego do aplikacji lokalnych.
Publikowanie programu SharePoint Server
Witrynę programu SharePoint można opublikować za pośrednictwem serwera proxy aplikacji sieci Web, gdy witryna programu SharePoint jest skonfigurowana do uwierzytelniania opartego na oświadczeniach lub zintegrowanego uwierzytelniania systemu Windows. Jeśli chcesz użyć usług Active Directory Federation Services (AD FS) do wstępnego uwierzytelniania, musisz skonfigurować jednostkę uzależnioną przy użyciu jednego z kreatorów.
Jeśli witryna programu SharePoint używa uwierzytelniania opartego na oświadczeniach, należy użyć Kreatora dodawania zaufania jednostki uzależnionej, aby skonfigurować zaufanie jednostki uzależnionej dla aplikacji.
Jeśli witryna programu SharePoint używa zintegrowanego uwierzytelniania systemu Windows, należy użyć Kreatora dodawania zaufania jednostki uzależnionej nieopartej na oświadczeniach, aby skonfigurować zaufanie jednostki uzależnionej dla aplikacji. Możesz użyć usługi IWA z aplikacją webową opartą na roszczeniach, pod warunkiem że skonfigurujesz KDC.
Aby umożliwić użytkownikom uwierzytelnianie przy użyciu zintegrowanego uwierzytelniania systemu Windows, serwer proxy aplikacji internetowej musi być przyłączony do domeny.
Konieczna jest konfiguracja aplikacji do obsługi delegowania ograniczonego w protokole Kerberos. Można to zrobić na kontrolerze domeny dla dowolnej aplikacji. Aplikację można również skonfigurować bezpośrednio na serwerze zaplecza, jeśli jest ona uruchomiona w systemie Windows Server 2012 R2 lub Windows Server 2012. Aby uzyskać więcej informacji, zobacz Co nowego w uwierzytelnianiu Kerberos. Należy również upewnić się, że serwery proxy aplikacji internetowej są skonfigurowane do delegowania do nazw głównych usług serwerów zaplecza. Aby zapoznać się z przewodnikiem konfigurowania serwera proxy aplikacji internetowej w celu publikowania aplikacji przy użyciu zintegrowanego uwierzytelniania systemu Windows, zobacz Konfigurowanie witryny do korzystania ze zintegrowanego uwierzytelniania systemu Windows.
Jeśli witryna SharePoint jest skonfigurowana przy użyciu mapowania alternatywnych dostępów (AAM) lub kolekcji witryn o nazwach hosta, możesz używać różnych adresów URL serwera zewnętrznego oraz serwera zaplecza do publikowania swojej aplikacji. Jeśli jednak nie skonfigurujesz witryny programu SharePoint przy użyciu usługi AAM lub zbiorów witryn o nazwie hosta, musisz użyć tych samych adresów URL serwera zewnętrznego i zaplecza.
Publikowanie programu Exchange Server
W poniższej tabeli opisano usługi programu Exchange, które można publikować za pośrednictwem serwera proxy aplikacji internetowej oraz obsługiwane wstępne uwierzytelnianie dla tych usług:
| Usługa exchange | Pre-authentication | Notes |
|---|---|---|
| Outlook Web App | - AD FS przy użyciu uwierzytelniania nieopartego na oświadczeniach - Przekazywanie — usługi AD FS korzystające z uwierzytelniania opartego na oświadczeniach dla lokalnego programu Exchange 2013 z dodatkiem Service Pack 1 (SP1) |
Aby uzyskać więcej informacji, zobacz: Używanie uwierzytelniania na podstawie twierdzeń w usługach AD FS z aplikacją Outlook Web App i EAC |
| Panel sterowania programu Exchange | Pass-through | |
| Outlook Anywhere | Pass-through | Aby program Outlook Anywhere działał prawidłowo, musisz opublikować dodatkowe adresy URL: — Adres URL automatycznego wykrywania, EWS i OAB (w przypadku trybu pamięci podręcznej programu Outlook). |
| Exchange ActiveSync | Pass-through Usługi AD FS przy użyciu protokołu podstawowej autoryzacji HTTP |
|
| Usługi sieci Web programu Exchange | Pass-through | |
| Autodiscover | Pass-through | |
| Książka adresowa offline | Pass-through |
Aby opublikować aplikację Outlook Web App przy użyciu zintegrowanego uwierzytelniania Windows, należy użyć Kreatora dodawania zaufania jednostki uzależnionej nieopartej na oświadczeniach, aby skonfigurować zaufanie tej jednostki dla aplikacji.
Aby umożliwić użytkownikom uwierzytelnianie przy użyciu ograniczonego delegowania protokołu Kerberos, serwer proxy aplikacji internetowej musi być przyłączony do domeny.
Aby obsługiwać uwierzytelnianie Kerberos, należy skonfigurować aplikację. Ponadto musisz zarejestrować nazwę główną usługi (SPN) na koncie, w którym działa usługa internetowa. Można to zrobić na kontrolerze domeny lub na serwerach zaplecza. W środowisku programu Exchange ze zrównoważonym obciążeniem wymaga to użycia alternatywnego konta usługi, zobacz Konfigurowanie uwierzytelniania Kerberos dla serwerów dostępu klienta o zrównoważonym obciążeniu
Aplikację można również skonfigurować bezpośrednio na serwerze zaplecza, jeśli jest ona uruchomiona w systemie Windows Server 2012 R2 lub Windows Server 2012. Aby uzyskać więcej informacji, zobacz Co nowego w uwierzytelnianiu Kerberos. Należy również upewnić się, że serwery proxy aplikacji internetowej są skonfigurowane do delegowania do nazw głównych usług serwerów zaplecza.
Publikowanie bramy Pulpitu Zdalnego przez Web Application Proxy
Jeśli chcesz ograniczyć dostęp do bramy dostępu zdalnego i dodać wstępne uwierzytelnianie dostępu zdalnego, możesz wdrożyć go za pośrednictwem serwera proxy aplikacji internetowej. Jest to naprawdę dobry sposób, aby upewnić się, że masz bogate i szczegółowe wstępne uwierzytelnianie dla RDG, w tym uwierzytelnianie wieloskładnikowe. Publikowanie bez uwierzytelniania wstępnego jest również opcją i zapewnia pojedynczy punkt wejścia do systemów.
Jak opublikować aplikację w RDG przy użyciu uwierzytelniania przekazywanego przez serwer proxy aplikacji internetowych
Instalacja będzie się różnić w zależności od tego, czy role RD Web Access (/rdweb) i RD Gateway (rpc) znajdują się na tym samym serwerze, czy na różnych serwerach.
Jeśli role RD Web Access i RD Gateway są hostowane na tym samym serwerze RDG, można po prostu publikować główną nazwę FQDN w serwerze proxy aplikacji internetowej, na przykład
https://rdg.contoso.com/.Możesz również opublikować dwa katalogi wirtualne indywidualnie, np.https://rdg.contoso.com/rdweb/ i
https://rdg.contoso.com/rpc/.Jeśli dostęp do sieci Web usług pulpitu zdalnego i brama usług pulpitu zdalnego są hostowane na oddzielnych serwerach RDG, należy opublikować dwa katalogi wirtualne osobno. Można użyć tych samych lub różnych zewnętrznych nazw FQDN, np.
https://rdweb.contoso.com/rdweb/ihttps://gateway.contoso.com/rpc/.Jeśli zewnętrzne i wewnętrzne nazwy FQDN różnią się, nie należy wyłączać tłumaczenia nagłówka żądania w regule publikowania RDWeb. Można to zrobić, uruchamiając następujący skrypt programu PowerShell na serwerze proxy aplikacji internetowej, ale powinien być domyślnie włączony.
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$falseNote
Jeśli musisz obsługiwać klientów o bogatych funkcjach, takich jak połączenia RemoteApp i Desktop lub połączenia zdalnego pulpitu iOS, nie wspierają one uwierzytelniania wstępnego, dlatego należy opublikować RDG przy użyciu uwierzytelniania przekazywanego.
Jak opublikować aplikację w usłudze RDG przy użyciu proxy aplikacji webowej z uwierzytelnianiem wstępnym
Wstępne uwierzytelnianie za pomocą serwera proxy aplikacji internetowej w usługach RDG działa poprzez przekazanie pliku cookie uwierzytelniania wstępnego uzyskanego przez Internet Explorer do Klienta Połączeń Pulpitu Zdalnego (mstsc.exe). Jest to następnie używane przez klienta połączenia pulpitu zdalnego (mstsc.exe). Jest to następnie używane przez klienta połączenia z Pulpitem zdalnym jako dowód na uwierzytelnianie.
Poniższa procedura nakazuje serwerowi kolekcji uwzględnienie niezbędnych niestandardowych właściwości protokołu RDP w plikach RDP aplikacji zdalnej wysyłanych do klientów. Informują one klienta, że wymagane jest wstępne uwierzytelnianie i przekazanie ciasteczek dotyczących adresu serwera wstępnego uwierzytelniania do klienta Połączenia Pulpitu Zdalnego (mstsc.exe). W połączeniu z wyłączeniem funkcji HttpOnly w aplikacji serwera proxy aplikacji internetowej umożliwia to klientowi połączenia pulpitu zdalnego (mstsc.exe) korzystanie z pliku cookie serwera proxy aplikacji internetowej uzyskanego za pośrednictwem przeglądarki.
Uwierzytelnianie na serwerze RD Web Access nadal będzie odbywać się za pomocą formularza logowania RD Web Access. Zapewnia to najmniejszą liczbę monitów uwierzytelniania użytkownika, ponieważ formularz logowania usługi dostępu do sieci Web Pulpitu Zdalnego tworzy magazyn poświadczeń po stronie klienta, który następnie może być używany przez klienta Połączenia Pulpitu Zdalnego (mstsc.exe) podczas każdego kolejnego uruchomienia zdalnej aplikacji.
Najpierw utwórz ręczną relację zaufania podmiotu w usługach AD FS tak jak przy publikowaniu aplikacji obsługującej oświadczenia. Oznacza to, że musisz utworzyć fikcyjną relację zaufania jednostki uzależnionej, która jest dostępna w celu wymuszenia wstępnego uwierzytelniania, aby uzyskać wstępne uwierzytelnianie bez ograniczonego delegowania protokołu Kerberos do opublikowanego serwera. Po uwierzytelnieniu użytkownika wszystko inne przechodzi dalej.
Warning
Może się wydawać, że korzystanie z delegacji jest preferowane, jednak nie w pełni spełnia wymagań dotyczących SSO (logowania jednokrotnego) mstsc i pojawiają się problemy przy delegowaniu do katalogu /rpc, ponieważ klient oczekuje, że samodzielnie obsłuży uwierzytelnianie przy użyciu bramy RD Gateway.
Aby utworzyć ręczną relację zaufania Relying Party, wykonaj następujące kroki w konsoli zarządzania AD FS:
Korzystanie z kreatora Dodawanie zaufania jednostki uzależnionej
Wybierz pozycję Wprowadź dane dotyczące jednostki uzależnionej ręcznie.
Zaakceptuj wszystkie ustawienia domyślne.
W polu Identyfikator zaufania jednostki wprowadź zewnętrzną nazwę FQDN, którą będziesz używać do dostępu do usług pulpitu zdalnego, czyli
https://rdg.contoso.com/.Jest to relacja zaufania jednostki uzależnionej, której będziesz używać podczas publikowania aplikacji na serwerze proxy aplikacji internetowej.
Opublikuj katalog główny witryny (na przykład
https://rdg.contoso.com/) na serwerze proxy aplikacji internetowej. Ustaw wstępne uwierzytelnianie na usługi AD FS i użyj zaufania jednostki uzależnionej utworzonej powyżej. Umożliwi to /rdweb i /rpc używanie tego samego cookie uwierzytelniania aplikacji webowej w serwerze proxy.Można opublikować /rdweb i /rpc jako oddzielne aplikacje, a nawet używać różnych opublikowanych serwerów. Wystarczy upewnić się, że publikujesz obie aplikacje przy użyciu tego samego zaufania strony polegającej, ponieważ token udzielony przez serwer proxy aplikacji sieci Web jest wystawiony dla tego zaufania strony polegającej i dlatego jest ważny dla wszystkich aplikacji opublikowanych z tym samym zaufaniem.
Jeśli zewnętrzne i wewnętrzne nazwy FQDN różnią się, nie należy wyłączać tłumaczenia nagłówka żądania w regule publikowania RDWeb. Można to zrobić, uruchamiając następujący skrypt programu PowerShell na serwerze proxy aplikacji internetowej, ale powinien być domyślnie włączony:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$trueWyłącz właściwość ciasteczka HttpOnly w Web Application Proxy dla aplikacji opublikowanej w RDG. Aby zezwolić kontrolce ActiveX RDG na dostęp do ciasteczka uwierzytelniania serwera Proxy aplikacji internetowej, należy wyłączyć właściwość HttpOnly na ciasteczku tego serwera Proxy.
Wymaga to zainstalowania pakietu zbiorczego aktualizacji z listopada 2014 r. dla systemów Windows RT 8.1, Windows 8.1 i Windows Server 2012 R2 (KB3000850).
Po zainstalowaniu poprawki uruchom następujący skrypt programu PowerShell na serwerze proxy aplikacji internetowej, określając odpowiednią nazwę aplikacji:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$trueWyłączenie protokołu HttpOnly umożliwia kontroli dostępu usługi ActiveX rdG do pliku cookie uwierzytelniania serwera proxy aplikacji internetowej.
Skonfiguruj odpowiednią kolekcję RDG na serwerze kolekcji, aby poinformować klienta Podłączenia pulpitu zdalnego (mstsc.exe), że w pliku rdp wymagane jest uwierzytelnianie przed rozpoczęciem połączenia.
W systemach Windows Server 2012 i Windows Server 2012 R2 można to zrobić, uruchamiając następujące polecenie cmdlet programu PowerShell na serwerze kolekcji RDG:
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"Pamiętaj, aby usunąć nawiasy < lub > podczas zastępowania własnymi wartościami, na przykład:
Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"W systemie Windows Server 2008 R2:
Zaloguj się do serwera terminali przy użyciu konta z uprawnieniami administratora.
Przejdź do pozycji Uruchom>narzędzia> administracyjneUsługi> terminaloweTS RemoteApp Manager.
W okienku Przegląd menedżera usługi TS RemoteApp Manager obok pozycji Ustawienia protokołu RDP wybierz pozycję Zmień.
Na karcie Niestandardowe ustawienia protokołu RDP wpisz następujące ustawienia protokołu RDP w polu Niestandardowe ustawienia protokołu RDP:
pre-authentication server address: s: https://externalfqdn/rdweb/require pre-authentication:i:1Po zakończeniu wybierz pozycję Zastosuj.
Informuje to serwer kolekcji o dołączeniu niestandardowych właściwości protokołu RDP do plików RDP wysyłanych do klientów. Informują one klienta, że wymagane jest wstępne uwierzytelnianie i przekazanie plików cookie dla adresu serwera wstępnego uwierzytelniania do klienta połączenia usług pulpitu zdalnego (mstsc.exe). W połączeniu z wyłączeniem funkcji HttpOnly w aplikacji serwera proxy aplikacji internetowych umożliwia klientowi aplikacji Połączenia pulpitu zdalnego (mstsc.exe) korzystanie z pliku cookie uwierzytelniania serwera proxy aplikacji internetowej uzyskanego za pośrednictwem przeglądarki.
Aby uzyskać więcej informacji na temat protokołu RDP, zobacz Konfigurowanie scenariusza OTP bramy TS.