Чтобы опубликовать отдельный веб-узел или систему балансировки нагрузки через HTTPS, выполните следующие действия.

  1. В дереве консоли управления Forefront TMG щелкните папку Политика межсетевого экрана.

  2. В области задач перейдите на вкладку Инструментарий.

  3. На вкладке Инструментарий щелкните Сетевые объекты, затем Создать, после чего выберите Веб-прослушиватель, чтобы открыть Мастер создания веб-прослушивателя.

  4. Следуйте инструкциям Мастера создания веб-прослушивателя, как указано в таблице.

    Страница Поле или свойство Параметр или действие

    Мастер создания веб-прослушивателя

    Имя веб-прослушивателя

    Введите имя для веб-прослушивателя. Например: Прослушиватель веб-узлов HTTPS.

    Безопасность подключения клиента

    Выберите вариант Требовать безопасного подключения SSL для клиентов.

    IP-адреса веб-прослушивателя

    Прослушивать входящие веб-запросы данных сетей

    Выберите внешнюю сеть. Щелкните Выбрать IP-адреса, а затем выберите вариант Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. В списке Доступные IP-адреса выберите IP-адрес для веб-узла, нажмите кнопку Добавить, затем ОК.

    SSL-сертификаты прослушивателей

    Выберите параметр Использовать единый сертификат для данного веб-прослушивателя, щелкните Выбор сертификата и выберите сертификат, для которого имя узла, используемое для доступа к опубликованному веб-узлу, отображается в поле Кому выдан.

    Параметры проверки подлинности

    Выберите способ предоставления клиентских учетных данных в Forefront TMG

    Для проверки подлинности HTTP (параметр по умолчанию) выберите один или несколько флажков. При развертывании рабочей группы можно выбрать только вариант Обычная.

    Если необходимо, чтобы клиенты представили сертификат, в раскрывающемся списке выберите Проверка подлинности на основе SSL-сертификата клиента.

    Для проверки подлинности на основе форм в раскрывающемся списке выберите Проверка подлинности на основе HTML-форм.

    Собирать дополнительные учетные данные делегирования в этой форме

    Этот флажок активен только при выбранном параметре Проверка подлинности на основе HTML-форм.

    Устанавливайте этот флажок только в том случае, если планируете выбрать вариант RADIUS OTP или SecurID.

    Выберите способ проверки клиентских учетных данных, который будет использовать Forefront TMG

    В случае проверки подлинности HTTP, если выбрана обычная проверка подлинности в развертывании рабочей группы, можно выбрать вариант LDAP (Active Directory) или RADIUS.

    Для проверки подлинности на основе форм выберите один из доступных параметров.

    Параметры единого входа

    Включить единый вход (SSO) для веб-узлов, опубликованных посредством данного прослушивателя

    Единый вход (SSO) доступен только при использовании проверки подлинности на основе форм. При включении SSO необходимо нажать кнопку Добавить и указать домен, внутри которого будет применен единый вход.

    Завершение работы Мастера создания веб-прослушивателя

    Проверьте все параметры, а затем нажмите кнопку Готово.

  5. В области задач перейдите на вкладку Задачи.

  6. На вкладке Задачи щелкните Публикация веб-узлов, чтобы открыть Мастер создания правила веб-публикации.

  7. Следуйте инструкциям Мастера создания правила веб-публикации, как указано в таблице.

    Страница Поле или свойство Параметр или действие

    Мастер создания правила веб-публикации

    Имя правила веб-публикации

    Введите имя для правила веб-публикации. Например: Один веб-узел (HTTPS).

    Выбрать действие правила

    Действие

    Выберите вариант Разрешить.

    Тип публикации

    Выберите вариант Опубликовать один веб-узел или систему балансировки нагрузки.

    Безопасность подключения к серверу

    Выберите вариант Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов.

    Сведения о внутренней публикации (1)

    Внутреннее имя веб-узла

    Введите имя узла, которое Forefront TMG будет использовать в сообщениях запросов HTTP, отправляемых на опубликованный сервер.

    Если при публикации одного веб-сервера внутреннее имя узла, указанное в этом поле, является неразрешимым и не представляет собой имя компьютера или IP-адрес опубликованного сервера, выберите вариант Использовать имя или IP-адрес компьютера для подключения к опубликованному серверу, а затем введите разрешимое имя компьютера или IP-адрес опубликованного сервера.

    Сведения о внутренней публикации (2)

    Путь (необязательно)

    Введите путь к веб-узлу.

    Пересылать исходный заголовок узла вместо действительного, указанного в поле «Имя внутреннего веб-узла» на предыдущей странице

    Этот флажок устанавливается только в том случае, если веб-узел имеет особые функции, требующие исходного заголовка узла, который Forefront TMG получает от клиента.

    Параметры внешнего имени

    Принимать запросы для

    Выберите вариант Доменное имя (введите ниже).

    Внешнее имя

    Введите внешнее полное доменное имя или IP-адрес, который будут использовать внешние пользователи для доступа к опубликованному веб-узлу.

    Выбрать веб-прослушиватель

    Веб-прослушиватель

    В раскрывающемся списке выберите веб-прослушиватель, созданный в шаге 4. Затем можно нажать кнопку Изменить и изменить свойства выбранного веб-прослушивателя.

    Делегирование проверки подлинности

    Выберите метод для использования Forefront TMG при проверке подлинности на опубликованном веб-сервере

    Выберите вариант Без делегирования, но клиент может выполнять проверку подлинности напрямую.

    Наборы учетных записей

    Это правило применяется к запросам от следующих наборов учетных записей

    Оставьте значение по умолчанию Все прошедшие проверку пользователи.

    Завершение работы Мастера создания правила веб-публикации

    Проверьте все параметры, а затем нажмите кнопку Готово.

  8. В области сведений нажмите кнопку Применить, затем ОК.

Примечания

  • Дополнительные сведения о веб-прослушивателях см. в Обзор веб-прослушивателей.

  • При публикации через протокол SSL SSL-сертификат сервера, выпущенный для внешнего имени опубликованного веб-узла, должен быть установлен в персональном хранилище локального компьютера на компьютере Forefront TMG. Если правило веб-публикации требует SSL-подключения между компьютером Forefront TMG и опубликованным сервером, SSL-сертификат сервера, выпущенный для имени узла, указанного как внутреннее имя узла, должен быть установлен на опубликованном сервере. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в статье Настройка сертификатов сервера для безопасной веб-публикации.

  • Forefront TMG обрабатывает ферму серверов, расположенную после устройства балансировки нагрузки, как единый сервер. Несмотря на то что этот параметр поддерживается при публикации фермы с балансировкой нагрузки, рекомендуется использовать интегрированную поддержку балансировки нагрузки, которую предоставляет ферма серверов, созданная в Forefront TMG, а не устройство балансировки нагрузки. Публикация ферм серверов в Forefront TMG обеспечивает более близкое соответствие клиентов, которое можно настроить на работу с файлами cookie вместо привязки к IP-адресам клиентов. Это особенно важно в ситуации, когда некое устройство между устройством балансировки нагрузки и Forefront TMG, например устройство преобразования сетевых адресов, скрывает IP-адрес клиента.

  • При необходимости можно изменить способ передачи учетных данных на опубликованный сервер в правиле веб-публикации. Дополнительные сведения см. в статье Делегирование учетных данных.

  • Правила веб-публикации соотносят входящие клиентские запросы с соответствующим узлом на данном веб-сервере.

  • Можно создать правила веб-публикации, которые будут блокировать входящий трафик, удовлетворяющий условиям этих правил.

  • Forefront TMG обрабатывает пути без учета регистра. Если веб-сервер включает папки «foldera» и «folderA», то при публикации пути к одной из папок опубликованы будут обе папки.

  • Дополнительные сведения о других параметрах правил веб-публикации см. в Обзор принципов веб-публикации.