Как опубликовать отдельный веб-сайт или подсистему балансировки нагрузки через HTTPS

  1. В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

  2. В области Задачи откройте вкладку Инструментарий.

  3. На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, а затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

  4. Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

    Страница Поле или свойство Параметр или действие

    Страница приветствия мастера создания веб-прослушивателя

    Имя веб-прослушивателя

    Введите имя для нового веб-прослушивателя. Например: Прослушиватель веб-узлов HTTPS.

    Безопасность клиентских подключений

    Выберите пункт Требовать безопасного подключения SSL для клиентов.

    IP-адреса веб-прослушивателя

    Прослушивать входящие веб-запросы данных сетей

    Выберите сеть Внешняя. Нажмите кнопку Выбрать IP-адреса, затем установите флажок Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. В разделе Доступные IP-адреса выберите IP-адрес для веб-сайта, нажмите кнопку Добавить, а затем — кнопку ОК.

    SSL-сертификаты прослушивателя

    Выберите параметр Использовать единый сертификат для данного веб-прослушивателя, щелкните Выбор сертификата и выберите сертификат, для которого имя узла, используемое для доступа к опубликованному веб-сайту, отображается в поле Кому выдан.

    Параметры проверки подлинности

    Укажите способ предоставления клиентами учетных данных для Forefront TMG.

    Для проверки подлинности HTTP (параметр по умолчанию) выберите один или несколько флажков. При развертывании в рабочей группе можно выбрать только параметр Обычная.

    Если необходимо, чтобы клиенты представили сертификат, в раскрывающемся списке выберите Проверка подлинности на основе SSL-сертификата клиента.

    Для проверки подлинности на основе форм в раскрывающемся списке выберите Проверка подлинности на основе HTML-форм.

    Собирать дополнительные учетные данные пользователей для делегирования в форме

    Этот флажок активен только при выбранном параметре Проверка подлинности на основе HTML-форм.

    Устанавливайте этот флажок, только планируя выбрать вариант RADIUS OTP или SecurID.

    Укажите, как Forefront TMG будет проверять учетные данные клиентов

    В случае проверки подлинности HTTP, если при развертывании рабочей группы выбрана обычная проверка подлинности, можно выбрать вариант Active Directory (LDAP) или RADIUS.

    Для проверки подлинности на основе форм выберите один из доступных параметров.

    Параметры единого входа

    Включение единого входа в систему для узлов, опубликованных при помощи этого прослушивателя

    Единый вход (SSO) доступен только при использовании проверки подлинности на основе форм. При включении SSO необходимо нажать кнопку Добавить и указать домен, внутри которого будет применен единый вход.

    Завершение работы мастера создания веб-прослушивателя

    Просмотрите параметры и нажмите кнопку Готово.

  5. В области Задачи откройте вкладку Задачи.

  6. На вкладке Задачи нажмите кнопку Опубликовать веб-узлы, чтобы открыть мастер создания правила веб-публикации.

  7. Завершите настройку с помощью Мастера создания правила веб-публикации, как показано в таблице.

    Страница Поле или свойство Параметр или действие

    Страница приветствия Мастера создания правила веб-публикации

    Имя правила веб-публикации

    Введите имя для нового правила веб-публикации. Например: Один веб-сайт (HTTPS).

    Выберите действие правила

    действие

    Щелкните Разрешить.

    Тип публикации

    Выберите Опубликовать один веб-узел или систему балансировки нагрузки.

    Безопасность подключения к серверу

    Выберите Использовать SSL для подключения к опубликованному веб-серверу или веб-ферме.

    Сведения о внутренней публикации (1)

    Внутреннее имя веб-узла

    Введите имя узла, которое будет использовать Forefront TMG в сообщениях HTTP-запросов, отправляемых на опубликованный сервер.

    Если при публикации одного веб-сервера внутреннее имя сайта, указанное в этом поле, является неразрешимым и не является именем компьютера или IP-адресом опубликованного сервера, выберите вариант Используйте имя или IP-адрес компьютера для подключения к опубликованному серверу, а затем введите разрешимое имя компьютера или IP-адрес опубликованного сервера.

    Сведения о внутренней публикации (2)

    Путь (необязательно)

    Введите путь к веб-узлу.

    Пересылать исходный заголовок узла вместо действительного, указанного в поле «Имя внутреннего веб-узла» на предыдущей странице

    Этот флажок устанавливается только в том случае, если веб-сайт имеет особые функции, требующие исходного заголовка узла, который Forefront TMG получает от клиента.

    Параметры внешнего имени

    Принимать запросы для

    Выберите Доменное имя (введите ниже).

    Внешнее имя

    Введите внешнее полное доменное имя или IP-адрес, который будут использовать внешние пользователи для доступа к опубликованному веб-узлу.

    Выберите веб-прослушиватель

    Веб-прослушиватель

    В раскрывающемся списке выберите веб-прослушиватель, созданный в шаге 4. Для изменения свойств выбранного веб-прослушивателя можно нажать кнопку Изменить.

    Делегирование проверки подлинности

    Выберите метод, используемый Forefront TMG для проверки подлинности на опубликованном веб-сервере.

    Выберите вариант Без делегирования, но клиент может выполнять проверку подлинности напрямую.

    Учетные записи пользователей

    Это правило применяется к запросам от следующих наборов пользователей

    Оставьте значение по умолчанию Все прошедшие проверку пользователи.

    Завершение работы мастера создания правила веб-публикации

    Просмотрите параметры и нажмите кнопку Готово.

  8. В области сведений нажмите кнопку Применить, а затем — кнопку ОК.

Примечание.
  • При публикации через протокол SSL SSL-сертификат сервера, выпущенный для имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на каждом компьютере Forefront TMG в массиве. Если правило веб-публикации требует SSL-соединение между компьютером Forefront TMG и опубликованным сервером, на опубликованном сервере должен быть установлен SSL-сертификат сервера, выпущенный для имени узла, указанного в качестве внутреннего имени сайта. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в разделе Настройка сертификатов сервера для безопасной веб-публикации.

  • Forefront TMG рассматривает ферму серверов за балансирующим нагрузку устройством как единый сервер. Несмотря на то, что этот параметр поддерживается при публикации фермы с балансировкой нагрузки, рекомендуется использовать интегрированную поддержку балансировки нагрузки, которую предоставляет ферма серверов, созданная в Forefront TMG, а не устройство балансировки нагрузки Публикация ферм серверов в Forefront TMG обеспечивает улучшенное соответствие клиентов, которое можно настроить на работу с использованием файлов Cookie вместо привязки к IP-адресам клиентов. Это является явным преимуществом в ситуации, когда устройство между балансирующим нагрузку устройством и Forefront TMG, такое как устройство NAT, скрывает IP-адрес клиента.

  • При необходимости можно изменить способ передачи учетных данных на опубликованный сервер в правиле веб-публикации.

  • Правила веб-публикации сопоставляют входящие клиентские запросы с соответствующим веб-узлом на данном веб-сервере. 

  • Вы можете создать правила веб-публикации, запрещающие трафик, для блокирования входящего трафика, отвечающего условиям правила.

  • Forefront TMG обрабатывает пути без учета регистра. Если на веб-сервере имеется и foldera, и folderA, а вы публикуете путь к одной из папок, будут опубликованы обе папки.

  • Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации.

См. также


© Корпорация Майкрософт, 2009 Все права защищены.