Публикация фермы серверов через HTTPS

Чтобы опубликовать ферму серверов через HTTPS, выполните следующие действия.

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
В области Задачи перейдите на вкладку Инструментарий.
На вкладке Инструментарий щелкните Сетевые объекты, затем щелкните Создать и выберите Ферма серверов.

С помощью мастера создания фермы серверов выполните действия, указанные в следующей таблице.

Страница	Поле или свойство	Параметр или действие
Мастер создания фермы серверов	Имя фермы серверов	Введите имя фермы серверов. Например, введите Ферма серверов содержимого.
Серверы	Серверы, входящие в ферму	Для каждого веб-сервера, который необходимо включить в ферму серверов, щелкните Добавить. Затем в диалоговом окне Сведения о сервере щелкните Обзор и в поле Введите имена выбираемых объектов введите NetBIOS-имя веб-сервера. Выберите Проверить имена и нажмите кнопку ОК, затем снова нажмите кнопку ОК.
Наблюдение за подключением фермы серверов	Методы наблюдения за подключением фермы серверов	Выберите метод, который будет использоваться Forefront TMG для проверки подключения веб-серверов в ферме серверов. Если выбран параметр Отправка HTTP/HTTPS-запроса «GET» и необходимо указать URL-адрес, отличный от URL-адреса, который будет задан в правиле веб-публикации для этой фермы серверов, или если необходимо указать заголовок узла, отличный от заголовка узла, отправляемого на основе правила веб-публикации, щелкните Настроить, введите URL-адрес и заголовок узла и нажмите кнопку OK.
Завершение работы мастера создания фермы серверов		Просмотрите параметры и нажмите кнопку Готово.

При появлении окна сообщения, указывающего, что будет включено правило системной политики Разрешить отправку запросов HTTP/HTTPS с сервера Forefront TMG на выбранные серверы для средств проверки подключения, нажмите кнопку OK.
На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

Страница	Поле или свойство			Параметр или действие
Страница приветствия мастера создания веб-прослушивателя	Имя веб-прослушивателя			Введите имя для нового веб-прослушивателя. Например, введите Веб-прослушиватель фермы HTTPS-серверов.
Безопасность клиентских подключений				Выберите пункт Требовать безопасного подключения SSL для клиентов.
IP-адреса веб-прослушивателя	Прослушивать входящие веб-запросы данных сетей			Выберите сеть Внешняя. Нажмите кнопку Выбрать IP-адреса, затем установите флажок Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. В разделе Доступные IP-адреса выберите соответствующий IP-адрес, нажмите кнопку Добавить, а затем нажмите кнопку ОК.
SSL-сертификаты прослушивателя			Выберите параметр Использовать единый сертификат для данного веб-прослушивателя, щелкните Выбор сертификата и выберите сертификат, для которого имя узла, используемое для доступа к опубликованному веб-сайту, отображается в поле Кому выдан.
Параметры проверки подлинности		Укажите способ предоставления клиентами учетных данных для Forefront TMG.	Для проверки подлинности HTTP (параметр по умолчанию) выберите один или несколько флажков. При развертывании в рабочей группе можно выбрать только параметр Обычная. Если необходимо, чтобы клиенты представили сертификат, в раскрывающемся списке выберите Проверка подлинности на основе SSL-сертификата клиента. Для проверки подлинности на основе форм в раскрывающемся списке выберите Проверка подлинности на основе HTML-форм.
		Собирать дополнительные учетные данные пользователей для делегирования в форме Этот флажок активен только при выбранном параметре Проверка подлинности на основе HTML-форм.	Устанавливайте этот флажок, только планируя выбрать вариант RADIUS OTP или SecurID.
		Укажите, как Forefront TMG будет проверять учетные данные клиентов	В случае проверки подлинности HTTP, если выбрана обычная проверка подлинности в рабочей группе, можно выбрать вариант LDAP (Active Directory) или RADIUS. Для проверки подлинности на основе форм выберите один из доступных параметров.
Параметры единого входа		Включение единого входа в систему для узлов, опубликованных при помощи этого прослушивателя	Единый вход (SSO) доступен только при использовании проверки подлинности на основе форм. При включении SSO необходимо нажать кнопку Добавить и указать домен, внутри которого будет применен единый вход.
Завершение работы мастера создания веб-прослушивателя			Просмотрите параметры и нажмите кнопку Готово.

В области Задачи откройте вкладку Задачи.
На вкладке Задачи нажмите кнопку Опубликовать веб-узлы, чтобы открыть мастер создания правила веб-публикации.

Завершите настройку с помощью Мастера создания правила веб-публикации, как показано в таблице.

Страница	Поле или свойство	Параметр или действие
Страница приветствия Мастера создания правила веб-публикации	Имя правила веб-публикации	Введите имя для нового правила веб-публикации. Например, введите Ферма серверов (HTTPS).
Выберите действие правила	действие	Щелкните Разрешить.
Тип публикации		Выберите Опубликовать ферму веб-серверов с балансировкой нагрузки.
Безопасность подключения к серверу		Выберите Использовать SSL для подключения к опубликованному веб-серверу или веб-ферме.
Сведения о внутренней публикации (1)	Внутреннее имя веб-узла	Введите полное доменное имя (FQDN) одного из членов фермы серверов.
Сведения о внутренней публикации (2)	Путь (необязательно)	Введите путь к веб-узлу.
Выбор фермы серверов	Выберите ферму серверов для публикации	В раскрывающемся списке выберите ферму серверов, которая была создана в п. 4.
	Укажите способ балансировки нагрузки входящих веб-запросов Forefront TMG	Выберите Балансировка нагрузки на основе файлов cookie.
Параметры внешнего имени	Принимать запросы для	Выберите Доменное имя (введите ниже).
	Внешнее имя	Введите внешнее полное доменное имя или IP-адрес, который будут использовать внешние пользователи для доступа к опубликованному веб-узлу.
Выберите веб-прослушиватель	Веб-прослушиватель	В раскрывающемся списке выберите веб-прослушиватель, который был создан в п. 7.
Делегирование проверки подлинности	Выберите метод, используемый Forefront TMG для проверки подлинности на опубликованном веб-сервере.	Выберите параметр Без делегирования, клиент не может выполнять проверку подлинности напрямую.
Учетные записи пользователей	Это правило применяется к запросам от следующих наборов пользователей	Оставьте значение по умолчанию Все прошедшие проверку пользователи.
Завершение работы мастера создания правила веб-публикации		Просмотрите параметры и нажмите кнопку Готово.

В области сведений нажмите кнопку Применить, а затем — кнопку ОК.

Примечание.
Для получения дополнительных сведений о фермах серверов см. раздел About server farms. Для получения дополнительных сведений о веб-прослушивателях см. раздел Web listener overview. Имя внутреннего веб-узла должно быть разрешимым к IP-адресу. Forefront TMG автоматически создает сопоставление преобразования ссылок между внутренним именем веб-сайта и первым внешним именем, указанным в правиле. Это сопоставление используется для преобразования ссылок, которые используют имя внутреннего веб-узла для обращения к ферме серверов на веб-страницах и в сообщениях электронной почты, получаемых внешними пользователями. По умолчанию Forefront TMG изменяет первоначальный заголовок узла, заданный приложением браузера, на заголовок узла, соответствующий имени внутреннего веб-сайта. Если выполняется публикация по протоколу SSL, SSL-сертификат сервера, выпущенный для имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на компьютере Forefront TMG. Если правило веб-публикации требует SSL-подключения между компьютером Forefront TMG и членом опубликованной фермы серверов, уникальный сертификат сервера с именем, соответствующим имени или IP-адресу сервера, может быть установлен на каждом участнике опубликованной фермы серверов или тот же сертификат с именем, соответствующим имени внутреннего веб-узла, может быть установлен на всех участниках фермы серверов. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в разделе Настройка сертификатов сервера для безопасной веб-публикации. При необходимости можно изменить способ передачи учетных данных на опубликованный сервер в правиле веб-публикации. Дополнительные сведения см. в разделе Delegation of credentials. Правила веб-публикации сопоставляют входящие клиентские запросы с соответствующим веб-узлом на данном веб-сервере. Вы можете создать правила веб-публикации, запрещающие трафик, для блокирования входящего трафика, отвечающего условиям правила. Forefront TMG обрабатывает пути без учета регистра. Если на веб-сервере имеется и foldera, и folderA, а вы публикуете путь к одной из папок, будут опубликованы обе папки. Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации.

Примечание.

Для получения дополнительных сведений о фермах серверов см. раздел About server farms.
Для получения дополнительных сведений о веб-прослушивателях см. раздел Web listener overview.
Имя внутреннего веб-узла должно быть разрешимым к IP-адресу.
Forefront TMG автоматически создает сопоставление преобразования ссылок между внутренним именем веб-сайта и первым внешним именем, указанным в правиле. Это сопоставление используется для преобразования ссылок, которые используют имя внутреннего веб-узла для обращения к ферме серверов на веб-страницах и в сообщениях электронной почты, получаемых внешними пользователями.
По умолчанию Forefront TMG изменяет первоначальный заголовок узла, заданный приложением браузера, на заголовок узла, соответствующий имени внутреннего веб-сайта.
Если выполняется публикация по протоколу SSL, SSL-сертификат сервера, выпущенный для имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на компьютере Forefront TMG. Если правило веб-публикации требует SSL-подключения между компьютером Forefront TMG и членом опубликованной фермы серверов, уникальный сертификат сервера с именем, соответствующим имени или IP-адресу сервера, может быть установлен на каждом участнике опубликованной фермы серверов или тот же сертификат с именем, соответствующим имени внутреннего веб-узла, может быть установлен на всех участниках фермы серверов. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в разделе Настройка сертификатов сервера для безопасной веб-публикации.
При необходимости можно изменить способ передачи учетных данных на опубликованный сервер в правиле веб-публикации. Дополнительные сведения см. в разделе Delegation of credentials.
Правила веб-публикации сопоставляют входящие клиентские запросы с соответствующим веб-узлом на данном веб-сервере.
Вы можете создать правила веб-публикации, запрещающие трафик, для блокирования входящего трафика, отвечающего условиям правила.
Forefront TMG обрабатывает пути без учета регистра. Если на веб-сервере имеется и foldera, и folderA, а вы публикуете путь к одной из папок, будут опубликованы обе папки.
Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации.

См. также

Основные понятия

Публикация веб-серверов через HTTPS