Exportovat (0) Tisk
Rozbalit vše

Konfigurace scénáře služby Brána TS se serverem ISA

Aktualizováno: leden 2009

Rozsah platnosti: Windows Server 2008

Servery ISA Server 2004 a ISA Server 2006 (Internet Security and Acceleration) je možné použít se službou Brána TS ke zvýšení zabezpečení serveru služby Brána Terminálové služby – server ISA lze nakonfigurovat tak, aby fungoval jako zařízení přemostění SSL. Pokud se používá přemostění SSL, může server ISA ukončovat relace SSL, kontrolovat pakety a obnovovat relace SSL. Server ISA pomáhá zvýšit zabezpečení dešifrováním příchozí komunikace protokolu SSL, stavově kontrolovat komunikaci, zda neobsahuje škodlivý kód, a blokovat připojení, která obsahují podezřelé pakety nebo pakety představující známá ohrožení. Server ISA provádí také stavové filtrování protokolu HTTP, které umožňuje hloubkovou kontrolu obsahu aplikací založených na protokolu HTTP.

Následující tři scénáře ukazují, jak lze společným použitím serveru ISA a serveru služby Brána Terminálové služby zvýšit zabezpečení vzdálených připojení k interním síťovým prostředkům:

  • Server ISA jako zařízení přemostění SSL (webový proxy server): V tomto scénáři je server ISA hostován v hraniční síti a provádí přemostění SSL mezi klientem Terminálové služby a serverem služby Brána Terminálové služby. Server služby Brána Terminálové služby je hostován v podnikové/privátní síti.

    Tento scénář je znázorněn v diagramu 3 v další části tohoto článku.

  • Server ISA jako brána firewall a zařízení přemostění SSL: V tomto scénáři funguje server ISA jako brána firewall, která provádí filtrování portů, filtrování paketů a přemostění SSL. Server služby Brána Terminálové služby může být hostován v podnikové/privátní síti nebo v hraniční síti v závislosti na tom, zda je server ISA umístěn jako externí nebo interní brána firewall.

  • Server ISA jako brána firewall, která provádí filtrování portů (publikování serveru): V tomto scénáři funguje server ISA jako externí brána firewall, která provádí filtrování paketů a povoluje komunikaci pouze přes port 443. Server služby Brána Terminálové služby je hostován v hraniční síti.

notePoznámka
Postup v této konfigurační příručce obsahuje podrobné informace o konfiguraci pouze pro první scénář (server ISA jako webový proxy server). Druhé dva scénáře jsou zmíněny jako alternativní možnosti společného použití serveru ISA a serveru služby Brána Terminálové služby ke zvýšení zabezpečení vzdálených připojení k interním síťovým prostředkům.

Společnost Microsoft testovala scénář služby Brána TS se serverem ISA pomocí následujících konfigurací systému:

 

Počítač Požadovaná konfigurace

Server služby Brána Terminálové služby (SERVER_BTS)

  • Systém Windows Server 2008. Instalace může být upgradem ze systému Windows Server 2003 Service Pack 1 (SP1) nebo novou instalací systému Windows Server 2008. Další informace naleznete v části Podporované cesty upgradu (Supported upgrade paths) v článku Instalace systému Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=104824) (článek může být v angličtině).

Server ISA (SERVER_ISA)

  • Windows Server 2003 a ISA Server 2004 s aktualizací Service Pack 3 (SP3)

    nebo

  • Windows Server 2003 a ISA Server 2006.

Klient Terminálové služby (KLIENT_TS)

  • Systém Windows Vista SP1 nebo systém Windows XP SP3 Beta či systém Windows XP SP3 Release Candidate (RC).

  • Systém Windows Vista. Instalace může být upgradem ze systému Windows XP s aktualizací Service Pack 2 (SP2).

  • Systém Windows XP s aktualizací SP2 a klient Terminálové služby, program Připojení ke vzdálené ploše verze 6.0. Pokud si chcete stáhnout program Připojení ke vzdálené ploše verze 6.0, podívejte se na článek číslo 925876 ve znalostní bázi Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=79373) (článek může být v angličtině).

  • Systém Windows Server 2008. Instalace může být upgradem.

  • Systém Windows Server 2003 s aktualizací SP1 nebo systém Windows Server 2003 s aktualizací SP2 a program Připojení ke vzdálené ploše verze 6.0.

Interní síťový prostředek (PODNIKOVÝ_PROSTŘEDEK)

  • Systém Windows Vista SP1 nebo systém Windows XP SP3 Beta či systém Windows XP SP3 RC.

  • Systém Windows Vista. Instalace může být upgradem ze systému Windows XP s aktualizací SP2.

  • Systém Windows XP s aktualizací SP2.

  • Systém Windows Server 2008. Instalace může být upgradem.

  • Systém Windows Server 2003 s aktualizací SP1 nebo systém Windows Server 2003 s aktualizací SP2.

Komunikaci serveru ISA se serverem služby Brána Terminálové služby můžete konfigurovat jedním z následujících dvou způsobů:

  • Přemostění HTTPS-HTTPS: V této konfiguraci klient služby Brána TS odesílá požadavek SSL (HTTPS) do zařízení přemostění SSL. Zařízení přemostění SSL odešle nový požadavek HTTPS serveru služby Brána TS pro zajištění maximální bezpečnosti.

  • Přemostění HTTPS-HTTP: V této konfiguraci klient služby Brána TS odesílá požadavek SSL (HTTPS) do zařízení přemostění SSL. Zařízení přemostění SSL odešle nový požadavek HTTP serveru služby Brána TS.

Následující diagram znázorňuje scénář služby Brána TS se serverem ISA, ve kterém server ISA slouží jako zařízení přemostění SSL.

Scénář serveru ISA pro výchozí bránu TS
notePoznámka
Postup v této příručce popisuje, jak nakonfigurovat vzdálený přístup z klienta Terminálové služby přes server služby Brána Terminálové služby, aby komunikace protokolu SSL z klienta byla nejprve odesílána na server ISA, který slouží k přemostění SSL. Příručka nepopisuje, jak instalovat servery ISA Server 2004 a ISA Server 2006, ani jak konfigurovat brány firewall znázorněné v diagramu, terminálové servery se vzdálenými aplikacemi RemoteApp (hostující obchodní aplikace), hraniční síť a infrastrukturu služby Active Directory. Diagram ukazuje jednu z možností implementace tohoto scénáře v provozním prostředí.

Chcete-li konfigurovat scénář serveru služby Brána Terminálové služby a přemostění serverem ISA, proveďte tyto úkoly:

 

Úkol Referenční informace / Podrobné pokyny

1. Export certifikátu SSL serveru služby Brána Terminálové služby a jeho zkopírování na server ISA

1. Export certifikátu SSL serveru služby Brána Terminálové služby a jeho zkopírování na server ISA

2. Instalace certifikátu SSL serveru služby Brána Terminálové služby na server ISA

2. Instalace certifikátu SSL serveru služby Brána Terminálové služby na server ISA

3. Zkopírování a instalace kořenového certifikátu serveru služby Brána Terminálové služby na server ISA

notePoznámka
Tento krok je povinný pouze při použití certifikátu podepsaného svým držitelem nebo jiného typu certifikátu SSL, který není důvěryhodný.

3. Zkopírování a instalace kořenového certifikátu serveru služby Brána Terminálové služby na server ISA

4. Vytvoření nového pravidla publikování webu na serveru ISA

4. Vytvoření nového pravidla publikování webu na serveru ISA

5. Povolení nebo zakázání přemostění HTTPS-HTTP na serveru služby Brána Terminálové služby

5. Povolení nebo zakázání přemostění HTTPS-HTTP na serveru služby Brána Terminálové služby

6. Ověření konfigurace klienta a otestování funkčnosti připojení

7. Ověření konfigurace klienta a otestování funkčnosti připojení

Při exportu certifikátu je nutné exportovat soukromý klíč. Není-li tato možnost pro vybraný certifikát k dispozici, je nutné získat pro server ISA nový certifikát. Informace o požadavcích serveru ISA na certifikáty naleznete v článcích Digitální certifikáty pro ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=104827) a Poradce při potížích s certifikáty SSL při publikování serveru ISA (http://go.microsoft.com/fwlink/?LinkId=104826) (články mohou být v angličtině).

Při exportu certifikátu SSL serveru služby Brána Terminálové služby a jeho kopírování na server ISA proveďte na serveru služby Brána Terminálové služby následující postup:

  1. Na serveru služby Brána Terminálové služby spusťte konzolu modulu snap-in Certifikáty. Pokud jste konzolu modulu snap-in Certifikáty dosud nepřidali, můžete to provést následujícím způsobem:

    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmc a klepněte na tlačítko OK.

    2. V nabídce Soubor klepněte na možnost Přidat nebo odebrat modul snap-in.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte v seznamu Moduly snap-in k dispozici na položku Certifikáty a potom klepněte na tlačítko Přidat.

    4. V dialogovém okně Modul snap-in Certifikáty klepněte na položku Účet počítače a pak klepněte na tlačítko Další.

    5. V dialogovém okně Vybrat počítač klepněte na tlačítko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a potom klepněte na tlačítko Dokončit.

    6. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte na tlačítko OK.

  2. V konzole modulu snap-in Certifikáty rozbalte ve stromu konzoly položku Certifikáty (místní), rozbalte položku Osobní a pak klepněte na položku Certifikáty.

  3. V seznamu certifikátů klepněte na certifikát serveru služby Brána Terminálové služby. Pokud seznam obsahuje více než jeden certifikát a nevíte, který certifikát vybrat, zobrazte vlastnosti jednotlivých certifikátů a určete certifikát, který splňuje požadavky serveru služby Brána Terminálové služby.

  4. Klepněte pravým tlačítkem myši na certifikát služby Brána TS, který chcete exportovat, přejděte na příkaz Všechny úkoly a potom klepněte na příkaz Exportovat.

  5. Na stránce Vítá vás Průvodce exportem certifikátu klepněte na tlačítko Další.

  6. Na stránce Exportovat soukromý klíč klepněte na možnost Ano, exportovat soukromý klíč a pak klepněte na tlačítko Další.

  7. Na stránce Formát souboru pro export zajistěte, aby byla vybrána možnost Formát Personal Information Exchange - PKCS č. 12 (PFX), zaškrtněte políčko Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné a klepněte na tlačítko Další.

  8. Na stránce Heslo zadejte heslo pro ochranu soukromého klíče certifikátu, heslo potvrďte a klepněte na tlačítko Další.

  9. Na stránce Soubor pro export klepněte v poli Název souboru na tlačítko Procházet.

  10. V dialogovém okně Uložit jako zadejte název certifikátu, který chcete exportovat, a umístění, kam chcete certifikát exportovat (toto umístění musí být přístupné ze serveru ISA), a klepněte na tlačítko Uložit.

  11. Na stránce Soubor pro export klepněte na tlačítko Další.

  12. Na stránce Dokončení Průvodce exportem certifikátu se ujistěte, že je zadán správný certifikát, že možnost Exportovat klíče je nastavena na Ano a že možnost Zahrnout všechny certifikáty na cestě k certifikátu je nastavena na Ano, a pak klepněte na tlačítko Dokončit.

  13. Po úspěšném dokončení exportu certifikátu se zobrazí zpráva s potvrzením, že export proběhl úspěšně. Klepněte na tlačítko OK.

  14. Zavřete modul snap-in Certifikáty.

  15. Zkopírujte certifikát na server ISA.

Při instalaci certifikátu SSL serveru služby Brána Terminálové služby proveďte na serveru ISA následující postup:

  1. Na serveru ISA spusťte konzolu modulu snap-in Certifikáty. Pokud jste konzolu modulu snap-in Certifikáty dosud nepřidali, můžete to provést následujícím způsobem:

    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmc a klepněte na tlačítko OK.

    2. V nabídce Soubor klepněte na možnost Přidat nebo odebrat modul snap-in.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte v seznamu Moduly snap-in k dispozici na položku Certifikáty a potom klepněte na tlačítko Přidat.

    4. V dialogovém okně Modul snap-in Certifikáty klepněte na položku Účet počítače a pak klepněte na tlačítko Další.

    5. V dialogovém okně Vybrat počítač klepněte na tlačítko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a potom klepněte na tlačítko Dokončit.

    6. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte na tlačítko OK.

  2. V konzole modulu snap-in Certifikáty rozbalte ve stromu konzoly položku Certifikáty (místní) a pak klepněte na položku Osobní.

  3. Pravým tlačítkem myši klepněte na složku Osobní, přejděte na příkaz Všechny úkoly a pak klepněte na položku Importovat.

  4. Na stránce Vítá vás Průvodce importem certifikátu klepněte na tlačítko Další.

  5. Na stránce Importovat soubor klepněte v poli Název souboru na tlačítko Procházet a přejděte do místa, kam jste zkopírovali certifikát SSL serveru služby Brána Terminálové služby. Vyberte certifikát (Název_certifikátu.pfx), klepněte na tlačítko Otevřít a potom klepněte na tlačítko Další.

  6. Na stránce Heslo proveďte tyto akce:

    • Pokud jste dříve zadali heslo pro soukromý klíč spojený s certifikátem, zadejte toto heslo.

    • Chcete-li označit soukromý klíč jako exportovatelný, zaškrtněte políčko Označit tento klíč jako exportovatelný.

    • Zaškrtněte políčko Zahrnout všechny rozšířené vlastnosti.

  7. Klepněte na tlačítko Další.

  8. Na stránce Úložiště certifikátů vyberte přepínač Automaticky vybrat úložiště certifikátů na základě typu certifikátu a pak klepněte na tlačítko Další.

  9. Na stránce Dokončení Průvodce importem certifikátu ověřte, že byl vybrán správný certifikát a že se zobrazí následující nastavení certifikátu:

    • Vybrané úložiště certifikátů: Automaticky určeno průvodcem

    • Obsah: PFX

    • Název souboru: Cesta_k_souboru\<Název_certifikátu.pfx>, kde proměnná <Název_certifikátu> představuje název certifikátu SSL serveru služby Brána Terminálové služby.

  10. Klepněte na tlačítko Dokončit.

  11. Po úspěšném dokončení importu certifikátu se zobrazí zpráva s potvrzením, že import proběhl úspěšně. Klepněte na tlačítko OK.

  12. Při vybrané položce Certifikáty ve stromu konzoly zkontrolujte v podokně podrobností, zda je v seznamu certifikátů na serveru ISA zobrazen správný certifikát. Certifikát musí být v úložišti Osobní místního počítače.

Tento postup je nutný pouze v následujících situacích:

  • pokud používáte certifikát podepsaný svým držitelem nebo jiný typ certifikátu SSL, který není důvěryhodný;

  • pokud jste při instalaci certifikátu na server ISA nevybrali možnost pro stažení řetězu certifikátů nebo možnost Automaticky vybrat úložiště certifikátů na základě typu certifikátu (jak bylo popsáno v předchozím postupu).

  1. Na serveru ISA spusťte konzolu modulu snap-in Certifikáty. Pokud jste konzolu modulu snap-in Certifikáty dosud nepřidali, můžete to provést následujícím způsobem:

    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmc a klepněte na tlačítko OK.

    2. V nabídce Soubor klepněte na možnost Přidat nebo odebrat modul snap-in.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte v seznamu Moduly snap-in k dispozici na položku Certifikáty a potom klepněte na tlačítko Přidat.

    4. V dialogovém okně Modul snap-in Certifikáty klepněte na položku Účet počítače a pak klepněte na tlačítko Další.

    5. V dialogovém okně Vybrat počítač klepněte na tlačítko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a potom klepněte na tlačítko Dokončit.

    6. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte na tlačítko OK.

  2. Ve stromu konzoly modulu snap-in Certifikáty rozbalte položku Certifikáty (místní) a položku Důvěryhodné kořenové certifikační autority, pravým tlačítkem myši klepněte na položku Certifikáty, přejděte na příkaz Všechny úkoly a potom klepněte na příkaz Importovat.

  3. Na stránce Vítá vás Průvodce importem certifikátu klepněte na tlačítko Další.

  4. Na stránce Importovat soubor klepněte v poli Název souboru na tlačítko Procházet a přejděte do umístění kořenového certifikátu serveru služby Brána Terminálové služby. Vyberte kořenový certifikát (soubor <Název_kořenového_certifikátu.cer nebo soubor <Název_kořenového_certifikátu.pfx> (pokud byl rovněž vyexportován soukromý klíč)), klepněte na tlačítko Otevřít a potom klepněte na tlačítko Další.

    notePoznámka
    Pokud jste vytvořili certifikát podepsaný svým držitelem pomocí Průvodce přidáním a odebráním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci (jak je popsáno v části Vytvoření certifikátu podepsaného svým držitelem pro službu Brána TS v tématu Konfigurace základního scénáře služby Brána TS), je certifikát podepsaný svým držitelem také kořenovým certifikátem.

  5. Pokud jste dříve zadali heslo pro soukromý klíč spojený s certifikátem, zadejte na stránce Heslo toto heslo.

  6. Na stránce Úložiště certifikátů použijte výchozí možnost (Všechny certifikáty umístit v následujícím úložišti – Důvěryhodné kořenové certifikační autority) a potom klepněte na tlačítko Další.

  7. Na stránce Dokončení Průvodce importem certifikátu zkontrolujte, zda je zobrazeno následující nastavení certifikátu:

    • Úložiště certifikátů vybrané uživatelem: Důvěryhodné kořenové certifikační autority

    • Obsah: Certifikát (nebo PFX)

    • Název souboru: Cesta_k_souboru\<Název_kořenového_certifikátu.cer> (nebo <Název_kořenového_certifikátu.pfx>), kde proměnná <Název_kořenového_certifikátu> představuje název kořenového certifikátu serveru služby Brána Terminálové služby.

  8. Klepněte na tlačítko Dokončit.

  9. Po úspěšném dokončení importu certifikátu se zobrazí zpráva s potvrzením, že import proběhl úspěšně. Klepněte na tlačítko OK.

  10. Vyberte ve stromu konzoly položku Certifikáty a v podokně podrobností ověřte, zda je v seznamu certifikátů u serveru ISA zobrazen kořenový certifikát serveru služby Brána Terminálové služby. Přesvědčte se, zda je certifikát zobrazen v úložišti Důvěryhodné kořenové certifikační autority místního počítače.

Chcete-li nakonfigurovat server služby Brána Terminálové služby a server ISA na přemostění HTTPS-HTTP nebo na přemostění HTTPS-HTTPS, musíte na serveru ISA vytvořit příslušné pravidlo publikování webu.

ImportantDůležité
Postup vytvoření pravidla publikování webu pro server ISA se liší podle toho, zda používáte ISA Server 2004 nebo ISA Server 2006. Dejte pozor, abyste použili postup odpovídající verzi server ISA, kterou používáte.

Nové pravidlo publikování webu pro ISA Server 2004 vytvoříte následujícím postupem:

  1. Na serveru ISA spusťte nástroj ISA Server Management (Správa serveru ISA). Nástroj ISA Server Management spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Microsoft ISA Server a klepněte na položku ISA Server Management.

  2. Ve stromu konzoly přejděte k položce <Místní server ISA>.

  3. Klepněte pravým tlačítkem myši na položku Firewall Policy (Zásady brány firewall), přejděte na příkaz New (Nový) a klepněte na příkaz Secure Web Server Publishing Rule (Pravidlo publikování zabezpečeného webového serveru).

  4. Na stránce Welcome to the SSL Publishing Rule Wizard (Vítá vás Průvodce pravidlem publikování SSL) zadejte do pole SSL Web Publishing Rule Name (Název pravidla publikování webu SSL) název nového pravidla publikování a potom klepněte na tlačítko Next (Další).

  5. Na stránce Publishing Mode (Režim publikování) klepněte na možnost SSL Bridging (Přemostění SSL) a pak klepněte na tlačítko Next (Další).

  6. Na stránce Select Rule Action (Vybrat akci pravidla) klepněte na možnost Allow (Povolit) a pak klepněte na tlačítko Next (Další).

  7. Na stránce Bridging Mode (Režim přemostění) proveďte jednu z následujících akcí:

    • Chcete-li povolit přemostění HTTPS-HTTP, klepněte na možnost Secure connections to clients (Zabezpečit připojení ke klientům) a pak klepněte na tlačítko Next (Další).

    • Chcete-li povolit přemostění HTTPS-HTTPS, klepněte na možnost Secure connection to clients and Web server (Zabezpečit připojení ke klientům a webovému serveru) a pak klepněte na tlačítko Next (Další).

  8. Na stránce Define Website to Publish (Definovat webový server k publikování) proveďte následující akce:

    1. Do pole Computer name or IP address (Název nebo IP adresa počítače) zadejte název serveru služby Brána Terminálové služby. Zadaný název se musí shodovat s názvem serveru služby Brána Terminálové služby, přes který se uživatelé budou v tomto scénáři připojovat. Tento název se musí rovněž shodovat s názvem certifikátu (názvem CN) v certifikátu, který je nainstalován na serveru služby Brána Terminálové služby

    2. Zaškrtněte políčko Forward the original host header instead of the actual one (specified above) (Předávat hlavičku původního hostitele místo skutečného (zadaného výše)).

    3. Do pole Path (Cesta) zadejte /*.

  9. Na stránce Public Name Details (Podrobnosti veřejného názvu) proveďte následující akce:

    1. Zajistěte, aby pro položku Accept requests for (Přijímat žádosti) byla vybrána možnost This domain name (Tento název domény).

    2. Do pole Public name (Veřejný název) zadejte název serveru služby Brána Terminálové služby. Zadaný název se musí shodovat s názvem serveru služby Brána Terminálové služby, přes který se uživatelé budou v tomto scénáři připojovat.

    3. Zajistěte, aby bylo pole Path (Cesta) prázdné.

    4. Klepněte na tlačítko Next (Další).

  10. Pokud je třeba, vytvořte nový naslouchací port SSL Web Listener. Máte-li existující naslouchací port s certifikátem, který je totožný s veřejným názvem, nemusíte nový port SSL Web Listener vytvářet. V takovém případě vyberte příslušný port Web Listener, klepněte na tlačítko Next (Další) a pokračujte krokem 11.

    Pokud musíte nový naslouchací port SSL Web Listener vytvořit, postupujte takto:

    1. Na stránce Welcome to the New Web Listener Wizard (Vítá vás Průvodce novým portem Web Listener) zadejte do pole Web Listener Name (Název portu Web Listener) název pro port Web Listener a klepněte na tlačítko Next (Další). Pokud byly naslouchací porty Web Listener již pro server ISA nakonfigurovány, klepněte na stránce Select Web Listener (Vybrat port Web Listener) na tlačítko New (Nový) a otevřete tak stránku Welcome to the New Web Listener Wizard (Vítá vás Průvodce novým portem Web Listener). Začněte zadávat informace o novém portu Web Listener.

    2. Na stránce IP Addresses (IP adresy) zaškrtněte v části Listen for requests from these networks (Naslouchat žádostem z těchto sítí) políčko External (Externí) a klepněte na tlačítko Next (Další).

    3. Na stránce Port Specification (Specifikace portu) proveďte tyto akce:

    4. Ve skupinovém rámečku SSL zaškrtněte políčko Enable SSL (Povolit protokol SSL) a zrušte zaškrtnutí políčka Enable HTTP (Povolit protokol HTTP).

    5. Klepněte na tlačítko Select (Vybrat) a v dialogovém okně Select Certificate (Vybrat certifikát) klepněte na požadovaný certifikát.

    6. Klepnutím na tlačítko OK zavřete dialogové okno Select Certificate (Vybrat certifikát) a pak klepněte na tlačítko Next (Další).

    7. Na stránce Completing the New Web Listener Wizard (Dokončení Průvodce novým portem Web Listener) klepněte na tlačítko Finish (Dokončit).

  11. Na stránce Select Web Listener (Vybrat port Web Listener) zkontrolujte správnost vlastností naslouchacího portu Web Listener a klepněte na tlačítko Next (Další).

  12. Na stránce User Sets (Sady uživatelů) klepněte na možnost All Users (Všichni uživatelé) a potom klepněte na tlačítko Next (Další).

  13. Na stránce Completing the New SSL Web Publishing Rule Wizard (Dokončení Průvodce novým pravidlem publikování webu SSL) klepněte na tlačítko Finish (Dokončit).

  14. Klepnutím na tlačítko Apply (Použít) v podokně podrobností konzoly ISA Server Management (Správa serveru ISA) uložte změny a aktualizujte zásady zabezpečení serveru ISA.

  15. Po uložení změn klepněte v dialogovém okně Apply New Configuration (Použít novou konfiguraci) na tlačítko OK (během ukládání změn se zobrazuje indikátor průběhu).

Nové pravidlo publikování webu pro ISA Server 2006 vytvoříte následujícím postupem:

  1. Na serveru ISA spusťte nástroj ISA Server Management (Správa serveru ISA). Nástroj ISA Server Management spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Microsoft ISA Server a klepněte na položku ISA Server Management.

  2. Ve stromu konzoly vyberte klepnutím uzel představující server ISA, jehož název je určen názvem počítače, ve kterém je spuštěn server ISA.

  3. Klepněte na položku Firewall Policy (Zásady brány firewall).

  4. Na kartě Tasks (Úlohy) klepněte na tlačítko Publish Web Sites (Publikovat weby).

  5. Na stránce Welcome to the New Web Publishing Rule Wizard (Vítá vás Průvodce novým pravidlem publikování webu) zadejte do pole Web publishing rule name (Název pravidla publikování webu) název nového pravidla publikování a klepněte na tlačítko Next (Další).

  6. Na stránce Select Rule Action (Vybrat akci pravidla) klepněte na možnost Allow (Povolit) a pak klepněte na tlačítko Next (Další).

  7. Na stránce Publishing Type (Typ publikování) zajistěte, aby byla vybrána možnost Publish a single Web site or load balancer (Publikovat jeden web nebo nástroj pro vyrovnávání zatížení) a klepněte na tlačítko Next (Další).

  8. Na stránce Server Connection Security (Zabezpečení připojení k serveru) vyberte možnost Use SSL to connect to the published Web server or server farm (Pro připojení k publikovanému webovému serveru nebo serverové farmě používat protokol SSL) a klepněte na tlačítko Next (Další).

  9. Na stránce Internal Publishing details (Interní informace o publikování) zadejte do pole Internal site name (Interní název serveru) název serveru služby Brána Terminálové služby a klepněte na tlačítko Next (Další).

    Pokud server ISA nemůže přeložit název serveru služby Brána Terminálové služby, zadejte IP adresu serveru služby Brána Terminálové služby. Tuto informaci můžete případně zahrnout do souboru Hosts.

  10. Na druhé stránce Internal Publishing Details (Interní informace o publikování) proveďte tyto akce:

    1. Zajistěte, aby bylo pole Path (Cesta) prázdné.

    2. Zrušte zaškrtnutí políčka Forward the original host header instead of the actual one specified in the Internal site name field on the previous page (Předávat hlavičku původního hostitele místo skutečného hostitele uvedeného na předchozí stránce v poli Interní název serveru).

    3. Klepněte na tlačítko Next (Další).

  11. Na stránce Public Name Details (Podrobnosti veřejného názvu) proveďte následující akce:

    1. Zajistěte, aby pro položku Accept requests for (Přijímat žádosti) byla vybrána možnost This domain name (type below) (Tento název domény – zadejte níže).

    2. Do pole Public name (Veřejný název) zadejte název serveru služby Brána Terminálové služby. Zadaný název se musí shodovat s názvem serveru služby Brána Terminálové služby, přes který se uživatelé budou v tomto scénáři připojovat. Tento název se musí rovněž shodovat s názvem certifikátu (názvem CN) nebo sítí SAN (Storage Area Network) v certifikátu, který je nainstalován na serveru služby Brána Terminálové služby

      notePoznámka
      Pokud používáte atributy SAN certifikátů, musí být na klientech, kteří se připojují k serveru služby Brána Terminálové služby, spuštěn program Připojení ke vzdálené ploše 6.1. Program Připojení ke vzdálené ploše verze 6.1 je k dispozici v následujících operačních systémech:

      •Windows Server 2008

      •Windows Vista s aktualizací SP1

      •Windows XP s aktualizací SP3 Beta nebo Windows XP s aktualizací SP3 RC

      Klient Připojení ke vzdálené ploše 6.1 (6.0.6001) podporuje protokol RDP (Remote Desktop Protocol) 6.1.

      Program Připojení ke vzdálené ploše verze 6.0 je dostupný v systému Windows Vista.

      Software Připojení ke vzdálené ploše verze 6.0 je také součástí systémů Windows Server 2003 s aktualizací SP1, Windows Server 2003 s aktualizací SP2 a Windows XP s aktualizací SP2. Chcete-li používat nové funkce Terminálové služby na některé z těchto platforem, stáhněte si instalační balíček z článku 925876 znalostní báze Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=79373) (článek může být v angličtině).

    3. Zajistěte, aby bylo pole Path (Cesta) prázdné.

    4. Klepněte na tlačítko Next (Další).

  12. Pokud je třeba, vytvořte nový naslouchací port SSL Web Listener. Máte-li existující naslouchací port s certifikátem, který je totožný s veřejným názvem, nemusíte nový port SSL Web Listener vytvářet. V takovém případě vyberte příslušný port Web Listener, klepněte na tlačítko Next (Další) a pokračujte krokem 13.

    Pokud musíte nový naslouchací port SSL Web Listener vytvořit, postupujte takto:

    1. Na stránce Select Web Listener (Vybrat port Web Listener) klepněte na tlačítko New (Nový).

    2. Na stránce Welcome to the New Web Listener Wizard (Vítá vás Průvodce novým portem Web Listener) zadejte do pole Web Listener Name (Název portu Web Listener) název pro port Web Listener a klepněte na tlačítko Next (Další).

    3. Na stránce Client Connection Security (Zabezpečení připojení klientů) klepněte na možnost Require SSL secured connections with clients (Požadovat zabezpečená připojení SSL s klienty) a potom klepněte na tlačítko Next (Další).

    4. Na stránce Web Listener IP Addresses (IP adresy portu Web Listener) proveďte následující akce:

    5. Ve skupinovém rámečku Listen for incoming Web requests from these networks (Naslouchat příchozím webovým žádostem z těchto sítí) zaškrtněte políčko External (Externí).

    6. Zaškrtněte políčko The ISA Server will compress content sent to clients through this Web Listener if the clients requesting the content support compression (Pokud klienti požadující obsah podporují kompresi, bude server ISA obsah odesílaný klientům přes tento port Web Listener komprimovat).

    7. Klepněte na tlačítko Select IP Addresses (Vybrat IP adresy).

    8. Na stránce External Listener IP Selection (Výběr IP adres externího naslouchání) proveďte následující akce:

    9. Klepněte na možnost Specified IP addresses on the ISA Server in the selected Network (Zadané IP adresy na serveru ISA ve vybrané síti). V části Available IP addresses (IP adresy k dispozici) vyberte příslušnou IP adresu, klepněte na tlačítko Add (Přidat) a potom klepněte na tlačítko OK.

    10. Klepněte na tlačítko Next (Další).

    11. Na stránce Listener SSL Certificates (Certifikáty SSL naslouchání) klepněte na možnost Assign a certificate for each IP address (Přiřadit certifikát jednotlivým IP adresám), klepněte na příslušnou IP adresu a potom klepněte na tlačítko Select Certificate (Vybrat certifikát).

    12. Na stránce Select Certificate (Vybrat certifikát) klepněte v části Select certificate (Vybrat certifikát) na certifikát serveru služby Brána Terminálové služby, klepněte na tlačítko Select (Vybrat) a potom na tlačítko Next (Další).

    13. Na stránce Authentication Settings (Nastavení ověřování) klepněte na možnost No Authentication (Bez ověřování) a potom na tlačítko Next (Další).

    14. Na stránce Single Sign On Settings (Nastavení jednotného přihlášení) klepněte na možnost SSO is not relevant for this setup (Jednotné přihlášení není pro tuto konfiguraci přijatelné) a potom na tlačítko Next (Další).

    15. Na stránce Completing the New Web Listener Wizard (Dokončení Průvodce novým portem Web Listener) klepněte na tlačítko Finish (Dokončit).

    16. Na druhé stránce Completing the New Web Listener Wizard (Dokončení Průvodce novým portem Web Listener) zkontrolujte správnost vlastností naslouchacího portu Web Listener a klepněte na tlačítko Finish (Dokončit).

  13. Na stránce Select Web Listener (Vybrat port Web Listener) zkontrolujte, zda je vybrán správný naslouchací port Web Listener a klepněte na tlačítko Next (Další).

  14. Na stránce Authentication Delegation (Delegování ověřování) klepněte na možnost No delegation, and client cannot authenticate directly (Bez delegování a klient nemůže být ověřen přímo) a potom na tlačítko Next (Další).

  15. Na stránce User Sets (Sady uživatelů) zajistěte, aby byla vybrána možnost All Users (Všichni uživatelé), a potom klepněte na tlačítko Next (Další).

  16. Na stránce Completing the New Web Site Publishing Rule Wizard (Dokončení Průvodce novým pravidlem publikování webu) klepněte na tlačítko Finish (Dokončit).

  17. Klepnutím na tlačítko Apply (Použít) v podokně podrobností konzoly ISA Server Management (Správa serveru ISA) uložte změny a aktualizujte zásady zabezpečení serveru ISA.

  18. Po uložení změn klepněte v dialogovém okně Apply New Configuration (Použít novou konfiguraci) na tlačítko OK (během ukládání změn se zobrazuje indikátor průběhu).

Chcete-li povolit přemostění HTTPS-HTTP, je třeba zaškrtnout políčko Použít přemostění HTTPS-HTTP na kartě Přemostění SSL serveru služby Brána TS. Zrušením zaškrtnutí tohoto políčka zakážete přemostění HTTPS-HTTPS (pokud je toto políčko zaškrtnuté a pokusíte se použít přemostění HTTPS-HTTPS, nebude server služby Brána TS fungovat). Princip je takový, že zaškrtnutím nebo zrušením zaškrtnutí tohoto políčka se vytvoří nebo aktualizuje hodnota položky registru AllowAnonymous.

ImportantDůležité
Pokud povolíte přemostění HTTPS-HTTP, bude se server služby Brána Terminálové služby muset omezit na používání integrovaného ověřování systému Windows. Nebudete-li chtít nadále používat server ISA pro přemostění SSL podle tohoto scénáře, důrazně doporučujeme, abyste vrátili zpět všechny změny konfigurace popsané v tomto postupu a zakázali tak na serveru služby Brána Terminálové služby přemostění HTTPS-HTTP. Pokud nevrátíte zpět změny konfigurace z tohoto scénáře, umožní služba Brána TS přístup každému.

Klienti Terminálové služby, kteří se připojují prostřednictvím serveru ISA k serveru služby Brána Terminálové služby, mohou být umístěni v externím rozsahu sítě serveru ISA. Pro interní síť lze rovněž nakonfigurovat publikování webu. To umožňuje používat pro server služby Brána Terminálové služby jeden obor názvů a zajistit, aby se klienti Terminálové služby před připojením k serveru služby Brána Terminálové služby museli připojit k serveru ISA.

Při typickém nasazení bude adresa serveru služby Brána Terminálové služby a IP adresa serveru ISA publikována ve službě DNS. Výsledkem bude, že klienti získají překladem adresy serveru Brána Terminálové služby IP adresu serveru ISA. Pravidlo zabezpečeného publikování webu, které vytvoříte pro server ISA, zajistí, aby všechny žádosti přicházející na server služby Brána Terminálové služby z externí sítě byly předávány na server Brána Terminálové služby, který je umístěn v interní síti.

Pokud nemůžete publikovat položky do služby DNS, můžete pro účely testování přidat do souboru Hosts klienta položku, která mapuje adresu serveru Brána Terminálové služby na IP adresu serveru ISA. Soubor Hosts je v klientském počítači umístěn ve složce %windir%\system32\drivers\etc\hosts.

Dále zajistěte, aby byl klient správně nakonfigurován jako klient služby Brána TS, jak je popsáno v tématu Konfigurace základního scénáře služby Brána TS v části Postup konfigurace klienta Terminálové služby pro základní scénář služby Brána TS. Správnost nastavení připojení v tomto scénáři ověřte podle pokynů v tématu Konfigurace základního scénáře služby Brána TS v části Ověření funkčnosti připojení prostřednictvím serveru služby Brána Terminálové služby.

Informace o testování protokolu RPC over HTTP přes server ISA a odstraňování potíží naleznete v těchto zdrojích:

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Zobrazit:
© 2014 Microsoft