發佈內部網頁伺服器

Cc768054.community-sm(zh-tw,TechNet.10).gif本頁索引

硬體需求
軟體需求
程序

Microsoft ISA Server 2000 Feature Pack 1,第 1 版

在本案例中,您將會使用網頁發佈規則在內部網路上經由 ISA Server 電腦發佈網頁伺服器。此網頁伺服器可處理 HTTP 和 HTTPS 兩種要求。

硬體需求

若要發佈內部網頁伺服器,您需要準備兩台電腦和可連接到網際網路的連線。一台電腦是用來做為網頁伺服器之用,且位在公司網路內部,並受到 ISA Server 電腦的保護。若要測試設定,則您需要一台位在公司網路外部但可連線到網際網路的電腦。

軟體需求

ISA Server 電腦必須安裝 MicrosoftR WindowsR 2000 Server、Windows 2000 Advanced Server 或 Windows Server 2003,以及安裝具有 Service Pack 1 的 ISA Server。而網頁伺服器則須安裝 Windows 2000 Server、Windows 2000 Advanced Server 或者是 Windows Server 2003。用來發佈網站的 Internet Information Services (IIS) 已附在 Windows 2000 Server、Windows 2000 Advanced Server 及 Windows Server 2003 內。

注意:如果您計劃發佈 SSL 安全網頁,您必須在 ISA Server 電腦 上安裝 SSL 憑證。如需詳細資訊,請參閱本文稍後的<設定發佈所需的橋接>一節和 Digital_Certificates_for_ISA.doc 文件。

準備工作

若要在設定時節省時間,請事先預備好下列資訊:

  • ISA Server 電腦內部與外部網路介面卡的 IP 位址。
  • 網頁伺服器的 IP 位址。

此外,還須確認網站的公用名稱可藉由公用的網際網路 DNS 伺服器對應到 ISA Server 的外部 IP 位址。

注意:您必須具有系統管理員的權限才能進行許多這類工作。

程序

請使用下列步驟來發佈內部網頁伺服器。

步驟 1:使用 IIS 來建立網站

如需詳細資訊,請參閱 IIS 文件。請注意網站位置。如果該網站不是網頁伺服器的預設網站,則當您在建立網頁發佈規則時必須提供正確路徑。

步驟 2:建立目的地集

在建立目的地集 (Destination Set) 之前,需要先明瞭目的地集和目的地集路徑為何。

關於目的地集

網頁發佈的目的地集是外部使用者指定用來存取您網站的公用名稱,如 www.adatum.com。在網頁發佈的案例中,網頁伺服器會受到保護而無法直接從外部存取,只有 ISA Server 才能公開接收外部要求。由於目的地集所代表的是 ISA Server 外部網路介面卡,因此當 DNS 伺服器解析名稱之後,傳送到您網站的要求便能找到相對應的 ISA Server。目的地集所提供的主機名稱必須經由網際網路上的 DNS 伺服器解析之後,才能對應到 ISA Server 電腦的外部網路介面卡的 IP 位址。

關於目的地集路徑

您可以建立數個指定路徑的目的地集。例如:針對單一主機名稱您可指定路徑 /update* (任何傳送到 /update/ 及其下路徑的要求) 和 /info*。這兩種目的地集將會解析到相同的 IP 位址,這是 ISA Server 上的外部網路介面卡。您可建立網頁發佈規則,讓其使用目的地集的路徑,將要求直接傳送到不同的網頁伺服器或傳送到所指定網路伺服器上的不同目錄。每項規則可以使用不同的準則,例如依據使用者要求中所指定的路徑來允許 HTTP 存取或 SSL 存取。

目的地集範例

如果使用者輸入 http://www.adatum.com/info 連到您的網站,則經由 ISA 用來發佈前述網站的目的地集,必須在目的地區段中包含 www.adatum.com 並在目的地集所指定的路徑中包含路徑 /info

建立目的地集

  1. 在 ISA Management 的主控台樹狀目錄中,在 [Destination Sets] 上按一下滑鼠右鍵,並指到 [New],然後按一下 [Set]。
  2. 在 [Name] 欄位中,輸入目的地集名稱,如 Destination to Allow Publishing of Internal Web Server
  3. (選用) 在 [Description] 欄位中,輸入有關目的地集的說明。
  4. 按一下 [Add] 並執行下列步驟:
    • 按一下 [Destination] 並輸入外部使用者指定用來存取您網站的公用名稱。此為完整限定的網域名稱,可以解析為 ISA Server 電腦的外部網路介面卡的 IP 位址。

      piw01


    • (選用) 在 [Path] 欄位中,輸入可以包含在要求內的指定路徑。您可以在網頁發佈規則中使用這個路徑,來將要求直接傳送到網站的特定的部分。
    • 按一下 [OK]。

步驟 3:建立內送 Web 要求所需的 Web 接聽項

Web 接聽項是 ISA Server 電腦上的 IP 位址,用來接聽來自用戶端的 Web 要求。當您安裝 ISA Server 時,內送 Web 要求的屬性設定會預設為不使用 IP 位址來接聽要求。因此您必須使用網頁發佈規則,設定 Web 接聽項以發佈網站。

注意:輸入 Web 要求接聽項是使用 ISA Server 外部網路介面卡上的連接埠 80。如果您的 ISA Server 系統上會執行 IIS,請記住 IIS 在所有的網路介面上預設使用連接埠 80。您必須停止 IIS,或變更它預設的接聽項,以避免發生連接埠衝突。這種情況在《Publishing a Web Server Located on the ISA Server》中有進一步的說明。

輸入 Web 要求接聽項是使用 ISA Server 外部網路介面卡上的連接埠 80。如果您的 ISA Server 系統上會執行 IIS,請記住 IIS 在所有的網路介面上預設使用連接埠 80。您必須停止 IIS,或變更它預設的接聽項,以避免發生連接埠衝突。這種情況在《Publishing a Web Server Located on the ISA Server》中有進一步的說明。

設定內送 Web 要求所需的 Web 接聽項

  1. 在 ISA Management 主控台,展開 [Servers] 和 [Arrays] 節點。
  2. 在 ISA Server 電腦節點上按一下滑鼠右鍵,然後按一下 [Properties]。
  3. 在 [Incoming Web Requests] 索引標籤中,選取 [Configure listeners individually per IP address]。
  4. (選用) 如果您想接聽 SSL (HTTPS) 要求,請選取 [Enable SSL listeners] 核取方塊。它將會提醒您必須設定接聽項的 SSL 憑證,稍後會在本程序內介紹。
  5. 按一下 [Add]。
  6. 在 [Server] 清單中,選取 ISA Server 電腦,這是將用來接聽內送 Web 要求的伺服器。
  7. 在 [IP address] 清單中,按一下將用來接聽內送 Web 要求的伺服器的網際網路通訊協定 (IP) 位址。這是可以連線到網際網路的 ISA Server 網路介面卡的 IP 位址。
  8. (選用) 在 [Display Name] 方塊中,輸入此接聽項所用的名稱。
  9. 如果設定的接聽項也將會接聽 SSL 要求,請選取 [Use a server certificate to authenticate to Web clients]。接下來,按一下 [Select] 並選取安裝於 ISA Server 電腦上的適當 SSL 憑證。
  10. (選用) 設定適用於接聽項的驗證方法。
  11. 按一下 [OK],關閉 [Add/Edit Listeners] 頁面。下圖顯示新增接聽項之後的 [Array Properties] 頁面。

    Cc768054.PIW02(zh-tw,TechNet.10).gif


  12. 按一下 [OK],關閉 [Array Properties] 頁面。
  13. 當提示出現時,請重新啟動 Web Proxy 服務。

步驟 4:建立網頁發佈規則

網頁發佈規則會將內送要求對應到在 ISA Server 電腦後端的網頁伺服器。

建立網頁發佈規則

  1. 在 ISA Management 的主控台樹狀目錄中,在 [Web Publishing Rules] 上按一下滑鼠右鍵,並指到 [New],然後按一下 [Rule] 以啟動 [New Web Publishing Rule Wizard]。
  2. 在 [Welcome] 頁面,輸入規則名稱,如 Publishing Rule for Internal Web Server,然後按一下 [Next]。
  3. 在 [Destination Sets] 頁面中,從功能表中選取 [Specified Destination Set]。選取在步驟 3 所建立的目的地集,然後按一下 [Next]。
  4. 在 [Client Type] 頁面中,保留預設選項 [Any request],讓任何來自網際網路的要求都能連到網頁伺服器,然後按一下 [Next]。
  5. 在 [Rule Action] 頁面中,選取 [Redirect this request to this internal Web server (name or IP address)],並提供網頁伺服器名稱或 IP 位址。一般較常使用 IP 位址而較少使用名稱,以避免 DNS 伺服器所潛在的內部問題。
  6. 在預設值中保留 [Send the original host header to the publishing server instead of the actual one (specified above)],然後按一下 [Next]。如需詳細資訊,請參閱本文稍後的<原始主機標頭>一節。按一下 [Next]。
  7. 檢查 [Summary] 頁面上的資訊,然後按一下 [Finish]。

步驟 5:設定發佈所需的橋接

如果您所發佈的伺服器需要安全的 SSL 通訊,則您的 ISA Server 電腦上必須有安裝 SSL 憑證。此外,網頁伺服器上也可能要安裝 SSL 憑證。在任一種情況下,為了確保 SSL 要求是使用適當的通訊協定從 ISA Server 電腦傳送到網頁伺服器,您必須相對地設定 SSL 橋接。

SSL 橋接是每個網頁發佈規則的屬性。SSL 橋接會判斷 ISA Server 系統接收到的 SSL 要求在傳送至網頁伺服器時,究竟是以 SSL 要求或是 HTTP 要求加以傳送。判斷方法如下:

  • 如果網頁伺服器中沒有安裝 SSL 憑證,會將 SSL 及 HTTP 要求以 HTML 要求的形式傳送至網頁伺服器。SSL 安全通訊是由 ISA Server 負責處理,內部則以 HTTP 繼續進行。
  • 如果網頁伺服器中安裝了 SSL 憑證,會將 SSL 要求以 SSL 要求的形式、HTTP 要求以 HTTP 要求的形式傳送至網頁伺服器。在這種情況下,SSL 安全通訊會在用戶端通往 ISA 上以及 ISA 通往網頁伺服器層級上同時發生。

如果網頁伺服器中安裝了 SSL 憑證,而您希望 ISA Server 接聽 SSL 要求但是不再購買額外的憑證,您必須將憑證自網頁伺服器匯出,並將其匯入 ISA Server 系統中。如需詳細資訊,請參閱<HOW TO:Export, Install, and Configure Certificates to Internet Security and Acceleration Server>(http://go.microsoft.com/fwlink/?LinkID=10713)。

修改 SSL 橋接設定

  1. 按一下 [Web Publishing Rules] 節點。
  2. 連按兩下適用的網頁發佈規則。
  3. 選取 [Bridging] 索引標籤。
  4. 為前兩個重新導向選項,選取適當的重新導向設定:
    • 如果您是使用 ISA Server SSL 憑證來處理 SSL 要求,請在 [Redirect HTTP requests as: ] 和 [Redirect SSL requests as:] 選取 [HTTP requests],然後按一下 [OK]。設定如下圖所示。

      Cc768054.PIW03(zh-tw,TechNet.10).gif


    • 如果您想繼續在網頁伺服器上使用現有的 SSL 憑證以及 ISA Server 上的憑證,在 [Redirect HTTP requests as:] 中選取 [HTTP requests],同時在 [Redirect SSL requests as:] 中選取 [SSL requests],然後按一下 [OK]。
    注意:SSL [Bridging] 索引標籤上有另外兩個選項:
    • [Require secure channel (SSL) for published site] 會拒絕 ISA Server 接收的 HTTP 要求。這個選項也可以為 HTTPS 要求傳回 128 位元加密。
       
    • [Use a certificate to authenticate to the SSL Web server] 可讓您指定用戶端憑證,ISA Server 可以用它來驗證其自身能否用於網頁伺服器。

步驟 6:測試網頁

在外部電腦上開啟網際網路瀏覽器。在瀏覽器的網址欄位中,輸入網站的 URL 或公用 IP 位址,這是 ISA Server 的外部 IP 位址。如果網頁可以載入,就表示您已成功地設定發佈設定。如果無法瀏覽到網站,請檢閱程序以確認是否有遵循所有的步驟進行。如果您仍然無法瀏覽網站,請參閱 Troubleshooting_Web_Publishing.doc 文件。

原始主機標頭

依預設值,ISA Server 是以用來指到內部網頁伺服器的主機標頭做為替代,而不是傳送 ISA 所接收到的原始主機標頭。如果您的網站具有需要原始主機標頭的特定功能,或是如果您要發佈分別具有不同主機名稱的兩個網站,則請在 [New Web Publishing Rule Wizard] 的 [Rule Action] 頁面中,選取 [Send the original host header to the publishing server instead of the actual one (specified above)]。或者,您也可以建立代表兩個網站的兩個目的地集,並使用網頁發佈原則將要求直接傳送到正確的網站。

本指南所述之範例公司、組織、產品、網域名稱、電子郵件地址、商標圖樣、人員、地點及事件,均屬虛構。絕未影射或暗示任何真實的公司、組織、產品、網域名稱、電子郵件地址、商標圖樣、人員和事件。


顯示: