Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här innehållet är relevant för den lokala versionen av webbprogramproxyn. Information om hur du aktiverar säker åtkomst till lokala program via molnet finns i Microsoft Entra-programproxyinnehållet.
I det här avsnittet beskrivs de uppgifter som krävs för att publicera SharePoint Server, Exchange Server eller Fjärrskrivbordsgateway (RDP) via webbprogramproxy.
Note
Den här informationen tillhandahålls as-is. Fjärrskrivbordstjänster stöder och rekommenderar att du använder Azure App Proxy för att ge säker fjärråtkomst till lokala program.
Publicera SharePoint Server
Du kan publicera en SharePoint-webbplats via webbprogramproxy när SharePoint-webbplatsen har konfigurerats för anspråksbaserad autentisering eller integrerad Windows-autentisering. Om du vill använda Active Directory Federation Services (AD FS) för förautentisering måste du konfigurera en förlitande part med någon av guiderna.
Om SharePoint-webbplatsen använder anspråksbaserad autentisering måste du använda guiden Lägg till förlitande partförtroende för att konfigurera det förlitande partförtroendet för programmet.
Om SharePoint-webbplatsen använder integrerad Windows-autentisering måste du använda guiden Lägg till förtroende för icke-anspråksbaserade förlitande parter för att konfigurera det förlitande partförtroendet för programmet. Du kan använda IWA med ett anspråksbaserat webbprogram förutsatt att du konfigurerar KDC.
För att användarna ska kunna autentisera med integrerad Windows-autentisering måste webbprogramproxyservern vara ansluten till en domän.
Du måste konfigurera programmet för att stödja Kerberos-begränsad delegering. Du kan göra detta på domänkontrollanten för alla program. Du kan också konfigurera programmet direkt på serverdelsservern om det körs på Windows Server 2012 R2 eller Windows Server 2012 . Mer information finns i Nyheter i Kerberos-autentisering. Du måste också se till att webbapplikationsproxyservrarna är konfigurerade för delegering till tjänstehuvudnamnen för serverdelsservrarna. En genomgång av hur du konfigurerar webbprogramproxy för att publicera ett program med integrerad Windows-autentisering finns i Konfigurera en webbplats för att använda integrerad Windows-autentisering.
Om din SharePoint-webbplats har konfigurerats med antingen alternativa åtkomstkartläggningar (AAM) eller värdnamnswebbplatssamlingar kan du använda olika externa URL:er och backend-server-URL:er för att publicera din applikation. Men om du inte konfigurerar din SharePoint-webbplats med hjälp av AAM eller värdnamnswebbplatssamlingar måste du använda samma externa och backend server-URL:er.
Publicera Exchange Server
I följande tabell beskrivs de Exchange-tjänster som du kan publicera via webbprogramproxy och den förautentisering som stöds för dessa tjänster:
| Exchange-tjänst | Pre-authentication | Notes |
|---|---|---|
| Outlook-webbprogrammet | – AD FS med icke-anspråksbaserad autentisering - Genomströmning – AD FS med anspråksbaserad autentisering för lokal Exchange 2013 Service Pak 1 (SP1) |
Mer information finns i : Använda AD FS-anspråksbaserad autentisering med Outlook Web App och EAC |
| Exchange-kontrollpanelen | Pass-through | |
| Outlook Anywhere | Pass-through | Du måste publicera ytterligare URL:er för Outlook var som helst för att fungera korrekt: – URL:en för automatisk upptäckt, EWS och OAB (i outlook-cacheläge). |
| Exchange ActiveSync | Pass-through AD FS med HTTP Basic-auktoriseringsprotokoll |
|
| Exchange-webbtjänster | Pass-through | |
| Autodiscover | Pass-through | |
| Offline-adressbok | Pass-through |
Om du vill publicera Outlook Web App med integrerad Windows-autentisering måste du använda guiden Lägg till förtroende för icke-anspråksbaserad förlitande part för att konfigurera förlitande partsförtroende för programmet.
För att användarna ska kunna autentisera med kerberos-begränsad delegering måste webbprogramproxyservern vara ansluten till en domän.
Du måste konfigurera programmet för att stödja Kerberos-autentisering. Dessutom måste du registrera ett tjänsthuvudnamn (SPN) till det konto som webbtjänsten körs under. Du kan göra detta på domänkontrollanten eller på backend-servrarna. I en belastningsutjämningsmiljö för Exchange kräver detta att du använder det alternativa tjänstkontot, se Konfigurera Kerberos-autentisering för belastningsutjämning av klientåtkomstservrar
Du kan också konfigurera programmet direkt på serverdelsservern om det körs på Windows Server 2012 R2 eller Windows Server 2012. Mer information finns i Nyheter i Kerberos-autentisering. Du måste också se till att webbapplikationsproxyservrarna är konfigurerade för delegering till tjänstehuvudnamnen för serverdelsservrarna.
Publicera fjärrskrivbordsgateway via webbapp-proxy
Om du vill begränsa åtkomsten till din fjärråtkomstgateway och lägga till förautentisering för fjärråtkomst kan du distribuera den via webbprogramproxy. Det här är ett riktigt bra sätt att se till att du har omfattande förautentisering för RDG, inklusive MFA. Publicering utan förautentisering är också ett alternativ och ger en enda startpunkt i dina system.
Publicera en applikation i RDG med pass-through-autentisering för Web Application Proxy
Installationen skiljer sig beroende på om rollerna webbåtkomst för fjärrskrivbord (/rdweb) och RD Gateway (rpc) finns på samma server eller på olika servrar.
Om rollerna för webbåtkomst och fjärrskrivbordsgateway finns på samma RD Gateway-server, kan du helt enkelt publicera rot-FQDN i Web Application Proxy, till exempel
https://rdg.contoso.com/.Du kan också publicera de två virtuella katalogerna individuellt, t.ex.https://rdg.contoso.com/rdweb/ och
https://rdg.contoso.com/rpc/.Om webbåtkomst för fjärrskrivbord och RD Gateway finns på separata RDG-servrar måste du publicera de två virtuella katalogerna individuellt. Du kan använda samma eller olika externa FQDN:er, t.ex.
https://rdweb.contoso.com/rdweb/ochhttps://gateway.contoso.com/rpc/.Om de externa och interna FQDN:erna skiljer sig bör du inte inaktivera översättning av förfrågningshuvudet på RDWeb-publiceringsregeln. Detta kan göras genom att köra följande PowerShell-skript på webbprogramproxyservern, men det bör vara aktiverat som standard.
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$falseNote
Om du behöver stöd för avancerade klienter som Fjärrapp- och skrivbordsanslutningar eller iOS Fjärrskrivbordsanslutningar stöder dessa inte förautentisering så du måste publicera RDG med direktautentisering.
Publicera ett program i RDG med hjälp av webbprogramproxy med förautentisering
Förautentisering av webbprogramproxy med RDG fungerar genom att den cookie för förautentisering som hämtas av Internet Explorer skickas till klienten för anslutning till fjärrskrivbord (mstsc.exe). Detta används sedan av fjärrskrivbordsanslutningsklienten (mstsc.exe). Detta används sedan av fjärrskrivbordsanslutningsklienten som autentiseringsbevis.
Följande procedur instruerar samlingsservern att inkludera nödvändiga anpassade RDP-egenskaper i fjärrappens RDP-filer som skickas till klienter. Dessa talar om för klienten att förautentisering krävs och att cookies skickas för serveradressen för förautentisering till klienten för anslutning till fjärrskrivbord (mstsc.exe) . I samband med att funktionen HttpOnly inaktiveras i webbprogramproxyprogrammet kan klienten för anslutning till fjärrskrivbord (mstsc.exe) använda webbprogramproxy-cookien som hämtas via webbläsaren.
Autentisering till RD Webbåtkomstservern kommer fortfarande att använda inloggningsformuläret för RD Webbåtkomst. Detta ger det minsta antalet användarautentiseringsuppmaningar eftersom RD Web Access inloggningsformuläret skapar ett kundsida certifikatlager som sedan kan användas av Remote Desktop Connection-klienten (mstsc.exe) för alla efterföljande fjärrappstarter.
Skapa först en manuell förtroendeförbindelse med en tillförlitlig part i AD FS, som om du publicerade en app som hanterar anspråk. Det innebär att du måste skapa ett dummy-förlitande partförtroende som finns där för att framtvinga förautentisering, så att du får förautentisering utan Kerberos-begränsad delegering till den publicerade servern. När en användare har autentiserats skickas allt annat igenom.
Warning
Det kan tyckas att det är bättre att använda delegering, men det löser inte mstsc SSO-kraven helt och det finns problem när du delegerar till katalogen /rpc eftersom klienten förväntar sig att hantera själva RD Gateway-autentiseringen.
Följ stegen i AD FS-hanteringskonsolen för att skapa ett manuellt förtroende för förlitande part:
Använd guiden Lägg till förlitande partförtroende
Välj Ange data om den förlitande parten manuellt.
Acceptera alla standardinställningar.
För förtroendeidentifieraren för förlitande part anger du det externa FQDN som du ska använda för RDG-åtkomst, till exempel
https://rdg.contoso.com/.Det här är beroendepartsförtroendet som du kommer att använda när du publicerar appen i Webbapplikationsproxy.
Publicera webbplatsens rot (till exempel
https://rdg.contoso.com/) i Webbprogramproxy. Ange förautentiseringen till AD FS och använd det förlitande partförtroende som du skapade ovan. Detta gör att /rdweb och /rpc kan använda samma cookie för webbprogramproxyautentisering.Det går att publicera /rdweb och /rpc som separata program och även använda olika publicerade servrar. Du behöver bara se till att du publicerar båda med samma förlitandepartsförtroende, eftersom webbprogramproxytoken utfärdas för förlitandepartsförtroendet och därför är giltigt för program som publicerats med samma förlitandepartsförtroende.
Om de externa och interna FQDN:erna skiljer sig bör du inte inaktivera översättning av förfrågningshuvudet på RDWeb-publiceringsregeln. Detta kan göras genom att köra följande PowerShell-skript på webbprogramproxyservern, men det bör vara aktiverat som standard:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$trueInaktivera egenskapen HttpOnly cookie i webbapplikationsproxyn för den RDG-publicerade applikationen. Om du vill tillåta RDG ActiveX-kontrollåtkomst till cookien för webbprogramproxyautentisering måste du inaktivera egenskapen HttpOnly på webbprogramproxy-cookien.
Detta kräver att du installerar samlad uppdatering från november 2014 för Windows RT 8.1, Windows 8.1 och Windows Server 2012 R2 (KB3000850).
När du har installerat snabbkorrigeringen kör du följande PowerShell-skript på webbprogramproxyservern och anger det relevanta programnamnet:
Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$trueGenom att inaktivera HttpOnly tillåts RDG ActiveX-kontrollen få åtkomst till autentiseringscookien för webbapplikationsproxyn.
Konfigurera den relevanta RDG-samlingen på samlingsservern så att fjärrskrivbordsanslutningsklienten (mstsc.exe) vet att förautentisering krävs i rdp-filen.
I Windows Server 2012 och Windows Server 2012 R2 kan du göra detta genom att köra följande PowerShell-cmdlet på RDG Collection-servern:
Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"Se till att du tar bort < hakparenteserna och > när du ersätter med dina egna värden, till exempel:
Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"I Windows Server 2008 R2:
Logga in på terminalservern med ett konto som har administratörsbehörighet.
Gå till Starta>Administrationsverktyg>Terminal Services>TS RemoteApp Manager.
I fönstret Översikt i TS RemoteApp Manager klickar du på Ändra bredvid RDP-inställningar.
På fliken Anpassade RDP-inställningar skriver du följande RDP-inställningar i rutan Anpassade RDP-inställningar:
pre-authentication server address: s: https://externalfqdn/rdweb/require pre-authentication:i:1När du är klar klickar du på Använd.
Detta anger att samlingsservern ska inkludera de anpassade RDP-egenskaperna i RDP-filerna som skickas till klienter. Dessa talar om för klienten att förautentisering krävs och att cookies skickas för serveradressen för förautentisering till klienten för anslutning till fjärrskrivbord (mstsc.exe) . Detta, tillsammans med inaktivering av HttpOnly i webbprogramproxyprogrammet, gör att klienten för fjärrskrivbordsanslutning (mstsc.exe) kan använda cookien för webbprogramproxyautentisering som hämtas via webbläsaren.
Mer information om RDP finns i Konfigurera TS Gateway OTP-scenariot.