連線 KES 裝置到 Kerberos constrained delegation (KCD) 伺服器的方案

連線 KES 裝置到 Kerberos constrained delegation (KCD) 管理伺服器的方案包括如下:

當使用該連線方案時,請注意以下幾點:

以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子:

管理伺服器網域帳戶

您必須建立執行管理伺服器服務的網域帳戶(例如,KSCMobileSrvcUsr)。您可以在安裝管理伺服器或使用 klsrvswch 實用程式時指定管理伺服器服務帳戶。klsrvswch 實用程式位於管理伺服器安裝資料夾。

網域帳戶必須由以下原因指定:

http/kes4mob.mydom.local 的服務主體名稱

在網域中,在 KSCMobileSrvcUsr 帳戶下,新增 SPN 以在管理伺服器裝置的連接埠 13292 發佈行動協議服務。對於管理伺服器裝置 kes4mob.mydom.local,將是如下:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

配置 TMG 裝置的網域內容 (tmg.mydom.local)

要授權流量,您必須信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292)。

要信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292),管理員必須執行以下操作:

  1. 在名稱為“Active Directory 使用者和電腦”的 Microsoft Management Console 中,選取安裝了 TMG 的裝置 (tmg.mydom.local)。
  2. 在裝置內容視窗,在授權標籤,設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議
  3. 該帳戶可以展示已授權憑證的服務清單,新增 SPN http/kes4mob.mydom.local:13292。

要發佈的特定(自訂)憑證 (kes4mob.mydom.global)

要發佈管理伺服器行動協議,您必須發佈一個 FQDN kes4mob.mydom.global 特定(自訂)憑證並在管理主控台中管理伺服器的行動協議設定中指定它以代替預設伺服器憑證。為此,在管理伺服器的內容視窗,在設定區域,選取為行動裝置開啟連接埠核取方塊,然後在下拉清單中選取新增憑證

請注意伺服器憑證容器(帶有 .p12 或 .pfx 副檔名的檔案)必須也包含根憑證鏈(公共金鑰)。

在 TMG 上配置發佈

在 TMG 上,對於從行動裝置到連接埠 kes4mob.mydom.global 連接埠 13292 的流量,您必須在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用為 FQND kes4mob.mydom.global 發佈的憑證。請注意,正發佈和已發佈的存取點(管理伺服器連接埠 13292)必須共用相同的伺服器憑證。

另請參閱:

與公共金鑰基礎架構整合

提供到管理伺服器的網際網路存取

管理伺服器位於 LAN、受管理裝置位於網際網路、TMG 使用中

頁頂