連線 KES 裝置到 Kerberos constrained delegation (KCD) 管理伺服器的方案包括如下:
當使用該連線方案時,請注意以下幾點:
您可以透過以下方法確保使用者憑證與上述需求相容:
以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子:
管理伺服器網域帳戶
您必須建立執行管理伺服器服務的網域帳戶(例如,KSCMobileSrvcUsr)。您可以在安裝管理伺服器或使用 klsrvswch 實用程式時指定管理伺服器服務帳戶。klsrvswch 實用程式位於管理伺服器安裝資料夾。
網域帳戶必須由以下原因指定:
http/kes4mob.mydom.local 的服務主體名稱
在網域中,在 KSCMobileSrvcUsr 帳戶下,新增 SPN 以在管理伺服器裝置的連接埠 13292 發佈行動協議服務。對於管理伺服器裝置 kes4mob.mydom.local,將是如下:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
配置 TMG 裝置的網域內容 (tmg.mydom.local)
要授權流量,您必須信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292)。
要信任 TMG 裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/kes4mob.mydom.local:13292),管理員必須執行以下操作:
要發佈的特定(自訂)憑證 (kes4mob.mydom.global)
要發佈管理伺服器行動協議,您必須發佈一個 FQDN kes4mob.mydom.global 特定(自訂)憑證並在管理主控台中管理伺服器的行動協議設定中指定它以代替預設伺服器憑證。為此,在管理伺服器的內容視窗,在設定區域,選取為行動裝置開啟連接埠核取方塊,然後在下拉清單中選取新增憑證。
請注意伺服器憑證容器(帶有 .p12 或 .pfx 副檔名的檔案)必須也包含根憑證鏈(公共金鑰)。
在 TMG 上配置發佈
在 TMG 上,對於從行動裝置到連接埠 kes4mob.mydom.global 連接埠 13292 的流量,您必須在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用為 FQND kes4mob.mydom.global 發佈的憑證。請注意,正發佈和已發佈的存取點(管理伺服器連接埠 13292)必須共用相同的伺服器憑證。