Konfigurieren von Forefront TMG für eine hybride Umgebung
GILT FÜR:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
In diesem Artikel erfahren Sie, wie Sie Forefront Threat Management Gateway (TMG) 2010 für die Verwendung als Reverseproxy für eine SharePoint Server-Hybridumgebung einrichten.
Bevor Sie beginnen
Bevor Sie beginnen, müssen Sie Folgendes wissen:
TMG muss in einer Edgekonfiguration bereitgestellt werden, mit mindestens einem Netzwerkadapter, der mit dem Internet verbunden und für das externe Netzwerk in TMG konfiguriert ist, und mindestens einem Netzwerkadapter, der mit dem Intranetnetzwerk verbunden und für das interne Netzwerk in TMG konfiguriert ist.
Der TMG-Server muss ein Domänenmitglied in der Active Directory-Domänengesamtstruktur sein, die Ihren Active Directory-Verbunddienste 2.0-Server (AD FS) enthält. Der TMG-Server muss dieser Domäne beigetreten sein, um die SSL-Clientzertifikatauthentifizierung verwenden zu können, die für die Authentifizierung eingehender Verbindungen von SharePoint in Microsoft 365 verwendet wird.
Hinweis
Als allgemeine bewährte Methode für Edgebereitstellungen installieren Sie Forefront TMG normalerweise in einer separaten Gesamtstruktur (und nicht in der internen Gesamtstruktur Ihres Unternehmensnetzwerks) mit einer unidirektionalen Vertrauensstellung zur Unternehmensgesamtstruktur. Sie können die Clientzertifikatauthentifizierung jedoch nur für Benutzer in der Domäne konfigurieren, in die der TMG-Server eingebunden ist, sodass diese Vorgehensweise für Hybridumgebungen nicht befolgt werden kann.
Weitere Informationen zu Überlegungen zur TMG-Netzwerktopologie finden Sie unter Überlegungen zu Arbeitsgruppen und Domänen.
Die Bereitstellung von TMG 2010 für die Verwendung in einer SharePoint Server-Hybridumgebung in einer Back-to-Back-Konfiguration ist theoretisch möglich, wurde aber nicht getestet und funktioniert möglicherweise nicht.
TMG 2010 umfasst sowohl die Diagnoseprotokollierung als auch eine Echtzeitprotokollierungsschnittstelle. Die Protokollierung spielt eine wichtige Rolle bei der Behandlung von Konnektivitäts- und Authentifizierungsproblemen zwischen SharePoint Server und SharePoint in Microsoft 365. Die Identifizierung der Komponente, die einen Verbindungsfehler verursacht, kann schwierig sein, und TMG-Protokolle sind der erste Ort, an dem Sie nach Hinweisen suchen sollten. Die Problembehandlung kann das Vergleichen von Protokollereignissen aus TMG-Protokollen, SharePoint Server ULS-Protokollen, Windows Server-Ereignisprotokollen und IIS-Protokollen (InternetInformationsdienste) auf mehreren Servern umfassen.
Weitere Informationen zum Konfigurieren und Verwenden der Protokollierung in TMG 2010 finden Sie unter Verwenden der Diagnoseprotokollierung.
Weitere Informationen zur Vorgehensweise bei der Problembehandlung für SharePoint Server-Hybridumgebungen finden Sie unter Troubleshooting hybrid environments.
Installieren von TMG 2010
Wenn Sie TMG 2010 noch nicht installiert und für Ihr Netzwerk konfiguriert haben, verwenden Sie die Informationen in diesem Abschnitt, um TMG 2010 zu installieren und das TMG-System vorzubereiten.
Installieren von TMG 2010
Installieren Sie Forefront TMG 2010, sofern noch nicht geschehen. Weitere Informationen zur Installation von TMG 2010 finden Sie unter Forefront TMG-Bereitstellung.
Installieren Sie alle verfügbaren Service Packs und Updates für TMG 2010. Weitere Informationen finden Sie unter Installieren von Forefront TMG Service Packs.
Fügen Sie den TMG-Servercomputer der lokalen Active Directory-Domäne hinzu, sofern er noch kein Domänenmitglied ist.
Weitere Informationen zum Bereitstellen von TMG 2010 in einer Domänenumgebung finden Sie unter Überlegungen zu Arbeitsgruppen und Domänen.
Installieren des Secure Channel SSL-Zertifikats
Sie müssen das Secure Channel SSL-Zertifikat sowohl in den persönlichen Informationsspeicher des lokalen Computerkontos als auch den persönlichen Informationsspeicher des Microsoft Forefront TMG Firewall-Dienstkontos (fwsvc) importieren.
Der Ort des Secure Channel SSL-Zertifikats wird in Zeile 1 (Ort und Dateiname des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat gespeichert. Wenn das Zertifikat einen privaten Schlüssel enthält, müssen Sie das Zertifikatkennwort bereitstellen, das in Zeile 4 (Kennwort des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat enthalten ist. |
Importieren des Zertifikats
Kopieren Sie die Zertifikatsdatei von dem im Arbeitsblatt angegebenen Speicherort in einen Ordner auf der lokalen Festplatte.
Öffnen Sie auf dem Reverseproxyserver MMC, und fügen Sie das Zertifikatverwaltungs-Snap-In sowohl für das lokale Computerkonto als auch für das lokale fwsrv-Dienstkonto hinzu.
Hinweis
Nachdem TMG 2010 installiert wurde, ist der Anzeigename des FWSRV-Diensts der Dienst Microsoft Forefront TMG Firewall.
Importieren Sie das Secure Channel SSL-Zertifikat in den persönlichen Zertifikatspeicher des Computerkontos.
Importieren Sie das Secure Channel SSL-Zertifikat in den persönlichen Zertifikatspeicher des FWSRV-Dienstkontos.
Weitere Informationen zum Importieren eines SSL-Zertifikats finden Sie unter Importieren eines Zertifikats.
Konfigurieren von TMG 2010
In diesem Abschnitt konfigurieren Sie einen Weblistener und eine Veröffentlichungsregel , die eingehende Anforderungen von SharePoint in Microsoft 365 empfangen und an die primäre Webanwendung Ihrer SharePoint Server-Farm weiterleiten. Der Weblistener und die Veröffentlichungsregel arbeiten zusammen, um die Verbindungsregeln zu definieren und die Anforderungen vorab zu authentifizieren und weiterzuleiten. Sie konfigurieren den Weblistener so, dass eingehende Verbindungen mit dem Secure Channel-Zertifikat authentifiziert werden, das Sie im vorherigen Verfahren installiert haben.
Weitere Informationen zum Konfigurieren von Veröffentlichungsregeln in TMG finden Sie unter Konfigurieren der Webveröffentlichung.
Weitere Informationen zum SSL-Bridging in TMG 2010 finden Sie unter Informationen zu SSL-Bridging und -Veröffentlichung.
Mit dem folgenden Verfahren können Sie die Veröffentlichungsregel und den Weblistener erstellen.
Erstellen der Veröffentlichungsregel und des Weblisteners
Klicken Sie in der Forefront TMG-Verwaltungskonsole im linken Navigationsbereich mit der rechten Maustaste auf Firewallrichtlinie, und wählen Sie dann Neu aus.
Wählen Sie Veröffentlichungsregel für SharePoint-Standort aus.
Geben Sie im Assistenten für neue SharePoint-Veröffentlichungsregel im Textfeld Name den Namen der Veröffentlichungsregel ein (z. B. "Hybridveröffentlichungsregel"). Wählen Sie Weiter aus.
Wählen Sie Einzelne Website oder Lastenausgleich veröffentlichen aus, und wählen Sie dann Weiter aus.
Wenn Sie HTTP für die Verbindung zwischen TMG und Ihrer SharePoint Server-Farm verwenden möchten, wählen Sie Nicht gesicherte Verbindung verwenden aus, um eine Verbindung mit dem veröffentlichten Webserver oder der Serverfarm herzustellen, und wählen Sie dann Weiter aus.
Um HTTPS für die Verbindung zwischen TMG und Ihrer SharePoint Server-Farm zu verwenden, wählen Sie SSL zum Verbinden des veröffentlichten Webservers oder der Serverfarm verwenden aus, und wählen Sie dann Weiter aus.
Hinweis
Stellen Sie bei Verwendung von SSL sicher, dass für die primäre Webanwendung ein gültiges Zertifikat installiert ist.
Geben Sie im Dialogfeld Interne Veröffentlichungsdetails im Textfeld Interner Websitename den internen DNS-Namen der Bridging-URL ein, und wählen Sie dann Weiter aus. Dies ist die URL, die der TMG-Server verwendet, um Anforderungen an die primäre Webanwendung weiterzuleiten.
Hinweis
Geben Sie das Protokoll nicht ein (http:// oder https://).
Die Überbrückungs-URL ist im Arbeitsblatt zur SharePoint-Hybridbereitstellung an einer der folgenden Stellen angegeben:
Wenn Ihre primäre Webanwendung mit einer Websitesammlung mit dem Hostnamen konfiguriert ist, verwenden Sie den Wert in Zeile 1 (URL der primären Webanwendung) von Tabelle 5a: Primäre Webanwendung (websitesammlung mit Hostnamen).
Wenn Ihre primäre Webanwendung mit einer pfadbasierten Websitesammlung konfiguriert ist, verwenden Sie den Wert in Zeile 1 (URL der primären Webanwendung) von Tabelle 5b: Primäre Webanwendung (pfadbasierte Websitesammlung ohne AAM).
Wenn Ihre primäre Webanwendung mit einer pfadbasierten Websitesammlung mit AAM konfiguriert ist, verwenden Sie den Wert in Zeile 5 (URL der primären Webanwendung) von Tabelle 5c: Primäre Webanwendung (pfadbasierte Websitesammlung mit AAM).Geben Sie im Feld Computername oder IP-Adresse zum Herstellen einer Verbindung mit dem veröffentlichten Server verwenden optional die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) der primären Webanwendung oder des Netzwerklastenausgleichs ein, und wählen Sie dann Weiter aus.
Hinweis
Wenn TMG die primäre Webanwendung mit dem im vorherigen Schritt angegebenen Hostnamen auflösen kann, müssen Sie diesen Schritt nicht durchführen.
Akzeptieren Sie im Dialogfeld Details des öffentlichen Namens die Standardeinstellung im Menü Anforderungen annehmen für. Geben Sie im Textfeld Öffentlicher Name den Hostnamen Ihrer externen URL ein (z. B. "sharepoint.adventureworks.com"), und wählen Sie dann Weiter aus. Dies ist der Hostname in der externen URL, die SharePoint in Microsoft 365 verwendet, um eine Verbindung mit Ihrer SharePoint Server-Farm herzustellen.
Hinweis
Geben Sie das Protokoll nicht ein (http:// oder https://).
Die externe URL ist im Arbeitsblatt zur SharePoint-Hybridbereitstellung in Zeile 3 (External URL) von Table 3: Public Domain Info angegeben. Wählen Sie im Dialogfeld Weblistener auswählen die Option Neu aus.
Geben Sie im Dialogfeld Assistent für neuen Weblistener im Textfeld Name des Weblisteners einen Namen für den Weblistener ein, und wählen Sie dann Weiter aus.
Wählen Sie im Dialogfeld Clientverbindungssicherheit die Option SSL-gesicherte Verbindungen mit Clients erforderlich aus, und wählen Sie dann Weiter aus.
Wählen Sie im Dialogfeld Weblistener-IP-Adressendie Option Externe <Alle IP-Adressen> und dann Weiter aus.
Wenn Sie den Listener so einschränken möchten, dass er nur an einer bestimmten externen IP-Adresse lauscht, wählen Sie IP-Adressen auswählen aus, und wählen Sie dann im Dialogfeld Ip-Auswahl des externen Netzwerklistenersdie Option Angegebene IP-Adressen auf dem Forefront TMG-Computer im ausgewählten Netzwerk aus. Um eine IP-Adresse anzugeben, wählen Sie Hinzufügen und dann OK aus.
Wählen Sie im Dialogfeld Listener-SSL-Zertifikate die Option Einzelnes Zertifikat für diesen Weblistener verwenden und dann die Schaltfläche Zertifikat auswählen aus. Wählen Sie im Dialogfeld Zertifikat auswählen das SSL-Zertifikat für den sicheren Kanal aus, das Sie auf den TMG-Computer importiert haben, wählen Sie Auswählen und dann Weiter aus.
Wählen Sie im Dialogfeld Authentifizierungseinstellungen die Option SSL-Clientzertifikatauthentifizierung und dann Weiter aus. Diese Einstellung erzwingt Anmeldeinformationen im Clientzertifikat für eingehende Verbindungen unter Verwendung des Secure Channel-Zertifikats.
Um die Einstellungen für einmaliges Anmelden von Forefront TMG zu umgehen, wählen Sie Weiter aus.
Überprüfen Sie die Zusammenfassungsseite des neuen Listeners , und wählen Sie Fertig stellen aus. Dadurch gelangen Sie wieder zum Veröffentlichungsregel-Assistenten, in dem der neu erstellte Weblistener automatisch ausgewählt ist.
Vergewissern Sie sich im Dialogfeld Weblistener auswählen in der Dropdownliste Weblistener , dass der richtige Weblistener ausgewählt ist, und wählen Sie Weiter aus.
Wählen Sie im Dialogfeld Authentifizierungsdelegierungdie Option Keine Delegierung aus, aber client darf sich direkt in der Dropdownliste authentifizieren, und wählen Sie dann Weiter aus.
Wählen Sie im Dialogfeld Alternative Zugriffszuordnungskonfiguration die Option SharePoint AAM ist bereits auf dem SharePoint-Server konfiguriert aus, und wählen Sie dann Weiter aus.
Wählen Sie im Dialogfeld Benutzersätze den Eintrag Alle authentifizierten Benutzer und dann Entfernen aus. Wählen Sie dann Hinzufügen aus, und wählen Sie im Dialogfeld Benutzer hinzufügen die Option Alle Benutzer und dann Hinzufügen aus. Um das Dialogfeld Benutzer hinzufügen zu schließen, wählen Sie Schließen und dann Weiter aus.
Bestätigen Sie im Dialogfeld Assistenten für neue SharePoint-Veröffentlichungsregeln abschließen Ihre Einstellungen, und wählen Sie dann Fertig stellen aus.
Sie müssen nun mehrere Einstellungen in der soeben erstellten Veröffentlichungsregel überprüfen oder ändern.
Abschließen der Konfiguration der Veröffentlichungsregel
Wählen Sie in der Forefront TMG-Verwaltungskonsole im linken Navigationsbereich Firewallrichtlinie aus, klicken Sie in der Liste Firewallrichtlinienregeln mit der rechten Maustaste auf die Veröffentlichungsregel, die Sie gerade erstellt haben, und wählen Sie HTTP konfigurieren aus.
Vergewissern Sie sich im Dialogfeld HTTP-Richtlinie für Regel konfigurieren auf der Registerkarte Allgemein unter URL-Schutz, dass sowohl Normalisierung überprüfen als auch Hohe Bitzeichen blockieren deaktiviert sind, und wählen Sie dann OK aus.
Klicken Sie mit der rechten Maustaste auf die soeben erstellte Veröffentlichungsregel, und wählen Sie Eigenschaften aus.
Deaktivieren Sie im Dialogfeld Eigenschaften des <Regelnamens> auf der Registerkarte An das Feld Den ursprünglichen Hostheader weiterleiten anstelle des tatsächlichen Hostheaders. Stellen Sie unter Anforderungen an die veröffentlichte Site weiterleiten sicher, dass Ursprung der Anforderungen scheint der ursprüngliche Client zu sein ausgewählt ist.
Stellen Sie auf der Registerkarte Linkübersetzung sicher, dass das Kontrollkästchen Linkübersetzung für diese Regel anwenden richtig aktiviert/deaktiviert ist:
Wenn die interne URL Ihrer primären Webanwendung und die externe URL identisch sind, deaktivieren Sie das Kontrollkästchen Linkübersetzung auf diese Regel anwenden .
Falls die interne URL Ihrer primären Webanwendung und die externe URL unterschiedlich sind, aktivieren Sie das Kontrollkästchen Linkübersetzung für diese Regel anwenden.
Stellen Sie auf der Registerkarte Bridging unter Webserver sicher, dass das richtige Kontrollkästchen Anforderungen an <HTTP-Port oder SSL-Port> umleiten aktiviert ist und dass der Port im Textfeld dem Port entspricht, für den Ihre interne Website konfiguriert ist.
Klicken Sie auf OK, um Ihre Änderungen an der Veröffentlichungsregel zu speichern.
Wählen Sie in der Forefront TMG-Verwaltungskonsole auf der oberen Leiste die Option Übernehmen aus, um Ihre Änderungen auf TMG anzuwenden. Die Verarbeitung der Änderungen, die Sie an TMG durchgeführt haben, kann ein paar Minuten dauern.
Klicken Sie zum Überprüfen Ihrer Konfiguration mit der rechten Maustaste in der Liste Firewallrichtlinienregeln auf die neue Veröffentlichungsregel, und wählen Sie Eigenschaften aus.
Wählen Sie im Dialogfeld Eigenschaften des <Regelnamens> die Schaltfläche Testregel aus. TMG führt eine Reihe von Tests aus, um die Konnektivität mit der SharePoint in Microsoft 365-Website zu überprüfen, und zeigt die Ergebnisse der Tests in einer Liste an. Wählen Sie die einzelnen Konfigurationstests aus, um eine Beschreibung des Tests und seiner Ergebnisse anzuzeigen. Beheben Sie alle angezeigten Fehler.
Siehe auch
Konzepte
Hybridlösung für SharePoint Server
Konfigurieren eines Reverseproxygeräts für SharePoint Server-Hybridbereitstellung