Compartir a través de

Configurar Forefront TMG para un entorno híbrido

  • Artículo

SE APLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

En este artículo se explica cómo configurar Forefront Threat Management Gateway (TMG) 2010 para su uso como proxy inverso para un entorno híbrido de SharePoint Server.

Antes de empezar

Hay algunas cosas que debe saber antes de empezar:

  • TMG se tiene que implementar en una configuración de servidor perimetral donde haya, como mínimo, un adaptador de red conectado a Internet y configurado para la red externa en TMG y un adaptador de red conectado a la intranet y configurado para la red interna de TMG.

  • El servidor TMG tiene que ser un miembro de dominio en el bosque de dominio de Active Directory que contiene el servidor de Servicios de federación de Active Directory (AD FS) 2.0. El servidor TMG debe estar unido a este dominio para usar la autenticación de certificados de cliente SSL, que se usa para autenticar las conexiones entrantes desde SharePoint en Microsoft 365.

    Nota:

    El procedimiento recomendado general en las implementaciones de servidor perimetral consiste en instalar Forefront TMG en un bosque independiente (y no en el bosque interno de la red corporativa) con una confianza unidireccional al bosque corporativo. Sin embargo, la autenticación de certificados de cliente se puede configurar solamente para los usuarios del dominio al que el servidor de TMG se haya unido, de modo que este procedimiento no se puede usar en entornos híbridos.

    Para obtener más información sobre las consideraciones de topología de red de TMG, consulte Consideraciones de grupo de trabajo y dominio.

  • La implementación de TMG 2010 para su uso en un entorno híbrido de SharePoint Server en una configuración back-to-back es teóricamente posible, pero no se ha probado y puede que no funcione.

  • TMG 2010 incluye el registro de diagnóstico y una interfaz de registro en tiempo real. El registro desempeña un papel importante en la solución de problemas de conectividad y autenticación entre SharePoint Server y SharePoint en Microsoft 365. Identificar el componente que provoca un error de conexión puede ser complicado y los registros de TMG son el primer lugar donde debe buscar pistas. La solución de problemas puede implicar la comparación de eventos de registro de registros de TMG, registros ULS de SharePoint Server, registros de eventos de Windows Server y registros de Internet Information Services (IIS) en varios servidores.

Para obtener más información sobre cómo configurar y usar el registro en TMG 2010, consulte Uso del registro de diagnóstico.

Para obtener más información sobre las técnicas y herramientas de solución de problemas para entornos híbridos de SharePoint Server, consulte Solución de problemas de entornos híbridos.

Instalar TMG 2010

Si todavía no ha instalado TMG 2010 ni lo ha configurado en la red, use esta sección para instalar TMG 2010 y preparar el sistema de TMG.

Instalar TMG 2010

  1. Instale Forefront TMG 2010 si aún no lo ha hecho. Para obtener más información sobre cómo instalar TMG 2010, consulte Forefront TMG Deployment(Implementación de Forefront TMG).

  2. Instale todos los Service Pack y actualizaciones de TMG 2010 que haya disponibles. Para obtener más información, consulte Instalación de Service Pack de Forefront TMG.

  3. Una el equipo servidor de TMG al dominio local de Active Directory, si todavía no es miembro del dominio.

    Para obtener más información sobre la implementación de TMG 2010 en un entorno de dominio, consulte Consideraciones sobre el grupo de trabajo y el dominio.

Instalar el certificado SSL de canal seguro

Debe importar el certificado SSL de canal seguro tanto en el almacén Personal de la cuenta de equipo local como en el almacén Personal de la cuenta de servicio de firewall de Microsoft Forefront TMG (fwsvc).

   
Icono Editar La ubicación del certificado SSL de canal seguro está registrado en la fila 1 (Secure Channel SSL Certificate location and Filename) de la tabla 4b: Secure Channel SSL Certificate.
Si el certificado contiene una clave privada, tendrá que proporcionar la contraseña del certificado, que está registrado en la fila 4 (Secure Channel SSL Certificate password) de la tabla 4b: Secure Channel SSL Certificate.

Importar el certificado

  1. Copie el archivo de certificado desde la ubicación especificada en la hoja de cálculo a una carpeta del disco duro local.

  2. En el servidor proxy inverso, abra MMC y agregue el complemento Administración de certificados para la cuenta de equipo local y la cuenta de servicio fwsrv local.

    Nota:

    Tras instalar TMG 2010, el nombre descriptivo del servicio fwsrv es el servicio Microsoft Forefront TMG Firewall.

  3. Importe el certificado SSL de canal seguro al almacén de certificados Personal de la cuenta de equipo.

  4. Importe el certificado SSL de canal seguro al almacén de certificados Personal de la cuenta de servicio fwsrv.

Para obtener más información sobre cómo importar un certificado SSL, consulte Importación de un certificado.

Configurar TMG 2010

En esta sección, configurará un agente de escucha web y una regla de publicación que recibirá solicitudes entrantes de SharePoint en Microsoft 365 y las retransmitirá a la aplicación web principal de la granja de servidores de SharePoint Server. La escucha de web y la regla de publicación funcionan de manera conjunta para definir las reglas de conexión y para preautenticar y retransmitir las solicitudes. Configuraremos la escucha de web para autenticar las conexiones entrantes con el certificado de canal seguro que instalamos en el procedimiento anterior.

Para obtener más información sobre cómo configurar reglas de publicación en TMG, consulte Configuración de la publicación web.

Para obtener más información sobre el puente SSL en TMG 2010, consulte Acerca del puente SSL y la publicación.

Realice el siguiente procedimiento para crear la regla de publicación y la escucha de web.

Crear la regla de publicación y la escucha de web

  1. En la consola de administración de Forefront TMG, en el panel de navegación izquierdo, haga clic con el botón derecho en Directiva de firewall y, a continuación, seleccione Nuevo.

  2. Seleccione Regla de publicación de sitio de SharePoint.

  3. En el Asistente para nueva regla de publicación de SharePoint, en el cuadro de texto Nombre , escriba el nombre de la regla de publicación (por ejemplo, "Regla de publicación híbrida"). Seleccione Siguiente.

  4. Seleccione Publicar un único sitio web o equilibrador de carga y, a continuación, seleccione Siguiente.

  5. Para usar HTTP para la conexión entre TMG y la granja de servidores de SharePoint Server, seleccione Usar conexión no protegida para conectar el servidor web publicado o la granja de servidores y, a continuación, seleccione Siguiente.

    Para usar HTTPS para la conexión entre TMG y la granja de servidores de SharePoint Server, seleccione Usar SSL para conectar el servidor web publicado o la granja de servidores y, a continuación, seleccione Siguiente.

    Nota:

    Si usa SSL, procure tener un certificado válido instalado en la aplicación web principal.

  6. En el cuadro de diálogo Detalles de publicación internos , en el cuadro de texto Nombre de sitio interno , escriba el nombre DNS interno de la dirección URL de puente y, a continuación, seleccione Siguiente. Esta es la dirección URL que usamos para retransmitir las solicitudes a la aplicación web principal.

    Nota:

    No escriba el protocolo (http:// o https://).

       
    Icono Editar La dirección URL puente se registra en una de las siguientes ubicaciones de la hoja de cálculo SharePoint Hybrid:
    Si la aplicación web principal está configurada con una colección de sitios con nombre de host, use el valor de la fila 1 (dirección URL de la aplicación web principal) de La tabla 5a: aplicación web principal (colección de sitios con nombre de host).
    Si la aplicación web principal está configurada con una colección de sitios basada en ruta de acceso, use el valor de la fila 1 (dirección URL de la aplicación web principal) de la tabla 5b: aplicación web principal (colección de sitios basada en rutas de acceso sin AAM).
    Si la aplicación web principal está configurada con una colección de sitios basada en rutas de acceso con AAM , use el valor de la fila 5 (dirección URL de la aplicación web principal) de la tabla 5c: aplicación web principal (colección de sitios basada en rutas de acceso con AAM).

  7. En el cuadro Usar un nombre de equipo o una dirección IP para conectarse al servidor publicado , escriba opcionalmente la dirección IP o el nombre de dominio completo (FQDN) de la aplicación web principal o el equilibrador de carga de red y, a continuación, seleccione Siguiente.

    Nota:

    No es necesario que realice este paso si TMG puede resolver la aplicación web principal con el nombre de host del paso anterior.

  8. En el cuadro de diálogo Detalles de nombre público, acepte la configuración predeterminada en el menú Aceptar peticiones para. En el cuadro de texto Nombre público , escriba el nombre de host de la dirección URL externa (por ejemplo, "sharepoint.adventureworks.com") y, a continuación, seleccione Siguiente. Este es el nombre de host de la dirección URL externa que SharePoint en Microsoft 365 usará para conectarse con la granja de servidores de SharePoint Server.

    Nota:

    No escriba el protocolo (http:// o https://).

       
    Icono Editar La dirección URL externa está registrada en la fila 3 (External URL) de la tabla 3: Public Domain Info en la hoja de cálculo SharePoint Hybrid.

  9. En el cuadro de diálogo Seleccionar escucha de web, seleccione Nuevo.

  10. En el cuadro de diálogo Asistente para nuevo agente de escucha web , en el cuadro de texto Nombre del agente de escucha web , escriba un nombre para el agente de escucha web y, a continuación, seleccione Siguiente.

  11. En el cuadro de diálogo Seguridad de conexión de cliente, seleccione Requerir conexiones seguras SSL con clientes y, a continuación, seleccione Siguiente.

  12. En el cuadro de diálogo Direcciones IP del agente de escucha web, seleccione Todas las direcciones IP externas <>y, a continuación, seleccione Siguiente.

    Si desea restringir que el agente de escucha escuche solo en una dirección IP externa específica, seleccione Seleccionar direcciones IP y, a continuación, en el cuadro de diálogo Selección de IP del agente de escucha de red externa , seleccione Direcciones IP especificadas en el equipo Forefront TMG de la red seleccionada. Para especificar una dirección IP, seleccione Agregar y, a continuación, seleccione Aceptar.

  13. En el cuadro de diálogo Certificados SSL de agente de escucha , seleccione Usar un único certificado para este agente de escucha web y seleccione el botón Seleccionar certificado . En el cuadro de diálogo Seleccionar certificado , seleccione el certificado SSL de canal seguro que importó en el equipo TMG, seleccione Seleccionar y, a continuación, seleccione Siguiente.

  14. En el cuadro de diálogo Configuración de autenticación , seleccione Autenticación de certificado de cliente SSL y, a continuación, seleccione Siguiente. Esta configuración obliga al uso de credenciales de certificado de cliente en las conexiones entrantes mediante el certificado de canal seguro.

  15. Para omitir la configuración de inicio de sesión único de Forefront TMG, seleccione Siguiente.

  16. Revise la página Nuevo resumen del agente de escucha y seleccione Finalizar. Volverá al Asistente para la publicación de reglas, donde aparecerá seleccionada automáticamente la escucha que acabamos de crear.

  17. En el cuadro de diálogo Seleccionar agente de escucha web , en la lista desplegable Agente de escucha web , asegúrese de que está seleccionado el agente de escucha web correcto y seleccione Siguiente.

  18. En el cuadro de diálogo Delegación de autenticación , seleccione Sin delegación, pero el cliente puede autenticarse directamente en la lista desplegable y, a continuación, seleccione Siguiente.

  19. En el cuadro de diálogo Configuración de asignación de acceso alternativa , seleccione SharePoint AAM ya está configurado en el servidor de SharePoint y, a continuación, seleccione Siguiente.

  20. En el cuadro de diálogo Conjuntos de usuarios, seleccione la entrada Todos los usuarios autenticados y seleccione Quitar. A continuación, seleccione Agregar y, en el cuadro de diálogo Agregar usuarios , seleccione Todos los usuarios y, a continuación, seleccione Agregar. Para cerrar el cuadro de diálogo Agregar usuarios , seleccione Cerrar y, a continuación, seleccione Siguiente.

  21. En el cuadro de diálogo Finalización del Asistente para nueva regla de publicación de SharePoint , confirme la configuración y, a continuación, seleccione Finalizar.

Llegado este punto, hay algunas opciones que debe confirmar o cambiar en la regla de publicación que acabamos de crear.

Finalizar la configuración de la regla de publicación

  1. En la consola de administración de Forefront TMG, en el panel de navegación izquierdo, seleccione Directiva de firewall y, en la lista Reglas de directiva de firewall , haga clic con el botón derecho en la regla de publicación que acaba de crear y seleccione Configurar HTTP.

  2. En el cuadro de diálogo Configurar directiva HTTP para regla , en la pestaña General , en Protección de direcciones URL, confirme que la opción Comprobar normalización y Bloquear caracteres de bits altos está desactivada y, a continuación, seleccione Aceptar.

  3. Haga clic con el botón derecho en la regla de publicación que acaba de crear y seleccione Propiedades.

  4. En el <cuadro de diálogo Propiedades del nombre> de regla , en la pestaña Para , desactive el encabezado Reenviar el host original en lugar del cuadro uno real . En Peticiones del proxy al sitio publicado, asegúrese de que se ha seleccionado Las peticiones parecen provenir del cliente original.

  5. En la pestaña Traducción de vínculos, asegúrese de que la casilla Aplicar traducción de vínculos a esta regla está activada correctamente:

  • Si la dirección URL interna de la aplicación web principal y la dirección URL externa son idénticas, desactive la casilla Aplicar traducción de vínculos a esta regla .

  • Actívelasi la dirección URL interna de la aplicación web principal y la dirección URL externa son distintas.

  1. En la pestaña Puente, en Servidor web, asegúrese de que la casilla de verificación Solicitudes de redirección correctas al puerto HTTP o al <puerto> SSL está activada y que el puerto del cuadro de texto corresponde al puerto que el sitio interno está configurado para usarse.

  2. Para guardar los cambios en la regla de publicación, seleccione Aceptar.

  3. En la consola de administración de Forefront TMG, en la barra superior, para aplicar los cambios a TMG, seleccione Aplicar. Es posible que TMG tarde entre uno y dos minutos en procesar los cambios.

  4. Para validar la configuración, haga clic con el botón derecho en la nueva regla de publicación en la lista Reglas de directiva de firewall y seleccione Propiedades.

  5. En el <cuadro de diálogo Propiedades del nombre> de regla , seleccione el botón Probar regla . TMG ejecuta una serie de pruebas para comprobar si hay conectividad con el sitio de SharePoint en Microsoft 365 y muestra los resultados de las pruebas en una lista. Para obtener una descripción de la prueba y sus resultados, seleccione cada prueba de configuración. Corrija los errores que pueda haber.

Vea también

Conceptos

Entorno híbrido para SharePoint Server

Configurar un dispositivo de proxy inverso para un entorno híbrido de SharePoint Server

Otros recursos

Configuración de la publicación web