Настройка Forefront TMG для гибридной среды
**Применимо к:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016
**Последнее изменение раздела:**2017-06-22
Сводка: Сведения о настройке Forefront TMG 2010 как устройство обратного прокси-сервера в гибридной среде SharePoint.
В этой статье приводятся сведения о установите копирование Forefront Threat Management Gateway (TMG) 2010 для использования в качестве обратного прокси-сервера для гибридной среды SharePoint Server.
Подробные сведения о Forefront Threat Management Gateway (TMG) 2010 см. в статье Forefront Threat Management Gateway (TMG) 2010.
В этой статье
Перед началом работы
Установка TMG 2010
Установка сертификата безопасного канала
Настройка TMG 2010
Перед началом работы
Перед началом работы необходимо знать следующее.
TMG необходимо разворачивать в пограничной конфигурации с минимум одним сетевым адаптером, подключенным к Интернету и настроенным для внешней сети в TMG, и минимум одним сетевым адаптером, подключенным к интрасети и настроенным для внутренней сети в TMG.
Сервер TMG должен быть членом домена в лесу Active Directory домена, который содержит сервер Службы федерации Active Directory (AD FS) 2.0. Сервер TMG должен быть присоединен к этому домену для использования проверки подлинности сертификата клиента SSL, который используется для проверки подлинности входящих подключений от SharePoint Online.
Security Общей рекомендацией для пограничного развертывания является стандартная установка Forefront TMG в отдельном лесу (вместо использования внутреннего леса вашей корпоративной сети) с односторонним отношением доверия к корпоративному лесу. Однако вы можете настроить проверку подлинности сертификата клиента только для пользователей в домене, к которому присоединен сервер TMG. Поэтому эту рекомендацию не следует использовать в случае гибридных сред.
Дополнительные сведения о топологии сети TMG см. в статье Особенности развертывания в рабочей группе и домене.Развертывание TMG 2010 для использования в гибридной среде SharePoint Server в конфигурации с двумя межсетевыми экранами теоретически возможно, но оно не было протестировано и может не работать.
TMG 2010 включает в себя ведения журнала диагностики и интерфейс в режиме реального времени ведения журнала. Ведение журнала играет важную роль в Устранение неполадок, связанных с подключения и проверки подлинности между SharePoint Server и SharePoint Online. Определение компонента, который вызывает сбой подключения может оказаться сложной задачей, и журналы TMG являются основным средством, которые следует обратить внимание на сведения. Устранение неполадок может включать в себя сравнение журнала событий от TMG журналы, журналы ULS SharePoint Server, Windows Server журналы событий и журналы IIS на нескольких серверах.
Дополнительные сведения о настройке и использовании ведения журнала в TMG 2010 см. в статье Использование журнала ведения диагностики.
Дополнительные сведения об общем устранении неполадок в TMG 2010 см. в статье Устранение неполадок в Forefront TMG.
Дополнительные сведения об устранении неполадок методах и средствах для SharePoint Server гибридные среды можно Устранение неполадок в гибридных средах.
Установка TMG 2010
Если вы еще не установили TMG 2010 и не настроили его для своей сети, используйте этот раздел для установки TMG 2010 и подготовки системы TMG.
Установка TMG 2010
Установите Forefront TMG 2010, если вы еще этого не сделали. Дополнительные сведения об установке TMG 2010 см. в статье Развертывание Forefront TMG.
Установите все доступные пакеты обновления и отдельные обновления для TMG 2010. Дополнительные сведения см. в статье Установка пакетов обновления для Forefront TMG.
Присоедините серверный компьютер TMG к локальному домену Active Directory, если первый еще не является его членом.
Дополнительные сведения о развертывании TMG 2010 в среде домена см. в статье Особенности развертывания в рабочей группе и домене.
Импорт SSL-сертификата безопасного канала
SSL-сертификат безопасного канала необходимо импортировать в личное хранилище учетной записи локального компьютера и личное хранилище учетной записи службы Microsoft Forefront TMG Firewall (fwsvc).
Расположение SSL-сертификата безопасного канала записано в строке 1 ("Расположение и имя файла SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". Если сертификат содержит закрытый ключ, вам потребуется указать пароль сертификата, записанный в строке 4 ("Пароль SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". |
Импорт сертификата
Скопируйте файл сертификата из указанного в рабочем листе расположения в папку на локальном жестком диске.
На обратном прокси-сервере откройте консоль управления (MMC) и добавьте привязку Управление сертификатами для локальной учетной записи компьютера и локальной учетной записи службы fwsrv.
Примечание
После установки TMG 2010 понятным именем службы fwsrv будет служба Microsoft Forefront TMG Firewall.
Импортируйте SSL-сертификат безопасного канала в Персональное хранилище сертификатов учетной записи компьютера.
Импортируйте SSL-сертификат безопасного канала в Персональное хранилище сертификатов учетной записи службы fwsrv.
Дополнительные сведения об импорте SSL-сертификата см. в статье Импорт сертификата.
Настройка TMG 2010
В этом разделе Настройка веб-прослушивателя и правила публикации , который будет получать входящие запросы от SharePoint Online и передает их основного веб-приложения SharePoint Server фермы. Веб-прослушивателя и правила публикации совместно для определения правил подключения и предварительная проверка подлинности и ретрансляции запросов. Настройка веб-прослушиватель для проверки подлинности входящих подключений на основе сертификат безопасного канала, который установлен в последней процедуры.
Дополнительные сведения о настройке правил публикации в TMG см. в статье Настройка веб-публикации.
Дополнительные сведения о мосте SSL в TMG 2010 см. в статье Сведения о мосте SSL и публикации.
Используйте следующую процедуру, чтобы создать правило публикации и веб-прослушиватель.
Создание публикации правила и веб-прослушивателя
В левой области навигации консоли управления Forefront TMG щелкните правой кнопкой мыши пункт Политика брандмауэра, затем выберите Создать.
Выберите Правило публикации сайта SharePoint.
В Мастере создания правила публикации SharePoint в текстовом поле Имя введите имя правила публикации (например, "Гибридное правило публикации"). Щелкните Далее.
Выберите Опубликовать один веб-сайт или систему балансировки нагрузки, затем щелкните Далее.
Чтобы использовать HTTP для подключения между TMG и фермой SharePoint Server, выберите использовать незащищенное соединение для подключения к опубликованному веб-серверу или ферме серверов и нажмите кнопку Далее.
Чтобы использовать HTTPS для подключения между TMG и фермой SharePoint Server, выберите Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов и нажмите кнопку Далее.
Примечание
Если вы используете SSL, убедитесь, что на основном веб-приложении установлен действительный сертификат.
В диалоговом окне Сведения о внутренней публикации в текстовом поле Внутреннее имя веб-сайта введите внутреннее DNS-имя URL-адреса моста, а затем нажмите кнопку Далее. Сервер TMG использует этот URL-адрес для ретрансляции запросов в основное веб-приложение.
Примечание
Не вводите протокол (http:// или https://).
URL-адрес моста записан в одном следующих мест в рабочем листе гибридной среды SharePoint:
Если основное веб-приложение использует семейство сайтов с именем узла, используйте значение из строки 1 ("URL-адрес основного веб-приложения") таблицы 5a, "Основное веб-приложение (семейство сайтов с именем узла)".
Если основное веб-приложение использует семейство сайтов на основе пути, используйте значение из строки 1 ("URL-адрес основного веб-приложения") таблицы 5b, "Основное веб-приложение (семейство сайтов на основе пути без AAM)".
Если основное веб-приложение использует семейство сайтов на основе пути с AAM, используйте значение из строки 5 ("URL-адрес основного веб-приложения") таблицы 5b, "Основное веб-приложение (семейство сайтов на основе пути с AAM)".
В поле Используйте имя или IP-адрес компьютера для подключения к опубликованному серверу можно ввести IP-адрес или полное доменное имя (FQDN) основного веб-приложения или подсистемы балансировки сетевой нагрузки. Затем щелкните Далее.
Примечание
Если TMG может разрешить основное веб-приложение с помощью имени узла, указанного в предыдущем шаге, вам не нужно выполнять это действие.
В диалоговом окне Общих сведений имя примите значение по умолчанию в меню принимать запросы. В поле имя введите имя узла Внешнего URL-адреса (например, «sharepoint.adventureworks.com») и нажмите кнопку Далее. Это имя узла в внешний URL-адрес этого SharePoint Online будет использоваться для подключения с SharePoint Server фермы.
Примечание
Не вводите протокол (http:// или https://).
Внешний URL-адрес записан в строке 3 ("Внешний URL-адрес") таблицы 3, "Сведения об общедоступном домене" в рабочем листе гибридной среды SharePoint.
В диалоговом окне Выбор веб-прослушивателя выберите Создать.
В диалоговом окне Мастер создания веб-прослушивателя в текстовом поле Имя веб-прослушивателя введите имя для веб-прослушивателя, а затем щелкните Далее.
В диалоговом окне "Безопасность клиентских подключений" выберите Требовать безопасного подключения SSL для клиентов, а затем нажмите Далее.
В диалоговом окне IP-адреса веб-прослушивателя выберите Внешний <Все IP-адреса>, а затем нажмите Далее.
Если вы хотите ограничить прослушиватель для прослушивания только определенного внешнего IP-адреса, нажмите кнопку Выбрать IP-адреса, а затем в диалоговом окне Выбор IP-адресов для прослушивателя внешней сети выберите Указанные IP-адреса на компьютере Forefront TMG выбранной сети. Нажмите Добавить, чтобы указать IP-адреса, затем нажмите кнопку ОК.
В диалоговом окне SSL-сертификаты прослушивателя выберите Использовать единый сертификат для данного веб-прослушивателя и нажмите кнопку Выбрать сертификат. В диалоговом окне Выбрать сертификат выберите SSL-сертификат безопасного канала, который вы импортировали на компьютер TMG, щелкните Выбрать, а затем нажмите Далее.
В диалоговом окне Параметры проверки подлинности выберите Проверка подлинности SSL-сертификата клиента, а затем нажмите Далее. Этот параметр принудительно использует учетные данные сертификата клиента для входящих подключений, используя сертификат безопасного канала.
Нажмите Далее, чтобы обойти параметры единого входа Forefront TMG.
Просмотрите страницу сводных сведений Создать прослушиватель и нажмите кнопку Готово. Вы возвратитесь к Мастеру правил публикации, в котором созданный веб-прослушиватель будет выбран автоматически.
В диалоговом окне Выбор веб-прослушивателя в раскрывающемся меню Веб-прослушиватель убедитесь, что выбран правильный веб-прослушиватель и нажмите Далее.
В диалоговом окне Делегирование проверки подлинности выберите в раскрывающемся меню Без делегирования, но клиент может выполнять проверку подлинности напрямую, а затем нажмите Далее.
В диалоговом окне Настройки альтернативного сопоставления доступа выберите Альтернативное сопоставление доступа SharePoint уже настроено на сервере SharePoint, а затем нажмите Далее.
В диалоговом окне Наборы учетных записей выберите запись Все пользователи, подлинность которых подтверждена и щелкните Удалить. Затем щелкните Добавить, а в диалоговом окне Добавление пользователей выберите Все пользователи, после чего нажмите Добавить. Нажмите кнопку Закрыть, чтобы закрыть диалоговое окно Добавление пользователей, а затем нажмите кнопку Далее.
В диалоговом окне Завершение работы мастера создания правила публикации SharePoint подтвердите выбранные параметры и нажмите Готово.
Существует несколько параметров в созданном правиле публикации, которые необходимо проверить или изменить.
Завершение настройки правила публикации
В консоли управления Forefront TMG в левой области навигации выберите пункт Политика брандмауэра, а в списке Правила политики брандмауэра щелкните правой кнопкой мыши только что созданное правило публикации и щелкните Настроить HTTP.
В диалоговом окне Настройка политики HTTP для правила на вкладке Общие под элементом Защита URL-адреса убедитесь, что сняты флажки Проверять нормализацию и Блокировать символы расширенного набора, после чего нажмите кнопку ОК.
Щелкните правой кнопкой мыши созданное правило публикации еще раз и выберите элемент Свойства.
В диалоговом окне Свойства <имя правила> на вкладке Кому снимите флажок Пересылать исходный заголовок сайта вместо действительного. Убедитесь, что под элементом Запросы прокси на опубликованный сайт выбран пункт Запросы приходят от исходного клиента.
Убедитесь, что на вкладке Преобразование ссылок установлен флажок Применить преобразование ссылок к этому правилу.
Если внутренний URL-адрес вашего основного веб-приложения и внешний URL-адрес идентичны, снимите флажок Применить преобразование ссылок к этому правилу.
Если внутренний URL-адрес вашего основного веб-приложения отличается от внешнего URL-адреса, установите флажок Применить преобразование ссылок к этому правилу.
Убедитесь, что на вкладке Мост под элементом Веб-сервер установлен флажок Перенаправлять запросы на <HTTP-порт или SSL-порт>, и что порт в текстовом поле соответствует порту, на использование которого настроен ваш внутренний сайт.
Нажмите ОК, чтобы сохранить изменения в правиле публикации.
В консоли управления Forefront TMG на верхней панели щелкните Применить, чтобы применить ваши изменения в TMG. Обработка изменений для TMG может занять несколько минут.
Чтобы проверить конфигурацию, щелкните правой кнопкой мыши новое правило публикации в списке Правила политики брандмауэра и выберите пункт Свойства.
В диалоговом окне Свойства <имя правила> нажмите кнопку Тестировать правило. TMG выполнит серию проверок, чтобы проверить возможность подключения к сайту SharePoint, и отобразит в списке результаты тестов. Щелкните каждую проверку конфигурации, чтобы получить описание проверки и ее результатов. Исправьте любые возникшие ошибки.
See also
Гибридная конфигурация SharePoint Server
Настройка устройства обратного прокси-сервера для гибридной среды SharePoint Server
Настройка веб-публикации
Forefront Threat Management Gateway (TMG) 2010