配置混合环境的 Forefront TMG
**上一次修改主题:**2017-06-22
**摘要:**了解如何配置 Forefront TMG 2010 作为 SharePoint 混合环境中的反向代理服务器设备。
本文介绍了如何设置为反向代理服务器为混合SharePoint Server环境最前沿威胁管理网关 (TMG) 2010年供使用。
有关 Forefront 威胁管理网关 (TMG) 2010 的完整信息,请参阅 Forefront 威胁管理网关 (TMG) 2010。
本文内容:
开始之前
安装 TMG 2010
安装安全通道证书
配置 TMG 2010
开始之前
在开始之前,需要了解以下事项:
必须在边缘配置中部署 TMG,并至少将一个网络适配器连接到 Internet 并针对 TMG 中的外部网络进行配置,至少将一个网络适配器连接到 Intranet 网络并针对 TMG 中的内部网络进行配置。
TMG 服务器必须是 Active Directory 域林中包含Active Directory 联合身份验证服务 (AD FS) 2.0服务器是域成员。TMG 服务器已经加入到该域中使用 SSL 客户端证书身份验证用于验证来自SharePoint Online的入站的连接。
.gif "安全注释")
Security作为边缘部署的常用最佳做法,正常情况下,您应在单独的林(而不是公司网络的内部林)中安装 Forefront TMG,其具有对公司林的单向信任关系。但是,您仅可以 TMG 服务器已加入的域中的用户配置客户端证书身份验证,因此,混合环境中无法遵照此做法。
若要详细了解 TMG 网络拓扑注意事项,请参阅工作组和域考虑事项。使用背对背配置SharePoint Server混合环境中部署 TMG 2010 理论上可以但尚未经过测试,可能无法工作。
TMG 2010 包括诊断日志记录和实时记录接口。日志记录扮演重要的角色,连接和SharePoint Server和SharePoint Online之间的身份验证与解决问题。标识导致连接失败的组件可以是富有挑战性的而将 TMG 日志的第一个位置,您应查找线索。故障诊断可包括比较来自 TMG 日志、 SharePoint Server ULS 日志、 Windows Server事件日志和多个服务器上的Internet Information Services (IIS)日志的日志事件。
若要详细了解如何在 TMG 2010 中配置和使用日志记录,请参阅 Using diagnostic logging(使用诊断日志记录)。
若要详细了解 TMG 2010 常见疑难解答,请参阅 Forefront TMG Troubleshooting(Forefront TMG 疑难解答)。
故障排除技术和工具可用于SharePoint Server混合环境的详细信息,请参阅混合环境故障排除。
安装 TMG 2010
如果您还没有安装 TMG 2010 并针对网络进行配置,请使用本节中的内容安装 TMG 2010 并准备 TMG 系统。
安装 TMG 2010
安装 Forefront TMG 2010(如果尚未安装的话)。若要详细了解如何安装 TMG 2010,请参阅 Forefront TMG 部署。
安装 TMG 2010 的所有已发布 Service Pack 和更新程序。有关详细信息,请参阅安装 Forefront TMG Service Pack。
如果 TMG 服务器计算机还不是域成员,则将其加入本地 Active Directory 域。
若要详细了解如何将 TMG 2010 部署到域环境中,请参阅工作组和域考虑事项。
导入安全通道 SSL 证书
您必须将安全通道 SSL 证书导入到本地计算机帐户的个人存储,以及 Microsoft Forefront TMG 防火墙服务帐户 (fwsvc) 的个人存储。
.png "Edit icon") |
安全通道 SSL 证书的位置记录在表 4b:安全通道 SSL 证书中的第 1 行(安全通道 SSL 证书的位置和文件名)。 如果证书包含一个私钥,您将需要提供证书密码,密码记录在表 4b:安全通道 SSL 证书中的第 4 行(安全通道 SSL 证书的密码)。 |
导入证书
将证书文件从工作表中指定的位置复制到本地硬盘上的某个文件夹中。
在反向代理服务器上,打开 MMC 并为本地计算机帐户和本地 fwsrv 服务帐户添加证书管理管理单元。
备注
安装 TMG 2010 后,fwsrv 服务的友好名称为 Microsoft Forefront TMG 防火墙服务。
将安全通道 SSL 证书导入计算机帐户的个人证书存储中。
将安全通道 SSL 证书导入 fwsrv 服务帐户的个人证书存储中。
若要详细了解如何导入 SSL 证书,请参阅导入证书。
配置 TMG 2010
在本节中,您可以配置web 侦听器和发布规则将从SharePoint Online接收的入站的请求和这些中继的SharePoint Server场主 web 应用程序。Web 侦听器和发布规则一起定义连接规则和预身份验证并请求中继。配置 web 侦听器来验证使用安全通道的证书安装在最后一个过程中的入站的连接。
若要详细了解如何在 TMG 中配置发布规则,请参阅配置 Web 发布。
若要详细了解 TMG 2010 中的 SSL 桥接,请参阅 About SSL bridging and publishing(关于 SSL 桥接和发布)。
使用以下过程创建发布规则和 Web 侦听器。
创建发布规则和 web 侦听器
在 Forefront TMG 管理控制台的左侧导航窗格中,右键单击"防火墙策略",然后单击"新建"。
选择"SharePoint 站点发布规则"。
在"新建 SharePoint 发布规则向导"的"名称"文本框中,键入发布规则的名称(例如,"混合发布规则")。单击"下一步"。
选择"发布单个网站或负载平衡器",然后单击"下一步"。
用于HTTP TMG 和SharePoint Server场之间的连接,选择使用非安全连接来连接发布的 Web 服务器或服务器场,然后单击下一步。
若要使用HTTPS TMG 和SharePoint Server场之间的连接,选择使用 SSL 连接发布的 Web 服务器或服务器场,,然后单击下一步。
备注
如果使用 SSL,请确保已在主 Web 应用程序上安装了有效证书。
在"内部发布详细信息"对话框的"内部站点名称"文本框中,键入桥接 URL 的内部 DNS 名称,然后单击"下一步"。这是 TMG 服务器将请求中继到主 Web 应用程序时使用的 URL。
备注
请勿键入协议(http:// 或 https://)。
桥接 URL 记录在 SharePoint 混合工作表中的以下位置之一:
如果您的主 Web 应用程序使用以主机命名的网站集配置,请使用表 5a:主 Web 应用程序(以主机命名的网站集)第 1 行(主 Web 应用程序 URL)中的值。
如果您的主 Web 应用程序使用基于路径的网站集配置,请使用表 5b:主 Web 应用程序(基于路径的网站集,不带 AAM)第 1 行(主 Web 应用程序的 URL)中的值。
如果您的主 Web 应用程序使用基于路径的网站集,带 AAM配置,请使用表 5c:主 Web 应用程序(基于路径的网站集,带 AAM)第 5 行(主 Web 应用程序 URL)中的值。
在"使用计算机名称或 IP 地址连接到发布的服务器"框中,选择键入主 Web 应用程序或网络负载平衡器的 IP 地址或完全限定的域名 (FQDN),然后单击"下一步"。
备注
如果 TMG 可以使用您在上一步骤中提供的主机名解析主 Web 应用程序,则您无需执行此步骤。
在公共名称详细信息对话框中,接受默认设置在接受请求菜单上。在公共名称文本框中,键入您的外部 URL (例如,"sharepoint.adventureworks.com") 的主机名,然后单击下一步。这是主机名称的外部 URL 中, SharePoint Online将用来连接与SharePoint Server场。
备注
请勿键入协议(http:// 或 https://)。
外部 URL 记录在 SharePoint 混合工作表表 3:公共域信息中的第 3 行(外部 URL)。
在"选择 Web 侦听器"对话框中,选择"新建"。
在"新建 Web 侦听器向导"对话框的"Web 侦听器名称"文本框中,键入 Web 侦听器的名称,然后单击"下一步"。
在"客户端连接安全设置"对话框中,选择"需要与客户端建立 SSL 安全连接",然后单击"下一步"。
在"Web 侦听器 IP 地址"对话框中,选择"外部 <所有 IP 地址>",然后单击"下一步"。
如果您想要将侦听器限制为仅在特定的外部 IP 地址上侦听,请单击"选择 IP 地址"按钮,并在"外部网络侦听器 IP 选择"对话框中,选择"选定网络中 Forefront TMG 计算机上的指定 IP 地址"。单击"添加"以指定一个 IP 地址,然后单击"确定"。
在"侦听器 SSL 证书"对话框中,选择"对此 Web 侦听器使用单一证书"并单击"选择证书"按钮。在"选择证书"对话框中,选择导入到 TMG 计算机的安全通道 SSL 证书,单击"选择",然后单击"下一步"。
在"身份验证设置"对话框中,选择"SSL 客户端证书身份验证",然后单击"下一步"。此设置使用安全通道证书对入站连接强制执行客户端证书凭据。
单击"下一步"以绕过"Forefront TMG 单一登录"设置。
查看"新建侦听器"摘要页,然后单击"完成"。您将返回到"发布规则向导",其中将自动选择新建的 Web 侦听器。
在"选择 Web 侦听器"对话框的"Web 侦听器"下拉菜单中,确保选择了正确的 Web 侦听器,并单击"下一步"。
在"身份验证委派"对话框中,从下拉菜单中选择"无委派,但是客户端可以直接进行身份验证",然后单击"下一步"。
在"备用访问映射配置"对话框中,选择"SharePoint 服务器上已经配置了 SharePoint AAM",然后单击"下一步"。
I在"用户集"对话框中,选择"所有通过身份验证的用户"条目并单击"删除"。然后单击"添加",在"添加用户"对话框中,选择"所有用户",然后单击"添加"。单击"关闭"以关闭"添加用户"对话框,然后单击"下一步"。
在"完成新建 SharePoint 发布规则向导"对话框中,确认设置,然后单击"完成"。
您现在必须验证或更改刚才在发布规则中创建的多个设置。
完成的发布规则配置
在 Forefront TMG 管理控制台的左侧导航窗格中,选择"防火墙策略",在"防火墙策略规则"列表中,右键单击创建的发布规则,并单击"配置 HTTP"。
在"为规则配置 HTTP 策略"对话框的"常规"选项卡中,在"URL 保护"下,确认已取消选中"验证正则化"和"阻止高位字符",然后单击"确定"。
再次右键单击刚才创建的发布规则,然后单击"属性"。
在"<规则名称> 属性"对话框的"收件人"选项卡中,取消选择"转发原始主机头而不是实际主机头"框。在"到发布的站点的代理请求"下,确保已选中"使请求显示为来自初始客户端"。
在"链接转换"选项卡中,确保正确设置了"对此规则应用链接转换"复选框。
如果主 Web 应用程序的内部 URL 和外部 URL 相同,则取消选中"对此规则应用链接转换"复选框。
如果主 Web 应用程序的内部 URL 和外部 URL 不同,则选中"对此规则应用链接转换"复选框。
在"桥接"选项卡的"Web 服务器"选项卡下,确保选中了正确的"将请求重定向到 <HTTP 端口或 SSL 端口>"复选框,并且已配置为使用文本框中与内部站点端口对应的端口。
单击"确定"保存对发布规则所做的更改。
在 Forefront TMG 管理控制台的上栏中,单击"应用"以应用对 TMG 所做的更改。TMG 可能需要一到两分钟处理更改。
若要验证您的配置,请右键单击"防火墙策略规则"列表中的新发布规则,并单击"属性"。
在"<规则名称> 属性"对话框中,单击"测试规则"按钮。TMG 将运行一系列测试以检查到 SharePoint 网站的连接性,并将在列表中显示测试结果。单击每个配置测试,以获取测试说明及其结果。修复出现的所有错误。