配置混合环境的 Forefront TMG
适用于:2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
本文介绍如何将 Forefront Threat Management Gateway (TMG) 2010 设置为用作混合 SharePoint Server 环境的反向代理。
开始之前
在开始之前,需要了解以下事项:
必须在边缘配置中部署 TMG,并至少将一个网络适配器连接到 Internet 并针对 TMG 中的外部网络进行配置,至少将一个网络适配器连接到 Intranet 网络并针对 TMG 中的内部网络进行配置。
TMG 服务器必须是 Active Directory 域林中的域成员,其中包含 Active Directory 联合身份验证服务 (AD FS) 2.0 服务器。 必须将 TMG 服务器加入此域才能使用 SSL 客户端证书身份验证,该身份验证用于在 Microsoft 365 中对来自 SharePoint 的入站连接进行身份验证。
注意
作为边缘部署的常用最佳做法,正常情况下,您应在单独的林(而不是公司网络的内部林)中安装 Forefront TMG,其具有对公司林的单向信任关系。 但是,您仅可以 TMG 服务器已加入的域中的用户配置客户端证书身份验证,因此,混合环境中无法遵照此做法。
有关 TMG 网络拓扑注意事项的详细信息,请参阅 工作组和域注意事项。
部署 TMG 2010 以背靠背配置在 SharePoint Server 混合环境中使用在理论上是可能的,但尚未经过测试,可能无法正常工作。
TMG 2010 包括诊断日志记录和实时日志记录界面。 日志记录在排查 Microsoft 365 中 SharePoint Server 与 SharePoint 之间的连接和身份验证问题时起着重要作用。 识别出导致连接失败的组件非常具有挑战性,您应首先在 TMG 日志中查找提示。 故障排除可能涉及比较多个服务器上的 TMG 日志、SharePoint Server ULS 日志、Windows Server 事件日志和 Internet Information Services (IIS) 日志中的日志事件。
有关如何在 TMG 2010 中配置和使用日志记录的详细信息,请参阅 使用诊断日志记录。
有关 SharePoint Server 混合环境故障排除技术和工具的详细信息,请参阅 混合环境故障排除。
安装 TMG 2010
如果您还没有安装 TMG 2010 并针对网络进行配置,请使用本节中的内容安装 TMG 2010 并准备 TMG 系统。
安装 TMG 2010
安装 Forefront TMG 2010(如果尚未安装的话)。 有关安装 TMG 2010 的详细信息,请参阅 Forefront TMG Deployment。
安装 TMG 2010 的所有已发布 Service Pack 和更新程序。 有关详细信息,请参阅 安装 Forefront TMG Service Packs。
如果 TMG 服务器计算机还不是域成员,则将其加入本地 Active Directory 域。
有关在域环境中部署 TMG 2010 的详细信息,请参阅 工作组和域注意事项。
导入安全通道 SSL 证书
您必须将安全通道 SSL 证书导入到本地计算机帐户的个人存储,以及 Microsoft Forefront TMG 防火墙服务帐户 (fwsvc) 的个人存储。
安全通道 SSL 证书的位置记录在表 4b:安全通道 SSL 证书中的第 1 行(安全通道 SSL 证书的位置和文件名)。 如果证书包含一个私钥,您将需要提供证书密码,密码记录在表 4b:安全通道 SSL 证书中的第 4 行(安全通道 SSL 证书的密码)。 |
导入证书
将证书文件从工作表中指定的位置复制到本地硬盘上的某个文件夹中。
在反向代理服务器上,打开 MMC,并为本地计算机帐户和本地 fwsrv 服务帐户添加证书管理管理单元。
注意
安装 TMG 2010 后,fwsrv 服务的友好名称为 Microsoft Forefront TMG 防火墙服务。
将安全通道 SSL 证书导入计算机帐户的个人证书存储中。
将安全通道 SSL 证书导入 fwsrv 服务帐户的个人证书存储中。
有关如何导入 SSL 证书的详细信息,请参阅 导入证书。
配置 TMG 2010
在本部分中,将配置一个 Web 侦听器 和一个 发布规则 ,用于在 Microsoft 365 中接收来自 SharePoint 的入站请求,并将其中继到 SharePoint Server 场的主 Web 应用程序。 Web 侦听器和发布规则协同工作,以定义连接规则并对请求进行预先身份验证和中继。 您可将 Web 侦听器配置为使用上一过程中安装的安全通道证书验证入站连接。
有关在 TMG 中配置发布规则的详细信息,请参阅 配置 Web 发布。
有关 TMG 2010 中的 SSL 桥接的详细信息,请参阅 关于 SSL 桥接和发布。
使用以下过程创建发布规则和 Web 侦听器。
创建发布规则和 Web 侦听器
在 Forefront TMG 管理控制台的左侧导航窗格中,右键单击“ 防火墙策略”,然后选择“ 新建”。
选择“SharePoint 站点发布规则”。
在 “新建 SharePoint 发布规则向导”的“ 名称 ”文本框中,输入发布规则的名称 (例如“混合发布规则”) 。 选择“下一步”。
选择 “发布单个网站或负载均衡器”,然后选择“ 下一步”。
若要将 HTTP 用于 TMG 与 SharePoint Server 场之间的连接,请选择“ 使用不安全的连接来连接已发布的 Web 服务器或服务器场”,然后选择“ 下一步”。
若要将 HTTPS 用于 TMG 与 SharePoint Server 场之间的连接,请选择“ 使用 SSL 连接已发布的 Web 服务器或服务器场”,然后选择“ 下一步”。
注意
如果使用 SSL,请确保已在主 Web 应用程序上安装了有效证书。
在“ 内部发布详细信息 ”对话框的“ 内部网站名称 ”文本框中,输入 桥接 URL 的内部 DNS 名称,然后选择“ 下一步”。 这是 TMG 服务器将请求中继到主 Web 应用程序时使用的 URL。
注意
请勿输入协议 (http:// 或 https://) 。
桥接 URL 记录在 SharePoint 混合工作表中的以下位置之一:
如果主 Web 应用程序配置了以主机命名的网站集,请使用表 5a:主 Web 应用程序 (主机命名网站集 ) 的第 1 行 (主 Web 应用程序 URL) 中的值。
如果主 Web 应用程序配置了基于路径的网站集,请使用表 5b:主 Web 应用程序 (不带 AAM ) 的基于路径的网站集的第 1 行 (主 Web 应用程序 URL) 中的值。
如果主 Web 应用程序配置了 AAM 的基于路径的网站集 ,请使用表 5c 中的第 5 行 (主要 Web 应用程序 URL) 中的值 :主 Web 应用程序 (基于路径的网站集,其中包含 AAM) 。在“ 使用计算机名称或 IP 地址连接到已发布的服务器 ”框中,可以选择输入主 Web 应用程序或网络负载均衡器 (FQDN) IP 地址或完全限定的域名,然后选择“ 下一步”。
注意
如果 TMG 可以使用您在上一步骤中提供的主机名解析主 Web 应用程序,则您无需执行此步骤。
在“公共名称详细信息”对话框中,接受“接受请求”菜单中的默认设置。 在“ 公共名称 ”文本框中,输入 外部 URL (主机名,例如“sharepoint.adventureworks.com”) ,然后选择“ 下一步”。 这是 Microsoft 365 中的 SharePoint 用于连接到 SharePoint 服务器场的外部 URL 中的主机名。
注意
请勿输入协议 (http:// 或 https://) 。
外部 URL 记录在 SharePoint 混合工作表表 3:公共域信息中的第 3 行(外部 URL)。 在“选择 Web 侦听器”对话框中,选择“新建”。
在 “新建 Web 侦听器向导 ”对话框中的“ Web 侦听器名称 ”文本框中,输入 Web 侦听器的名称,然后选择“ 下一步”。
在“客户端连接安全性”对话框中,选择“ 需要与客户端建立 SSL 安全连接”,然后选择“ 下一步”。
在“ Web 侦听器 IP 地址 ”对话框中,选择“ 外部 <所有 IP 地址>”,然后选择“ 下一步”。
如果要将侦听器限制为仅侦听特定的外部 IP 地址,请选择“ 选择 IP 地址”,然后在“ 外部网络侦听器 IP 选择 ”对话框中,选择 所选网络中最前沿 TMG 计算机上的“指定 IP 地址”。 若要指定 IP 地址,请选择“ 添加”,然后选择“ 确定”。
在“ 侦听器 SSL 证书 ”对话框中,选择“ 为此 Web 侦听器使用单个证书”,然后选择“ 选择证书 ”按钮。 在 “选择证书 ”对话框中,选择导入到 TMG 计算机 的安全通道 SSL 证书 , 选择“选择”,然后选择“ 下一步”。
在 “身份验证设置” 对话框中,选择“ SSL 客户端证书身份验证”,然后选择“ 下一步”。 此设置使用安全通道证书对入站连接强制执行客户端证书凭据。
若要绕过 Forefront TMG 单一登录设置,请选择“ 下一步”。
查看 “新建侦听器 摘要”页,然后选择“ 完成”。 您将返回到“发布规则向导”,其中将自动选择新建的 Web 侦听器。
在 “选择 Web 侦听器 ”对话框中的“ Web 侦听器 ”下拉列表中,确保选择了正确的 Web 侦听器,然后选择“ 下一步”。
在“ 身份验证委派 ”对话框中,选择“ 无委派,但客户端可以直接 在下拉列表中进行身份验证”,然后选择“ 下一步”。
在“ 备用访问映射配置 ”对话框中,选择“ SharePoint AAM 已在 SharePoint 服务器上配置”,然后选择“ 下一步”。
在“ 用户集 ”对话框中,选择“ 所有经过身份验证的用户” 条目,然后选择“ 删除”。 然后选择“ 添加”,在“ 添加用户 ”对话框中,选择“ 所有用户”,然后选择“ 添加”。 若要关闭“ 添加用户 ”对话框,请选择“ 关闭”,然后选择“ 下一步”。
在 “完成新建 SharePoint 发布规则向导 ”对话框中,确认设置,然后选择“ 完成”。
您现在必须验证或更改刚才在发布规则中创建的多个设置。
完成发布规则配置
在 Forefront TMG 管理控制台的左侧导航窗格中,选择“ 防火墙策略”,在“ 防火墙策略规则” 列表中,右键单击刚刚创建的发布规则,然后选择“ 配置 HTTP”。
在 “为规则配置 HTTP 策略 ”对话框中的“ 常规 ”选项卡上的“ URL 保护”下,确认“ 验证规范化 ”和“ 阻止高位字符 ”均未选中,然后选择“ 确定”。
再次右键单击刚刚创建的发布规则,然后选择“ 属性”。
在 <规则名称> “属性 ”对话框中的“ 目标 ”选项卡上,清除“ 转发原始主机标头”框,而不是实际的主机标头 框。 在“到发布的站点的代理请求”下,确保已选中“使请求显示为来自初始客户端”。
在“链接转换”选项卡中,确保正确设置了“对此规则应用链接转换”复选框。
如果主 Web 应用程序的内部 URL 和外部 URL 相同,请清除 “将链接转换应用到此规则 ”复选框。
如果主 Web 应用程序的内部 URL 和外部 URL 不同,则选中“对此规则应用链接转换”复选框。
在“ 桥接 ”选项卡上的 “Web 服务器”下,确保选中正确的“ 将请求重定向到 <HTTP 端口或 SSL 端口> ”复选框,并且文本框中的端口对应于配置为使用的内部站点的端口。
若要保存对发布规则所做的更改,请选择“ 确定”。
在 Forefront TMG 管理控制台的顶部栏中,若要将更改应用到 TMG,请选择“ 应用”。 TMG 可能需要一到两分钟处理更改。
若要验证配置,请右键单击 “防火墙策略 规则”列表中的新发布规则,然后选择“ 属性”。
在 <“规则名称> 属性 ”对话框中,选择“ 测试规则” 按钮。 TMG 运行一系列测试来检查与 Microsoft 365 站点中的 SharePoint 的连接,并在列表中显示测试结果。 有关测试及其结果的说明,请选择每个配置测试。 修复出现的所有错误。
另请参阅
概念
为 SharePoint Server 混合配置反向代理设备