Configurer Forefront TMG pour un environnement hybride

S’APPLIQUE À :  yes-img-13 2013  yes-img-16 2016  yes-img-19 2019  yes-img-se Subscription Edition  yes-img-sop SharePoint in Microsoft 365

Cet article vous explique comment configurer Forefront Threat Management Gateway (TMG) 2010 pour une utilisation en tant que proxy inverse pour un environnement SharePoint Server hybride.

Pour plus d’informations sur Forefront Threat Management Gateway (TMG) 2010, voir Forefront Threat Management Gateway (TMG) 2010.

Avant de commencer

Avant de commencer, prenez en considération les points suivants :

  • TMG doit être déployé dans une configuration de serveur Edge, avec au moins une carte réseau connectée à Internet et configurée pour le réseau externe dans TMG et au moins une carte réseau connectée au réseau intranet et configurée pour le réseau interne dans TMG.

  • Le serveur TMG doit être membre du domaine dans la forêt de domaines Active Directory qui contient votre serveur Active Directory Federation Services (AD FS) 2.0. Le serveur TMG doit être joint à ce domaine pour utiliser l’authentification de certificat client SSL, utilisée pour l’authentification des connexions entrantes à partir de SharePoint dans Microsoft 365.

    Notes

    Selon les meilleures pratiques relatives aux déploiements Edge, vous devez normalement installer Forefront TMG dans une forêt séparée (plutôt que dans la forêt interne de votre réseau d’entreprise), avec une approbation à sens unique vers la forêt d’entreprise. Cependant, vous ne pouvez configurer l’authentification de certificat client que pour les utilisateurs du domaine auquel appartient le serveur TMG. Ces meilleures pratiques ne peuvent donc pas être suivies pour les environnements hybrides.

    Pour plus d’informations sur les considérations sur la topologie réseau TMG, voir Les considérations sur le groupe de travail et le domaine.

  • Le déploiement de TMG 2010 pour une utilisation dans un environnement hybride SharePoint Server dans une configuration dos à dos est théoriquement possible, mais n’a pas été testé et peut ne pas fonctionner.

  • TMG 2010 inclut la journalisation des diagnostics et une interface de journalisation en temps réel. La journalisation joue un rôle important dans la résolution des problèmes de connectivité et d’authentification entre SharePoint Server et SharePoint dans Microsoft 365. L’identification du composant qui engendre un échec de connexion peut être cruciale et les journaux TMG sont les premiers documents dans lesquels rechercher des indices. La résolution des problèmes peut impliquer la comparaison des événements de journal à partir des journaux TMG, des journaux ULS SharePoint Server, des journaux d’événements Windows Server et des journaux Internet Information Services (IIS) sur plusieurs serveurs.

Pour plus d’informations sur la configuration et l’utilisation de la journalisation dans TMG 2010, voir Utilisation de la journalisation des diagnostics.

Pour plus d’informations sur la résolution des problèmes généraux de TMG 2010, voir Forefront TMG Troubleshooting.

Pour plus d’informations sur les techniques et les outils de dépannage pour les environnements hybrides SharePoint Server, voir Résolution des problèmes des environnements hybrides.

Installer TMG 2010

Si vous n’avez pas encore installé ni configuré TMG 2010 pour votre réseau, suivez la procédure décrite dans cette section afin de l’installer et de préparer le système TMG.

Install TMG 2010

  1. Installez Forefront TMG 2010, si ce n’est pas déjà fait. Pour plus d’informations sur l’installation de TMG 2010, voir Forefront TMG Deployment.

  2. Installez l’ensemble des Service Packs et des mises à jour disponibles pour TMG 2010. Pour plus d’informations, voir Installation de Forefront TMG Service Packs.

  3. S’il n’est pas déjà membre du domaine, associez l’ordinateur serveur TMG au domaine Active Directory sur site.

    Pour plus d’informations sur le déploiement de TMG 2010 dans un environnement de domaine, voir Groupes de travail et considérations sur les domaines.

Importer le certificat SSL de canal sécurisé

Vous devez importer le certificat SSL de canal sécurisé à la fois dans le magasin Personnel du compte d’ordinateur local et dans le magasin Personnel du compte de service de pare-feu Microsoft Forefront TMG (fwsvc).

   
Icône Modifier L’emplacement du certificat SSL de canal sécurisé est consigné sur la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé.
Si le certificat contient une clé privée, vous devrez fournir le mot de passe du certificat, qui est consigné sur la ligne 4 (Mot de passe du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé.

Importer le certificat

  1. Copiez le fichier de certificat de l’emplacement spécifié dans la feuille de calcul dans un dossier sur le disque dur local.

  2. Sur le serveur proxy inverse, ouvrez MMC et ajoutez le logiciel en ligne gestion des certificats pour le compte d’ordinateur local et le compte de service fwsrv local.

    Notes

    Une fois TMG 2010 installé, le nom convivial du service fwsrv est Pare-feu Microsoft Forefront TMG.

  3. Importez le certificat SSL de canal sécurisé dans le magasin de certificats Personnel du compte d’ordinateur.

  4. Importez le certificat SSL de canal sécurisé dans le magasin de certificats Personnel du compte de service fwsrv.

Pour plus d’informations sur l’importation d’un certificat SSL, voir Importer un certificat.

Configurer TMG 2010

Dans cette section, vous configurez un système d’écoute web et une règle de publication qui recevront les demandes entrantes de SharePoint dans Microsoft 365 et les relaieront vers l’application web principale de votre batterie de serveurs SharePoint Server. Le port d’écoute web et la règle de publication fonctionnent ensemble pour définir les règles de connexion et pour préauthentifier et relayer les demandes. Vous configurerez le port d’écoute web pour authentifier les connexions entrantes à l’aide du certificat de canal sécurisé que vous avez installé précédemment.

Pour plus d’informations sur la configuration des règles de publication dans TMG, voir Configuration de la publication Web.

Pour plus d’informations sur le pontage SSL dans TMG 2010, voir À propos du pontage et de la publication SSL.

Suivez la procédure décrite ci-après pour créer la règle de publication et le port d’écoute.

Créer le port d’écoute web et la règle de publication

  1. Dans forefront TMG Management Console, dans le volet de navigation de gauche, cliquez avec le bouton droit sur Stratégie de pare-feu, puis sélectionnez Nouveau.

  2. Sélectionnez Règle de publication du site SharePoint.

  3. Dans l’Assistant Nouvelle règle SharePoint publication, dans la zone de texte Nom, entrez le nom de la règle de publication (par exemple, « Règle de publication hybride »). Sélectionnez Suivant.

  4. Sélectionnez Publier un site Web ou un équilibreur de charge unique, puis sélectionnez Suivant.

  5. Pour utiliser HTTP pour la connexion entre TMG et votre batterie de serveurs SharePoint, sélectionnez Utiliser une connexion non sécurisée pour connecter le serveur Web publié ou la batterie de serveurs, puis sélectionnez Suivant.

    Pour utiliser HTTPS pour la connexion entre TMG et votre batterie de serveurs SharePoint Server, sélectionnez Utiliser SSL pour connecter le serveur Web publié ou la batterie de serveurs, puis sélectionnez Suivant.

    Notes

    Si vous utilisez le protocole SSL, vérifiez que vous avez installé un certificat valide sur l’application web principale.

  6. Dans la boîte de dialogue Détails de publication interne, dans la zone de texte Nom du site interne, entrez le nom DNS interne de l’URL de pontage, puis sélectionnez Suivant. Il s’agit de l’URL que le serveur TMG va utiliser pour relayer des demandes à l’application web principale.

    Notes

    N’entrez pas le protocole (http:// ou https://).

       
    Icône Modifier L’URL de pontage est enregistrée dans l’un des emplacements suivants dans la feuille de calcul hybride SharePoint :
    Si votre application web principale est configurée avec une collection de sites nommée par l’hôte, utilisez la valeur de la ligne 1 (URL de l’application web principale) du tableau 5a : application web principale (collection de sites nommée par l’hôte).
    Si votre application web principale est configurée avec une collection de sites basée sur des chemins d’accès, utilisez la valeur de la ligne 1 (URL de l’application web principale) du tableau 5b: application web principale (collection de sites basée sur le chemin d’accès sans AAM).
    Si votre application web principale est configurée avec une collection de sites basée sur des chemins d’accès avec AAM, utilisez la valeur de la ligne 5 (URL de l’application web principale) du tableau 5c : application web principale (collection de sites basée sur le chemin d’accès avec AAM).
  7. Dans la zone Utiliser un nom d’ordinateur ou une adresse IP pour vous connecter au serveur publié, entrez éventuellement l’adresse IP ou le nom de domaine complet (FQDN) de l’application web principale ou du programme d’équilibrage de la charge réseau, puis sélectionnez Suivant .

    Notes

    Si TMG peut résoudre l’application web principale à l’aide du nom d’hôte que vous avez indiqué à l’étape précédente, cette étape n’est pas nécessaire.

  8. Dans la boîte de dialogue Informations sur les noms publics, acceptez le paramètre par défaut dans le menu Accepter les demandes pour. Dans la zone de texte Nom public, entrez le nom d’hôte de votre URL externe (par exemple, « sharepoint.adventureworks.com ») et sélectionnez Suivant. Il s’agit du nom d’hôte dans l’URL externe que SharePoint dans Microsoft 365 utilisera pour se connecter à votre batterie SharePoint server.

    Notes

    N’entrez pas le protocole (http:// ou https://).

       
    Icône Modifier L’URL externe est consignée à la Ligne 3 (URL externe) du Tableau 3 : Information de domaine public dans la feuille de calcul hybride SharePoint.
  9. Dans la boîte de dialogue Sélectionner un port d’écoute web, choisissez Nouveau.

  10. Dans la boîte de dialogue Assistant Nouveau listener web, dans la zone de texte Nom de l’écoute Web, entrez un nom pour le listener web, puis sélectionnez Suivant.

  11. Dans la boîte de dialogue Sécurité de la connexion client, sélectionnez Exiger des connexions SSL sécurisées avec les clients, puis sélectionnez Suivant.

  12. Dans la boîte de dialogue Adresses IP de l’écoute web, sélectionnez Externe, <All IP addresses> puis Suivant.

    Si vous souhaitez limiter l’écoute à l’écoute uniquement sur une adresse IP externe spécifique, sélectionnez Sélectionner des adresses IP, puis dans la boîte de dialogue Sélection IP de l’écoute du réseau externe, sélectionnez Adresses IP spécifiées sur l’ordinateur Forefront TMG dans le réseau sélectionné. Pour spécifier une adresse IP, sélectionnez Ajouter, puis ok.

  13. Dans la boîte de dialogue Certificats SSL de l’écoute, sélectionnez Utiliser un seul certificat pour ce listener Web, puis sélectionnez le bouton Sélectionner un certificat. Dans la boîte de dialogue Sélectionner un certificat, sélectionnez le certificat SSL de canal sécurisé que vous avez importé sur l’ordinateur TMG, sélectionnez Sélectionner, puis Suivant.

  14. Dans la boîte de dialogue Paramètres’authentification, sélectionnez Authentification de certificat client SSL, puis sélectionnez Suivant. Ce paramètre met en application les informations d’identification du certificat client pour les connexions entrantes à l’aide du certificat de canal sécurisé.

  15. Pour contourner les paramètres d' sign-on unique Forefront TMG, sélectionnez Suivant.

  16. Examinez la page récapitulatif du nouvel écouteur, puis sélectionnez Terminer. Vous êtes alors renvoyé à l’Assistant Règle de publication, dans lequel le port d’écoute que vous venez de créer est automatiquement sélectionné.

  17. Dans la boîte de dialogue Sélectionner un listener Web, dans la zone de la zone d’écoute web, assurez-vous que l’écoute web correcte est sélectionnée, puis sélectionnez Suivant.

  18. Dans la boîte de dialogue Délégation de l’authentification, sélectionnez Aucune délégation, mais le client peut s’authentifier directement à partir de la liste, puis sélectionner Suivant.

  19. Dans la boîte de dialogue Configuration du mappage des accès de remplacement, sélectionnez SharePoint AAM est déjà configuré sur le serveur SharePoint, puis sélectionnez Suivant.

  20. Dans la boîte de dialogue Ensembles d’utilisateurs, sélectionnez l’entrée Tous les utilisateurs authentifiés, puis sélectionnez Supprimer. Ensuite, sélectionnez Ajouter, puis dans la boîte de dialogue Ajouter des utilisateurs, sélectionnez Tous les utilisateurs, puis ajoutez. Pour fermer la boîte de dialogue Ajouter des utilisateurs, sélectionnez Fermer, puis sélectionnez Suivant.

  21. Dans la boîte de dialogue Fin de l’Assistant SharePoint de publication, confirmez vos paramètres, puis sélectionnez Terminer.

Vous devez maintenant vérifier ou modifier certains paramètres de la règle de publication que vous venez de créer.

Finaliser la configuration de la règle de publication

  1. Dans forefront TMG Management Console, dans le volet de navigation gauche, sélectionnez Stratégie de pare-feu et dans la liste Règles de stratégie de pare-feu, cliquez avec le bouton droit sur la règle de publication que vous avez créée, puis sélectionnez Configurer HTTP.

  2. Dans la boîte de dialogue Configurer la stratégie HTTP pour la règle, sous l’onglet Général, sous Protection url, vérifiez que vérifier la normalisation et bloquer les caractères de bits élevés sont désactivés, puis sélectionnez OK.

  3. Cliquez avec le bouton droit sur la règle de publication que vous avez créée à nouveau, puis sélectionnez Propriétés.

  4. Dans la <rule name> boîte de dialogue Propriétés, sous l’onglet À, clear the Forward the original host header instead of the actual one box. Sous Demandes proxy vers le site publié, assurez-vous que l’option Les demandes semblent émaner du client d’origine est sélectionnée.

  5. Dans l’onglet Traduction de liens, assurez-vous que la case à cocher Appliquer la traduction de liens à cette règle est correctement définie :

  • Si l’URL interne de votre application web principale et l’URL externe sont identiques, cochez la case Appliquer la traduction de lien à cette règle.

  • Si l’URL interne de votre application web principale et l’URL externe sont différentes, cochez la case Appliquer la traduction de liens à cette règle.

  1. Sous l’onglet Pontage, sous Serveur <HTTP port or SSL port> Web, assurez-vous que la case à cocher Rediriger les demandes de redirection correctes est cochée et que le port dans la zone de texte correspond au port que votre site interne est configuré pour utiliser.

  2. Pour enregistrer vos modifications apportées à la règle de publication, sélectionnez OK.

  3. Dans forefront TMG Management Console, dans la barre supérieure, pour appliquer vos modifications à TMG, sélectionnez Appliquer. Le traitement de vos modifications par TMG peut prendre une ou deux minutes.

  4. Pour valider votre configuration, cliquez avec le bouton droit sur la nouvelle règle de publication dans la liste Règles de stratégie de pare-feu, puis sélectionnez Propriétés.

  5. Dans la boîte <rule name> de dialogue Propriétés, sélectionnez le bouton Tester la règle. TMG exécute une série de tests pour vérifier la connectivité au SharePoint dans Microsoft 365 site et affiche les résultats des tests dans une liste. Pour obtenir une description du test et de ses résultats, sélectionnez chaque test de configuration. Corrigez toutes les erreurs éventuelles.

Voir aussi

Concepts

Environnement hybride pour SharePoint Server

Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride

Autres ressources

Configuration de la publication Web

Forefront Threat Management Gateway (TMG) 2010