配置混合环境的 Forefront TMG

适用于: yes 2013  yes 2016  yes 2019  yes SharePoint in Microsoft 365

本文介绍了如何设置 Forefront Threat Management Gateway (TMG) 2010,以用作混合 SharePoint Server 环境的反向代理。

有关 Forefront Threat Management Gateway (TMG) 2010 的完整信息,请参阅Forefront Threat Management Gateway (TMG) 2010。

开始之前

在开始之前,需要了解以下事项:

  • 必须在 边缘配置 中部署 TMG,并至少将一个网络适配器连接到 Internet 并针对 TMG 中的外部网络进行配置,至少将一个网络适配器连接到 Intranet 网络并针对 TMG 中的内部网络进行配置。

  • TMG 服务器必须是 Active Directory 域林中的域成员,该林包含 Active Directory 联合身份验证服务 (AD FS) 2.0 服务器。 TMG 服务器必须加入此域,以使用 SSL 客户端证书身份验证,该身份验证用于对来自 SharePoint 的入站Microsoft 365。

    [!SECURITY NOTE] 作为边缘部署的一般最佳做法,通常将 Forefront TMG 安装在单独的林 (中,而不是在企业网络) 的内部林中,并单向信任企业林。 但是,您仅可以 TMG 服务器已加入的域中的用户配置客户端证书身份验证,因此,混合环境中无法遵照此做法。 > 有关 TMG 网络拓扑注意事项的信息,请参阅 工作组和域注意事项

  • 在后端到后端配置中部署 TMG 2010 以用于 SharePoint Server 混合环境在理论上可行,但尚未经过测试,可能不起作用。

  • TMG 2010 包括诊断日志记录和实时日志记录界面。 日志记录在解决 SharePoint Server 和 Microsoft 365 中服务器之间的连接SharePoint问题Microsoft 365。 识别出导致连接失败的组件非常具有挑战性,您应首先在 TMG 日志中查找提示。 疑难解答可能涉及比较来自 TMG 日志、SharePoint Server ULS 日志、Windows Server 事件日志和多个Internet Information Services (IIS) 日志的日志事件。

若要详细了解如何在 TMG 2010 中配置和使用日志记录,请参阅使用 诊断日志记录

有关常规 TMG 2010 疑难解答详细信息,请参阅 Forefront TMG Troubleshooting

有关适用于服务器混合环境的疑难解答技术和工具SharePoint,请参阅对混合环境进行故障排除

安装 TMG 2010

如果您还没有安装 TMG 2010 并针对网络进行配置,请使用本节中的内容安装 TMG 2010 并准备 TMG 系统。

安装 TMG 2010

  1. 安装 Forefront TMG 2010(如果尚未安装的话)。 有关安装 TMG 2010 的信息,请参阅 Forefront TMG Deployment

  2. 安装 TMG 2010 的所有已发布 Service Pack 和更新程序。 有关详细信息,请参阅安装Forefront TMG Service Packs。

  3. 如果 TMG 服务器计算机还不是域成员,则将其加入本地 Active Directory 域。

    有关在域环境中部署 TMG 2010 的信息,请参阅 工作组和域注意事项

导入安全通道 SSL 证书

您必须将安全通道 SSL 证书导入到本地计算机帐户的个人存储,以及 Microsoft Forefront TMG 防火墙服务帐户 (fwsvc) 的个人存储。

编辑图标 安全通道 SSL 证书 的位置记录在 表 4b:安全通道 SSL 证书 中的 第 1 行(安全通道 SSL 证书的位置和文件名)。
如果证书包含一个私钥,您将需要提供证书密码,密码记录在 表 4b:安全通道 SSL 证书 中的 第 4 行(安全通道 SSL 证书的密码)。

导入证书

  1. 将证书文件从工作表中指定的位置复制到本地硬盘上的某个文件夹中。

  2. 在反向代理服务器上,打开 MMC,并添加本地计算机帐户和本地 fwsrv 服务帐户的证书管理单元。

    备注

    安装 TMG 2010 后,fwsrv 服务的友好名称为 Microsoft Forefront TMG 防火墙 服务。

  3. 将安全通道 SSL 证书导入计算机帐户的 个人 证书存储中。

  4. 将安全通道 SSL 证书导入 fwsrv 服务帐户的 个人 证书存储中。

若要详细了解如何导入 SSL 证书,请参阅 导入证书

配置 TMG 2010

在此部分中,您将配置一个 Web 侦听器和一个发布规则,该规则将接收来自 Microsoft 365 中 SharePoint 的入站请求,并中继到 SharePoint Server 服务器场的主 Web 应用程序。 Web 侦听器和发布规则协同工作,以定义连接规则并对请求进行预先身份验证和中继。 您可将 Web 侦听器配置为使用上一过程中安装的安全通道证书验证入站连接。

有关在 TMG 中配置发布规则的信息,请参阅 配置 Web 发布

有关 TMG 2010 中的 SSL 桥接详细信息,请参阅关于 SSL 桥接和发布

使用以下过程创建发布规则和 Web 侦听器。

创建发布规则和 Web 侦听器

  1. 在 Forefront TMG 管理控制台的左侧导航窗格中,右键单击 "防火墙策略",然后选择"新建 "。

  2. 选择“SharePoint 站点发布规则”。

  3. 在"新建 SharePoint发布规则向导"的"名称"文本框中,输入发布规则的名称 (例如,"混合发布规则") 。 选择“下一步”。

  4. 选择 "发布单个网站或负载平衡器", 然后选择"下一 步"。

  5. 若要将 HTTP 用于 TMG 和 SharePoint Server 场之间的连接,请选择"使用非安全连接连接发布的 Web 服务器或服务器场",然后选择"下一 步"。

    若要将 HTTPS 用于 TMG 和 SharePoint 服务器场之间的连接,请选择"使用 SSL 连接发布的 Web 服务器 服务器场",然后选择"下一 步"。

    备注

    如果使用 SSL,请确保已在主 Web 应用程序上安装了有效证书。

  6. 在"内部发布详细信息"对话框的"内部站点名称"文本框中,输入桥接 URL 的内部 DNS 名称,然后选择"下一 步"。 这是 TMG 服务器将请求中继到主 Web 应用程序时使用的 URL。

    备注

    不要输入协议 (http:// https://) 。

编辑图标 桥接 URL 记录在 SharePoint 混合工作表中的以下位置之一:
如果使用以主机命名的网站集配置主 Web应用程序,请使用表 5a: 主 Web 应用程序 (以主机命名的网站集) 中第 1 行 (主 Web 应用程序 URL) 中的值。
如果使用基于路径的网站集配置主 Web应用程序,请使用表 5b: 主 Web 应用程序 (基于路径的网站集(不含 AAM) )的第 1 行 (主 Web 应用程序 URL) 中的值。
如果主 Web 应用程序使用 AAM 的基于路径的网站集进行配置,请使用表 5c: 主 Web 应用程序 (基于路径的网站集与 AAM) 的第 5 行 ( 主 Web 应用程序 URL) 中的值。
  1. 在"使用计算机名称 或 IP 地址连接到发布的服务器"框中,可以选择输入主 Web 应用程序或网络负载平衡器中的 IP 地址或完全限定域名 (FQDN) ,然后选择"下一步 "。

    备注

    如果 TMG 可以使用您在上一步骤中提供的主机名解析主 Web 应用程序,则您无需执行此步骤。

  2. 在“公共名称详细信息”对话框中,接受“接受请求”菜单中的默认设置。 在 "公共名称"文本框中,输入外部 URL 的主机名 (例如"sharepoint.adventureworks.com") ,然后选择"下一 步"。 这是外部 URL 中的主机名,SharePoint Microsoft 365用于与 SharePoint Server 场连接。

    备注

    不要输入协议 (http:// https://) 。

编辑图标 外部 URL 记录在 SharePoint 混合工作表 表 3:公共域信息 中的 第 3 行(外部 URL)。
  1. 在“选择 Web 侦听器”对话框中,选择“新建”。

  2. 在"新建 Web 侦听器向导"对话框的 "Web 侦听器名称"文本框中,输入 Web 侦听器的名称,然后选择"下一 步"。

  3. 在"客户端连接安全性"对话框中,选择"需要与客户端建立 SSL 安全连接 ", 然后选择"下一 步"。

  4. "Web 侦听器 IP 地址"对话框中,选择"外部 <All IP addresses>",然后选择"下一 步"。

    如果要将侦听器限制为仅侦听特定的外部 IP 地址,请选择"选择 IP 地址",然后在"外部网络侦听器 IP 选择"对话框中,选择所选网络中 Forefront TMG 计算机上 指定的 IP 地址。 若要指定 IP 地址,请选择"添加", 然后选择"确定 "。

  5. 在" 侦听器 SSL 证书 "对话框中,选择"对此 Web 侦听器使用 单个 证书",然后选择" 选择证书" 按钮。 在"选择证书"对话框中,选择导入到 TMG 计算机的安全通道 SSL 证书,选择"选择",然后选择"下一步 "。

  6. 在"身份验证设置 对话框中,选择 "SSL 客户端证书身份验证", 然后选择"下一 步"。 此设置使用安全通道证书对入站连接强制执行客户端证书凭据。

  7. 要绕过 Forefront TMG 单一登录设置,请选择"下一 步"。

  8. 查看"新建侦听器 摘要"页,然后选择"完成 "。 您将返回到“发布规则向导”,其中将自动选择新建的 Web 侦听器。

  9. 在"选择 Web 侦听器"对话框的 "Web 侦听器"下拉列表中,确保选择了正确的 Web 侦听器,然后选择"下一 步"。

  10. 在"身份验证委派"对话框中,选择"无委派 ,但客户端 可以直接从下拉列表中进行身份验证",然后选择"下一 步"。

  11. 在"备用访问映射 配置"对话框中,SharePoint服务器上已配置 AAM SharePoint, 然后选择"下一 步"。

  12. 在"用户集" 对话框中,选择"所有经过身份验证的用户" 条目,然后选择"删除 "。 然后选择"添加", 然后在"添加 用户"对话框中,选择"所有用户",然后选择"添加 "。 若要关闭"添加用户"对话框,请选择"关闭", 然后选择"下一 步"。

  13. 在"正在完成新建SharePoint规则 向导"对话框中,确认设置,然后选择"完成 "。

您现在必须验证或更改刚才在发布规则中创建的多个设置。

完成发布规则配置

  1. 在 Forefront TMG 管理控制台的左侧导航窗格中,选择"防火墙策略",在"防火墙策略规则"列表中,右键单击刚创建的发布规则,然后选择"配置 HTTP"。

  2. "为规则配置 HTTP 策略"对话框的"常规"选项卡上的 "URL 保护"下,确认"验证规范化"和"阻止高 字符"都未选中,然后选择"确定 "。

  3. 右键单击刚创建的发布规则, 然后选择属性

  4. 在"<rule name> 属性"对话框的"目标 "选项卡上,清除"转发原始主机头 ",而不是实际主机头 框。 在“到发布的站点的代理请求”下,确保已选中“使请求显示为来自初始客户端”。

  5. 在“链接转换”选项卡中,确保正确设置了“对此规则应用链接转换”复选框。

  • 如果主 Web 应用程序的内部 URL 和外部 URL 相同,请清除"将链接转换应用到 此规则 "复选框。

  • 如果主 Web 应用程序的内部 URL 和外部 URL 不同,则选中“对此规则应用链接转换”复选框。

  1. 在"桥接"选项卡上的 "Web**<HTTP port or SSL port>** 服务器"下,确保选中了正确的"重定向到请求"复选框,并且文本框中的端口与内部站点配置为使用的端口相对应。

  2. 若要保存对发布规则所做的更改,请选择"确定 "。

  3. 在 Forefront TMG 管理控制台的顶部栏中,若要将更改应用于 TMG,请选择"应用 "。 TMG 可能需要一到两分钟处理更改。

  4. 若要验证配置,请右键单击"防火墙策略规则"列表中的新发布规则,然后选择"属性 "。

  5. 在"<rule name> 属性" 对话框中,选择"测试规则" 按钮。 TMG 运行一系列测试以检查SharePoint网站Microsoft 365连接,并会在列表中显示测试结果。 有关测试及其结果的说明,请选择每个配置测试。 修复出现的所有错误。

另请参阅

概念

SharePoint Server 的混合

为 SharePoint Server 混合配置反向代理设备

其他资源

配置 Web 发布

Forefront Threat Management Gateway (TMG) 2010