設定適用於混合式環境的 Forefront TMG

  • 發行項

適用于:是-img-13 2013是-img-16 2016是-img-19 2019是-img-se訂閱版本 是-img-sopMicrosoft 365 中的 SharePoint

本文說明如何設定 Forefront Threat Management Gateway (TMG) 2010,以作為混合式 SharePoint Server 環境的反向 Proxy 使用。

開始之前

開始前,有幾點必須注意:

  • 必須以 Edge 設定部署 TMG,至少有一個網路介面卡連接到網際網路並針對 TMG 中的外部網路進行設定,而且至少有一個網路介面卡連接到內部網路並針對 TMG 中的內部網路進行設定。

  • TMG 伺服器必須是 Active Directory 網域樹系中的網域成員,其中包含您的 Active Directory 同盟服務 (AD FS) 2.0 伺服器。 TMG 伺服器必須加入此網域,才能使用 SSL 用戶端憑證驗證,以用來驗證來自 Microsoft 365 中 SharePoint 的輸入連線。

    注意事項

    按照 Edge 部署的一般最佳作法,您通常能夠使用企業樹系的單向信任,在個別樹系 (而非企業網路的內部樹系) 安裝 Forefront TMG。 不過,您只能對於加入 TMG 伺服器的網域使用者設定用戶端憑證驗證,因此這種作法不適用於混合式環境。

    如需 TMG 網路拓撲考慮的詳細資訊,請參閱 工作組和網域考慮

  • 部署 TMG 2010 以在回傳組態中的 SharePoint Server 混合式環境中使用,理論上是可行的,但尚未經過測試,可能無法運作。

  • TMG 2010 包含診斷記錄和即時記錄介面。 記錄在針對 SharePoint Server 與 Microsoft 365 中 SharePoint 之間的連線和驗證問題進行疑難排解時扮演重要角色。 找出造成連線失敗的元件並不容易,首先您應該查看 TMG 記錄以找出線索。 疑難排解可能牽涉到比較來自 TMG 記錄、SharePoint Server ULS 記錄檔、Windows Server 事件記錄檔和 Internet Information Services 的記錄事件, (多部伺服器上的 IIS) 記錄。

如需如何在 TMG 2010 中設定和使用記錄的詳細資訊,請參閱 使用診斷記錄

如需 SharePoint Server 混合式環境疑難排解技術和工具的詳細資訊,請參閱針對 混合式環境進行疑難排解

安裝 TMG 2010

如果您尚未安裝 TMG 2010 並為您的網路進行設定,請按照本小節所述安裝 TMG 2010 並準備 TMG 系統。

安裝 TMG 2010

  1. 安裝 Forefront TMG 2010 (如果尚未安裝)。 如需安裝 TMG 2010 的詳細資訊,請參閱 Forefront TMG Deployment

  2. 安裝 TMG 2010 所有可用的 Service Pack 和更新。 如需詳細資訊,請 參閱安裝 Forefront TMG Service Pack

  3. 將 TMG 伺服器電腦加入內部部署 Active Directory 網域 (如果尚未成為網域成員)。

    如需在網域環境中部署 TMG 2010 的詳細資訊,請參閱 工作組和網域考慮

匯入安全通道 SSL 憑證

您必須將安全通道 SSL 憑證匯入至本機電腦帳戶的個人存放區,以及 Microsoft Forefront TMG Firewall 服務帳戶 (fwsvc) 的個人存放區。

   
編輯圖示 安全通道 SSL 憑證的位置會記錄在表 4b:安全通道 SSL 憑證列 1 (安全通道 SSL 憑證位置和檔案名稱) 中。
如果憑證包含私密金鑰,則需要提供憑證密碼 (其記錄在表 4b:安全通道 SSL 憑證列 4 (安全通道 SSL 憑證密碼) 中。

匯入憑證

  1. 將憑證檔案從工作表中所指定的位置複製至本機硬碟上的資料夾。

  2. 在反向 Proxy 伺服器上,開啟 MMC,並新增本機電腦帳戶和本機fwsrv 服務帳戶的憑證管理嵌入式管理單元。

    注意事項

    安裝 TMG 2010 後,fwsrv 服務的易記名稱是 Microsoft Forefront TMG Firewall 服務。

  3. 將安全通道 SSL 憑證匯入電腦帳戶的個人憑證存放區。

  4. 將安全通道 SSL 憑證匯入 fwsrv 服務電腦的個人憑證存放區。

如需如何匯入 SSL 憑證的詳細資訊,請參閱 匯入憑證

設定 TMG 2010

在本節中,您會設定 Web 接 聽程式發佈規則 ,以接收來自 Microsoft 365 中 SharePoint 的輸入要求,並將其轉送至 SharePoint Server 伺服器陣列的主要 Web 應用程式。 Web 接聽程式和發佈規則可共同定義連線規則,並預先驗證和轉送要求。 您可以設定 Web 接聽程式使用您在最後一個程序中安裝的安全通道憑證驗證輸入連線。

如需在 TMG 中設定發佈規則的詳細資訊,請參閱 設定 Web 發佈

如需 TMG 2010 中 SSL 橋接的詳細資訊,請參閱 關於 SSL 橋接和發佈

使用下列程序建立發佈規則及 Web 接聽程式。

建立發佈規則及 Web 接聽程式

  1. 在 Forefront TMG 管理主控台的左側流覽窗格中,以滑鼠右鍵按一下 [防火牆原則],然後選取 [ 新增]

  2. 選取 [SharePoint 網站發佈規則]

  3. 在 [ 新增 SharePoint 發行規則精靈] 的 [ 名稱 ] 文字方塊中,輸入發佈規則的名稱 (例如「混合式發佈規則」) 。 選取 [下一步]

  4. 取 [發佈單一網站或負載平衡器],然後選取 [ 下一步]

  5. 若要針對 TMG 與 SharePoint Server 伺服器陣列之間的連線使用 HTTP ,請選取 [ 使用非安全連線來連線已發佈的 Web 服務器或伺服器陣列],然後選取 [ 下一步]

    若要針對 TMG 與 SharePoint Server 伺服器陣列之間的連線使用 HTTPS ,請選取 [ 使用 SSL 連線已發佈的 Web 服務器或伺服器數組],然後選取 [ 下一步]

    注意事項

    如果使用 SSL,請確定在主要 Web 應用程式安裝有效的憑證。

  6. 在 [ 內部發佈詳細 資料] 對話方塊的 [ 內部網站名稱 ] 文字方塊中,輸入 橋接 URL的內部 DNS 名稱,然後選取 [ 下一步]。 這是 TMG 伺服器用來將要求轉送至主要 Web 應用程式的 URL。

    注意事項

    請勿輸入通訊協定 (HTTP:// 或 HTTPs://) 。

       
    編輯圖示 橋接 URL 會記錄在 SharePoint 混合式工作表的下列其中一個位置中:
    如果您的主要 Web 應用程式是以主機命名的網站集合設定,請使用資料表 5a:主要 Web 應用程式 (主機名稱網站集合) 中的資料列1 (主要 Web 應用程式 URL) 中的值。
    如果您的主要 Web 應用程式是使用 路徑型網站集合 來設定,請使用資料表 5b:主要 Web 應用程式) 的資料 列 1 (主要 Web 應用程式 URL 中的值 , (路徑型網站集合,而不需要 AAM)
    如果您的主要 Web 應用程式是使用 AAM 設定路徑型網站集合 ,請使用資料表 5c:主要 Web 應用程式) 的資料 列 5 (主要 Web 應用程式 URL 中的值 , (AAM) 的路徑型網站集合

  7. 在 [ 使用電腦名稱稱或 IP 位址連線到已發佈的伺服器 ] 方塊中,選擇性地 (主要 Web 應用程式或網路負載平衡器的 FQDN) 輸入 IP 位址或完整功能變數名稱,然後選取 [ 下一步]

    注意事項

    如果 TMG 能夠使用上一步中提供的主機名稱解析主要 Web 應用程式,則不需要執行此步驟。

  8. 在 [公用名稱詳細資料] 對話方塊中,接受 [接受要求] 功能表中的預設設定。 在 [ 公用名稱 ] 文字方塊中,輸入外部 URL 的主機名稱 (例如「sharepoint.adventureworks.com」) ,然後選取 [ 下一步]。 這是 Microsoft 365 中的 SharePoint 將用來與 SharePoint Server 伺服器陣列連線之外部 URL 中的主機名稱。

    注意事項

    請勿輸入通訊協定 (HTTP:// 或 HTTPs://) 。

       
    編輯圖示 外部 URL 會記錄在 SharePoint 混合式工作表之表 3:公用網域資訊列 3 (外部 URL) 中。

  9. 在 [選取 Web 接聽程式] 對話方塊中,選取 [新增]

  10. 在 [ 新增 Web 接聽程式精靈 ] 對話方塊的 [ Web 接聽程式名稱 ] 文字方塊中,輸入 Web 接聽程式的名稱,然後選取 [ 下一步]

  11. 在 [用戶端連線安全性] 對話方塊中,選取 [ 需要與用戶端的 SSL 安全聯機],然後選取 [ 下一步]

  12. 在 [Web 接聽程式 IP 位址] 對話方塊中,選取 [外部 < 所有 IP 位址 >],然後選取 [下一步]

    如果您想要限制接聽程式只接聽特定外部 IP 位址,請選取 [ 選取 IP 位址],然後在 [ 外部網路接聽程式 IP 選 取] 對話方塊中,選取 所選網路中 Forefront TMG 電腦上的 [指定的 IP 位址]。 若要指定 IP 位址,請選取 [ 新增],然後選取 [ 確定]

  13. 在 [ 接聽程式 SSL 憑證 ] 對話方塊中,選取 [ 為此 Web 接聽程式使用單一憑證],然後選取 [選取憑 ] 按鈕。 在 [ 選取憑證 ] 對話方塊中,選取您匯入 TMG 電腦 的安全通道 SSL 憑證 ,選取 [ 選取],然後選取 [ 下一步]

  14. 在 [ 驗證設定 ] 對話方塊中,選取 [SSL 用戶端憑證驗證],然後選取 [ 下一步]。 這個設定將使用安全通道憑證對於輸入連線強制使用用戶端憑證認證。

  15. 若要略過 Forefront TMG 單一登入設定,請選取 [ 下一步]

  16. 檢閱 [新增接聽程式 摘要] 頁面,然後選取 [ 完成]。 這會讓您回到 [發佈規則精靈],其中已經自動選取新建立的 Web 接聽程式。

  17. 在 [ 選取 Web 接聽程式 ] 對話方塊的 [ Web 接聽程式 ] 下拉式清單中,確定已選取正確的 Web 接聽程式,然後選取 [ 下一步]

  18. 在 [ 驗證委派 ] 對話方塊中,選取 [ 沒有委派],但用戶端可以直接 從下拉式清單進行驗證,然後選取 [ 下一步]

  19. 在 [ 替代存取對應 組態] 對話方塊中,選取 [ SharePoint AAM 已在 SharePoint 伺服器上設定],然後選取 [ 下一步]

  20. 在 [ 使用者集合 ] 對話方塊中,選取 [ 所有已驗證的使用者 ] 專案,然後選取 [ 移除]。 然後選取 [新增],然後在 [ 新增使用者 ] 對話方塊中,選取 [ 所有使用者],然後選取 [ 新增]。 若要關閉 [ 新增使用者 ] 對話方塊,請選取 [ 關閉],然後選取 [ 下一步]

  21. 在 [ 完成新的 SharePoint 發行規則 精靈] 對話方塊中,確認您的設定,然後選取 [ 完成]

有幾個設定必須立即驗證,或者在您剛才建立的發佈規則中變更。

完成發佈規則設定

  1. 在 Forefront TMG 管理主控台的左側流覽窗格中,選取 [ 防火牆原則],然後在 [ 防火牆原則規則] 清單中,以滑鼠右鍵按一下您剛才建立的發佈規則,然後選取 [ 設定 HTTP]

  2. 在 [ 設定規則的 HTTP 原則] 對話方塊的 [ 一般 ] 索引標籤的 [ URL 保護] 下方,確認 [ 驗證正規化 ] 和 [ 封鎖高位字元 ] 皆未核取,然後選取 [ 確定]

  3. 以滑鼠右鍵按一下您剛才建立的發佈規則,然後選取 [ 屬性]

  4. 規則名稱 > [ < 屬性]對話方塊的 [To] 索引標籤上,清除 [轉送原始主機標頭],而不是實際的一個方塊。 在 [對已發行網站的 Proxy 要求] 下,確定已選取 [要求看起來是來自原始用戶端]

  5. 在 [連結轉譯] 索引標籤上,確定已正確設定 [套用連結轉譯到這個規則] 核取方塊:

  • 如果主要 Web 應用程式的內部 URL 和外部 URL 相同,請清除 [將 連結轉譯套用至此規則 ] 核取方塊。

  • 如果主要 Web 應用程式的內部 URL 和外部 URL 不同,請勾選 [套用連結轉譯到這個規則] 核取方塊。

  1. 在 [橋接] 索引標籤的[Web 服務器] 底下,確定已核取正確的 [將要求重新導向至 < HTTP 埠或 SSL 埠 >] 核取方塊,而且文字方塊中的埠會對應至您內部網站設定為使用的埠。

  2. 若要將變更儲存至發佈規則,請選取 [ 確定]

  3. 在 Forefront TMG 管理主控台的頂端列上,若要將變更套用至 TMG,請選取 [ 套用]。 可能需要一或兩分鐘讓 TMG 處理您的變更。

  4. 若要驗證您的設定,請以滑鼠右鍵按一下 [防火牆原則規則 ] 清單中的新發佈規則,然後選取 [ 屬性]

  5. [ < 規則名稱 > 屬性]對話方塊中,選取 [測試規則]按鈕。 TMG 會執行一系列測試,以檢查是否能夠連線到 Microsoft 365 網站中的 SharePoint,並在清單中顯示測試的結果。 如需測試及其結果的描述,請選取每個組態測試。 請修正出現的任何錯誤。

另請參閱

概念

SharePoint Server 的混合

設定混合式 SharePoint Server 的反向 Proxy 裝置

其他資源

設定 Web 發佈