Konfigurieren von Forefront TMG für eine hybride Umgebung

**Gilt für:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-06-22

Zusammenfassung: Erfahren Sie, wie Forefront TMG 2010 als reverseproxygerät in einer SharePoint-hybridumgebung konfigurieren.

In diesem Artikel erfahren Sie, wie Sie Forefront Threat Management Gateway (TMG) 2010 für die Verwendung als Reverseproxy für eine hybridumgebung SharePoint Server festgelegt.

Umfassende Informationen zu Forefront Threat Management Gateway (TMG) 2010 finden Sie unter Forefront Threat Management Gateway (TMG) 2010.

Inhalt dieses Artikels:

• Bevor Sie beginnen

• Installieren von TMG 2010

• Installieren des Secure Channel-Zertifikats

• Konfigurieren von TMG 2010

Bevor Sie beginnen

Bevor Sie beginnen, müssen Sie Folgendes wissen:

• TMG muss in einer Edgekonfiguration bereitgestellt werden, mit mindestens einem Netzwerkadapter, der mit dem Internet verbunden und für das externe Netzwerk in TMG konfiguriert ist, und mindestens einem Netzwerkadapter, der mit dem Intranetnetzwerk verbunden und für das interne Netzwerk in TMG konfiguriert ist.

• Der TMG-Server muss Mitglied einer Domäne in der Gesamtstruktur der Active Directory-Domäne sein, Ihre Active Directory-Verbunddienste (AD FS) 2.0 Server enthält. Der Server TMG muss diese Domäne zum SSL-Zertifikat Clientauthentifizierung verwenden, der verwendet wird, für die Authentifizierung von eingehender Verbindungen zwischen den SharePoint Online hinzugefügt werden.

  Security

  Als allgemeine bewährte Methode für Edgebereitstellungen wird normalerweise empfohlen, Forefront TMG in einer separaten Gesamtstruktur (statt in einer internen Gesamtstruktur des Unternehmensnetzwerks) mit unidirektionaler Vertrauensstellung für die Gesamtstruktur des Unternehmens zu installieren. Sie können die Clientzertifikatsauthentifizierung jedoch nur für Benutzer in der Domäne konfigurieren, zu der der TMG-Server hinzugefügt wurde. Daher kann diese Methode bei Hybridbereitstellungen nicht eingesetzt werden. Weitere Informationen zu Überlegungen zur TMG-Netzwerktopologie finden Sie unter Überlegungen zu Arbeitsgruppen und Domänen.

• Bereitstellung von TMG 2010 zur Verwendung in einer hybridumgebung SharePoint Server in einer Back-Konfiguration ist theoretisch möglich, aber noch nicht getestet und funktioniert möglicherweise nicht.

• TMG 2010 enthält das Diagnoseprotokoll und eine Schnittstelle für die Protokollierung in Echtzeit. Protokollierung spielt eine wichtige Rolle Beheben von Problemen mit der Konnektivität und Authentifizierung zwischen SharePoint Server und SharePoint Online. Identifiziert die Komponente, die einen Verbindungsfehler verursacht eine Herausforderung sein kann, und TMG-Protokolle sind die zentrale Position, die Sie Hinweise gesucht werden sollen. Fehlerbehebung kann umfassen vergleichen Protokollieren von Ereignissen aus TMG Protokolle, SharePoint Server ULS-Protokolle, Windows Server Ereignisprotokolle und Internetinformationsdienste (IIS) Protokolle auf mehreren Servern.

Weitere Informationen zum Konfigurieren und Verwenden der Protokollierung in TMG 2010 finden Sie unter Verwenden der Diagnoseprotokollierung.

Weitere Informationen zu allgemeinen Problembehandlungsmaßnahmen für TMG 2010 finden Sie unter Problembehandlung bei Forefront TMG.

Weitere Informationen zur Behebung von Techniken und Tools für SharePoint Server-hybridumgebungen finden Sie unter Problembehandlung bei Hybridumgebungen.

Installieren von TMG 2010

Wenn Sie TMG 2010 noch nicht installiert und für Ihr Netzwerk konfiguriert haben, verwenden Sie die Informationen in diesem Abschnitt, um TMG 2010 zu installieren und das TMG-System vorzubereiten.

Installieren von TMG 2010

1. Installieren Sie Forefront TMG 2010, sofern noch nicht geschehen. Weitere Informationen zum Installieren von TMG 2010 finden Sie unter Forefront TMG-Bereitstellung.

2. Installieren Sie alle verfügbaren Service Packs und Updates für TMG 2010. Weitere Informationen finden Sie unter Installieren von Service Packs für Forefront TMG.

3. Fügen Sie den TMG-Servercomputer der lokalen Active Directory-Domäne hinzu, sofern er noch kein Domänenmitglied ist.

   Weitere Informationen zur Bereitstellung von TMG 2010 in einer Domänenumgebung finden Sie unter Überlegungen zu Arbeitsgruppen und Domänen.

Installieren des Secure Channel SSL-Zertifikats

Sie müssen das Secure Channel SSL-Zertifikat sowohl in den persönlichen Informationsspeicher des lokalen Computerkontos als auch den persönlichen Informationsspeicher des Microsoft Forefront TMG Firewall-Dienstkontos (fwsvc) importieren.

Der Ort des Secure Channel SSL-Zertifikats wird in Zeile 1 (Ort und Dateiname des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat gespeichert. Wenn das Zertifikat einen privaten Schlüssel enthält, müssen Sie das Zertifikatkennwort bereitstellen, das in Zeile 4 (Kennwort des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat enthalten ist.

Importieren Sie das Zertifikat

1. Kopieren Sie die Zertifikatsdatei von dem im Arbeitsblatt angegebenen Speicherort in einen Ordner auf der lokalen Festplatte.

2. Öffnen Sie auf dem Reverseproxyserver MMC, und fügen Sie das Snap-In Zertifikatverwaltung sowohl für das lokale Computerkonto als auch für das lokale FWSRV-Dienstkonto hinzu.

   Hinweis

   Nachdem TMG 2010 installiert wurde, ist der Anzeigename des FWSRV-Diensts der Dienst Microsoft Forefront TMG Firewall.

3. Importieren Sie das Secure Channel SSL-Zertifikat in den persönlichen Zertifikatspeicher des Computerkontos.

4. Importieren Sie das Secure Channel SSL-Zertifikat in den persönlichen Zertifikatspeicher des FWSRV-Dienstkontos.

Weitere Informationen dazu, wie Sie ein SSL-Zertifikat importieren, finden Sie unter Importieren eines Zertifikats.

Konfigurieren von TMG 2010

In diesem Abschnitt Konfigurieren Sie einen Weblistener und eine Webveröffentlichungsregel erstellen , die eingehende Anfragen von SharePoint Online empfangen und übertragen Sie dann in der primären Webanwendung Ihrer SharePoint Server-Farm. Die Weblistener und Veröffentlichungsregel arbeiten zusammen, um die Verbindungsregeln zu definieren und vorab authentifizieren und Weiterleiten von den Anforderungen. Konfigurieren Sie den Weblistener zum Authentifizieren eingehender Verbindungen mithilfe des Secure Channel-Zertifikats, den Sie in der letzten Prozedur installiert haben.

Weitere Informationen zum Konfigurieren von Veröffentlichungsregeln in TMG finden Sie unter Konfigurieren der Webveröffentlichung.

Weitere Informationen zu SSL-Bridging in TMG 2010 finden Sie unter Info zu SSL-Bridging und Veröffentlichung.

Mit dem folgenden Verfahren können Sie die Veröffentlichungsregel und den Weblistener erstellen.

Erstellen der Veröffentlichung und des Weblisteners

1. Klicken Sie in der Forefront TMG Management Console im Navigationsbereich auf der linken Seite mit der rechten Maustaste auf Firewallrichtlinie, und klicken Sie dann auf Neu.

2. Wählen Sie Veröffentlichungsregel für SharePoint-Standort aus.

3. Geben Sie im Assistent für neue SharePoint-Veröffentlichungsregeln im Textfeld Name den Namen der Veröffentlichungsregel ein (zum Beispiel „Hybrid-Veröffentlichungsregel"). Klicken Sie auf Weiter.

4. Wählen Sie Einzelne Website oder Lastenausgleich veröffentlichen aus, und klicken Sie dann auf Weiter.

5. Verwendung von HTTP für die Verbindung zwischen TMG und Ihrer Farm SharePoint Server wählen Sie aus, nicht gesicherte Verbindung verwenden, um die veröffentlichten Webserver oder zur Serverfarm herzustellen, und klicken Sie dann auf Weiter.

   Zur Verwendung von HTTPS für die Verbindung zwischen TMG und Ihrer Farm SharePoint Server, wählen Sie SSL verwenden, um die veröffentlichten Webserver oder zur Serverfarm herzustellen aus, und klicken Sie dann auf Weiter.

   Hinweis

   Stellen Sie bei Verwendung von SSL sicher, dass für die primäre Webanwendung ein gültiges Zertifikat installiert ist.

6. Geben Sie im Dialogfeld Interne Veröffentlichungsdetails im Textfeld Interner Sitename den internen DNS-Namen der Überbrückungs-URL ein, und klicken Sie dann auf Weiter. Dies ist die URL, die der TMG-Server verwendet, um Anforderungen an die primäre Webanwendung weiterzuleiten.

   Hinweis

   Geben Sie das Protokoll (http:// oder https://) nicht ein.

   Die Überbrückungs-URL ist im Arbeitsblatt zur SharePoint-Hybridbereitstellung an einer der folgenden Stellen angegeben: Wenn Ihre primäre Webanwendung mit einer Websitesammlung mit Hostnamen konfiguriert ist, verwenden Sie den Wert in Zeile 1 (Primary web application URL) von Table 5a: Primary web application (host-named site collection). Wenn Ihre primäre Webanwendung mit einer pfadbasierten Websitesammlung konfiguriert ist, verwenden Sie den Wert in Zeile 1 (URL der primären Webanwendung) von Tabelle 5b: Primäre Webanwendung (pfadbasierte Websitesammlung ohne AAM). Wenn Ihre primäre Webanwendung mit einer pfadbasierten Websitesammlung mit AAM konfiguriert ist, verwenden Sie den Wert in Zeile 5 (Primary web application URL ) von Table 5c: Primary web application (path-based site collection with AAM).

7. Geben Sie im Feld Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen optional die IP-Adresse oder den vollqualifizierten Domänennamen der primären Webanwendung oder des Netzwerklastenausgleichsmoduls ein, und klicken Sie dann auf Weiter.

   Hinweis

   Wenn TMG die primäre Webanwendung mit dem im vorherigen Schritt angegebenen Hostnamen auflösen kann, müssen Sie diesen Schritt nicht durchführen.

8. Akzeptieren Sie im Dialogfeld Details des öffentlichen Namens im Menü Accept-Anforderungen für die Standardeinstellung. Hostnamen Sie in das Textfeld öffentlicher Name den der Externen URL (beispielsweise "" SharePoint.AdventureWorks.com ""), und klicken Sie dann auf Weiter. Dies ist der Hostname, SharePoint Online wird in die externe URL für die Verbindung mit Ihrer Farm SharePoint Server verwendet.

   Hinweis

   Geben Sie das Protokoll (http:// oder https://) nicht ein.

   Die externe URL ist im Arbeitsblatt zur SharePoint-Hybridbereitstellung in Zeile 3 (External URL) von Table 3: Public Domain Info angegeben.

9. Wählen Sie im Dialogfeld Weblistener auswählen die Option Neu aus.

10. Geben Sie im Dialogfeld Assistent für neue Weblistener im Textfeld Weblistenername einen Namen für den Weblistener ein, und klicken Sie dann auf Weiter.

11. Wählen Sie im Dialogfeld Sicherheit der Clientverbindung die Option Sichere SSL-Verbindungen mit Clients erforderlich aus, und klicken Sie dann auf Weiter.

12. Wählen Sie im Dialogfeld Weblistener-IP-Adressen die Option Extern <Alle IP-Adressen> aus, und klicken Sie auf Weiter.

    Wenn Sie den Listener auf das Belauschen einer bestimmten externen IP-Adresse beschränken möchten, klicken Sie auf die Schaltfläche IP-Adressen auswählen, und wählen Sie dann im Dialogfeld External Network Listener IP Selection die Option Specified IP addresses on the Forefront TMG computer in the selected network aus. Klicken Sie auf Hinzufügen, um eine IP-Adresse anzugeben, und klicken Sie dann auf OK.

13. Wählen Sie im Dialogfeld Listener-SSL-Zertifikate die Option Ein einziges Zertifikat für diesen Weblistener verwenden aus, und klicken Sie auf die Schaltfläche Zertifikat auswählen. Wählen Sie im Dialogfeld Zertifikat auswählen das Secure Channel SSL-Zertifikat aus, das Sie auf dem TMG-Computer importiert haben, klicken Sie auf Auswählen, und klicken Sie dann auf Weiter.

14. Wählen Sie im Dialogfeld Authentifizierungseinstellungen die Option SSL-Clientzertifikatsauthentifizierung aus, und klicken Sie dann auf Weiter. Diese Einstellung erzwingt Anmeldeinformationen im Clientzertifikat für eingehende Verbindungen unter Verwendung des Secure Channel-Zertifikats.

15. Klicken Sie auf Weiter, um die Forefront TMG-Einstellungen für einmaliges Anmelden zu umgehen.

16. Überprüfen Sie die Zusammenfassungsseite Neuer Listener, und klicken Sie auf Fertig stellen. Dadurch gelangen Sie wieder zum Veröffentlichungsregel-Assistenten, in dem der neu erstellte Weblistener automatisch ausgewählt ist.

17. Stellen Sie im Dialogfeld Weblistener auswählen im Dropdownmenü Weblistener sicher, dass der richtige Weblistener ausgewählt ist, und klicken Sie auf Weiter.

18. Wählen Sie im Dialogfeld Authentifizierungsdelegierung im Dropdownmenü die Option Keine Delegierung, aber direkte Authentifizierung des Clients aus, und klicken Sie dann auf Weiter.

19. Wählen Sie im Dialogfeld Konfiguration einer alternativen Zugriffszuordnung die Option AAM für SharePoint wurde bereits auf dem SharePoint-Server konfiguriert aus, und klicken Sie dann auf Weiter.

20. Wählen Sie im Dialogfeld Benutzersätze den Eintrag Alle authentifizierten Benutzer aus, und klicken Sie dann auf Entfernen. Klicken Sie anschließend auf Hinzufügen, und wählen Sie dann im Dialogfeld Benutzer hinzufügen die Option Alle Benutzer aus. Klicken Sie dann auf Hinzufügen. Klicken Sie auf Schließen, um das Dialogfeld Benutzer hinzufügen zu schließen. Klicken Sie dann auf Weiter.

21. Bestätigen Sie im Dialogfeld zum Abschließen des Assistenten für neue SharePoint-Veröffentlichungsregeln Ihre Einstellungen, und klicken Sie dann auf Fertig stellen.

Sie müssen nun mehrere Einstellungen in der soeben erstellten Veröffentlichungsregel überprüfen oder ändern.

Abschließen der Konfiguration der Veröffentlichungsregel

1. Wählen Sie in der Forefront TMG Management Console im Navigationsbereich auf der linken Seite Firewallrichtlinie aus, und klicken Sie in der Liste Firewallrichtlinienregeln mit der rechten Maustaste auf die soeben erstellte Veröffentlichungsregel. Klicken Sie dann auf HTTP konfigurieren.

2. Stellen Sie im Dialogfeld HTTP-Richtlinie für diese Regel konfigurieren auf der Registerkarte Allgemein unter URL-Schutz sicher, dass die Optionen Normalisierung überprüfen und High Bit-Zeichen sperren deaktiviert sind, und klicken Sie dann auf OK.

3. Klicken Sie mit der rechten Maustaste erneut auf die soeben erstellte Veröffentlichungsregel, und klicken Sie dann auf Eigenschaften.

4. Deaktivieren Sie im Dialogfeld Eigenschaften von <Regelname> auf der Registerkarte An das Kontrollkästchen Ursprünglichen Hostheader anstelle des aktuellen Headers weiterleiten. Stellen Sie unter Anforderungen an die veröffentlichte Site weiterleiten sicher, dass Ursprung der Anforderungen scheint der ursprüngliche Client zu sein ausgewählt ist.

5. Stellen Sie auf der Registerkarte Linkübersetzung sicher, dass das Kontrollkästchen Linkübersetzung für diese Regel anwenden richtig aktiviert/deaktiviert ist:

   • Falls die interne URL Ihrer primären Webanwendung und die externe URL identisch sind, deaktivieren Sie das Kontrollkästchen Linkübersetzung für diese Regel anwenden.

   • Falls die interne URL Ihrer primären Webanwendung und die externe URL unterschiedlich sind, aktivieren Sie das Kontrollkästchen Linkübersetzung für diese Regel anwenden.

6. Stellen Sie auf der Registerkarte Bridging unter Webserver sicher, dass das richtige Kontrollkästchen Anforderungen an <HTTP-Port oder SSL-Port> umleiten aktiviert ist und dass der Port im Textfeld dem Port entspricht, für dessen Verwendung Ihre interne Site konfiguriert ist.

7. Klicken Sie auf OK, um die Änderungen an der Veröffentlichungsregel zu speichern.

8. Klicken Sie in der oberen Leiste der Forefront TMG Management Console auf Anwenden, um Ihre Änderungen an TMG zu übernehmen. Die Verarbeitung der Änderungen, die Sie an TMG durchgeführt haben, kann ein paar Minuten dauern.

9. Klicken Sie zum Überprüfen der Konfiguration mit der rechten Maustaste in der Liste Firewallrichtlinienregeln auf die neue Veröffentlichungsregel, und klicken Sie dann auf Eigenschaften.

10. Klicken Sie im Dialogfeld Eigenschaften von <Regelname> auf die Schaltfläche Regel testen. TMG führt eine Reihe von Tests durch, um die Verbindung mit der SharePoint-Website zu prüfen, und zeigt die Testergebnisse dann in einer Liste an. Klicken Sie auf jeden Konfigurationstest, um eine Testbeschreibung und die Ergebnisse zu erhalten. Beheben Sie ggf. aufgetretene Fehler.

See also

Hybridlösung für SharePoint Server
Konfigurieren eines Reverseproxygeräts für SharePoint Server-Hybridbereitstellung

Konfigurieren der Webveröffentlichung
Forefront Threat Management Gateway (TMG) 2010