Configurer Forefront TMG pour un environnement hybride

**Sapplique à :**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**Dernière rubrique modifiée :**2017-06-22

Résumé : Découvrez comment configurer Forefront TMG 2010 comme un périphérique proxy inverse dans un environnement hybride de SharePoint.

Cet article vous indique comment définir des Forefront Threat Management Gateway (TMG) 2010 pour une utilisation en tant que proxy inverse pour un environnement de SharePoint Server hybride.

Pour obtenir des informations complètes sur Forefront Threat Management Gateway (TMG) 2010, voir Forefront Threat Management Gateway (TMG) 2010.

Dans cet article :

• Avant de commencer

• Install TMG 2010

• Install the Secure Channel certificate

• Configure TMG 2010

Avant de commencer

Avant de commencer, prenez en considération les points suivants :

• TMG doit être déployé dans une configuration de serveur Edge, avec au moins une carte réseau connectée à Internet et configurée pour le réseau externe dans TMG et au moins une carte réseau connectée au réseau intranet et configurée pour le réseau interne dans TMG.

• Le serveur TMG doit être membre d’un domaine dans la forêt de domaine Active Directory qui contient votre serveur Active Directory Federation Services (ADFS) 2.0. Le serveur TMG doit être joint à ce domaine pour utiliser l’authentification de certificat client SSL, qui est utilisée pour authentifier les connexions entrantes à partir de SharePoint Online.

  Security

  Selon les meilleures pratiques relatives aux déploiements Edge, vous devez normalement installer Forefront TMG dans une forêt séparée (plutôt que dans la forêt interne de votre réseau d’entreprise), avec une approbation à sens unique vers la forêt d’entreprise. Cependant, vous ne pouvez configurer l’authentification de certificat client que pour les utilisateurs du domaine auquel appartient le serveur TMG. Ces meilleures pratiques ne peuvent donc pas être suivies pour les environnements hybrides. Pour plus d’informations sur les considérations relatives aux topologies de réseau TMG, voir Considérations de groupe de travail et de domaine.

• Déploiement de TMG 2010 pour une utilisation dans un environnement hybride de SharePoint Server dans une configuration DOS à DOS est théoriquement possible mais n’a pas été testé et peut ne pas fonctionne.

• TMG 2010 inclut l’enregistrement des diagnostics et une interface de journalisation en temps réel. Journalisation joue un rôle important dans la résolution des problèmes liés à la connectivité et l’authentification entre SharePoint Server et SharePoint Online. Identifier le composant qui provoque un échec de connexion peut être un défi, et les journaux TMG sont la première chose que vous devez rechercher des indices. Résolution des problèmes peuvent impliquer la comparaison des journaux des événements dans les journaux TMG, SharePoint Server les journaux ULS, journaux des événements Windows Server et Internet Information Services (IIS) les journaux de plusieurs serveurs.

Pour plus d’informations sur la configuration et l’utilisation de la journalisation dans TMG 2010, voir Utilisation de la journalisation des diagnostics.

Pour plus d’informations sur la résolution des problèmes en général dans TMG 2010, voir Résolution des problèmes dans Forefront TMG.

Pour plus d’informations sur la résolution des problèmes techniques et des outils pour les environnements hybrides SharePoint Server, consultez Dépannage des environnements hybrides.

Installer TMG 2010

Si vous n’avez pas encore installé ni configuré TMG 2010 pour votre réseau, suivez la procédure décrite dans cette section afin de l’installer et de préparer le système TMG.

Installez TMG 2010

1. Installez Forefront TMG 2010, si ce n’est pas déjà fait. Pour plus d’informations sur l’installation de TMG 2010, voir Déploiement de Forefront TMG.

2. Installez l’ensemble des Service Packs et des mises à jour disponibles pour TMG 2010. Pour plus d’informations, voir Installation des Service Packs Forefront TMG.

3. S’il n’est pas déjà membre du domaine, associez l’ordinateur serveur TMG au domaine Active Directory sur site.

   Pour plus d’informations sur le déploiement de TMG 2010 dans un environnement de domaine, voir Considérations de groupe de travail et de domaine.

Importer le certificat SSL de canal sécurisé

Vous devez importer le certificat SSL de canal sécurisé à la fois dans le magasin Personnel du compte d’ordinateur local et dans le magasin Personnel du compte de service de pare-feu Microsoft Forefront TMG (fwsvc).

L’emplacement du certificat SSL de canal sécurisé est consigné sur la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. Si le certificat contient une clé privée, vous devrez fournir le mot de passe du certificat, qui est consigné sur la ligne 4 (Mot de passe du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé.

Importez le certificat

1. Copiez le fichier de certificat de l’emplacement spécifié dans la feuille de calcul dans un dossier sur le disque dur local.

2. Sur le serveur proxy inverse, ouvrez la console MMC et ajoutez le composant logiciel enfichable Gestion des certificats à la fois pour le compte de l’ordinateur local et le compte de service fwsrv local.

   Notes

   Une fois TMG 2010 installé, le nom convivial du service fwsrv est Pare-feu Microsoft Forefront TMG.

3. Importez le certificat SSL de canal sécurisé dans le magasin de certificats Personnel du compte d’ordinateur.

4. Importez le certificat SSL de canal sécurisé dans le magasin de certificats Personnel du compte de service fwsrv.

Pour plus d’informations sur la façon d’importer un certificat SSL, voir Importer un certificat.

Configurer TMG 2010

Dans cette section, vous configurez un port d’écoute web et une règle de publication qui recevra les demandes entrantes à partir de SharePoint Online et les transmettre à l’application web principale de votre batterie de serveurs SharePoint Server. Le port d’écoute web et la règle de publication de travaillent ensemble pour définir les règles de connexion et pour authentifier au préalable et relayer les demandes. Vous configurez le port d’écoute web pour authentifier les connexions entrantes en utilisant le certificat Secure Channel que vous installé dans la dernière procédure.

Pour plus d’informations sur la configuration de règles de publication dans TMG, voir Configuration de la publication web.

Pour plus d’informations sur le pontage SSL dans TMG 2010, voir À propos de la publication et du pontage SSL.

Suivez la procédure décrite ci-après pour créer la règle de publication et le port d’écoute.

Créer le port d’écoute web et de la règle de publication

1. Dans la console de gestion de Forefront TMG, dans le volet de navigation de gauche, cliquez avec le bouton droit sur Stratégie de pare-feu, puis cliquez sur Nouveau.

2. Sélectionnez Règle de publication du site SharePoint.

3. Dans Assistant Nouvelle règle de publication SharePoint, dans la zone de texte Nom, saisissez le nom de la règle de publication (par exemple, « règle de publication hybride »). Cliquez ensuite sur Suivant.

4. Sélectionnez Publier un seul site web ou programme d’équilibrage de charge, puis cliquez sur Suivant.

5. Pour utiliser HTTP pour la connexion entre TMG et votre batterie SharePoint Server, sélectionnez utiliser une connexion non sécurisée pour connecter le serveur Web publié ou la batterie de serveurs, puis cliquez sur suivant.

   Pour utiliser le protocole HTTPS pour la connexion entre TMG et votre batterie SharePoint Server, sélectionnez Utiliser le SSL pour se connecter le serveur Web publié ou la batterie de serveurs, puis cliquez sur suivant.

   Notes

   Si vous utilisez le protocole SSL, vérifiez que vous avez installé un certificat valide sur l’application web principale.

6. Dans la boîte de dialogue Détails de publication interne, dans la zone de texte Nom de site interne, saisissez le nom DNS interne de l’URL de pontage, puis cliquez sur Suivant. Il s’agit de l’URL que le serveur TMG va utiliser pour relayer des demandes à l’application web principale.

   Notes

   Ne saisissez pas le protocole (http:// ou https://).

   L’URL de pontage est enregistrée dans l’un des emplacements suivants dans la feuille de calcul hybride SharePoint : Si votre application web principale est configurée avec une collection de sites nommée par l’hôte, utilisez la valeur de la Ligne 1 (URL d’application web principale) du Tableau 5a : Application web principale (collection de sites nommée par l’hôte). Si votre application web principale est configurée avec une collection de sites basée sur le chemin d’accès, utilisez la valeur de la première ligne (URL de l’application web principale) du tableau 5b : Application web principale (collection de sites basée sur le chemin d’accès sans mappage des accès de substitution). Si votre application web principale est configurée avec une collection de sites basée sur le chemin d’accès avec mappage des accès de substitution, utilisez la valeur de la Ligne 5 (URL d’application web principale) du Tableau 5c : Application web principale (collection de sites basée sur le chemin d’accès avec mappage des accès de substitution).

7. Dans la zone Utiliser un nom d’ordinateur ou une adresse IP pour se connecter au serveur publié, vous pouvez saisir l’adresse IP ou le nom de domaine complet (FQDN) de l’application web principale ou du programme d’équilibrage de charge du réseau, puis cliquer sur Suivant.

   Notes

   Si TMG peut résoudre l’application web principale à l’aide du nom d’hôte que vous avez indiqué à l’étape précédente, cette étape n’est pas nécessaire.

8. Dans la boîte de dialogue Détails de nom Public, acceptez le paramètre par défaut dans le menu d’accepter les demandes pour. Dans la zone nom Public, tapez le nom d’hôte de l' URL externe (par exemple, « sharepoint.adventureworks.com »), puis cliquez sur suivant. Il s’agit du nom d’hôte dans l’URL externe que SharePoint Online utilisera pour se connecter à votre batterie de serveurs SharePoint Server.

   Notes

   Ne saisissez pas le protocole (http:// ou https://).

   L’URL externe est consignée à la Ligne 3 (URL externe) du Tableau 3 : Information de domaine public dans la feuille de calcul hybride SharePoint.

9. Dans la boîte de dialogue Sélectionner un port d’écoute web, choisissez Nouveau.

10. Dans la boîte de dialogue Assistant Nouveau port d’écoute web, dans la zone de texte Nom du port d’écoute web, saisissez un nom pour le port d’écoute web, puis cliquez sur Suivant.

11. Dans la boîte de dialogue Sécurité de la connexion au client, sélectionnez Exiger des connexions SSL sécurisée avec les clients, puis cliquez sur Suivant.

12. Dans la boîte de dialogue Adresses IP des ports d’écoute web, sélectionnez Externe <Toutes les adresses IP>, puis cliquez sur Suivant.

    Si vous voulez limiter le port d’écoute afin qu’il écoute uniquement sur une adresse IP externe spécifique, cliquez sur le bouton Sélectionner des adresses IP, puis dans la boîte de dialogue Sélection d’adresses IP de port d’écoute réseau externe, sélectionnez Adresses IP spécifiées sur l’ordinateur Forefront TMG dans le réseau sélectionné. Cliquez sur Ajouter pour spécifier une adresse IP, puis cliquez sur OK.

13. Dans la boîte de dialogue Certificats SSL de port d’écoute, sélectionnez Utiliser un seul certificat pour ce port d’écoute web et cliquez sur le bouton Sélectionner un certificat. Dans la boîte de dialogue Sélectionner un certificat, sélectionnez le certificat SSL de canal sécurisé que vous avez importé sur l’ordinateur TMG, cliquez sur Sélectionner, puis sur Suivant.

14. Dans la boîte de dialogue Paramètres d’authentification, sélectionnez Authentification de certificat client SSL, puis cliquez sur Suivant. Ce paramètre met en application les informations d’identification du certificat client pour les connexions entrantes à l’aide du certificat de canal sécurisé.

15. Cliquez sur Suivant pour ignorer les paramètres d’authentification unique de Forefront TMG.

16. Passez en revue la page de résumé Nouveau port d’écoute et cliquez sur Terminer. Vous êtes alors renvoyé à l’Assistant Règle de publication, dans lequel le port d’écoute que vous venez de créer est automatiquement sélectionné.

17. Dans la boîte de dialogue Sélectionnez le port d’écoute, dans le menu déroulant Port d’écoute web, assurez-vous que le port d’écoute web approprié est sélectionné, puis cliquez sur Suivant.

18. Dans la boîte de dialogue Délégation de l’authentification, sélectionnez Aucune délégation, mais le client peut s’authentifier directement dans le menu déroulant, puis cliquez sur Suivant.

19. Dans la boîte de dialogue Configuration du mappage des accès de substitution, sélectionnez SharePoint AAM est déjà configuré sur le serveur SharePoint, puis cliquez sur Suivant.

20. Dans la boîte de dialogue Ensembles d’utilisateurs, sélectionnez l’entrée Tous les utilisateurs authentifiés et cliquez sur Supprimer. Cliquez ensuite sur Ajouter et, dans la boîte de dialogue Ajouter des utilisateurs, sélectionnez Tous les utilisateurs, puis cliquez sur Ajouter. Cliquez sur Fermer pour fermer la boîte de dialogue Ajouter des utilisateurs, puis cliquez sur Suivant.

21. Dans la boîte de dialogue Fin de l’Assistant Nouvelle règle de publication SharePoint, confirmez vos paramètres, puis cliquez sur Terminer.

Vous devez maintenant vérifier ou modifier certains paramètres de la règle de publication que vous venez de créer.

Finaliser la configuration de règle de publication

1. Dans la console de gestion de Forefront TMG, dans le volet de navigation de gauche, sélectionnez Stratégie de pare-feu et, dans la liste Règles de stratégie de pare-feu, cliquez avec le bouton droit sur la règle de publication que vous venez de créer, puis cliquez sur Configurer HTTP.

2. Dans la boîte de dialogue Configurer la stratégie HTTP pour la règle, dans l’onglet Général, sous Protection des URL, assurez-vous que les options Vérifier la normalisation et Bloquer les caractères étendus sont décochées puis cliquez sur OK.

3. Cliquez à nouveau avec le bouton droit sur la règle de publication que vous venez de créer, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés <Nom de la règle>, dans l’onglet À, décochez la case Transmettre l’en-tête de l’hôte d’origine plutôt que l’en-tête réel. Sous Demandes proxy vers le site publié, assurez-vous que l’option Les demandes semblent émaner du client d’origine est sélectionnée.

5. Dans l’onglet Traduction de liens, assurez-vous que la case à cocher Appliquer la traduction de liens à cette règle est correctement définie :

   • Si l’URL interne de votre application web principale et l’URL externe sont identiques, décochez la case Appliquer la traduction de liens à cette règle.

   • Si l’URL interne de votre application web principale et l’URL externe sont différentes, cochez la case Appliquer la traduction de liens à cette règle.

6. Dans l’onglet Pontage, sous Serveur web, assurez-vous que la case Rediriger les demandes vers <Port HTTP ou port SSLt> appropriée est cochée et que le port indiqué dans la zone de texte correspond au port que votre site interne utilise.

7. Cliquez sur OK pour enregistrer les modifications apportées à la règle de publication.

8. Dans la console de gestion de Forefront TMG, dans la barre supérieure, cliquez sur Appliquer pour appliquer les modifications apportées à TMG. Le traitement de vos modifications par TMG peut prendre une ou deux minutes.

9. Pour valider votre configuration, cliquez avec le bouton droit sur la nouvelle règle de publication dans la liste Règles de stratégie de pare-feu, puis cliquez sur Propriétés.

10. Dans la boîte de dialogue Propriétés <Nom de la règle>, cliquez sur le bouton Tester la règle. TMG exécutera une série de tests pour vérifier la connectivité vers le site SharePoint et affichera les résultats de ces tests dans une liste. Cliquez sur chaque test de configuration pour en obtenir la description et les résultats. Corrigez toutes les erreurs éventuelles.

See also

Environnement hybride pour SharePoint Server
Configurer un périphérique proxy inverse pour hybride de SharePoint Server

Configuration de la publication Web
Forefront Threat Management Gateway (TMG) 2010