Configurare Forefront TMG per un ambiente ibrido

**Si applica a:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2017-06-22

Riepilogo: Informazioni su come configurare Forefront TMG 2010 come dispositivo proxy inverso in un ambiente ibrido di SharePoint.

In questo articolo viene descritto come impostare backup Forefront Threat Management Gateway (TMG) 2010 per l'utilizzo come proxy inverso per un ambiente ibrido di SharePoint Server.

Per informazioni complete su Forefront Threat Management Gateway (TMG) 2010, vedere Forefront Threat Management Gateway (TMG) 2010.

Contenuto dell'articolo:

• Prima di iniziare

• Installare TMG 2010

• Installare il certificato di canale sicuro (Schannel)

• Configurare TMG 2010

Prima di iniziare

Prima di iniziare, tenere presenti i seguenti aspetti:

• TMG deve essere distribuito in una configurazione perimetrale con almeno una scheda di rete connessa a Internet e configurata per la rete esterna in TMG e almeno una scheda di rete connessa alla rete Intranet e configurata per la rete interna in TMG.

• Il server TMG deve essere un membro del dominio nella foresta di dominio Active Directory che contiene il server Active Directory Federation Services (ADFS) 2.0. Il server TMG deve essere aggiunto al dominio da utilizzare SSL l'autenticazione certificati client, che viene utilizzato per autenticare le connessioni in ingresso da SharePoint Online.

  Security

  Come generale procedura consigliata per le distribuzioni perimetrali, Forefront TMG viene installato in genere in una foresta distinta, anziché nella foresta interna della rete aziendale, con un trust unidirezionale con la foresta aziendale. L'autenticazione del certificato client tuttavia può essere configurata solo per gli utenti del dominio di cui fa parte il server TMG, perciò questa procedura non è applicabile negli ambienti ibridi. Per ulteriori informazioni sulle considerazioni relative alla topologia di rete TMG, vedere Considerazioni relative a gruppi di lavoro e dominio.

• Distribuzione di TMG 2010 per l'utilizzo in un ambiente ibrido SharePoint Server in una configurazione back to back è teoricamente possibile, ma non è stata testata e potrebbe non funzionare.

• TMG 2010 include la registrazione diagnostica sia un'interfaccia di registrazione in tempo reale. La registrazione è fondamentale nella risoluzione dei problemi di connettività e l'autenticazione tra SharePoint Server e SharePoint Online. Che identifica il componente che causa un errore di connessione può essere complessa e i registri TMG sono il primo posto in che cui prestare attenzione indicazioni. Risoluzione dei problemi possono riguardare confronto tra gli eventi nei registri da registri TMG, i registri ULS SharePoint Server, i registri eventi Windows Server e registri Internet Information Services (IIS) su più server.

Per ulteriori informazioni su come configurare e utilizzare la registrazione in TMG 2010, vedere utilizzo della registrazione diagnostica.

Per ulteriori informazioni sulla risoluzione dei problemi di generale TMG 2010, vedere Risoluzione dei problemi di Forefront TMG.

Per ulteriori informazioni sulle tecniche e sugli strumenti per gli ambienti ibridi SharePoint Server, vedere Risoluzione dei problemi di ambienti ibridi.

Installare TMG 2010

Se TMG 2010 non è già stato installato e configurato per la propria rete, utilizzare questa sezione per installare TMG 2010 e preparare il sistema TMG.

Installare TMG 2010

1. Se non è già installato, installare Forefront TMG 2010. Per ulteriori informazioni sull'installazione di TMG 2010, vedere Distribuzione di Forefront TMG.

2. Installare tutti i service Pack disponibili e gli aggiornamenti per TMG 2010. Per ulteriori informazioni, vedere Installazione di Forefront TMG Service Pack.

3. Aggiungere il computer server TMG al dominio di Active Directory locale, se non è già membro di un dominio.

   Per ulteriori informazioni sulla distribuzione di TMG 2010 in un ambiente di dominio, vedere Considerazioni relative a gruppi di lavoro e dominio.

Importare il certificato SSL di canale sicuro

È necessario importare il certificato SSL di canale sicuro sia nell'archivio personale dell'account computer locale sia nell'archivio personale dell'account del servizio Firewall di Microsoft Forefront TMG (fwsvc).

Il percorso del certificato SSL di canale sicuro viene registrato nella riga 1 (Secure Channel SSL Certificate location and Filename) della tabella 4b: Secure Channel SSL Certificate. Se il certificato contiene una chiave privata, sarà necessario fornire la password del certificato, registrata nella riga 4 (Secure Channel SSL Certificate password) della tabella 4b: Secure Channel SSL Certificate.

Importare il certificato

1. Copiare il file del certificato dal percorso specificato nel foglio di lavoro a una cartella sul disco rigido locale.

2. Sul server proxy inverso aprire MMC e aggiungere lo snap-in Gestione certificati per l'account computer locale e per l'account del servizio fwsrv.

   Nota

   Dopo l'installazione di TMG 2010, il nome descrittivo del servizio fwsrv corrisponderà al servizio Firewall Microsoft Forefront TMG.

3. Importare il certificato SSL di canale sicuro nell'archivio certificati Personale dell'account computer.

4. Importare il certificato SSL di canale sicuro nell'archivio certificati Personale dell'account del servizio fwsrv.

Per ulteriori informazioni su come importare un certificato SSL, vedere importare un certificato.

Configurare TMG 2010

In questa sezione, configurare un listener web e una regola di pubblicazione che riceverà le richieste in ingresso dal SharePoint Online e inoltrarle all'applicazione web principale della farm SharePoint Server. Il listener web e una regola di pubblicazione interagiscono per definire le regole di connessione e preautenticare e inoltrare le richieste. Configurare il listener web per autenticare le connessioni in ingresso utilizzando il certificato di canale sicuro che è stato installato nella procedura precedente.

Per ulteriori informazioni sulla configurazione delle regole di pubblicazione in TMG, vedere configurazione di Web publishing.

Per ulteriori informazioni sul bridging SSL in TMG 2010, vedere pubblicazione e bridging SSL su.

Usare la procedura seguente per creare la regola di pubblicazione e il listener Web.

Creare la regola di pubblicazione o una listener web

1. Nella console di gestione di Forefront TMG fare clic con il pulsante destro del mouse su Criterio firewall nel riquadro di spostamento sinistro e quindi scegliere Nuovo.

2. Selezionare Regola di pubblicazione del sito SharePoint.

3. Nella Creazione guidata regola di pubblicazione SharePoint digitare il nome della regola di pubblicazione, ad esempio "Regola di pubblicazione ibrida", nella casella di testo Nome. Fare clic su Avanti.

4. Selezionare Pubblica un singolo sito Web o un sistema di bilanciamento del carico e quindi fare clic su Avanti.

5. Per utilizzare HTTP per la connessione tra TMG e la farm SharePoint Server, selezionare utilizzare connessioni non protette per connettersi al server Web pubblicato o alla farm di server e quindi fare clic su Avanti.

   Per utilizzare HTTPS per la connessione tra TMG e la farm SharePoint Server, selezionare Utilizzare SSL per connettersi al server Web pubblicato o alla farm di server e quindi fare clic su Avanti.

   Nota

   Se si usa SSL, verificare che nell'applicazione Web principale sia installato un certificato valido.

6. Nella finestra di dialogo Dettagli pubblicazione interna digitare il nome DNS interno dell'URL bridging nella casella di testo Nome sito interno e quindi fare clic su Avanti. Questo è l'URL che verrà utilizzato dal server TMG per inoltrare le richieste all'applicazione Web principale.

   Nota

   Non immettere il protocollo (http:// o https://).

   L'URL bridging è registrato in una delle seguenti posizioni del foglio di lavoro per ambienti ibridi di SharePoint: Se l'applicazione Web principale è configurata con una raccolta siti con nome host, utilizzare il valore presente nella riga 1 (Primary web application URL) della tabella 5a: Primary web application (host-named site collection). Se l'applicazione Web principale è configurata con una raccolta siti basata su percorso, utilizzare il valore presente nella riga 1 (Primary web application URL) della tabella 5b, Primary web application (path-based site collection without AAM). Se l'applicazione Web principale è configurata con una raccolta siti basata su percorso con mapping di accesso alternativo, utilizzare il valore presente nella riga 5 (Primary web application URL) della tabella 5c: Primary web application (path-based site collection with AAM).

7. Nella casella Utilizza nome computer o indirizzo IP per la connessione al server pubblicato digitare facoltativamente l'indirizzo IP o il nome di dominio completo (FQDN) dell'applicazione Web principale o del bilanciamento del carico di rete e quindi fare clic su Avanti.

   Nota

   Se TMG è in grado di risolvere l'applicazione Web principale usando il nome host fornito nel passaggio precedente, questo passaggio non sarà necessario.

8. Nella finestra di dialogo Dettagli nome pubblico, accettare l'impostazione predefinita dal menu accetta richieste per. Nella casella di testo nome pubblico digitare il nome host URL esterno (ad esempio, "sharepoint.adventureworks.com") e quindi fare clic su Avanti. Questo è il nome host l'URL esterno che SharePoint Online viene utilizzata per la connessione con la farm SharePoint Server.

   Nota

   Non immettere il protocollo (http:// o https://).

   L'URL esterno è registrato nella riga 3 (External URL) della tabella 3: Public Domain Info del foglio di lavoro per ambienti ibridi di SharePoint.

9. Nella finestra di dialogo Scegliere Listener Web selezionare Nuovo.

10. Nella finestra di dialogo Creazione guidata listener Web digitare un nome per il listener Web nella casella di testo Nome listener Web e fare clic su Avanti.

11. Nella finestra di dialogo Protezione di connessione client selezionare Richiedi connessioni SSL protette con i client e quindi fare clic su Avanti.

12. Nella pagina Indirizzi IP del listener Web selezionare Esterno <Tutti gli indirizzi IP> e quindi fare clic su Avanti.

    Per limitare il listener all'ascolto solo di uno specifico indirizzo IP esterno, fare clic sul pulsante Seleziona indirizzi IP e quindi nella finestra di dialogo Selezione IP listener di rete Esterna selezionare Indirizzi IP specificati sul computer Forefront TMG della rete selezionata. Fare clic su Aggiungi per specificare un indirizzo IP e quindi fare clic su OK.

13. Nella finestra di dialogo Certificati SSL listener selezionare Usa un unico certificato per questo listener Web e fare clic sul pulsante Seleziona certificato. Nella finestra di dialogo Seleziona certificato selezionare il certificato SSL di canale sicuro importato nel computer TMG. Fare clic su Seleziona e quindi su Avanti.

14. Nella finestra di dialogo Impostazioni di autenticazione selezionare Autenticazione certificato client SSL e quindi fare clic su Avanti. Questa impostazione applica le credenziali del certificato client per le connessioni in ingresso usando il certificato di canale sicuro (Schannel).

15. Fare clic su Avanti per ignorare le impostazioni Single Sign-On di Forefront TMG.

16. Esaminare la pagina di riepilogo Nuovo listener e fare clic su Fine. Si viene reindirizzati alla procedura guidata delle regole di pubblicazione, in cui il nuovo listener Web appena creato risulta selezionato automaticamente.

17. Nella finestra di dialogo Scegliere Listener Web verificare che nel menu a discesa Listener Web sia selezionato il listener Web corretto e fare clic su Avanti.

18. Nella finestra di dialogo Delega autenticazione selezionare Nessuna delega, ma il client può eseguire l'autenticazione direttamente dal menu a discesa e quindi fare clic su Avanti.

19. Nella finestra di dialogo Configurazione mapping di accesso alternativo selezionare L'AAM SharePoint è già configurato sul server SharePoint e quindi fare clic su Avanti.

20. Nella finestra di dialogo Gruppi di utenti selezionare Tutti gli utenti autenticati e fare clic su Rimuovi. Fare quindi clic su Aggiungi e nella finestra di dialogo Aggiungi utenti selezionare Tutti gli utenti, quindi fare clic su Aggiungi. Fare clic su Chiudi per chiudere la finestra di dialogo Aggiungi utenti e quindi fare clic su Avanti.

21. Nella finestra di dialogo Completamento della Creazione guidata regola di pubblicazione SharePoint verificare le impostazioni e quindi fare clic su Fine.

Nella regola di pubblicazione creata sono presenti diverse impostazioni che devono essere verificate o modificate.

Completare la configurazione della regola di pubblicazione

1. Nella console di gestione di Forefront TMG selezionare Criterio firewall nel riquadro di spostamento sinistro. Nell'elenco Regole criterio firewall fare clic con il pulsante destro del mouse sulla regola di pubblicazione creata e scegliere Configura HTTP.

2. Nella finestra di dialogo Configura criteri HTTP per la regola verificare che nella scheda Generale, in Protezione URL, entrambe le caselle di controllo Verifica normalizzazione e Blocca caratteri con bit significativi siano deselezionate e quindi fare clic su OK.

3. Fare di nuovo clic con il pulsante destro del mouse sulla regola di pubblicazione creata e scegliere Proprietà.

4. Nella finestra di dialogo Proprietà - <nome regola> deselezionare la casella di controllo Inoltra l'intestazione host originale e non quella effettiva nella casella A. In Richieste proxy al sito pubblicato assicurarsi che l'opzione Le richieste sembrano provenire dal client originale sia selezionata.

5. Nella scheda Conversione collegamento assicurarsi che la casella di controllo Applica conversione collegamento a questa regola sia impostata correttamente:

   • Se l'URL interno dell'applicazione Web principale e l'URL esterno sono identici, deselezionare la casella di controllo Applica conversione collegamento a questa regola.

   • Se l'URL interno dell'applicazione Web principale e l'URL esterno sono diversi, selezionare la casella di controllo Applica conversione collegamento a questa regola.

6. Nella scheda Bridging assicurarsi che in Server Web sia selezionata la casella di controllo Reindirizza le richieste alla <porta HTTP o porta SSL> corretta e che la porta nella casella di testo corrisponda alla porta configurata per l'uso da parte del sito interno.

7. Fare clic su OK per salvare le modifiche alla regola di pubblicazione.

8. Nella barra superiore della console di gestione di Forefront TMG fare clic su Applica per applicare le modifiche a TMG. L'elaborazione di tali modifiche potrebbe richiedere un paio di minuti.

9. Per convalidare la configurazione, fare clic con il pulsante destro del mouse sulla nuova regola di pubblicazione nell'elenco Regole criterio firewall e scegliere Proprietà.

10. Nella finestra di dialogo Proprietà - <nome regola> fare clic sul pulsante Test. TMG esegue una serie di test per verificare la connettività al sito di SharePoint e visualizza i risultati dei test in un elenco. Fare clic su ogni test di configurazione per una descrizione del test e dei risultati. Correggere gli eventuali errori visualizzati.

See also

Ambiente ibrido per SharePoint Server
Configurare un dispositivo proxy inverso per un ambiente ibrido di SharePoint Server

Configurazione di Web publishing
Forefront Threat Management Gateway (TMG) 2010