設定適用於混合式環境的 Forefront TMG
**適用版本:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016
**上次修改主題的時間:**2017-06-22
**摘要:**了解如何設定 Forefront TMG 2010 成為 SharePoint 混合式環境的反向 proxy 裝置。
本文將告訴您如何設定 Forefront Threat Management Gateway (TMG) 2010年用於設定作為混合式SharePoint Server環境的反向 proxy。
如需 Forefront Threat Management Gateway (TMG) 2010年的完整資訊,請參閱 < Forefront Threat Management Gateway (TMG) 2010年。
本文內容:
開始之前
安裝 TMG 2010
安裝安全通道憑證
設定 TMG 2010
開始之前
開始前,有幾點必須注意:
必須以 Edge 設定部署 TMG,至少有一個網路介面卡連接到網際網路並針對 TMG 中的外部網路進行設定,而且至少有一個網路介面卡連接到內部網路並針對 TMG 中的內部網路進行設定。
TMG 伺服器必須是網域成員Active Directory Federation Services (AD FS) 2.0伺服器的 Active Directory 網域樹系中。TMG 伺服器必須加入至使用 SSL 的用戶端憑證驗證以用來驗證輸入的連線SharePoint Online從這個網域。
.gif "安全性提示")
Security按照 Edge 部署的一般最佳作法,您通常能夠使用企業樹系的單向信任,在個別樹系 (而非企業網路的內部樹系) 安裝 Forefront TMG。不過,您只能對於加入 TMG 伺服器的網域使用者設定用戶端憑證驗證,因此這種作法不適用於混合式環境。
如需 TMG 網路拓撲考量的詳細資訊,請參閱 <工作群組與網域考量。用於SharePoint Server混合式環境以背對背設定部署 TMG 2010 理論上可行,但並未經過測試與可能無法運作。
TMG 2010 包含診斷記錄及即時記錄介面。記錄扮演重要角色中疑難排解的連線能力與SharePoint Server和SharePoint Online之間的驗證問題。用來識別導致連線失敗的元件可以是面對,且 TMG 記錄您應尋找線索的第一個位置。疑難排解可涉及比較從 TMG 記錄檔、 SharePoint Server ULS 記錄檔、 Windows Server事件記錄以及Internet Information Services (IIS)記錄在多部伺服器上的記錄事件。
如需如何設定及使用記錄 TMG 2010 之中的詳細資訊,請參閱 <使用診斷記錄。
如需一般 TMG 2010 疑難排解的詳細資訊,請參閱 < Forefront TMG 疑難排解。
如需疑難排解技巧和工具SharePoint Server混合式環境的詳細資訊,請參閱疑難排解混合式環境。
安裝 TMG 2010
如果您尚未安裝 TMG 2010 並為您的網路進行設定,請按照本小節所述安裝 TMG 2010 並準備 TMG 系統。
安裝 TMG 2010
如果未安裝,安裝 Forefront TMG 2010。如需安裝 TMG 2010 的詳細資訊,請參閱 < Forefront TMG 部署。
安裝所有可用的 service pack 及 TMG 2010 的更新。如需詳細資訊,請參閱安裝 Forefront TMG Service Pack。
將 TMG 伺服器電腦加入內部部署 Active Directory 網域 (如果尚未成為網域成員)。
如需有關在網域環境中部署 TMG 2010 的詳細資訊,請參閱 <工作群組與網域考量。
匯入安全通道 SSL 憑證
您必須將安全通道 SSL 憑證匯入至本機電腦帳戶的個人存放區,以及 Microsoft Forefront TMG Firewall 服務帳戶 (fwsvc) 的個人存放區。
.png "編輯圖示") |
安全通道 SSL 憑證的位置記錄在「表格 4b:安全通道 SSL 憑證」的第 1 列 (安全通道 SSL 憑證位置和檔案名稱)。 如果憑證包含私密金鑰,則您需要提供憑證密碼,此密碼記錄在「表格 4b:安全通道 SSL 憑證」的第 4 列 (安全通道 SSL 憑證密碼)。 |
匯入憑證
將憑證檔案從工作表中所指定的位置複製至本機硬碟上的資料夾。
在反向 Proxy 伺服器上,開啟 MMC,並對於本機電腦帳戶和本機 fwsrv 服務帳戶新增憑證管理嵌入式管理單元。
注意
安裝 TMG 2010 後,fwsrv 服務的易記名稱是 Microsoft Forefront TMG Firewall 服務。
將安全通道 SSL 憑證匯入電腦帳戶的個人憑證存放區。
將安全通道 SSL 憑證匯入 fwsrv 服務電腦的個人憑證存放區。
如需如何匯入 SSL 憑證的詳細資訊,請參閱 <匯入憑證。
設定 TMG 2010
此區段中,您設定網頁接聽程式] 和 [發行規則將從SharePoint Online接收傳入的要求並將它們轉送至主要 web 應用程式SharePoint Server伺服器陣列。網頁接聽程式及發行規則共同運作來定義連線規則和來預先驗證並將要求轉送。您設定來驗證輸入的連線使用安全通道憑證安裝在最後一個程序中的網頁接聽程式。
如需在 TMG 設定發佈規則的詳細資訊,請參閱 <設定網頁發佈。
如需 TMG 2010 之中 SSL 橋詳細資訊,請參閱 <關於 SSL 橋接及發佈。
使用下列程序建立發佈規則及 Web 接聽程式。
建立發佈規則及 web 接聽程式
在 Forefront TMG Management Console 的左側瀏覽窗格中,以滑鼠右鍵按一下 [防火牆原則],然後按一下 [新增]。
選取 [SharePoint 網站發佈規則]。
在 [新增 SharePoint 發佈規則精靈] 的 [名稱] 文字方塊,輸入發佈規則的名稱 (例如,「混合式發佈規則」)。按 [下一步]。
選取 [發佈單一網站或負載平衡器],然後按 [下一步]。
若要使用HTTP進行 TMG 與SharePoint Server伺服器陣列之間的連線,請選取 [使用非安全連線連接發佈的網頁伺服器或伺服器陣列] 並再按 [下一步。
若要使用HTTPS進行 TMG 與SharePoint Server伺服器陣列之間的連線,請選取 [使用 SSL 連接發佈的網頁伺服器或伺服器陣列,並再按 [下一步。
注意
如果使用 SSL,請確定在主要 Web 應用程式安裝有效的憑證。
在 [內部發行詳細資料] 對話方塊的 [內部網站名稱] 文字方塊中,輸入「橋接 URL」的內部 DNS 名稱,然後按 [下一步]。這是 TMG 伺服器用來將要求轉送至主要 Web 應用程式的 URL。
注意
請勿輸入通訊協定 (http:// 或 https://)。
橋接 URL 會記錄在 SharePoint 混合式工作表的下列其中一個位置中:
如果您的主要 Web 應用程式已設定主機命名型網站集合,請使用表 5a:主要 Web 應用程式 (主機命名型網站集合) 的列 1 (主要 Web 應用程式 URL) 中的值。
如果主要 Web 應用程式以「路徑型網站集合」來設定,請使用「表格 5b:主要 Web 應用程式 (路徑型網站集合,不使用 AAM)」的第 1 列 (主要 Web 應用程式 URL) 中的值。
如果您的主要 Web 應用程式已設定具有 AAM 的路徑型網站集合,請使用表 5c:主要 Web 應用程式 (具有 AAM 的路徑型網站集合)的列 5 (主要 Web 應用程式 URL) 中的值。
在 [使用要連線到發行伺服器的電腦名稱或 IP 位址] 方塊中,選擇性輸入主要 Web 應用程式或網路負載平衡器的 IP 位址或完整網域名稱 (FQDN),然後按 [下一步]。
注意
如果 TMG 能夠使用上一步中提供的主機名稱解析主要 Web 應用程式,則不需要執行此步驟。
在 [公用名稱詳細資料] 對話方塊中,接受預設設定 [為右列接受要求] 功能表上。在 [公用名稱] 文字方塊中輸入主機名稱的外部 URL (例如"sharepoint.adventureworks.com"),並再按 [下一步。這是主機名稱中的外部 URL 該SharePoint Online要用來連線與SharePoint Server伺服器陣列。
注意
請勿輸入通訊協定 (http:// 或 https://)。
外部 URL 會記錄在 SharePoint 混合式工作表之表 3:公用網域資訊的列 3 (外部 URL) 中。
在 [選取 Web 接聽程式] 對話方塊中,選取 [新增]。
在 [新增 Web 接聽程式精靈] 對話方塊的 [Web 接聽程式名稱] 文字方塊中,輸入 Web 接聽程式的名稱,然後按 [下一步]。
在 [用戶端連線安全性] 對話方塊中,選取 [需要與用戶端之間的 SSL 安全連線],然後按 [下一步]。
在 [Web 接聽程式 IP 位址] 對話方塊中,選取 [外部 <所有 IP 位址>],然後按 [下一步]。
如果要限制接聽程式僅接聽特定的外部 IP 位址,請按一下 [選取 IP 位址] 按鈕,然後在 [外部網路接聽程式 IP 選取] 對話方塊中選取 [選取的網路中的 Forefront TMG 電腦上指定的 IP 位址]。按一下 [新增] 指定 IP 位址,然後按一下 [確定]。
在 [接聽程式 SSL 憑證] 對話方塊中,選取 [在這個網頁接聽程式使用單一憑證],並按一下 [選取憑證] 按鈕。在 [選取憑證] 對話方塊中,選取匯入 TMG 電腦的安全通道 SSL憑證,並按一下 [選取],然後按 [下一步]。
在 [驗證設定] 對話方塊中,選取 [SSL 用戶端憑證驗證],然後按 [下一步]。這個設定將使用安全通道憑證對於輸入連線強制使用用戶端憑證認證。
按 [下一步] 略過 Forefront TMG 單一登入設定。
檢閱 [新增接聽程式] 摘要頁面,並按一下 [完成]。這會讓您回到 [發佈規則精靈],其中已經自動選取新建立的 Web 接聽程式。
在 [選取 Web 接聽程式] 對話方塊的 [Web 接聽程式] 下拉式功能表中,確定已選取正確的 Web 接聽程式,並按 [下一步]。
在 [驗證委派] 對話方塊中,選取下拉式功能表中的 [沒有委派,但用戶端可以直接驗證],然後按 [下一步]。
在 [備用存取對應設定] 對話方塊中,選取 [已在 SharePoint 伺服器上設定 SharePoint AAM],然後按 [下一步]。
在 [使用者組] 對話方塊中,選取 [所有已驗證的使用者] 項目,並按一下 [移除]。然後按一下 [新增],並且在 [新增使用者] 對話方塊中選取 [所有使用者],然後按一下 [新增]。按一下 [關閉] 關閉 [新增使用者] 對話方塊,然後按 [下一步]。
在 [完成新增 SharePoint 發佈規則精靈] 對話方塊中,確認您的設定,然後按一下 [完成]。
有幾個設定必須立即驗證,或者在您剛才建立的發佈規則中變更。
完成發佈規則設定
在 Forefront TMG Management Console 的左側瀏覽窗格中,選取 [防火牆原則],並且在 [防火牆原則規則] 清單中,以滑鼠右鍵按一下您剛才建立的發佈規則,並按一下 [設定 HTTP]。
在 [設定規則的 HTTP 原則] 對話方塊的 [一般] 索引標籤上,確認未核取 [URL 保護] 下的 [確認正規化] 和 [封鎖高位元字元],然後按一下 [確定]。
以滑鼠右鍵再次按一下您剛才建立的發佈規則,並按一下 [內容]。
在 [<規則名稱> 內容] 對話方塊的 [至] 索引標籤上,取消核取 [轉寄原始主機標頭,而非內部網站名稱欄位所指定的實際標頭] 方塊。在 [對已發行網站的 Proxy 要求] 下,確定已選取 [要求看起來是來自原始用戶端]。
在 [連結轉譯] 索引標籤上,確定已正確設定 [套用連結轉譯到這個規則] 核取方塊:
如果主要 Web 應用程式的內部 URL 和外部 URL 相同,請取消勾選 [套用連結轉譯到這個規則] 核取方塊。
如果主要 Web 應用程式的內部 URL 和外部 URL 不同,請勾選 [套用連結轉譯到這個規則] 核取方塊。
在 [橋接] 索引標籤的 [Web 伺服器] 下,確定核取正確的 [將要求重新導向至 <HTTP 連接埠或 SSL 連接埠>] 核取方塊,而且文字方塊中的連接埠對應於設定內部網站使用的連接埠。
按一下 [確定] 儲存發佈規則的變更。
在 Forefront TMG Management Console 的頂端列上,按一下 [套用] 將變更套用至 TMG。可能需要一或兩分鐘讓 TMG 處理您的變更。
若要驗證您的設定,請以滑鼠右鍵按一下 [防火牆原則規則] 清單中新的發佈規則,然後按一下 [內容]。
在 [<規則名稱> 內容] 對話方塊中,按一下 [測試規則] 按鈕。TMG 會執行一系列的測試,檢查 SharePoint 網站的連線,並且會在清單中顯示測試的結果。按一下各個設定測試,即可顯示測試的描述及其結果。請修正出現的任何錯誤。