本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設定適用於混合式環境的 Forefront TMG

 

適用版本:SharePoint Online, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:了解如何設定 Forefront TMG 2010 成為 SharePoint 2013 混合式環境中的反向 Proxy 裝置。

本文說明如何設定 Forefront Threat Management Gateway (TMG) 2010 作為混合式 SharePoint Server 2013 環境的反向 Proxy 裝置。

如需 Forefront Threat Management Gateway (TMG) 2010年的完整資訊,請參閱 < Forefront Threat Management Gateway (TMG) 2010年

本文內容:

協助工具附註: SharePoint Server 2013 支援支援常用瀏覽器的協助工具功能,協助您管理部署和存取網站。如需詳細資訊,請參閱 SharePoint 2013 的協助工具

開始前,有幾點必須注意:

  • 必須以 Edge 設定部署 TMG,至少有一個網路介面卡連接到網際網路並針對 TMG 中的外部網路進行設定,而且至少有一個網路介面卡連接到內部網路並針對 TMG 中的內部網路進行設定。

  • TMG 伺服器必須是包含 Active Directory Federation Services (AD FS) 2.0 伺服器的 Active Directory 網域樹系之中的網域成員。TMG 伺服器必須加入此網域,才能使用 SSL 用戶端憑證驗證,以便驗證 SharePoint Online 的輸入連線。

    安全性提示 安全性
    按照 Edge 部署的一般最佳作法,您通常能夠使用企業樹系的單向信任,在個別樹系 (而非企業網路的內部樹系) 安裝 Forefront TMG。不過,您只能對於加入 TMG 伺服器的網域使用者設定用戶端憑證驗證,因此這種作法不適用於混合式環境。
    如需 TMG 網路拓撲考量的詳細資訊,請參閱 <工作群組與網域考量
  • 以背對背設定部署 TMG 2010 用於 SharePoint Server 2013 混合式環境理論上可行,不過並未經過測試,可能不會有作用。

  • TMG 2010 包含診斷記錄和即時記錄介面。對於疑難排解 SharePoint Server 2013 與 SharePoint Online 之間的連線和驗證問題而言,記錄相當重要。找出造成連線失敗的元件並不容易,首先您應該查看 TMG 記錄以找出線索。疑難排解會需要比較多部伺服器上的 TMG 記錄、SharePoint Server 2013 ULS 記錄、Windows Server 事件記錄和 Internet Information Services (IIS) 記錄之中的記錄事件。

如需如何設定及使用 TMG 2010 的記錄的詳細資訊,請參閱 <使用診斷記錄

如需一般 TMG 2010 疑難排解的詳細資訊,請參閱Forefront TMG 疑難排解

如需 SharePoint Server 2013 混合式環境疑難排解技巧和工具的詳細資訊,請參閱疑難排解混合式環境

如果您尚未安裝 TMG 2010 並為您的網路進行設定,請按照本小節所述安裝 TMG 2010 並準備 TMG 系統。

安裝 TMG 2010
  1. 如果未安裝,安裝 Forefront TMG 2010。如需安裝 TMG 2010 的詳細資訊,請參閱 < Forefront TMG 部署

  2. 所有可用的 service pack 和 TMG 2010 的更新安裝。如需詳細資訊,請參閱安裝 Forefront TMG Service Pack

  3. 將 TMG 伺服器電腦加入內部部署 Active Directory 網域 (如果尚未成為網域成員)。

    如需有關在網域環境中部署 TMG 2010 的詳細資訊,請參閱 <工作群組與網域考量

您必須將安全通道 SSL 憑證匯入至本機電腦帳戶的個人存放區,以及 Microsoft Forefront TMG Firewall 服務帳戶 (fwsvc) 的個人存放區。

 

編輯圖示

安全通道 SSL 憑證的位置記錄在「表格 4b:安全通道 SSL 憑證」第 1 列 (安全通道 SSL 憑證位置和檔案名稱)。

如果憑證包含私密金鑰,則需要提供憑證密碼 (其記錄在表 4b:安全通道 SSL 憑證列 4 (安全通道 SSL 憑證密碼) 中。

匯入憑證
  1. 將憑證檔案從工作表中所指定的位置複製至本機硬碟上的資料夾。

  2. 在反向 Proxy 伺服器上,開啟 MMC,並對於本機電腦帳戶和本機 fwsrv 服務帳戶新增憑證管理嵌入式管理單元。

    注意事項 附註:
    安裝 TMG 2010 後,fwsrv 服務的易記名稱是 Microsoft Forefront TMG Firewall 服務。
  3. 將安全通道 SSL 憑證匯入電腦帳戶的個人憑證存放區。

  4. 將安全通道 SSL 憑證匯入 fwsrv 服務電腦的個人憑證存放區。

如需如何匯入 SSL 憑證的詳細資訊,請參閱 <匯入憑證

在本節中,您將設定 Web 接聽程式發佈規則,接收 SharePoint Online 的輸入要求,並轉送到 SharePoint Server 2013 伺服器陣列的主要 Web 應用程式。Web 接聽程式和發佈規則可共同定義連線規則,並預先驗證和轉送要求。您可以設定 Web 接聽程式使用您在最後一個程序中安裝的安全通道憑證驗證輸入連線。

如需在 TMG 設定發佈規則的詳細資訊,請參閱 <設定網頁發佈

如需 TMG 2010 之中 SSL 橋詳細資訊,請參閱 <關於 SSL 橋接及發佈

使用下列程序建立發佈規則及 Web 接聽程式。

建立發佈規則及 Web 接聽程式
  1. 在 Forefront TMG Management Console 的左側瀏覽窗格中,以滑鼠右鍵按一下 [防火牆原則],然後按一下 [新增]。

  2. 選取 [SharePoint 網站發佈規則]。

  3. 在 [新增 SharePoint 發佈規則精靈] 的 [名稱] 文字方塊,輸入發佈規則的名稱 (例如,「混合式發佈規則」)。按 [下一步]。

  4. 選取 [發佈單一網站或負載平衡器],然後按 [下一步]。

  5. 若要使用 HTTP 進行 TMG 與 SharePoint Server 2013 伺服器陣列之間的連線,請選取 [使用非安全連線連接發佈的網頁伺服器或伺服器陣列],然後按 [下一步]。

    若要使用 HTTPS 進行 TMG 與 SharePoint Server 2013 伺服器陣列之間的連線,請選取 [使用 SSL 連接發佈的網頁伺服器或伺服器陣列],然後按 [下一步]。

    注意事項 附註:
    如果使用 SSL,請確定在主要 Web 應用程式安裝有效的憑證。
  6. 在 [內部發行詳細資料] 對話方塊的 [內部網站名稱] 文字方塊中,輸入「橋接 URL」的內部 DNS 名稱,然後按 [下一步]。這是 TMG 伺服器用來將要求轉送至主要 Web 應用程式的 URL。

    注意事項 附註:
    請勿輸入通訊協定 (http:// 或 https://)。

     

    編輯圖示

    橋接 URL 會記錄在 SharePoint 混合式工作表的下列其中一個位置中:

    • 如果您的主要 Web 應用程式已設定主機命名型網站集合,請使用表 5a:主要 Web 應用程式 (主機命名型網站集合)列 1 (主要 Web 應用程式 URL) 中的值。

    • 如果主要 Web 應用程式以「路徑型網站集合」來設定,請使用「表格 5b:主要 Web 應用程式 (路徑型網站集合,不使用 AAM)」第 1 列 (主要 Web 應用程式 URL) 中的值。

    • 如果您的主要 Web 應用程式已設定具有 AAM 的路徑型網站集合,請使用表 5c:主要 Web 應用程式 (具有 AAM 的路徑型網站集合)列 5 (主要 Web 應用程式 URL) 中的值。

  7. 在 [使用要連線到發行伺服器的電腦名稱或 IP 位址] 方塊中,選擇性輸入主要 Web 應用程式或網路負載平衡器的 IP 位址或完整網域名稱 (FQDN),然後按 [下一步]。

    注意事項 附註:
    如果 TMG 能夠使用上一步中提供的主機名稱解析主要 Web 應用程式,則不需要執行此步驟。
  8. 在 [公用名稱詳細資料] 對話方塊中,接受 [接受要求] 功能表中的預設設定。在 [公用名稱] 文字方塊中,輸入「外部 URL」的主機名稱 (例如,"sharepoint.adventureworks.com"),然後按 [下一步]。這是 SharePoint Online 連線到 SharePoint Server 2013 伺服器陣列將使用的外部 URL 主機名稱。

    注意事項 附註:
    請勿輸入通訊協定 (http:// 或 https://)。

     

    編輯圖示

    外部 URL 會記錄在 SharePoint 混合式工作表之表 3:公用網域資訊列 3 (外部 URL) 中。

  9. 在 [選取 Web 接聽程式] 對話方塊中,選取 [新增]。

  10. 在 [新增 Web 接聽程式精靈] 對話方塊的 [Web 接聽程式名稱] 文字方塊中,輸入 Web 接聽程式的名稱,然後按 [下一步]。

  11. 在 [用戶端連線安全性] 對話方塊中,選取 [需要與用戶端之間的 SSL 安全連線],然後按 [下一步]。

  12. 在 [Web 接聽程式 IP 位址] 對話方塊中,選取 [外部 <所有 IP 位址>],然後按 [下一步]。

    如果要限制接聽程式僅接聽特定的外部 IP 位址,請按一下 [選取 IP 位址] 按鈕,然後在 [外部網路接聽程式 IP 選取] 對話方塊中選取 [選取的網路中的 Forefront TMG 電腦上指定的 IP 位址]。按一下 [新增] 指定 IP 位址,然後按一下 [確定]。

  13. 在 [接聽程式 SSL 憑證] 對話方塊中,選取 [在這個網頁接聽程式使用單一憑證],並按一下 [選取憑證] 按鈕。在 [選取憑證] 對話方塊中,選取匯入 TMG 電腦的安全通道 SSL憑證,並按一下 [選取],然後按 [下一步]。

  14. 在 [驗證設定] 對話方塊中,選取 [SSL 用戶端憑證驗證],然後按 [下一步]。這個設定將使用安全通道憑證對於輸入連線強制使用用戶端憑證認證。

  15. 按 [下一步] 略過 Forefront TMG 單一登入設定。

  16. 檢閱 [新增接聽程式] 摘要頁面,並按一下 [完成]。這會讓您回到 [發佈規則精靈],其中已經自動選取新建立的 Web 接聽程式。

  17. 在 [選取 Web 接聽程式] 對話方塊的 [Web 接聽程式] 下拉式功能表中,確定已選取正確的 Web 接聽程式,並按 [下一步]。

  18. 在 [驗證委派] 對話方塊中,選取下拉式功能表中的 [沒有委派,但用戶端可以直接驗證],然後按 [下一步]。

  19. 在 [備用存取對應設定] 對話方塊中,選取 [已在 SharePoint 伺服器上設定 SharePoint AAM],然後按 [下一步]。

  20. 在 [使用者組] 對話方塊中,選取 [所有已驗證的使用者] 項目,並按一下 [移除]。然後按一下 [新增],並且在 [新增使用者] 對話方塊中選取 [所有使用者],然後按一下 [新增]。按一下 [關閉] 關閉 [新增使用者] 對話方塊,然後按 [下一步]。

  21. 在 [完成新增 SharePoint 發佈規則精靈] 對話方塊中,確認您的設定,然後按一下 [完成]。

有幾個設定必須立即驗證,或者在您剛才建立的發佈規則中變更。

完成發佈規則設定
  1. 在 Forefront TMG Management Console 的左側瀏覽窗格中,選取 [防火牆原則],並且在 [防火牆原則規則] 清單中,以滑鼠右鍵按一下您剛才建立的發佈規則,並按一下 [設定 HTTP]。

  2. 在 [設定規則的 HTTP 原則] 對話方塊的 [一般] 索引標籤上,確認未核取 [URL 保護] 下的 [確認正規化] 和 [封鎖高位元字元],然後按一下 [確定]。

  3. 以滑鼠右鍵再次按一下您剛才建立的發佈規則,並按一下 [內容]。

  4. 在 [<規則名稱> 內容] 對話方塊的 [至] 索引標籤上,取消核取 [轉寄原始主機標頭,而非內部網站名稱欄位所指定的實際標頭] 方塊。在 [對已發行網站的 Proxy 要求] 下,確定已選取 [要求看起來是來自原始用戶端]。

  5. 在 [連結轉譯] 索引標籤上,確定已正確設定 [套用連結轉譯到這個規則] 核取方塊:

    • 如果主要 Web 應用程式的內部 URL 和外部 URL 相同,請取消勾選 [套用連結轉譯到這個規則] 核取方塊。

    • 如果主要 Web 應用程式的內部 URL 和外部 URL 不同,請勾選 [套用連結轉譯到這個規則] 核取方塊。

  6. 在 [橋接] 索引標籤的 [Web 伺服器] 下,確定核取正確的 [將要求重新導向至 <HTTP 連接埠或 SSL 連接埠>] 核取方塊,而且文字方塊中的連接埠對應於設定內部網站使用的連接埠。

  7. 按一下 [確定] 儲存發佈規則的變更。

  8. 在 Forefront TMG Management Console 的頂端列上,按一下 [套用] 將變更套用至 TMG。可能需要一或兩分鐘讓 TMG 處理您的變更。

  9. 若要驗證您的設定,請以滑鼠右鍵按一下 [防火牆原則規則] 清單中新的發佈規則,然後按一下 [內容]。

  10. 在 [<規則名稱> 內容] 對話方塊中,按一下 [測試規則] 按鈕。TMG 會執行一系列的測試,檢查 SharePoint 網站的連線,並且會在清單中顯示測試的結果。按一下各個設定測試,即可顯示測試的描述及其結果。請修正出現的任何錯誤。

https://technet.microsoft.com/zh-tw/library/dn607304.aspx
顯示: