Configurer Forefront TMG pour un environnement hybride
S’APPLIQUE À :2013 2016 2019 Édition d’abonnement SharePoint dans Microsoft 365
Cet article explique comment configurer Forefront Threat Management Gateway (TMG) 2010 pour une utilisation en tant que proxy inverse pour un environnement SharePoint Server hybride.
Avant de commencer
Avant de commencer, prenez en considération les points suivants :
TMG doit être déployé dans une configuration de serveur Edge, avec au moins une carte réseau connectée à Internet et configurée pour le réseau externe dans TMG et au moins une carte réseau connectée au réseau intranet et configurée pour le réseau interne dans TMG.
Le serveur TMG doit être membre du domaine dans la forêt de domaines Active Directory qui contient votre serveur Active Directory Federation Services (AD FS) 2.0. Le serveur TMG doit être joint à ce domaine pour utiliser l’authentification par certificat client SSL, qui est utilisée pour authentifier les connexions entrantes à partir de SharePoint dans Microsoft 365.
Notes
Comme meilleure pratique générale pour les déploiements en périphérie, vous installez normalement Forefront TMG dans une forêt distincte (plutôt que dans la forêt interne de votre réseau d’entreprise), avec une approbation unidirectionnelle à la forêt d’entreprise. Toutefois, vous pouvez configurer l’authentification par certificat client uniquement pour les utilisateurs du domaine auquel le serveur TMG est joint. Cette pratique ne peut donc pas être suivie pour les environnements hybrides.
Pour plus d’informations sur les considérations relatives à la topologie de réseau TMG, consultez Considérations relatives aux groupes de travail et aux domaines.
Le déploiement de TMG 2010 pour une utilisation dans un environnement hybride SharePoint Server dans une configuration back-to-back est théoriquement possible, mais n’a pas été testé et peut ne pas fonctionner.
TMG 2010 inclut la journalisation des diagnostics et une interface de journalisation en temps réel. La journalisation joue un rôle important dans la résolution des problèmes de connectivité et d’authentification entre SharePoint Server et SharePoint dans Microsoft 365. L’identification du composant qui engendre un échec de connexion peut être cruciale et les journaux TMG sont les premiers documents dans lesquels rechercher des indices. La résolution des problèmes peut impliquer la comparaison des événements de journal à partir des journaux TMG, des journaux ULS SharePoint Server, des journaux des événements Windows Server et des journaux IIS (Internet Information Services) sur plusieurs serveurs.
Pour plus d’informations sur la configuration et l’utilisation de la journalisation dans TMG 2010, consultez Utilisation de la journalisation des diagnostics.
Pour plus d’informations sur les techniques et outils de résolution des problèmes pour les environnements hybrides SharePoint Server, voir Résolution des problèmes liés aux environnements hybrides.
Installer TMG 2010
Si vous n’avez pas encore installé ni configuré TMG 2010 pour votre réseau, suivez la procédure décrite dans cette section afin de l’installer et de préparer le système TMG.
Install TMG 2010
Installez Forefront TMG 2010, si ce n’est pas déjà fait. Pour plus d’informations sur l’installation de TMG 2010, consultez Déploiement de Forefront TMG.
Installez l’ensemble des Service Packs et des mises à jour disponibles pour TMG 2010. Pour plus d’informations, consultez Installation de Forefront TMG Service Packs.
S’il n’est pas déjà membre du domaine, associez l’ordinateur serveur TMG au domaine Active Directory sur site.
Pour plus d’informations sur le déploiement de TMG 2010 dans un environnement de domaine, consultez Considérations relatives aux groupes de travail et aux domaines.
Importer le certificat SSL de canal sécurisé
Vous devez importer le certificat SSL de canal sécurisé à la fois dans le magasin Personnel du compte d’ordinateur local et dans le magasin Personnel du compte de service de pare-feu Microsoft Forefront TMG (fwsvc).
L’emplacement du certificat SSL de canal sécurisé est consigné sur la ligne 1 (Nom de fichier et emplacement du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. Si le certificat contient une clé privée, vous devrez fournir le mot de passe du certificat, qui est consigné sur la ligne 4 (Mot de passe du certificat SSL de canal sécurisé) du tableau 4b : Certificat SSL de canal sécurisé. |
Importer le certificat
Copiez le fichier de certificat de l’emplacement spécifié dans la feuille de calcul dans un dossier sur le disque dur local.
Sur le serveur proxy inverse, ouvrez MMC et ajoutez le composant logiciel enfichable Gestion des certificats pour le compte d’ordinateur local et le compte de service fwsrv local.
Notes
Une fois TMG 2010 installé, le nom convivial du service fwsrv est Pare-feu Microsoft Forefront TMG.
Importez le certificat SSL de canal sécurisé dans le magasin de certificats Personnel du compte d’ordinateur.
Importez le certificat SSL de canal sécurisé dans le magasin de certificats Personnel du compte de service fwsrv.
Pour plus d’informations sur l’importation d’un certificat SSL, consultez Importer un certificat.
Configurer TMG 2010
Dans cette section, vous allez configurer un écouteur web et une règle de publication qui recevront les demandes entrantes de SharePoint dans Microsoft 365 et les relayeront vers l’application web principale de votre batterie de serveurs SharePoint Server. Le port d’écoute web et la règle de publication fonctionnent ensemble pour définir les règles de connexion et pour préauthentifier et relayer les demandes. Vous configurerez le port d’écoute web pour authentifier les connexions entrantes à l’aide du certificat de canal sécurisé que vous avez installé précédemment.
Pour plus d’informations sur la configuration des règles de publication dans TMG, consultez Configuration de la publication web.
Pour plus d’informations sur le pontage SSL dans TMG 2010, consultez À propos du pontage et de la publication SSL.
Suivez la procédure décrite ci-après pour créer la règle de publication et le port d’écoute.
Créer le port d’écoute web et la règle de publication
Dans la console de gestion Forefront TMG, dans le volet de navigation gauche, cliquez avec le bouton droit sur Stratégie de pare-feu, puis sélectionnez Nouveau.
Sélectionnez Règle de publication du site SharePoint.
Dans l’Assistant Nouvelle règle de publication SharePoint, dans la zone de texte Nom , entrez le nom de la règle de publication (par exemple, « Règle de publication hybride »). Sélectionnez Suivant.
Sélectionnez Publier un seul site web ou équilibreur de charge, puis sélectionnez Suivant.
Pour utiliser HTTP pour la connexion entre TMG et votre batterie de serveurs SharePoint Server, sélectionnez Utiliser une connexion non sécurisée pour connecter le serveur Web ou la batterie de serveurs publiée, puis sélectionnez Suivant.
Pour utiliser le protocole HTTPS pour la connexion entre TMG et votre batterie de serveurs SharePoint Server, sélectionnez Utiliser SSL pour connecter le serveur Web ou la batterie de serveurs publié, puis sélectionnez Suivant.
Notes
Si vous utilisez le protocole SSL, vérifiez que vous avez installé un certificat valide sur l’application web principale.
Dans la boîte de dialogue Détails de la publication interne , dans la zone de texte Nom du site interne , entrez le nom DNS interne de l’URL de pontage, puis sélectionnez Suivant. Il s’agit de l’URL que le serveur TMG va utiliser pour relayer des demandes à l’application web principale.
Notes
N’entrez pas le protocole (http:// ou https://).
L’URL de pontage est enregistrée dans l’un des emplacements suivants dans la feuille de calcul hybride SharePoint :
Si votre application web principale est configurée avec une collection de sites nommée hôte , utilisez la valeur de la ligne 1 (URL de l’application web principale) du tableau 5a : Application web principale (collection de sites nommée par l’hôte).
Si votre application web principale est configurée avec une collection de sites basée sur le chemin d’accès , utilisez la valeur de la ligne 1 (URL de l’application web principale) du Tableau 5b : Application web principale (collection de sites basée sur le chemin d’accès sans AAM).
Si votre application web principale est configurée avec une collection de sites basée sur un chemin d’accès avec AAM , utilisez la valeur de la ligne 5 (URL de l’application web principale) du tableau 5c : Application web principale (collection de sites basée sur le chemin d’accès avec AAM).Dans la zone Utiliser un nom d’ordinateur ou une adresse IP pour vous connecter au serveur publié , entrez éventuellement l’adresse IP ou le nom de domaine complet (FQDN) de l’application web principale ou de l’équilibreur de charge réseau, puis sélectionnez Suivant.
Notes
Si TMG peut résoudre l’application web principale à l’aide du nom d’hôte que vous avez indiqué à l’étape précédente, cette étape n’est pas nécessaire.
Dans la boîte de dialogue Informations sur les noms publics, acceptez le paramètre par défaut dans le menu Accepter les demandes pour. Dans la zone de texte Nom public , entrez le nom d’hôte de votre URL externe (par exemple, « sharepoint.adventureworks.com »), puis sélectionnez Suivant. Il s’agit du nom d’hôte dans l’URL externe que SharePoint dans Microsoft 365 utilisera pour se connecter à votre batterie de serveurs SharePoint Server.
Notes
N’entrez pas le protocole (http:// ou https://).
L’URL externe est consignée à la Ligne 3 (URL externe) du Tableau 3 : Information de domaine public dans la feuille de calcul hybride SharePoint. Dans la boîte de dialogue Sélectionner un port d’écoute web, choisissez Nouveau.
Dans la boîte de dialogue Assistant Nouvel écouteur web , dans la zone de texte Nom de l’écouteur web , entrez un nom pour l’écouteur web, puis sélectionnez Suivant.
Dans la boîte de dialogue Sécurité de connexion du client, sélectionnez Exiger des connexions sécurisées SSL avec les clients, puis sélectionnez Suivant.
Dans la boîte de dialogue Adresses IP de l’écouteur web, sélectionnez Toutes les adresses> IP externes<, puis sélectionnez Suivant.
Si vous souhaitez restreindre l’écoute de l’écouteur uniquement sur une adresse IP externe spécifique, sélectionnez Sélectionner des adresses IP, puis dans la boîte de dialogue Sélection d’adresses IP de l’écouteur de réseau externe , sélectionnez Adresses IP spécifiées sur l’ordinateur Forefront TMG dans le réseau sélectionné. Pour spécifier une adresse IP, sélectionnez Ajouter, puis OK.
Dans la boîte de dialogue Certificats SSL de l’écouteur , sélectionnez Utiliser un certificat unique pour cet écouteur web, puis sélectionnez le bouton Sélectionner un certificat . Dans la boîte de dialogue Sélectionner un certificat , sélectionnez le certificat SSL de canal sécurisé que vous avez importé sur l’ordinateur TMG, sélectionnez Sélectionner, puis Suivant.
Dans la boîte de dialogue Paramètres d’authentification , sélectionnez Authentification par certificat client SSL, puis sélectionnez Suivant. Ce paramètre met en application les informations d’identification du certificat client pour les connexions entrantes à l’aide du certificat de canal sécurisé.
Pour contourner les paramètres d’authentification unique Forefront TMG, sélectionnez Suivant.
Passez en revue la page récapitulative Nouvel écouteur , puis sélectionnez Terminer. Vous êtes alors renvoyé à l’Assistant Règle de publication, dans lequel le port d’écoute que vous venez de créer est automatiquement sélectionné.
Dans la boîte de dialogue Sélectionner un écouteur web , dans la liste déroulante Écouteur web , vérifiez que l’écouteur web approprié est sélectionné, puis sélectionnez Suivant.
Dans la boîte de dialogue Délégation d’authentification , sélectionnez Aucune délégation, mais le client peut s’authentifier directement dans la liste déroulante, puis sélectionnez Suivant.
Dans la boîte de dialogue Configuration du mappage d’accès de substitution , sélectionnez SharePoint AAM est déjà configuré sur le serveur SharePoint, puis sélectionnez Suivant.
Dans la boîte de dialogue Ensembles d’utilisateurs , sélectionnez l’entrée Tous les utilisateurs authentifiés , puis sélectionnez Supprimer. Sélectionnez ensuite Ajouter, puis, dans la boîte de dialogue Ajouter des utilisateurs , sélectionnez Tous les utilisateurs, puis Ajouter. Pour fermer la boîte de dialogue Ajouter des utilisateurs , sélectionnez Fermer, puis Suivant.
Dans la boîte de dialogue Fin de l’Assistant Nouvelle règle de publication SharePoint , vérifiez vos paramètres, puis sélectionnez Terminer.
Vous devez maintenant vérifier ou modifier certains paramètres de la règle de publication que vous venez de créer.
Finaliser la configuration de la règle de publication
Dans la console de gestion Forefront TMG, dans le volet de navigation gauche, sélectionnez Stratégie de pare-feu, puis dans la liste Règles de stratégie de pare-feu , cliquez avec le bouton droit sur la règle de publication que vous venez de créer, puis sélectionnez Configurer HTTP.
Dans la boîte de dialogue Configurer la stratégie HTTP pour la règle , sous l’onglet Général , sous Protection des URL, vérifiez que vérifier la normalisation et Bloquer les caractères de bits élevés sont décochés, puis sélectionnez OK.
Cliquez avec le bouton droit sur la règle de publication que vous venez de créer à nouveau, puis sélectionnez Propriétés.
Dans la <boîte de dialogue Propriétés du nom> de règle , sous l’onglet À , désactivez la zone Transférer l’en-tête d’hôte d’origine au lieu de l’en-tête réel . Sous Demandes proxy vers le site publié, assurez-vous que l’option Les demandes semblent émaner du client d’origine est sélectionnée.
Dans l’onglet Traduction de liens, assurez-vous que la case à cocher Appliquer la traduction de liens à cette règle est correctement définie :
Si l’URL interne de votre application web principale et l’URL externe sont identiques, désactivez la case à cocher Appliquer la traduction de lien à cette règle .
Si l’URL interne de votre application web principale et l’URL externe sont différentes, cochez la case Appliquer la traduction de liens à cette règle.
Sous l’onglet Pontage, sous Serveur web, vérifiez que la case à cocher Demandes de redirection vers <le port HTTP ou le port> SSL est cochée et que le port dans la zone de texte correspond au port que votre site interne est configuré pour utiliser.
Pour enregistrer vos modifications apportées à la règle de publication, sélectionnez OK.
Dans la console de gestion Forefront TMG, dans la barre supérieure, pour appliquer vos modifications à TMG, sélectionnez Appliquer. Le traitement de vos modifications par TMG peut prendre une ou deux minutes.
Pour valider votre configuration, cliquez avec le bouton droit sur la nouvelle règle de publication dans la liste Règles de stratégie de pare-feu , puis sélectionnez Propriétés.
Dans la <boîte de dialogue Propriétés du nom> de la règle , sélectionnez le bouton Règle de test . TMG exécute une série de tests pour vérifier la connectivité au site SharePoint dans Microsoft 365 et affiche les résultats des tests dans une liste. Pour obtenir une description du test et de ses résultats, sélectionnez chaque test de configuration. Corrigez toutes les erreurs éventuelles.
Voir aussi
Concepts
Environnement hybride pour SharePoint Server
Configuration d’un périphérique de proxy inverse pour un déploiement SharePoint Server 2013 hybride