ハイブリッド環境用に Forefront TMG を構成する
適用対象:
2016 2019 Subscription Edition SharePoint in Microsoft 365
この記事では、ハイブリッド SharePoint Server 環境のリバース プロキシとして使用するために Forefront Threat Management Gateway (TMG) 2010 を設定する方法について説明します。
開始する前に
開始する前に、以下の内容を理解しておく必要があります。
TMG はエッジ構成で展開する必要があります。少なくとも 1 つのネットワーク アダプターをインターネットに接続して TMG の外部ネットワーク用に構成し、少なくとも 1 つのネットワーク アダプターをイントラネット ネットワークに接続して TMG の内部ネットワーク用に構成します。
TMG サーバーは、Active Directory フェデレーション サービス (AD FS) 2.0 サーバーを含む Active Directory ドメイン フォレスト内のドメイン メンバーである必要があります。 MICROSOFT 365 で SharePoint からの受信接続を認証するために使用される SSL クライアント証明書認証を使用するには、TMG サーバーをこのドメインに参加させる必要があります。
注:
エッジ展開の一般的なベスト プラクティスとして、通常は Forefront TMG を (企業ネットワークの内部フォレストではなく) 別のフォレストにインストールし、企業フォレストへの一方向の信頼関係を構成します。 しかし、クライアント証明書の認証は TMG サーバーが参加しているドメイン内のユーザーにしか構成できないため、ハイブリッド環境ではこの手法に従うことはできません。
TMG ネットワーク トポロジに関する考慮事項の詳細については、「 ワークグループとドメインに関する考慮事項」を参照してください。
SharePoint Server ハイブリッド環境で使用するために TMG 2010 をバックツーバック構成で展開することは理論的には可能ですが、テストされておらず、機能しない可能性があります。
TMG 2010 には、診断ログ インターフェイスとリアルタイム ログ インターフェイスの両方が含まれます。 Microsoft 365 の SharePoint Server と SharePoint 間の接続と認証に関する問題のトラブルシューティングでは、ログ記録が重要な役割を果たします。 接続エラーの原因となっているコンポーネントを特定することが困難な場合がありますが、その場合、まず TMG ログを確認して、解決のヒントを探します。 トラブルシューティングには、TMG ログ、SharePoint Server ULS ログ、Windows Server イベント ログ、およびインターネット インフォメーション サービス (IIS) ログからのログ イベントを複数のサーバーで比較する必要があります。
TMG 2010 でログ記録を構成して使用する方法の詳細については、「 診断ログの使用」を参照してください。
SharePoint Server ハイブリッド環境のトラブルシューティングの技術およびツールの詳細については、「Troubleshooting hybrid environments」を参照してください。
TMG 2010 のインストール
TMG 2010 のインストールおよびネットワーク用構成をまだ完了していない場合は、このセクションを使用して TMG 2010 をインストールし、TMG システムを準備してください。
TMG 2010 のインストール
Forefront TMG 2010 をまだインストールしていない場合は、インストールします。 TMG 2010 のインストールの詳細については、「 Forefront TMG の展開」を参照してください。
TMG 2010 で利用できるすべての Service Pack および更新プログラムをインストールします。 詳細については、「 Forefront TMG Service Pack のインストール」を参照してください。
TMG サーバー コンピューターがまだドメイン メンバーでない場合は、社内の Active Directory ドメインに参加させます。
ドメイン環境での TMG 2010 の展開の詳細については、「 ワークグループとドメインに関する考慮事項」を参照してください。
セキュリティで保護されたチャネルの SSL 証明書のインポート
セキュリティで保護されたチャネルの SSL 証明書を、ローカル コンピューター アカウントのパーソナル ストアと、Microsoft Forefront TMG Firewall サービス アカウント (fwsvc) のパーソナル ストアの両方にインポートする必要があります。
|
セキュリティで保護されたチャネル SSL 証明書 の場所は、 表 4b: セキュリティで保護されたチャネル SSL 証明書 の 行 1 (セキュリティで保護されたチャネル SSL 証明書の場所とファイル名) に記録されています。 この証明書が秘密キーを含む場合、 表 4b: セキュリティで保護されたチャネル SSL 証明書 の 行 4 (セキュリティで保護されたチャネル SSL 証明書のパスワード) に記録されている証明書のパスワードを入力する必要があります。 |
証明書をインポートする
証明書ファイルをワークシートで指定された場所からローカル ハード ディスクのフォルダーにコピーします。
リバース プロキシ サーバーで MMC を開き、ローカル コンピューター アカウントとローカル fwsrv サービス アカウントの両方の証明書管理スナップインを追加します。
注:
TMG 2010 をインストールすると、fwsrv サービスのフレンドリ名は Microsoft Forefront TMG Firewall サービスになります。
セキュリティで保護されたチャネルの SSL 証明書をコンピューター アカウントの個人用証明書ストアにインポートします。
セキュリティで保護されたチャネルの SSL 証明書を fwsrv サービス アカウントの個人用証明書ストアにインポートします。
SSL 証明書をインポートする方法の詳細については、「証明書の インポート」を参照してください。
TMG 2010 の構成
このセクションでは、Microsoft 365 で SharePoint から受信要求を受信し、それらを SharePoint Server ファームのプライマリ Web アプリケーションに中継する Web リスナー と 発行ルール を構成します。 Web リスナーと公開ルールは連携して接続ルールを定義し、要求を事前に認証して中継します。 直前の手順でインストールしたセキュリティで保護されたチャネル証明書を使用して受信接続を認証するように Web リスナーを構成します。
TMG での発行規則の構成の詳細については、「 Web 公開の構成」を参照してください。
TMG 2010 での SSL ブリッジングの詳細については、「 SSL ブリッジングと公開について」を参照してください。
公開ルールと Web リスナーを作成するには、以下の手順を使用します。
公開ルールと Web リスナーの作成
Forefront TMG 管理コンソールの左側のナビゲーション ウィンドウで、[ ファイアウォール ポリシー] を右クリックし、[ 新規] を選択します。
[SharePoint サイト公開ルール] を選択します。
新しい SharePoint 発行規則ウィザードの [名前] テキスト ボックスに、発行規則の名前 ("ハイブリッド発行規則" など) を入力します。 [次へ] を選択します。
[ 単一の Web サイトまたはロード バランサーを発行する] を選択し、[ 次へ] を選択します。
TMG と SharePoint Server ファーム間の接続に HTTP を使用するには、[ セキュリティで保護されていない接続を使用して発行された Web サーバーまたはサーバー ファームに接続する] を選択し、[ 次へ] を選択します。
TMG と SharePoint Server ファーム間の接続に HTTPS を使用するには、[ SSL を使用して発行された Web サーバーまたはサーバー ファームに接続する] を選択し、[ 次へ] を選択します。
注:
SSL を使用する場合は、プライマリ Web アプリケーションに有効な証明書がインストールされていることを確認してください。
[ 内部発行の詳細 ] ダイアログ ボックスの [ 内部サイト名 ] テキスト ボックスに、 ブリッジング URL の内部 DNS 名を入力し、[ 次へ] を選択します。 これは、TMG サーバーがプライマリ Web アプリケーションに要求を中継するときに使用します。
注:
プロトコル (http:// または https://) を入力しないでください。
ブリッジ URL は、SharePoint ハイブリッドのワークシート内の次の場所のいずれかに記録されます。
プライマリ Web アプリケーションがホスト名付きサイト コレクションで構成されている場合は、表 5a: プライマリ Web アプリケーション (ホスト名付きサイト コレクション) の行 1 (プライマリ Web アプリケーション URL) の値を使用します。
プライマリ Web アプリケーションがパス ベースのサイト コレクションで構成されている場合は、表 5b: プライマリ Web アプリケーション (AAM を使用しないパスベースのサイト コレクション) の行 1 (プライマリ Web アプリケーション URL) の値を使用します。
プライマリ Web アプリケーションが AAM を使用して パス ベースのサイト コレクションで 構成されている場合は、表 5c : プライマリ Web アプリケーション (AAM を使用したパスベースのサイト コレクション) の行 5 (プライマリ Web アプリケーション URL) の値を使用します。[ コンピューター名または IP アドレスを使用して発行されたサーバーに接続する ] ボックスに、必要に応じてプライマリ Web アプリケーションまたはネットワーク ロード バランサーの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[ 次へ] を選択します。
注:
前の手順で入力したホスト名を使用して TMG でプライマリ Web アプリケーションを解決できた場合は、この手順を実行する必要はありません。
[パブリック名の詳細] ダイアログ ボックスで、[要求の許可] メニューの既定の設定をそのまま使用します。 [ パブリック名 ] テキスト ボックスに、 外部 URL のホスト名 ("sharepoint.adventureworks.com" など) を入力し、[ 次へ] を選択します。 これは、Microsoft 365 の SharePoint が SharePoint Server ファームとの接続に使用する外部 URL のホスト名です。
注:
プロトコル (http:// または https://) を入力しないでください。
外部 URL は、SharePoint ハイブリッド ワークシートの表 3: パブリック ドメインの情報の行 3 (外部 URL) に記録されています。 [Web リスナの選択] ダイアログ ボックスで、[新規作成] を選択します。
[ 新しい Web リスナー ウィザード ] ダイアログ ボックスの [ Web リスナー名 ] テキスト ボックスに、Web リスナーの名前を入力し、[ 次へ] を選択します。
[クライアント接続セキュリティ] ダイアログ ボックスで、[ クライアントとの SSL セキュリティで保護された接続が必要] を選択し、[ 次へ] を選択します。
[ Web リスナー IP アドレス ] ダイアログ ボックスで、[ 外部 <すべての IP アドレス>を選択し、[ 次へ] を選択します。
特定の外部 IP アドレスでのみリッスンするようにリスナーを制限する場合は、[ IP アドレスの選択] を選択し、[ 外部ネットワーク リスナーの IP 選択 ] ダイアログ ボックスで、 選択したネットワークの Forefront TMG コンピューターで [指定された IP アドレス] を選択します。 IP アドレスを指定するには、[ 追加] を選択し、[ OK] を選択します。
[ リスナー SSL 証明書 ] ダイアログ ボックスで、[ この Web リスナーに 1 つの証明書を使用する] を 選択 し、[証明書の選択] ボタンを選択します。 [ 証明書の選択 ] ダイアログ ボックスで、TMG コンピューターにインポートした セキュリティで保護されたチャネル SSL 証明書 を 選択し、[選択] を選択し、[ 次へ] を選択します。
[ 認証設定] ダイアログ ボックスで、[ SSL クライアント証明書認証] を選択し、[ 次へ] を選択します。 この設定により、セキュリティで保護されたチャネル証明書を使用した受信接続にクライアント証明書の資格情報が適用されます。
Forefront TMG のシングル サインオン設定をバイパスするには、[ 次へ] を選択します。
[ 新しいリスナー の概要] ページを確認し、[完了] を選択 します。 新しく作成した Web リスナーが自動的に選択されている公開ルール ウィザードに戻されます。
[ Web リスナーの選択 ] ダイアログ ボックスの [ Web リスナー ] ドロップダウンで、正しい Web リスナーが選択されていることを確認し、[ 次へ] を選択します。
[ 認証委任 ] ダイアログ ボックスで、[委任なし] を選択 しますが、クライアントはドロップダウンから直接認証を行い 、[ 次へ] を選択します。
[ 代替アクセス マッピング構成 ] ダイアログ ボックスで、[ SharePoint AAM は SharePoint サーバーで既に構成されています] を選択し、[ 次へ] を選択します。
[ ユーザー セット ] ダイアログ ボックスで、[ すべての認証済みユーザー ] エントリを選択し、[削除] を選択 します。 次に、[ 追加] を選択し、[ ユーザーの追加 ] ダイアログ ボックスで [ すべてのユーザー] を選択し、[ 追加] を選択します。 [ユーザーの 追加 ] ダイアログ ボックスを閉じるには、[ 閉じる] を選択し、[ 次へ] を選択します。
[ SharePoint 発行規則の新規作成ウィザードの完了 ] ダイアログ ボックスで、設定を確認し、[完了] を選択 します。
ここで、作成した公開ルールのいくつかの設定を検証または変更する必要があります。
公開ルール構成の最終処理
Forefront TMG 管理コンソールの左側のナビゲーション ウィンドウで [ ファイアウォール ポリシー] を選択し、[ ファイアウォール ポリシー規則 ] の一覧で、先ほど作成した発行規則を右クリックし、[ HTTP の構成] を選択します。
[ ルールの HTTP ポリシーの構成 ] ダイアログ ボックスの [ 全般 ] タブの [ URL 保護] で、[ 正規化の確認 ] と [ 上位ビット文字のブロック ] の両方がオフになっていることを確認し、[OK] を選択 します。
もう一度作成した発行ルールを右クリックし、[プロパティ] を選択 します。
[ <ルール名> プロパティ ] ダイアログ ボックスの [ To ] タブ で、実際の 1 つのボックスではなく [元のホスト ヘッダーを転送する ] をオフにします。 [公開されたサイトへのプロキシ要求] で、[元のクライアントからの要求にする] がオンになっていることを確認します。
[リンクの変換] タブで、[このルールにリンク変換を適用する] チェック ボックスが以下のように適切に設定されていることを確認します。
プライマリ Web アプリケーションの内部 URL と外部 URL が同一の場合は、[ この規則にリンク変換を適用 する] チェック ボックスをオフにします。
プライマリ Web アプリケーションの内部 URL と外部 URL が異なる場合は、[このルールにリンク変換を適用する] チェック ボックスをオンにします。
[ブリッジ] タブの [Web サーバー] で、[HTTP ポートまたは SSL ポート <へのリダイレクト要求>正しいチェック ボックスがオンになっていることを確認し、テキスト ボックス内のポートが内部サイトで使用するように構成されているポートに対応していることを確認します。
発行規則に変更を保存するには、[ OK] を選択します。
Forefront TMG 管理コンソールの上部のバーで、TMG に変更を適用するには、[適用] を選択 します。 TMG で変更内容の処理を完了するまでに 1、2 分かかることがあります。
構成を検証するには、 ファイアウォール ポリシー 規則の一覧から新しい発行規則を右クリックし、[プロパティ] を選択 します。
[ <rule 名> [プロパティ ] ダイアログ ボックスで、[ テスト規則 ] ボタンを選択します。 TMG は一連のテストを実行して、Microsoft 365 サイトの SharePoint への接続を確認し、テストの結果を一覧に表示します。 テストとその結果の説明については、各構成テストを選択します。 エラーが表示された場合には修正します。
関連項目
概念
SharePoint Server ハイブリッド用のリバース プロキシ デバイスを構成する