Настройка Forefront TMG для гибридной среды
ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
В этой статье рассказывается, как настроить Шлюз управления угрозами Forefront (TMG) 2010 для использования в качестве обратного прокси-сервера для гибридной среды SharePoint Server.
Подготовка к работе
Перед началом работы необходимо знать следующее.
TMG необходимо разворачивать в пограничной конфигурации с минимум одним сетевым адаптером, подключенным к Интернету и настроенным для внешней сети в TMG, и минимум одним сетевым адаптером, подключенным к интрасети и настроенным для внутренней сети в TMG.
Сервер TMG должен быть членом домена в доменном лесу Active Directory, который содержит сервер служб федерации Active Directory (AD FS) 2.0. Сервер TMG должен быть присоединен к этому домену, чтобы использовать проверку подлинности ssl-сертификата клиента, которая используется для проверки подлинности входящих подключений из SharePoint в Microsoft 365.
Примечание.
Как правило, для пограничных развертываний forefront TMG обычно устанавливается в отдельном лесу (а не во внутреннем лесу корпоративной сети) с односторонним доверием к корпоративному лесу. Однако вы можете настроить проверку подлинности на основе сертификата клиента только для пользователей в домене, к которому присоединен сервер TMG, поэтому эту практику нельзя соблюдать для гибридных сред.
Дополнительные сведения о рекомендациях по топологии сети TMG см. в разделе Рекомендации по рабочей группе и домену.
Развертывание TMG 2010 для использования в гибридной среде SharePoint Server в конфигурации "назад к спине" теоретически возможно, но не было протестировано и может не работать.
TMG 2010 включает интерфейс сбора данных диагностики и интерфейс ведения журнала в реальном времени. Ведение журнала играет важную роль в устранении проблем с подключением и проверкой подлинности между SharePoint Server и SharePoint в Microsoft 365. Определение компонента, вызывающего сбой подключения, может оказаться сложной задачей, и журналы TMG — это первое место, где следует искать возможные причины. Устранение неполадок может включать сравнение событий журнала из журналов TMG, журналов ULS SharePoint Server, журналов событий Windows Server и журналов служб IIS на нескольких серверах.
Дополнительные сведения о настройке и использовании ведения журнала в TMG 2010 см. в разделе Использование ведения журнала диагностики.
Дополнительные сведения о методах и средствах устранения неполадок для гибридных сред SharePoint Server см. в разделе Устранение неполадок с гибридными средами.
Установка TMG 2010
Если вы еще не установили TMG 2010 и не настроили его для своей сети, используйте этот раздел для установки TMG 2010 и подготовки системы TMG.
Установка TMG 2010
Установите Forefront TMG 2010, если вы еще этого не сделали. Дополнительные сведения об установке TMG 2010 см. в разделе Развертывание Forefront TMG.
Установите все доступные пакеты обновления и отдельные обновления для TMG 2010. Дополнительные сведения см. в статье Установка пакетов обновления Forefront TMG.
Присоедините серверный компьютер TMG к локальному домену Active Directory, если первый еще не является его членом.
Дополнительные сведения о развертывании TMG 2010 в среде домена см. в разделе Рекомендации по рабочей группе и домену.
Импорт SSL-сертификата безопасного канала
SSL-сертификат безопасного канала необходимо импортировать в личное хранилище учетной записи локального компьютера и личное хранилище учетной записи службы Microsoft Forefront TMG Firewall (fwsvc).
Расположение SSL-сертификата безопасного канала записано в строке 1 ("Расположение и имя файла SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". Если сертификат содержит закрытый ключ, вам потребуется указать пароль сертификата, записанный в строке 4 ("Пароль SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". |
Импорт сертификата
Скопируйте файл сертификата из указанного в рабочем листе расположения в папку на локальном жестком диске.
На обратном прокси-сервере откройте MMC и добавьте оснастку "Управление сертификатами " для учетной записи локального компьютера и локальной учетной записи службы fwsrv.
Примечание.
После установки TMG 2010 понятным именем службы fwsrv будет служба Microsoft Forefront TMG Firewall.
Импортируйте SSL-сертификат безопасного канала в Персональное хранилище сертификатов учетной записи компьютера.
Импортируйте SSL-сертификат безопасного канала в Персональное хранилище сертификатов учетной записи службы fwsrv.
Дополнительные сведения об импорте SSL-сертификата см. в разделе Импорт сертификата.
Настройка TMG 2010
В этом разделе описана настройка веб-прослушивателя и правила публикации , которые будут принимать входящие запросы от SharePoint в Microsoft 365 и ретранслировать их в основное веб-приложение фермы SharePoint Server. Веб-прослушиватель и правило публикации работают вместе, чтобы определить правила подключения и выполнить предварительную проверку подлинности сеанса. Вы настроите веб-прослушиватель, чтобы проверять подлинность входящих подключений с помощью сертификата безопасного канала, который вы установили, используя предыдущую процедуру.
Дополнительные сведения о настройке правил публикации в TMG см. в разделе Настройка веб-публикации.
Дополнительные сведения о подключении SSL в TMG 2010 см. в разделе Сведения о подключении SSL и публикации.
Используйте следующую процедуру, чтобы создать правило публикации и веб-прослушиватель.
Создание правила публикации и веб-прослушивателя
В консоли управления Forefront TMG в области навигации слева щелкните правой кнопкой мыши пункт Политика брандмауэра, а затем выберите Создать.
Выберите Правило публикации сайта SharePoint.
В мастере создания правила публикации SharePoint в текстовом поле Имя введите имя правила публикации (например, "Правило гибридной публикации"). Нажмите кнопку Далее.
Выберите Опубликовать один веб-сайт или подсистему балансировки нагрузки, а затем нажмите кнопку Далее.
Чтобы использовать ПРОТОКОЛ HTTP для подключения между TMG и фермой SharePoint Server, выберите Использовать незащищенное подключение для подключения опубликованного веб-сервера или фермы серверов, а затем нажмите кнопку Далее.
Чтобы использовать ПРОТОКОЛ HTTPS для подключения между TMG и фермой SharePoint Server, выберите Использовать SSL для подключения опубликованного веб-сервера или фермы серверов, а затем нажмите кнопку Далее.
Примечание.
Если вы используете SSL, убедитесь, что на основном веб-приложении установлен действительный сертификат.
В диалоговом окне Сведения о внутренней публикации в текстовом поле Имя внутреннего сайта введите внутреннее DNS-имя URL-адреса моста, а затем нажмите кнопку Далее. Сервер TMG использует этот URL-адрес для ретрансляции запросов в основное веб-приложение.
Примечание.
Не вводите протокол (http:// или https://).
URL-адрес моста записан в одном следующих мест в рабочем листе гибридной среды SharePoint:
Если в основном веб-приложении настроено семейство веб-сайтов с именем узла , используйте значение в строке 1 (URL-адрес основного веб-приложения) таблицы 5a: основное веб-приложение (семейство веб-сайтов с именем узла).
Если основное веб-приложение настроено с семейством веб-сайтов на основе пути , используйте значение в строке 1 (URL-адрес основного веб-приложения) таблицы 5b: первичное веб-приложение (семейство веб-сайтов на основе пути без AAM).
Если в основном веб-приложении настроено семейство веб-сайтов на основе пути с AAM , используйте значение в строке 5 (URL-адрес основного веб-приложения) таблицы 5c: первичное веб-приложение (семейство веб-сайтов на основе пути с AAM).В поле Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу при необходимости введите IP-адрес или полное доменное имя основного веб-приложения или подсистемы балансировки сетевой нагрузки, а затем нажмите кнопку Далее.
Примечание.
Если TMG может разрешить основное веб-приложение с помощью имени узла, указанного в предыдущем шаге, вам не нужно выполнять это действие.
В диалоговом окне Параметры внешнего имени в меню Принимать запросы для примите параметр по умолчанию. В текстовом поле Общедоступное имя введите имя узла внешнего URL-адреса (например, "sharepoint.adventureworks.com"), а затем нажмите кнопку Далее. Это имя узла во внешнем URL-адресе, который SharePoint в Microsoft 365 будет использовать для подключения к ферме SharePoint Server.
Примечание.
Не вводите протокол (http:// или https://).
Внешний URL-адрес записан в строке 3 ("Внешний URL-адрес") таблицы 3, "Сведения об общедоступном домене" в рабочем листе гибридной среды SharePoint. В диалоговом окне Выбор веб-прослушивателя выберите Создать.
В диалоговом окне Мастер создания веб-прослушивателя в текстовом поле Имя веб-прослушивателя введите имя веб-прослушивателя и нажмите кнопку Далее.
В диалоговом окне Безопасность подключения клиента выберите Требовать защищенные SSL-подключения с клиентами, а затем нажмите кнопку Далее.
В диалоговом окне IP-адреса веб-прослушивателя выберите Внешние <все IP-адреса>, а затем нажмите кнопку Далее.
Если вы хотите ограничить прослушивание прослушивателя только по определенному внешнему IP-адресу, выберите Выбрать IP-адреса, а затем в диалоговом окне Выбор IP-адресов прослушивателя внешней сети выберите Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. Чтобы указать IP-адрес, нажмите кнопку Добавить, а затем нажмите кнопку ОК.
В диалоговом окне Прослушиватель SSL-сертификатов выберите Использовать один сертификат для этого веб-прослушивателя и нажмите кнопку Выбрать сертификат . В диалоговом окне Выбор сертификата выберите SSL-сертификат Secure Channel , импортированный на компьютер TMG, нажмите кнопку Выбрать, а затем нажмите кнопку Далее.
В диалоговом окне Параметры проверки подлинности выберите Проверка подлинности ssl-сертификата клиента, а затем нажмите кнопку Далее. Этот параметр принудительно использует учетные данные сертификата клиента для входящих подключений, используя сертификат безопасного канала.
Чтобы обойти параметры единого входа Forefront TMG, нажмите кнопку Далее.
Просмотрите страницу Сводка по новому прослушивателю и нажмите кнопку Готово. Вы возвратитесь к Мастеру правил публикации, в котором созданный веб-прослушиватель будет выбран автоматически.
В диалоговом окне Выбор веб-прослушивателя в раскрывающемся списке Веб-прослушиватель убедитесь, что выбран правильный веб-прослушиватель, и нажмите кнопку Далее.
В диалоговом окне Делегирование проверки подлинности выберите Нет делегирования, но клиент может пройти проверку подлинности непосредственно в раскрывающемся списке, а затем нажмите кнопку Далее.
В диалоговом окне Конфигурация альтернативного сопоставления доступа выберите SharePoint AAM уже настроен на сервере SharePoint, а затем нажмите кнопку Далее.
В диалоговом окне Наборы пользователей выберите запись Все пользователи, прошедшие проверку подлинности , и нажмите кнопку Удалить. Затем выберите Добавить, а затем в диалоговом окне Добавление пользователей выберите Все пользователи, а затем нажмите кнопку Добавить. Чтобы закрыть диалоговое окно Добавление пользователей , нажмите кнопку Закрыть, а затем нажмите кнопку Далее.
В диалоговом окне Завершение работы мастера создания правила публикации SharePoint подтвердите параметры и нажмите кнопку Готово.
Существует несколько параметров в созданном правиле публикации, которые необходимо проверить или изменить.
Завершение настройки правила публикации
В консоли управления Forefront TMG в области навигации слева выберите Политика брандмауэра, а затем в списке Правила политики брандмауэра щелкните правой кнопкой мыши созданное правило публикации и выберите Настроить HTTP.
В диалоговом окне Настройка политики HTTP для правила на вкладке Общие в разделе Защита URL-адресов убедитесь, что флажки Проверять нормализацию и Блокировать высокобитовые символы сняты , а затем нажмите кнопку ОК.
Щелкните правой кнопкой мыши только что созданное правило публикации и выберите Свойства.
В диалоговом окне Свойства имени> правила на вкладке К снимите флажок Переслать исходный заголовок узла вместо фактического<. Убедитесь, что под элементом Запросы прокси на опубликованный сайт выбран пункт Запросы приходят от исходного клиента.
Убедитесь, что на вкладке Преобразование ссылок установлен флажок Применить преобразование ссылок к этому правилу.
Если внутренний URL-адрес основного веб-приложения и внешний URL-адрес идентичны, снимите флажок Применить преобразование ссылки к этому правилу .
Если внутренний URL-адрес вашего основного веб-приложения отличается от внешнего URL-адреса, установите флажок Применить преобразование ссылок к этому правилу.
На вкладке Мост в разделе Веб-сервер убедитесь, что установлен правильный флажок Перенаправление запросов на <ПОРТ HTTP или ПОРТ SSL> и что порт в текстовом поле соответствует порту, для использования которым настроен внутренний сайт.
Чтобы сохранить изменения в правиле публикации, нажмите кнопку ОК.
В консоли управления Forefront TMG на верхней панели нажмите кнопку Применить, чтобы применить изменения к TMG. Обработка изменений для TMG может занять несколько минут.
Чтобы проверить конфигурацию, щелкните правой кнопкой мыши новое правило публикации в списке Правила политики брандмауэра и выберите пункт Свойства.
В диалоговом окне Свойства имени> правила нажмите кнопку Проверить правило.< TMG запускает серию тестов для проверки подключения к сайту SharePoint в Microsoft 365 и отображает результаты тестов в списке. Для описания теста и его результатов выберите каждый тест конфигурации. Исправьте любые возникшие ошибки.
См. также
Понятия
Гибридная конфигурация SharePoint Server
Настройка устройства обратного прокси-сервера для гибридного развертывания SharePoint Server