Configurare Forefront TMG per un ambiente ibrido

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Questo articolo illustra come configurare Forefront Threat Management Gateway (TMG) 2010 per l'uso come proxy inverso per un ambiente ibrido di SharePoint Server.

Prima di iniziare

Prima di iniziare, tenere presenti i seguenti aspetti:

  • TMG deve essere distribuito in una configurazione perimetrale con almeno una scheda di rete connessa a Internet e configurata per la rete esterna in TMG e almeno una scheda di rete connessa alla rete Intranet e configurata per la rete interna in TMG.

  • Il server TMG deve essere un membro di dominio nella foresta di dominio di Active Directory che contiene il server Active Directory Federation Services (AD FS) 2.0. Il server TMG deve essere aggiunto a questo dominio per usare l'autenticazione del certificato client SSL, usata per autenticare le connessioni in ingresso da SharePoint in Microsoft 365.

    Nota

    Come generale procedura consigliata per le distribuzioni perimetrali, Forefront TMG viene installato in genere in una foresta distinta, anziché nella foresta interna della rete aziendale, con un trust unidirezionale con la foresta aziendale. L'autenticazione del certificato client tuttavia può essere configurata solo per gli utenti del dominio di cui fa parte il server TMG, perciò questa procedura non è applicabile negli ambienti ibridi.

    Per altre informazioni sulle considerazioni sulla topologia di rete TMG, vedi Considerazioni sul gruppo di lavoro e sul dominio.

  • La distribuzione di TMG 2010 per l'uso in un ambiente ibrido di SharePoint Server in una configurazione back-to-back è teoricamente possibile, ma non è stata testata e potrebbe non funzionare.

  • TMG 2010 include sia un'interfaccia di registrazione diagnostica sia una di registrazione in tempo reale. La registrazione svolge un ruolo importante nella risoluzione dei problemi di connettività e autenticazione tra SharePoint Server e SharePoint in Microsoft 365. L'identificazione del componente che causa un errore di connessione può essere impegnativa e i log di TMG sono la prima risorsa in cui è consigliabile cercare indizi. La risoluzione dei problemi può comportare il confronto di eventi di log da log TMG, log ULS di SharePoint Server, log eventi di Windows Server e log di Internet Information Services (IIS) in più server.

Per altre informazioni su come configurare e usare la registrazione in TMG 2010, vedere Uso della registrazione diagnostica.

Per altre informazioni sulla risoluzione dei problemi relativi a tecniche e strumenti per gli ambienti ibridi di SharePoint Server, vedere Risoluzione dei problemi relativi agli ambienti ibridi.

Installare TMG 2010

Se TMG 2010 non è già stato installato e configurato per la propria rete, utilizzare questa sezione per installare TMG 2010 e preparare il sistema TMG.

Installare TMG 2010

  1. Installare Forefront TMG 2010, se non è già installato. Per ulteriori informazioni sull'installazione di TMG 2010, vedere Forefront TMG Deployment.

  2. Installare tutti i Service Pack e gli aggiornamenti disponibili per TMG 2010. Per altre informazioni, vedere Installazione dei Service Pack di Forefront TMG.

  3. Aggiungere il computer server TMG al dominio di Active Directory locale, se non è già membro di un dominio.

    Per altre informazioni sulla distribuzione di TMG 2010 in un ambiente di dominio, vedi Considerazioni sul gruppo di lavoro e sul dominio.

Importare il certificato SSL di canale sicuro

È necessario importare il certificato SSL di canale sicuro sia nell'archivio personale dell'account computer locale sia nell'archivio personale dell'account del servizio Firewall di Microsoft Forefront TMG (fwsvc).

   
Icona Modifica Il percorso del certificato SSL di canale sicuro viene registrato nella riga 1 (Secure Channel SSL Certificate location and Filename) della tabella 4b: Secure Channel SSL Certificate.
Se il certificato contiene una chiave privata, sarà necessario fornire la password del certificato, registrata nella riga 4 (Secure Channel SSL Certificate password) della tabella 4b: Secure Channel SSL Certificate.

Importare il certificato

  1. Copiare il file del certificato dal percorso specificato nel foglio di lavoro a una cartella sul disco rigido locale.

  2. Nel server proxy inverso aprire MMC e aggiungere lo snap-in Gestione certificati sia per l'account del computer locale che per l'account del servizio fwsrv locale.

    Nota

    Dopo l'installazione di TMG 2010, il nome descrittivo del servizio fwsrv corrisponderà al servizio Firewall Microsoft Forefront TMG.

  3. Importare il certificato SSL di canale sicuro nell'archivio certificati Personale dell'account computer.

  4. Importare il certificato SSL di canale sicuro nell'archivio certificati Personale dell'account del servizio fwsrv.

Per altre informazioni su come importare un certificato SSL, vedi Importare un certificato.

Configurare TMG 2010

In questa sezione vengono configurati un listener Web e una regola di pubblicazione che riceveranno le richieste in ingresso da SharePoint in Microsoft 365 e le inoltrino all'applicazione Web primaria della farm di SharePoint Server. Il listener Web e la regola di pubblicazione interagiscono per definire le regole di connessione e per preautenticare e inoltrare le richieste. Il listener Web viene configurato per l'autenticazione delle connessioni in ingresso tramite il certificato di canale sicuro installato nell'ultima procedura.

Per altre informazioni sulla configurazione delle regole di pubblicazione in TMG, vedi Configurazione della pubblicazione Web.

Per altre informazioni sul bridging SSL in TMG 2010, vedi Informazioni sul bridging e la pubblicazione SSL.

Usare la procedura seguente per creare la regola di pubblicazione e il listener Web.

Creare la regola di pubblicazione e il listener Web

  1. Nel riquadro di spostamento sinistro di Forefront TMG Management Console fare clic con il pulsante destro del mouse su Criteri firewall e quindi scegliere Nuovo.

  2. Selezionare Regola di pubblicazione del sito SharePoint.

  3. Nella casella di testo Nome della Creazione guidata nuova regola di pubblicazione di SharePoint immettere il nome della regola di pubblicazione, ad esempio "Regola di pubblicazione ibrida". Seleziona Avanti.

  4. Selezionare Pubblica un singolo sito Web o un servizio di bilanciamento del carico e quindi selezionare Avanti.

  5. Per usare HTTP per la connessione tra TMG e la farm di SharePoint Server, selezionare Usa connessione non protetta per connettere il server Web o la server farm pubblicata e quindi selezionare Avanti.

    Per usare HTTPS per la connessione tra TMG e la farm di SharePoint Server, selezionare Usa SSL per connettere il server Web o la server farm pubblicata e quindi selezionare Avanti.

    Nota

    Se si usa SSL, verificare che nell'applicazione Web principale sia installato un certificato valido.

  6. Nella casella di testo Nome sito interno della finestra di dialogo Dettagli pubblicazione interna immettere il nome DNS interno dell'URL di bridging e quindi selezionare Avanti. Questo è l'URL che verrà utilizzato dal server TMG per inoltrare le richieste all'applicazione Web principale.

    Nota

    Non immettere il protocollo (http:// o https://).

       
    Icona Modifica L'URL bridging è registrato in una delle seguenti posizioni del foglio di lavoro per ambienti ibridi di SharePoint:
    Se l'applicazione Web primaria è configurata con una raccolta siti denominata dall'host, usare il valore nella riga 1 (URL dell'applicazione Web primaria) della tabella 5a: applicazione Web primaria (raccolta siti con nome host).
    Se l'applicazione Web primaria è configurata con una raccolta siti basata su percorso, usare il valore nella riga 1 (URL dell'applicazione Web primaria) della tabella 5b: applicazione Web primaria (raccolta siti basata su percorso senza AAM).
    Se l'applicazione Web primaria è configurata con una raccolta siti basata su percorso con AAM, usare il valore nella riga 5 (URL dell'applicazione Web primaria) della tabella 5c: applicazione Web primaria (raccolta siti basata su percorso con AAM).
  7. Nella casella Usare un nome computer o un indirizzo IP per connettersi al server pubblicato immettere facoltativamente l'indirizzo IP o il nome di dominio completo (FQDN) dell'applicazione Web primaria o del servizio di bilanciamento del carico di rete e quindi selezionare Avanti.

    Nota

    Se TMG è in grado di risolvere l'applicazione Web principale usando il nome host fornito nel passaggio precedente, questo passaggio non sarà necessario.

  8. Nella finestra di dialogo Dettagli nome pubblico accettare l'impostazione predefinita nel menu Accetta richieste per. Nella casella di testo Nome pubblico immettere il nome host dell'URL esterno , ad esempio "sharepoint.adventureworks.com", e quindi selezionare Avanti. Si tratta del nome host nell'URL esterno che Verrà usato da SharePoint in Microsoft 365 per connettersi alla farm di SharePoint Server.

    Nota

    Non immettere il protocollo (http:// o https://).

       
    Icona Modifica L'URL esterno è registrato nella riga 3 (External URL) della tabella 3: Public Domain Info del foglio di lavoro per ambienti ibridi di SharePoint.
  9. Nella finestra di dialogo Scegliere Listener Web selezionare Nuovo.

  10. Nella finestra di dialogo Creazione guidata nuovo listener Web immettere un nome per il listener Web nella casella di testo Nome listener Web e quindi selezionare Avanti.

  11. Nella finestra di dialogo Sicurezza connessione client selezionare Richiedi connessioni protette SSL con i client e quindi selezionare Avanti.

  12. Nella finestra di dialogo Indirizzi IP del listener Web selezionare Tutti gli indirizzi> IP esterni <e quindi avanti.

    Per limitare l'ascolto del listener solo su un indirizzo IP esterno specifico, selezionare Seleziona indirizzi IP e quindi nella finestra di dialogo Selezione IP listener di rete esterna selezionare Indirizzi IP specificati nel computer Forefront TMG nella rete selezionata. Per specificare un indirizzo IP, selezionare Aggiungi e quindi ok.

  13. Nella finestra di dialogo Listener certificati SSL selezionare Usa un singolo certificato per questo listener Web e selezionare il pulsante Seleziona certificato . Nella finestra di dialogo Seleziona certificato selezionare il certificato SSL del canale sicuro importato nel computer TMG, selezionare Seleziona e quindi selezionare Avanti.

  14. Nella finestra di dialogo Impostazioni di autenticazione selezionare Autenticazione certificato client SSL e quindi selezionare Avanti. Questa impostazione applica le credenziali del certificato client per le connessioni in ingresso usando il certificato di canale sicuro (Schannel).

  15. Per ignorare le impostazioni di Accesso Single Sign-On di Forefront TMG, selezionare Avanti.

  16. Esaminare la pagina di riepilogo Nuovo listener e selezionare Fine. Si viene reindirizzati alla procedura guidata delle regole di pubblicazione, in cui il nuovo listener Web appena creato risulta selezionato automaticamente.

  17. Nell'elenco a discesa Listener Web della finestra di dialogo Seleziona listener Web verificare che sia selezionato il listener Web corretto e selezionare Avanti.

  18. Nella finestra di dialogo Delega autenticazione selezionare Nessuna delega, ma il client può eseguire l'autenticazione direttamente dall'elenco a discesa e quindi selezionare Avanti.

  19. Nella finestra di dialogo Configurazione mapping di accesso alternativo selezionare SharePoint AAM è già configurato nel server SharePoint e quindi selezionare Avanti.

  20. Nella finestra di dialogo Set di utenti selezionare la voce Tutti gli utenti autenticati e selezionare Rimuovi. Selezionare quindi Aggiungi e nella finestra di dialogo Aggiungi utenti selezionare Tutti gli utenti e quindi selezionare Aggiungi. Per chiudere la finestra di dialogo Aggiungi utenti , selezionare Chiudi e quindi selezionare Avanti.

  21. Nella finestra di dialogo Completamento creazione guidata nuova regola di pubblicazione di SharePoint confermare le impostazioni e quindi selezionare Fine.

Nella regola di pubblicazione creata sono presenti diverse impostazioni che devono essere verificate o modificate.

Completare la configurazione della regola di pubblicazione

  1. Nel riquadro di spostamento a sinistra di Forefront TMG Management Console selezionare Criteri firewall e nell'elenco Regole criteri firewall fare clic con il pulsante destro del mouse sulla regola di pubblicazione appena creata e selezionare Configura HTTP.

  2. Nella finestra di dialogo Configura criteri HTTP per la regola , nella scheda Generale , in Protezione URL, verificare che sia Verifica normalizzazione che Blocca caratteri a bit elevato siano deselezionati e quindi selezionare OK.

  3. Fare clic con il pulsante destro del mouse sulla regola di pubblicazione appena creata e scegliere Proprietà.

  4. Nella scheda A della <finestra di dialogo Proprietà nome> regola deselezionare la casella Inoltra l'intestazione host originale anziché quella effettiva. In Richieste proxy al sito pubblicato assicurarsi che l'opzione Le richieste sembrano provenire dal client originale sia selezionata.

  5. Nella scheda Conversione collegamento assicurarsi che la casella di controllo Applica conversione collegamento a questa regola sia impostata correttamente:

  • Se l'URL interno dell'applicazione Web primaria e l'URL esterno sono identici, deselezionare la casella di controllo Applica conversione collegamento a questa regola .

  • Se l'URL interno dell'applicazione Web principale e l'URL esterno sono diversi, selezionare la casella di controllo Applica conversione collegamento a questa regola.

  1. Nella scheda Bridging, in Server Web, verificare che la casella di controllo Reindirizzare le richieste alla porta HTTP o alla <porta> SSL sia selezionata e che la porta nella casella di testo corrisponda alla porta che il sito interno è configurato per l'uso.

  2. Per salvare le modifiche apportate alla regola di pubblicazione, selezionare OK.

  3. Nella barra superiore di Forefront TMG Management Console selezionare Applica per applicare le modifiche a TMG. L'elaborazione di tali modifiche potrebbe richiedere un paio di minuti.

  4. Per convalidare la configurazione, fare clic con il pulsante destro del mouse sulla nuova regola di pubblicazione dall'elenco Regole criteri firewall e scegliere Proprietà.

  5. Nella finestra di dialogo Proprietà nome> regola selezionare il pulsante Test regola.< TMG esegue una serie di test per verificare la connettività al sito di SharePoint in Microsoft 365 e visualizza i risultati dei test in un elenco. Per una descrizione del test e dei relativi risultati, selezionare ogni test di configurazione. Correggere gli eventuali errori visualizzati.

Vedere anche

Concetti

Ambiente ibrido per SharePoint Server

Configurare un dispositivo proxy inverso per un ambiente ibrido di SharePoint Server

Ulteriori risorse

Configurazione della pubblicazione Web