Configure o Forefront TMG para um ambiente híbrido
APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365
Este artigo indica-lhe como configurar o Forefront Threat Management Gateway (TMG) 2010 para utilização como proxy inverso para um ambiente híbrido do SharePoint Server.
Antes de começar
Antes de começar, existem algumas coisas que você precisa saber:
O TMG deve ser implementado em uma configuração de borda, com pelo menos um adaptador de rede conectado à Internet e configurado para a rede externa no TMG, e pelo menos um adaptador de rede conectado à rede da intranet e conectado para à rede interna no TMG.
O servidor TMG tem de ser um membro de domínio na floresta de domínio do Active Directory que contém o servidor 2.0 dos Serviços de Federação do Active Directory (AD FS). O servidor TMG tem de ser associado a este domínio para utilizar a autenticação de certificados de cliente SSL, que é utilizada para autenticar ligações de entrada do SharePoint no Microsoft 365.
Observação
Como uma prática recomendada geral para implantações de borda, que normalmente instalam o Forefront TMG em uma floresta separada (em vez de na floresta interna de sua rede corporativa), com uma relação de confiança unidirecional para a floresta corporativa. No entanto, só é possível configurar a autenticação de certificado de cliente para os usuários do domínio ao qual o servidor TMG está unido, portanto essa prática não pode ser seguida por ambientes híbridos.
Para obter mais informações sobre as considerações de topologia de rede do TMG, veja Considerações sobre o grupo de trabalho e o domínio.
A implementação do TMG 2010 para utilização num ambiente híbrido do SharePoint Server numa configuração back-to-back é teoricamente possível, mas não foi testada e pode não funcionar.
O TMG 2010 inclui tanto um log de diagnóstico quanto uma interface de log em tempo real. O registo desempenha um papel importante na resolução de problemas de conectividade e autenticação entre o SharePoint Server e o SharePoint no Microsoft 365. Identificar o componente que está causando uma falha de conexão pode ser desafiador, e os logs do TMG são o primeiro lugar onde deve-se procurar por dicas. A resolução de problemas pode envolver a comparação de eventos de registo de registos de registos TMG, registos ULS do SharePoint Server, registos de eventos do Windows Server e registos dos Serviços de Informação Internet (IIS) em vários servidores.
Para obter mais informações sobre como configurar e utilizar o registo no TMG 2010, veja Utilizar o registo de diagnósticos.
Para obter mais informações sobre técnicas e ferramentas de resolução de problemas para ambientes híbridos do SharePoint Server, veja Resolução de problemas de ambientes híbridos.
Instalar o TMG 2010
Se você não tiver instalado o TMG 2010 e configurado para a sua rede, use esta seção para instalar TMG 2010 e preparar o sistema TMG.
Instalar o TMG 2010
Instale o Forefront TMG 2010, se ainda não tiver instalado. Para obter mais informações sobre a instalação do TMG 2010, consulte Forefront TMG Deployment.
Instalar todas as atualizações e pacotes de serviço disponíveis para o TMG 2010. Para obter mais informações, veja Installing Forefront TMG Service Packs (Instalar Service Packs do Forefront TMG).
Una o computador do servidor TMG ao domínio do Active Directory local, se ele ainda não for um membro de domínio.
Para obter mais informações sobre como implementar o TMG 2010 num ambiente de domínio, veja Workgroup and domain considerations (Considerações sobre o grupo de trabalho e o domínio).
Importar o certificado Secure Channel SSL
Você deve importar o certificado Secure Channel SSL tanto para o armazenamento Pessoal da conta de computador local quanto para o armazenamento Pessoal da conta de serviço do Microsoft Forefront TMG Firewall (fwsvc).
A localização do certificado de canal seguro (SSL) é registrada na Linha 1 (localização e Nome de Arquivo do Certificado de Canal Seguro (SSL)) da Tabela 4b: Certificado de Canal Seguro (SSL). Se o certificado contiver uma chave privada, você precisará fornecer a senha do certificado, que é registrada na Linha 4 (senha do Certificado de Canal Seguro (SSL)) da Tabela 4b: Certificado de Canal Seguro (SSL). |
Importar o certificado
Copy the certificate file from the location specified in the worksheet to a folder on the local hard disk.
No servidor proxy inverso, abra a MMC e adicione o snap-in Gestão de Certificados para a conta de computador local e a conta de serviço fwsrv local.
Observação
Após o TMG 2010 ser instalado, o nome amigável do serviço fwsrv é o serviço doMicrosoft Forefront TMG Firewall.
Importar o certificado Secure Channel SSL para o armazenamento do certificadoPersonal da conta do computador.
Importar o certificado Secure Channel SSL para o armazenamento do certificado Personal da conta de serviço fwsrv.
Para obter mais informações sobre como importar um certificado SSL, veja Importar um Certificado.
Configurar o TMG 2010
Nesta secção, vai configurar um serviço de escuta Web e uma regra de publicação que irá receber pedidos de entrada do SharePoint no Microsoft 365 e transmiti-los para a aplicação Web primária do farm do SharePoint Server. O ouvinte da Web e a regra de publicação trabalham juntos para definir as regras de conexão e para pré-autenticar e retransmitir as solicitações. Você irá configurar o ouvinte Web para autenticar conexões de entrada usando o certificado Canal Seguro que você instalou no último procedimento.
Para obter mais informações sobre como configurar regras de publicação no TMG, veja Configurar a publicação na Web.
Para obter mais informações sobre o bridging SSL no TMG 2010, consulte About SSL bridging and publishing (Acerca do bridging e publicação do SSL).
Utilize o procedimento descrito abaixo para criar a regra de publicação e o ouvinte web.
Criar a regra de publicação e o ouvinte web
Na Consola de Gestão do Forefront TMG, no painel de navegação esquerdo, clique com o botão direito do rato em Política de Firewall e, em seguida, selecione Novo.
Selecione Regra de Publicação do Site do SharePoint.
No Assistente de Nova Regra de Publicação do SharePoint, na caixa de texto Nome , introduza o nome da regra de publicação (por exemplo, "Regra de Publicação Híbrida"). Selecione Avançar.
Selecione Publicar um único Web site ou balanceador de carga e, em seguida, selecione Seguinte.
Para utilizar HTTP para a ligação entre o TMG e o farm do SharePoint Server, selecione Utilizar ligação não protegida para ligar o servidor Web publicado ou o farm de servidores e, em seguida, selecione Seguinte.
Para utilizar HTTPS para a ligação entre o TMG e o farm do SharePoint Server, selecione Utilizar SSL para ligar o servidor Web publicado ou o farm de servidores e, em seguida, selecione Seguinte.
Observação
Se você utilizar SSL, assegure que você tem um certificado válido instalado no aplicativo primário da web
Na caixa de diálogo Detalhes de Publicação Interna , na caixa de texto Nome do site interno , introduza o nome DNS interno do URL de bridging e, em seguida, selecione Seguinte. Esta é a URL que o servidor TMG usará para retransmitir as solicitações para o aplicativo web primário.
Observação
Não introduza o protocolo (http:// ou https://).
A URL de Ponte é registrada em um dos seguintes locais na planilha do SharePoint Híbrido:
Se a sua aplicação Web primária estiver configurada com uma coleção de sites com o nome de anfitrião , utilize o valor na Linha 1 (URL da aplicação Web primária) da Tabela 5a: Aplicação Web primária (coleção de sites com nome de anfitrião).
Se a sua aplicação Web primária estiver configurada com uma coleção de sites baseada no caminho , utilize o valor na Linha 1 (URL da aplicação Web primária) da Tabela 5b: Aplicação Web primária (coleção de sites baseada no caminho sem AAM).
Se a sua aplicação Web primária estiver configurada com uma coleção de sites baseada no caminho com AAM , utilize o valor na Linha 5 (URL da aplicação Web primária) da Tabela 5c: Aplicação Web primária (coleção de sites baseada no caminho com AAM).Na caixa Utilizar um nome de computador ou endereço IP para ligar ao servidor publicado , introduza opcionalmente o endereço IP ou o nome de domínio completamente qualificado (FQDN) da aplicação Web primária ou do balanceador de carga de rede e, em seguida, selecione Seguinte.
Observação
Se o TMG pode solucionar o aplicativo primário da web utilizando o nome do host fornecido por você na etapa anterior, você não deve realizar esta etapa.
Na caixa de diálogo Detalhes do Nome Público , aceite a predefinição no menu Aceitar pedidos para . Na caixa de texto Nome público , introduza o nome do anfitrião do URL Externo (por exemplo, "sharepoint.adventureworks.com" e, em seguida, selecione Seguinte. Este é o nome do anfitrião no URL externo que o SharePoint no Microsoft 365 irá utilizar para se ligar ao farm do SharePoint Server.
Observação
Não introduza o protocolo (http:// ou https://).
O URL Externo é registado na Linha 3 (URL Externo) da Tabela 3: Informações de Domínio Público na folha de cálculo Híbrida do SharePoint. Na caixa de diálogo Selecionar um Serviço de Escuta na Web , selecione Novo.
Na caixa de diálogo Assistente de Novo Serviço de Escuta Web , na caixa de texto Nome do serviço de escuta Web , introduza um nome para o serviço de escuta web e, em seguida, selecione Seguinte.
Na caixa de diálogo Segurança da Ligação de Cliente, selecione Exigir ligações protegidas por SSL com clientes e, em seguida, selecione Seguinte.
Na caixa de diálogo Endereços IP do Serviço de Escuta Web, selecione Todos os endereços IP externos <>e, em seguida, selecione Seguinte.
Se quiser restringir o serviço de escuta para escutar apenas num endereço IP externo específico, selecione Selecionar Endereços IP e, em seguida, na caixa de diálogo Seleção de IP do Serviço de Escuta de Rede Externa , selecione Endereços IP especificados no computador Forefront TMG na rede selecionada. Para especificar um endereço IP, selecione Adicionar e, em seguida, selecione OK.
Na caixa de diálogo Certificados SSL do Serviço de Escuta , selecione Utilizar um único certificado para este Serviço de Escuta Web e selecione o botão Selecionar Certificado . Na caixa de diálogo Selecionar Certificado, selecione o certificado SSL do Canal Seguro que importou para o computador TMG, selecione Selecionar e, em seguida, selecione Seguinte.
Na caixa de diálogo Definições de Autenticação , selecione Autenticação de Certificado de Cliente SSL e, em seguida, selecione Seguinte. Esta definição impõe credenciais de certificado de cliente para ligações de entrada com o certificado de Canal Seguro.
Para ignorar as definições de início de sessão único do Forefront TMG, selecione Seguinte.
Reveja a página de resumo Novo Serviço de Escuta e selecione Concluir. Esta ação devolve-lhe o Assistente de Regras de Publicação no qual o serviço de escuta Web criado recentemente é selecionado automaticamente.
Na caixa de diálogo Selecionar Serviço de Escuta na Web , na lista pendente Serviço de Escuta na Web , certifique-se de que está selecionado o serviço de escuta da Web correto e selecione Seguinte.
Na caixa de diálogo Delegação de Autenticação , selecione Sem delegação, mas o cliente pode autenticar-se diretamente a partir do menu pendente e, em seguida, selecione Seguinte.
Na caixa de diálogo Configuração de Mapeamento de Acesso Alternativo , selecione AAM do SharePoint já está configurada no servidor do SharePoint e, em seguida, selecione Seguinte.
Na caixa de diálogo Conjuntos de Utilizadores , selecione a entrada Todos os Utilizadores Autenticados e selecione Remover. Em seguida, selecione Adicionar e, na caixa de diálogo Adicionar Utilizadores , selecione Todos os Utilizadores e, em seguida, selecione Adicionar. Para fechar a caixa de diálogo Adicionar Utilizadores , selecione Fechar e, em seguida, selecione Seguinte.
Na caixa de diálogo Concluir o Assistente de Novas Regras de Publicação do SharePoint , confirme as definições e, em seguida, selecione Concluir.
Existem várias definições que tem de verificar ou alterar na regra de publicação que acabou de criar.
Finalizar a configuração da regra de publicação
Na Consola de Gestão do Forefront TMG, no painel de navegação esquerdo, selecione Política de Firewall e, na lista Regras da Política de Firewall , clique com o botão direito do rato na regra de publicação que acabou de criar e selecione Configurar HTTP.
Na caixa de diálogo Configurar política HTTP para regra , no separador Geral , em Proteção de URL, confirme que a opção Verificar normalização e Bloquear carateres de bits elevados está desmarcada e, em seguida, selecione OK.
Clique com o botão direito do rato na regra de publicação que acabou de criar novamente e selecione Propriedades.
Na caixa de diálogo Propriedades do nome> da< regra, no separador Para, desmarque a caixa Reencaminhar o cabeçalho do anfitrião original em vez da caixa real. Em Pedidos de proxy para o site publicado, certifique-se de que a opção Pedidos parece ser proveniente do cliente original está selecionada.
No separador Tradução de Ligações , certifique-se de que a caixa de verificação Aplicar tradução de ligação a esta regra está definida corretamente:
Se o URL interno da sua aplicação Web primária e o URL externo forem idênticos, desmarque a caixa de verificação Aplicar tradução de ligação a esta regra .
Se o URL interno da sua aplicação Web primária e o URL externo forem diferentes, selecione a caixa de verificação Aplicar tradução de ligação a esta regra .
No separador Bridging , em Servidor Web, certifique-se de que a caixa de verificação Redirecionar pedidos para a <porta HTTP ou porta SSL> correta está selecionada e que a porta na caixa de texto corresponde à porta que o site interno está configurado para utilizar.
Para guardar as alterações à regra de publicação, selecione OK.
Na Consola de Gestão do Forefront TMG, na barra superior, para aplicar as alterações ao TMG, selecione Aplicar. O TMG pode demorar um ou dois minutos a processar as alterações.
Para validar a configuração, clique com o botão direito do rato na nova regra de publicação na lista Regras de Política de Firewall e selecione Propriedades.
Na caixa de diálogo Propriedades do nome> da< regra, selecione o botão Regra de Teste. O TMG executa uma série de testes para verificar a conectividade ao SharePoint no site do Microsoft 365 e apresenta os resultados dos testes numa lista. Para obter uma descrição do teste e dos respetivos resultados, selecione cada teste de configuração. Corrija quaisquer erros que apareçam.
Confira também
Conceitos
Híbrido para SharePoint Server
Configurar um dispositivo de proxy reverso para o SharePoint Server híbrido