externer Zugriff von SharePoint 2013 Webseiten über Forefront Threat Management Gateway 2010

Alle Antworten

• 

  

  0

  Anmelden

  Hallo,
  
  

  da es auf die DE Technet Lokalisierung keinen Microsoft Forefront Threat Management Gateway Forum gibt, siehe bitte den folgenden Link um Deine Frage auf TechNet EN Seite erneut zu stellen und die bestmögliche Antwort zu bekommen.

  
   http://social.technet.microsoft.com/Forums/windows/en-US/home?forum=Forefrontedgegeneral

  
  Schau mal auch:

  How to publish SharePoint 2010 site with Forefront TMG

  
  Configure Forefront TMG for a hybrid environment

  
  Installing UAG 2010 for SharePoint 2013

  
  Gruss,

  Alex

  ---

  Alex Pitulice, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip„IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  
  

  • Bearbeitet Alex Pitulice Montag, 19. Mai 2014 14:22

  Montag, 19. Mai 2014 14:21
• 

  

  0

  Anmelden

  Ok, viellecht stelle ich meine Frage auch im Technet EN Forum. Aber ich habe nochmal nachgeschaut. Es gibt doch die Kategore: Microsoft Security Produkte ( Forefront, TMG, ISA, Essentials, … )
  Viellecht sollte man meinen Thread dann dorthin kopieren, weil ich habs ja unter SharePoint Server gemacht.

  Montag, 19. Mai 2014 15:09
• 

  

  1

  Anmelden

  Hi,

  Du musst die Authentifizierung am TMG kompatibel zu den Einstellungen auf dem Sharepoint einstellen:
  http://www.isaserver.org/articles-tutorials/general/Publishing-Microsoft-SharePoint-2010-Forefront-TMG-different-authentication-options-Part1.html

  Je nachdem was auf dem Sharepoint aktiv ist, musst Du den TMG anpassen. Momentan hasst Du FBA am TMG aktiv, diese musst Du deaktivieren und mit einer anderen Methode (NTLM, Kerberos, Basic) arbeiten.
  Alternativ kannst Du wie in dem Link von Alex beschrieben:
  http://technet.microsoft.com/en-us/library/dn197170.aspx
  die Authentifizierung direkt am Sharepoint durchfuehren lassen

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

  • Als Antwort vorgeschlagen Alex Pitulice Mittwoch, 21. Mai 2014 12:28

  Mittwoch, 21. Mai 2014 12:13
• 

  

  0

  Anmelden

  Hallo,

  Vielen, vielen Dank, Marc, für Deine Hilfe und Erklärung!

  Gruss,

  Alex

  ---

  Alex Pitulice, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Mittwoch, 21. Mai 2014 12:29
• 

  

  0

  Anmelden

  Danke für die Antwort. Also ich kann schon mal sagen, dass ich bei der Konfiguration des SharePoint 2013 Servers Kerberos als Authentifizierungsmethode gewählt habe. Danach habe ich ja noch manuell den Dienstprinzipalnamen (SPN) festgelegt.

  Im TMG habe ich ja eine neue Webveröffentlichungsregel erstellt, aber keinen neuen Weblistener. Als Weblistener habe ich also einen Weblistener gewählt, der bereits verwendet wird. Wie ja bereits erwähnt bekomme ich wenn ich übers Internet aufs SharePoint zugreife ein Anmeldefenster vom TMG und nach der Anmeldung eine leere weiße Seite.

  Ich habe ja jetzt hier gelesen, dass je nachdem was auf dem SharePoint aktiv ist, am TMG Anpassungen gemacht werden müssen. Wie gerade erwähnt habe ich ja Kerberos bei der Konfiguration des SharePoint Servers festgelegt. Also habe ich mir jetzt auch nochmal die Einstellungen meiner Webveröffentlichungsregel angeschaut. Unter der Registerkarte Authentifizierungsdelegierung ist Aushandeln (Kerberos/NTLM)ausgewählt. SPN Name ist auch angegeben. Unter der Registerkarte Listener habe ich mir die Eigenschaften des Listeners angeschaut, den ich ausgewählt habe. Dieser wird meines Wissens auch schon auch für andere Webveröffentlichungsregeln verwendet. Jedenfalls steht unter Authentifizierungsmethoden FBA with LDAP. Ist das also der Verursacher des Problems? Und wenn ja kann ich einfach einen neuen Weblistener erstellen, weil auf dem Server ist nur eine Netzwerkarte oder hat das damit nichts zu tun?

  Ich würde mich darüber freuen, wenn jemand vielleicht noch ein bisschen detaillierter auf mein Problem eingehen kann und es mir vielleicht auch ein bisschen verständlich erklärt. Mir ist aber schon klar das das hier ein Forum ist und kein technischer Support. Ich bin aber für jede Antwort dankbar.

  Donnerstag, 22. Mai 2014 13:32
• 

  

  0

  Anmelden

  Hi nochmal,

  wenn ich mich jetz z.B. auf den Artikel beziehe http://www.isaserver.org/articles-tutorials/general/Publishing-Microsoft-SharePoint-2010-Forefront-TMG-different-authentication-options-Part2.html

  To get KCD (Kerberos Constrained Delegation) working, the Sharepoint Server must trust the Forefront TMG Server for Kerberos Delegation. Open the Active Directory User and Computers console, make sure that the “advanced Feature” view is activated, navigate to the Forefront TMG computer account, select the Delegation tab and specify the SharePoint Server for the Service type HOST.

  Nur habe ich das Problem, dass der Server auf dem das TMG installiert ist in einer Arbeitsgruppe ist. Es gibt also kein Active Directory, also zumindest in dem Netzwerk. Auf dem SharePoint Server im anderem Netwerk schon. Der ist ja Mitglied einer Domäne. Kann ich es also hinbekommen, dass der SharePoint Server dem TMG Server vertraut?

  Dienstag, 27. Mai 2014 10:19
• 

  

  0

  Anmelden

  Hi,

  KCD kann nur funktionieren, wenn der TMG Server Mitglied einer Active Directory Domaene ist

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

  • Als Antwort markiert Thunderwoody Freitag, 20. Juni 2014 06:51

  Dienstag, 27. Mai 2014 10:45
• 

  

  1

  Anmelden

  Hi,

  um KCD zu verwenden, musst Du einen neuen Weblistener erstellen. Ein Weblistener verwendet eine eindeutige Kombination aus IP Adresse / Port und Zertifikat!.
  Du musst also am TMG Server auf der NIC eine weitere IP-Adresse hinterlegen und dann einen neuen Weblistener erstellen.

  Voraussetzung fuer KCD ist, dass der TMG Server Domaenenmitglied ist:
  http://technet.microsoft.com/en-us/library/cc995228.aspx

  ---

  regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3570

  • Als Antwort vorgeschlagen Alex Pitulice Donnerstag, 29. Mai 2014 09:58
  • Als Antwort markiert Thunderwoody Freitag, 20. Juni 2014 06:51

  Dienstag, 27. Mai 2014 10:47
• 

  

  0

  Anmelden

  Hi, also ich habe auf der NIC eine weitere IP-Adresse hinterlegt und auch einen neuen Weblistener erstellt. Da der TMG Server kein Domainenmitglied ist versuche ich es mit einer anderen Authentifizierungsmethode. Ich habe auch gelesen, dass wenn ich z.B die Authentifizierung direkt am Sharepoint durchfuehren lassen möchte der TMG Server ebenfalls Domainenmitglied sein muss. Habe es also erstmal mit NTLM ausprobiert, schein aber auch nicht zu funktionieren.

  Jedenfalls möchte ich es jetzt mit FBA ausprobieren und es in der Zentraladministration vom SharePoint 2013 Server in den Einstellungen der Webanwendung einstellen. Nur weiß ich nicht was ich unter Name des ASP.NET-Mitgliedschaftsanbieters und unter Name des ASP.NET-Rollen-Managers eintragen muss.
  http://technet.microsoft.com/de-de/library/ee806890%28office.14%29.aspx
  6.Geben Sie den Namen eines Mitgliedschaftsanbieters und den Namen eines Rollen-Managers ein. In der hier beschriebenen Beispielversion von Web.Config lautet der Name des Mitgliedschaftsanbieters membership und der Name des Rollen-Managers rolemanager.

  Montag, 2. Juni 2014 10:49
• 

  

  0

  Anmelden

  Hi,

  habe den Fehler gefunden. Also fast. Es lag daran, dass ich in der Zentraladministration im SharePoint unter Konfigurieren alternativer Zugriffszuordnungen auch einen Link den ich gesetzt habe von der Zone Standard auf die Zone Internet stellen musste. Die Authentifizierungsmethode ist jetzt momentan NTLM.

  Das skurille ist jetzt nur es funktioniert von extern aus über mein Smartphone, aber nicht von meinem PC von extern aus. Hat irgendjemand hier eine Idee?

  
  

  • Bearbeitet Thunderwoody Donnerstag, 12. Juni 2014 16:22

  Donnerstag, 12. Juni 2014 16:07
• 

  

  0

  Anmelden

  Ich konnte das Problem beheben. Nur jetzt läuft sogar auch der interne Zugriff übers TMG. Da muss ich nochmal nachbessern. Jedenfalls ist es so, dass die Linkübersetzung vom TMG alleine nicht ausreicht, wegen Codierung etc. seitens SharePoint und man auch die Alternativen Zugriffszuordnungen braucht.

  Sehr geholfen hat mir dieser Technet Artikel: http://technet.microsoft.com/de-de/library/cc288609%28v=office.12%29.aspx#section2

  Der ist noch für SharePoint 2007 geschrieben, aber wie ich finde deutlich besser als der Artikel für SP 2013.

  Da die Frage des externen Zugriffs ja jetzt geklärt ist habe ich Marc Grotes Antwort als Antwort markiert.
  Zumindest das mit der weitern IP Adresse auf der NIC erstellen und das KCD ohne Active Directory Domäne nicht funktionert hat mir schon sehr geholfen.

  Eventuell erstelle ich im SharePoint Forum noch einen neuen Thread, da ich noch einen Fehler in den Alternativen Zugriffszuordnungen im SharePoint habe. Dann werde ich dadrauf noch genauer eingehen.

  Danke.

  • Als Antwort markiert Thunderwoody Freitag, 20. Juni 2014 06:52

  Freitag, 20. Juni 2014 06:51