Erstellen anspruchsbasierter Webanwendungen in SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Damit die erweiterte Funktionalität von SharePoint Server genutzt werden kann, ist die anspruchsbasierte Authentifizierung erforderlich. In diesem Artikel wird die Verwendung der Zentraladministration oder von PowerShell zum Erstellen einer Webanwendung für SharePoint Server erläutert, die die anspruchsbasierte Authentifizierung nutzt. Die anspruchsbasierte Authentifizierung ist eine Voraussetzung für Webanwendungen, die in Szenarien bereitgestellt werden, die die Authentifizierung zwischen Servern und die App-Authentifizierung unterstützen. Dieser Artikel enthält jedoch auch Hinweise zur Verwendung von PowerShell, um Webanwendungen im klassischen Modus zu erstellen, falls ein bestimmtes Szenario vorliegt, das die anspruchsbasierte Authentifizierung nicht unterstützt. Beachten Sie, dass die Authentifizierung im klassischen Modus ab dieser Version als veraltet gilt und in der nächsten Version nicht mehr zur Verfügung stehen wird. Weitere Informationen finden Sie unter Planen der Server-zu-Server-Authentifizierung in SharePoint Server.

Wichtig

SSL (Secure Sockets Layer) ist eine Voraussetzung für Webanwendungen, die in Szenarien bereitgestellt werden, die die Authentifizierung zwischen Servern und die App-Authentifizierung unterstützen.

Sie können eine Webanwendung mithilfe der die Website für die SharePoint-Zentraladministration oder von PowerShell erstellen. Normalerweise verwenden Sie PowerShell, um eine Webanwendung zu erstellen. Verwenden Sie PowerShell, wenn Sie die häufig in Unternehmen ausgeführte Aufgabe des Erstellens einer Webanwendung automatisieren möchten. Nachdem Sie das Verfahren durchgeführt haben, können Sie eine oder mehrere Websitesammlungen erstellen.

Erstellen einer anspruchsbasierten Webanwendung mithilfe der Zentraladministration

Verwenden Sie das in diesem Abschnitt beschriebene Verfahren, um eine neue anspruchsbasierte Webanwendung für SharePoint Server mithilfe der Zentraladministration zu erstellen.

So erstellen Sie eine anspruchsbasierte Webanwendung mithilfe von Zentraladministration

  1. Vergewissern Sie sich, dass Sie über die folgenden Administratorrechte verfügen:

    • Zum Erstellen einer Webanwendung müssen Sie Mitglied der SharePoint-Gruppe Farmadministratoren sein.
  2. Starten Sie die SharePoint-Zentraladministration.

  3. Klicken Sie auf der Homepage der Zentraladministration auf Anwendungsverwaltung.

  4. Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Webanwendungen auf Webanwendungen verwalten.

  5. Klicken Sie in der Gruppe Mitwirken des Menübands auf Neu.

  6. Unter Neue Webanwendung erstellen können Sie im Abschnitt IIS-Website die Einstellungen für Ihre neue Webanwendung konfigurieren, indem Sie eine der beiden folgenden Optionen auswählen:

    • Klicken Sie auf Vorhandene IIS-Website verwenden, und wählen Sie die Website aus, in der die neue Webanwendung installiert werden soll.

    • Klicken Sie auf Neue IIS-Website erstellen, und geben Sie dann in das Feld Name den Namen der Website ein.

    • Geben Sie in das Feld Port die Portnummer ein, die Sie für den Zugriff auf diese Webanwendung verwenden möchten. Wenn Sie eine vorhandene Website verwenden, enthält dieses Feld die aktuelle Portnummer.

      Hinweis

      Die Standardportnummer für HTTP-Zugriff ist 80, und die Standardportnummer für HTTPS-Zugriff ist 443.

    • Optional: Geben Sie im Abschnitt IIS-Website im Feld Hostheader den Hostnamen (z. B. www.contoso.com) ein, den Sie für den Zugriff auf die Webanwendung verwenden möchten.

      Hinweis

      Dieses Feld muss nur aufgefüllt werden, wenn Sie zwei oder mehr IIS-Websites mit derselben Portnummer auf demselben Server konfigurieren möchten und DNS so konfiguriert wurde, dass Anforderungen an denselben Server weitergeleitet werden.

    • Geben Sie in das Feld Pfad den Pfad zum Startverzeichnis der IIS-Website auf dem Server ein. Wenn Sie eine neue Website erstellen, enthält dieses Feld eine Pfadangabe als Vorschlag. Wenn Sie eine vorhandene Website verwenden, enthält dieses Feld den aktuellen Pfad dieser Website.

  7. Wählen Sie im Abschnitt Sicherheitskonfiguration aus, ob der anonyme Zugriff ( Anonymen Zugriff zulassen) oder Secure Sockets Layer (SSL) ( Secure Sockets Layer (SSL) verwenden) verwendet werden soll.

    Wichtig

    SSL (Secure Sockets Layer) ist eine Voraussetzung für Webanwendungen, die in Szenarien bereitgestellt werden, die die Authentifizierung zwischen Servern und die App-Authentifizierung unterstützen. Im Allgemeinen wird die Verwendung von SSL für Webanwendungen dringend empfohlen.

    • Klicken Sie im Abschnitt Sicherheitskonfiguration für die Optionen Anonymen Zugriff zulassen auf Ja oder Nein. Wenn Sie Ja auswählen, können Benutzer das Konto für anonymen Zugriff (IIS_IUSRS) für den Zugriff auf die Website verwenden.

      Hinweis

      [!HINWEIS] Wenn Sie den Benutzern den anonymen Zugriff auf beliebige Websiteinhalte gewähren möchten, müssen Sie den anonymen Zugriff für die gesamte Webanwendungszone aktivieren, bevor Sie den anonymen Zugriff auf der SharePoint Server-Websiteebene aktivieren. Websitebesitzer können dann zu einem späteren Zeitpunkt den anonymen Zugriff für ihre Websites konfigurieren. Wenn Sie den anonymen Zugriff auf Webanwendungsebene nicht aktivieren, können Websitebesitzer den anonymen Zugriff nicht auf Websiteebene aktivieren.

    • Klicken Sie im Abschnitt Sicherheitskonfiguration bei den Optionen für SSL (Secure Sockets Layer) verwenden auf Ja oder auf Nein. Bei Auswahl von Ja müssen Sie ein SSL-Zertifikat anfordern und installieren, um SSL zu konfigurieren.

  8. Wählen Sie im Abschnitt Forderungsauthentifizierungstypen die Authentifizierungsmethode aus, die Sie für die Webanwendung verwenden möchten.

    • Zur Verwendung der Windows-Authentifizierung wählen Sie Windows-Authentifizierung aktivieren aus, und wählen Sie im Dropdownmenü die Option NTLM oder Aushandeln (Kerberos) aus. Es wird die Verwendung von Aushandeln (Kerberos) empfohlen.

      Falls Sie die integrierte Windows-Authentifizierung nicht verwenden möchten, deaktivieren Sie Integrierte Windows-Authentifizierung.

      Hinweis

      Wenn Sie die Windows-Authentifizierung nicht für mindestens eine Zone dieser Webanwendung auswählen, wird das Durchforsten für diese Webanwendung deaktiviert.

    • Wenn die Anmeldeinformationen von Benutzern unverschlüsselt in einem Netzwerk gesendet werden sollen, wählen Sie Basisauthentifizierung (Anmeldeinformationen werden unverschlüsselt gesendet) aus.

      Hinweis

      [!HINWEIS] Sie können die Standardauthentifizierung oder die integrierte Windows-Authentifizierung auswählen, oder beides. Falls Sie beides auswählen, werden dem Clientwebbrowser von SharePoint Server beide Authentifizierungstypen angeboten. Vom Clientwebbrowser wird dann bestimmt, welcher Authentifizierungstyp verwendet werden soll. Wenn Sie nur die Standardauthentifizierung auswählen, muss SSL aktiviert sein. Andernfalls können die Anmeldeinformationen von böswilligen Benutzern abgefangen werden.

    • Zur Verwendung der formularbasierten Authentifizierung wählen Sie Formularbasierte Authentifizierung aktivieren) aus, und geben Sie dann den Namen des ASP.NET-Mitgliedschaftsanbieters sowie den ASP.NET-Rollen-Managernamen ein.

      Hinweis

      [!HINWEIS] Wenn Sie diese Option auswählen, stellen Sie sicher, dass SSL aktiviert ist. Andernfalls können die Anmeldeinformationen von böswilligen Benutzern abgefangen werden.

    • Wenn Sie die Authentifizierung mithilfe des vertrauenswürdigen Identitätsanbieters in PowerShell eingerichtet haben, ist das Kontrollkästchen Vertrauenswürdiger Identitätsanbieter aktiviert.

  9. Wählen Sie im Abschnitt URL der Anmeldeseite eine der folgenden Optionen zum Anmelden an SharePoint Server aus:

    • Wählen Sie URL der Standardanmeldeseite verwenden aus, um Benutzer zu einer Standardanmelde-Website für die anspruchsbasierte Authentifizierung weiterzuleiten.

    • Wählen Sie URL einer benutzerdefinierten Anmeldeseite verwenden aus, und geben Sie dann die Anmelde-URL ein, um Benutzer zu einer benutzerdefinierten Anmeldewebsite für die anspruchsbasierte Authentifizierung weiterzuleiten.

  10. Geben Sie im Abschnitt Öffentliche URL die URL für den Domänennamen aller Websites ein, auf die Benutzer in dieser Webanwendung zugreifen. Diese URL wird in Links auf Seiten innerhalb der Webanwendung angezeigt. Standardmäßig wird für die URL der aktuelle Servername und Port verwendet, und sie wird automatisch aktualisiert, um die aktuellen Angaben für SSL, Hostheader und Portnummerneinstellungen auf der Seite widerzuspiegeln. Falls Sie SharePoint Server hinter einem Lastenausgleichs- oder Proxyserver bereitstellen, dann muss diese URL möglicherweise vom SSL, Hostheader und den Porteinstellungen auf dieser Seite abweichen.

    Der Wert Zone wird für eine neue Webanwendung automatisch auf Standard festgelegt. Sie können die Zone beim Erweitern einer Webanwendung ändern.

  11. Führen Sie im Abschnitt Anwendungspool eine der folgenden Aktionen aus:

    • Klicken Sie auf Vorhandenen Anwendungspool verwenden, und wählen Sie im Dropdownmenü den gewünschten Anwendungspool aus.

    • Klicken Sie auf Neuen Anwendungspool erstellen, und geben Sie den Namen des neuen Anwendungspools ein, oder übernehmen Sie den Standardnamen.

    • Klicken Sie auf Vordefiniert, um ein vordefiniertes Sicherheitskonto für diesen Anwendungspool zu verwenden, und wählen Sie dann im Dropdownmenü das Sicherheitskonto aus.

    • Klicken Sie auf Konfigurierbar, um ein neues Sicherheitskonto zur Verwendung für einen vorhandenen Anwendungspool anzugeben.

    Hinweis

    Klicken Sie zum Erstellen eines neuen Kontos auf Neues verwaltetes Konto registrieren.

  12. Wählen Sie im Abschnitt Datenbankname und Authentifizierung, wie in der folgenden Tabelle beschrieben, den Datenbankserver, den Datenbanknamen und die Authentifizierungsmethode für die neue Webanwendung aus.

    Element Aktion
    Datenbankserver Geben Sie den Namen des Datenbankservers und SQL Server Instanz, die Sie verwenden möchten, im Format <SERVERNAME-Instanz\ > ein. Sie können auch den Standardeintrag verwenden.
    Datenbankname Geben Sie den Namen der Datenbank ein, oder verwenden Sie den Standardeintrag.
    Datenbankauthentifizierung Führen Sie einen der folgenden Schritte aus, um die zu verwendende Datenbankauthentifizierung auszuwählen:
    • Zur Verwendung der Windows-Authentifizierung lassen Sie diese Option ausgewählt. Diese Option wird empfohlen, da bei der Windows-Authentifizierung automatisch das Kennwort verschlüsselt wird, wenn eine Verbindung mit SQL Server hergestellt wird.
    • Um die SQL-Authentifizierung zu verwenden, klicken Sie auf SQL-Authentifizierung. Geben Sie im Feld Konto den Namen des Kontos ein, das die Webanwendung für die Authentifizierung bei der SQL Server Datenbank verwenden soll, und geben Sie dann das Kennwort in das Feld Kennwort ein.

    Hinweis Die SQL-Authentifizierung sendet das SQL-Authentifizierungskennwort in einem unverschlüsselten Format an SQL Server. We recommend that you only use SQL authentication if you force protocol encryption to SQL Server to encrypt your network traffic by using IPsec.

  13. Wenn Sie die Datenbankspiegelung verwenden, geben Sie im Abschnitt Failoverserver in das Feld Failoverdatenbankserver den Namen eines bestimmten Failoverdatenbankservers ein, den Sie einer Inhaltsdatenbank zuordnen möchten.

  14. Wählen Sie im Abschnitt Dienstanwendungsverbindung die Dienstanwendungsverbindungen aus, die für die Webanwendung verfügbar sein sollen. Klicken Sie im Dropdownmenü auf Standard oder [Benutzerdefiniert]. Mit der Option [Benutzerdefiniert] wählen Sie die Dienstanwendungsverbindungen aus, die Sie für die Webanwendung verwenden möchten.

  15. Klicken Sie im Abschnitt Programm zur Verbesserung der Benutzerfreundlichkeit auf Ja oder Nein.

  16. Klicken Sie auf OK, um die neue Webanwendung zu erstellen.

Erstellen einer anspruchsbasierten Webanwendung mithilfe von PowerShell

Verwenden Sie das in diesem Abschnitt beschriebene Verfahren, um eine neue anspruchsbasierte Webanwendung für SharePoint Server mithilfe von PowerShell zu erstellen.

So erstellen Sie eine anspruchsbasierte Webanwendung mithilfe von PowerShell

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen zu Ausführungsrichtlinien.

    Ein Administrator kann mithilfe des Add-SPShellAdmin -Cmdlets Berechtigungen für die Verwendung von Cmdlets für SharePoint 15-Produkte erteilen.

    Hinweis

    [!HINWEIS] Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Zusätzliche Informationen über PowerShell-Berechtigungen finden Sie unter "Berechtigungen" und unter Add-SPShellAdmin.

  2. Zum Erstellen eines anspruchsbasierten Authentifizierungsanbieters geben Sie Folgendes an der Eingabeaufforderung von PowerShell ein:

    $ap = New-SPAuthenticationProvider
    
  3. Zum Erstellen einer anspruchsbasierten Webanwendung geben Sie Folgendes an der Eingabeaufforderung von PowerShell ein:

    New-SPWebApplication -Name <Name> 
    -ApplicationPool <ApplicationPool> 
    -ApplicationPoolAccount <ApplicationPoolAccount> 
    -URL <URL> -Port <Port> -AuthenticationProvider $ap
    

    Wobei Folgendes gilt:

    • <Name> ist der Name der neuen Webanwendung, die die anspruchsbasierte Authentifizierung verwendet.

    • <ApplicationPool> ist der Name des Anwendungspools.

    • <ApplicationPoolAccount> ist das Benutzerkonto, unter dem dieser Anwendungspool ausgeführt wird.

    • <URL> ist die öffentliche URL der Webanwendung.

    • <Port> ist der Port, an dem die Webanwendung in IIS erstellt wird.

    Hinweis

    Weitere Informationen finden Sie unter New-SPWebApplication.

    Im folgenden Beispiel wird eine anspruchsbasierte Webanwendung mit "https" mithilfe der aktuellen Benutzeranmeldeinformationen und dem aktuellen Computernamen erstellt:

    $ap = New-SPAuthenticationProvider
    New-SPWebApplication -Name "Contoso Internet Site" -URL "https://www.contoso.com"  -Port 80 
    -ApplicationPool "ContosoAppPool" 
    -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\wa") 
    -AuthenticationProvider $ap -SecureSocketsLayer
    

    Hinweis

    Nach dem Erstellen der Website müssen Sie SSL in IIS für diese neu erstellte Website konfigurieren.

Erstellen einer Webanwendung im klassischen Modus mithilfe von PowerShell

Verwenden Sie das in diesem Abschnitt beschriebene Verfahren, um eine neue Webanwendung im klassischen Modus für SharePoint Server mithilfe von PowerShell zu erstellen.

Hinweis

Der klassische Windows-Authentifizierungsmodus wird in der Abonnementedition nicht unterstützt. Weitere Informationen finden Sie unter Neue und verbesserte Features in SharePoint Server-Abonnementedition.

So erstellen Sie eine Webanwendung im klassischen Modus mithilfe von PowerShell

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen zu Ausführungsrichtlinien.

  2. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    New-SPWebApplication -Name <Name> 
    -ApplicationPool <ApplicationPool>
    -AuthenticationMethod <WindowsAuthType>
    -ApplicationPoolAccount <ApplicationPoolAccount>
    -Port <Port> -URL <URL>
    

    Wobei Folgendes gilt:

    • <Name> ist der Name der neuen Webanwendung mit klassischer Authentifizierung.

    • <ApplicationPool> ist der Name des Anwendungspools.

    • <WindowsAuthType> ist entweder "NTLM" oder "Kerberos". Kerberos wird empfohlen.

    • <ApplicationPoolAccount> ist das Benutzerkonto, unter dem dieser Anwendungspool ausgeführt wird.

    • <Port> ist der Port, an dem die Webanwendung in IIS erstellt wird.

    • <URL> ist die öffentliche URL der Webanwendung.

    Hinweis

    Weitere Informationen finden Sie unter New-SPWebApplication.

    Hinweis

    Wenn Sie nach erfolgreichem Erstellen der Webanwendung die Seite der Zentraladministration öffnen, wird die Integritätsregelwarnung angezeigt, dass für mindestens eine Webanwendung der klassische Authentifizierungsmodus aktiviert ist. Dies ist ein Hinweis auf unsere Empfehlung, die anspruchsbasierte anstelle der klassischen Authentifizierung zu verwenden.

Siehe auch

Konzepte

Erstellen einer Webanwendung, die die Authentifizierung im klassischen Modus in SharePoint Server verwendet