(0) exportieren Drucken
Alle erweitern

Migrieren von der klassischen Authentifizierung zur anspruchsbasierten Authentifizierung in SharePoint 2013

 

Gilt für: SharePoint Server 2013, SharePoint Foundation 2013

Letztes Änderungsdatum des Themas: 2013-12-18

Zusammenfassung:Konvertieren von SharePoint 2010-Produkte oder SharePoint 2013-Webanwendungen im klassischen Modus zu Webanwendungen mit anspruchsbasierter Authentifizierung oder Erstellen neuer Webanwendungen in SharePoint 2013, die die anspruchsbasierte Authentifizierung verwenden.

Die anspruchsbasierte Authentifizierung ist eine der entscheidenden Komponenten für die erweiterte Funktionalität von SharePoint 2013. Um Webanwendungen mit klassischem Authentifizierungsmodus von SharePoint 2010-Produkte nach SharePoint 2013 zu übertragen, können Sie diese in SharePoint 2010-Produkte in Webanwendungen mit anspruchsbasierter Authentifizierung konvertieren und zu SharePoint 2013 migrieren. Die in diesem Artikel beschriebenen Verfahren erläutern verschiedene unterstützte Szenarien.

Das Windows PowerShell-Cmdlet Convert-SPWebApplication in SharePoint 2013 konvertiert Webanwendungen vom klassischen Authentifizierungsmodus in die anspruchsbasierte Authentifizierung.

WarnungWarnung:
Eine Webanwendung, die in die anspruchsbasierte Authentifizierung konvertiert wurde, kann nicht auf den klassischen Authentifizierungsmodus zurückgesetzt werden.

Führen Sie in SharePoint 2010-Produkte folgende Schritte aus, um eine vorhandene Webanwendung in die anspruchsbasierte Authentifizierung zu konvertieren. Führen Sie nach der Konvertierung der Webanwendung in die anspruchsbasierte Authentifizierung die zusätzlichen Schritte zur Migration der Webanwendung zu SharePoint 2013 aus. Für dieses Verfahren benötigen Sie die folgenden Informationen:

  • Die URL der zu konvertierenden Webanwendung:http://yourWebAppUrl

  • Ein Benutzerkonto, das als Websiteadministrator festgelegt ist:yourDomain\yourUser

So konvertieren Sie eine SharePoint 2010-Produkte-Webanwendung in die anspruchsbasierte Authentifizierung
  1. Stellen Sie die folgenden Mitgliedschaften sicher:

    • Die feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die Windows PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen unter about_Execution_Policies (http://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann das Add-SPShellAdmin-Cmdlet verwenden, um Berechtigungen zur Verwendung der SharePoint 2013-Cmdlets zu gewähren.

    HinweisHinweis:
    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über Windows PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
  2. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um das angegebene Benutzerkonto als Administrator für die Website festzulegen:

    $WebAppName = "http://<yourWebAppUrl>"
    $wa = get-SPWebApplication $WebAppName
    $wa.UseClaimsAuthentication = $true
    $wa.Update()
    

    Dabei gilt Folgendes:

    • <yourWebAppUrl> ist die URL der Webanwendung.

  3. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um die Richtlinie so zu konfigurieren, dass der Benutzer Vollzugriff hat:

    $account = "yourDomain\yourUser"
    $account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
    $wa = get-SPWebApplication $WebAppName
    $zp = $wa.ZonePolicies("Default")
    $p = $zp.Add($account,"PSPolicy")
    $fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
    $p.PolicyRoleBindings.Add($fc)
    $wa.Update()
    

    Weitere Informationen finden Sie unter Get-SPWebApplication.

  4. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um die Benutzermigration auszuführen:

    $wa.MigrateUsers($true)
    
  5. Geben Sie nach der Benutzermigration an der Windows PowerShell-Eingabeaufforderung Folgendes ein, um die Bereitstellung durchzuführen:

    $wa.ProvisionGlobally()
    

    Weitere Informationen finden Sie unter New-SPClaimsPrincipal.

    HinweisHinweis:
    Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.

Nachdem Sie die oben genannten Schritte ausgeführt haben, können die folgenden Probleme auftreten:

  • Benutzer, die gültige Anmeldeinformationen für den Zugriff auf die migrierte Webanwendung eingeben, werden informiert, dass sie nicht über die erforderlichen Berechtigungen verfügen. In diesem Fall wurden die Eigenschaften portalsuperuseraccount und portalsuperreaderaccount der Webanwendung wahrscheinlich vor der Migration konfiguriert. In diesem Fall aktualisieren Sie die Eigenschaften portalsuperuseraccount und portalsuperreaderaccount, sodass der neue anspruchsbasierte Kontoname verwendet wird. Nach der Migration finden Sie den neuen anspruchsbasierten Kontonamen in der Webanwendungsrichtlinie für die migrierte Webanwendung.

  • Wenn vorhandene Warnungen nach der Migration nicht aufgerufen werden, müssen Sie möglicherweise die Warnungen löschen und erneut erstellen.

  • Falls die Suchdurchforstung der Webanwendung nach der Migration nicht ausgeführt werden kann, stellen Sie sicher, dass im Durchforstungskonto der neue konvertierte Kontoname aufgelistet wird. Ist dies nicht der Fall, müssen Sie manuell eine neue Richtlinie für das Durchforstungskonto erstellen.

So migrieren Sie eine anspruchsbasierte SharePoint 2010-Produkte-Webanwendung zu SharePoint 2013
  1. Erstellen Sie in SharePoint 2013 eine anspruchsbasierte Webanwendung. Weitere Informationen finden sie unter Erstellen anspruchsbasierter Webanwendungen in SharePoint 2013.

  2. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neu erstellte anspruchsbasierte SharePoint 2013-Webanwendung an. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint 2013.

    HinweisHinweis:
    Wenn Sie die SharePoint 2010-Produkte-Inhaltsdatenbanken an die anspruchsbasierte SharePoint 2013-Webanwendung anfügen, werden die Datenbanken auf das SharePoint 2013-Datenbankformat aktualisiert. Sie müssen sicherstellen, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren.

Führen Sie in SharePoint 2013 folgende Schritte aus, um eine vorhandene SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus in eine SharePoint 2013-Webanwendung mit anspruchsbasierter Authentifizierung zu konvertieren.

So konvertieren Sie eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus in eine anspruchsbasierte SharePoint 2013-Authentifizierung
  1. Stellen Sie die folgenden Mitgliedschaften sicher:

    • Die feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die Windows PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen unter about_Execution_Policies (http://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann das Add-SPShellAdmin-Cmdlet verwenden, um Berechtigungen zur Verwendung der SharePoint 2013-Cmdlets zu gewähren.

    HinweisHinweis:
    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über Windows PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
  2. Klicken Sie in der SharePoint 2013-Umgebung im Startmenü auf Alle Programme.

  3. Klicken Sie auf Microsoft SharePoint 2013-Produkte.

  4. Klicken Sie auf SharePoint 2013-Verwaltungsshell.

  5. Navigieren Sie zu dem Verzeichnis, in dem Sie die Datei gespeichert haben.

  6. Geben Sie an der Windows PowerShell-Eingabeaufforderung den folgenden Befehl ein:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool 
    "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount 
    "<domainname>\<user>")
    

    Dabei gilt Folgendes:

    • <domainname>\<user> ist die Domäne, zu der der Server gehört, und der Name des Benutzerkontos.

  7. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neue SharePoint 2013-Webanwendung mit klassischer Authentifizierung an. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint 2013.

    HinweisHinweis:
    Wenn Sie die SharePoint 2010-Produkte-Inhaltsdatenbanken an die SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus anfügen, werden die Datenbanken auf das SharePoint 2013-Datenbankformat aktualisiert. Sie müssen sicherstellen, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren.
  8. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity <yourWebAppUrl> -To Claims 
    -RetainPermissions [ -Force]
    
    

    Dabei gilt Folgendes:

    • <yourWebAppUrl> ist die URL der Webanwendung.

    HinweisHinweis:
    Convert-SPWebApplication konvertiert die Webanwendung in die anspruchsbasierte Authentifizierung. Sie müssen sicherstellen, dass die Benutzer auf die Webanwendung zugreifen können, nachdem Sie sie konvertiert haben.
  9. Fügen Sie ggf. eine dritte SharePoint 2010-Produkte-Inhaltsdatenbank an die neue SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus an, und stellen Sie sicher, dass die Inhaltsdatenbank nach dem Anfügen ordnungsgemäß funktioniert.

  10. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity yourWebAppUrl -To Claims 
    -RetainPermissions [ -Force]
    

Stellen Sie sicher, dass die Benutzer nach der Konvertierung in die anspruchsbasierte Authentifizierung auf die Webanwendung zugreifen können.

Weitere Informationen finden Sie unter New-SPWebApplication, Get-SPManagedAccount und Convert-SPWebApplication.

HinweisHinweis:
Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.

Führen Sie in SharePoint 2013 die folgenden Schritte aus, um zuerst eine Webanwendung mit klassischem Authentifizierungsmodus zu erstellen und diese dann in eine anspruchsbasierte Authentifizierung zu konvertieren.

So erstellen Sie eine Webanwendung mit klassischem Authentifizierungsmodus in SharePoint 2013
  • Stellen Sie die folgenden Mitgliedschaften sicher:

    • Die feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die Windows PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen unter about_Execution_Policies (http://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann das Add-SPShellAdmin-Cmdlet verwenden, um Berechtigungen zur Verwendung der SharePoint 2013-Cmdlets zu gewähren.

    HinweisHinweis:
    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über Windows PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
  • Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

    New-SPWebApplication -Name <Name> 
    -ApplicationPool <ApplicationPool>
    -AuthenticationMethod <WindowsAuthType>
    -ApplicationPoolAccount <ApplicationPoolAccount>
    -Port <Port> -URL <URL>
    

    Dabei gilt Folgendes:

    • <Name> ist der Name der neuen Webanwendung mit klassischer Authentifizierung.

    • <ApplicationPool> ist der Name des Anwendungspools.

    • <WindowsAuthType> ist entweder "NTLM" oder "Kerberos". Kerberos wird empfohlen.

    • <ApplicationPoolAccount> ist das Benutzerkonto, unter dem dieser Anwendungspool ausgeführt wird.

    • <Port> ist der Port, an dem die Webanwendung in IIS erstellt wird.

    • <URL> ist die öffentliche URL der Webanwendung.

    HinweisHinweis:
    Weitere Informationen finden Sie unter New-SPWebApplication.
    HinweisHinweis:
    Wenn Sie die Webanwendung erfolgreich erstellt haben, wird beim Öffnen der Seite "Zentraladministration" eine Integritätsregelwarnung angezeigt, die darauf hinweist, dass eine oder mehrere Webanwendungen mit klassischem Authentifizierungsmodus aktiviert sind. Dies bestätigt unsere Empfehlung, anspruchsbasierte Authentifizierung zu verwenden anstatt klassischer.
So konvertieren Sie eine SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus in eine anspruchsbasierte Authentifizierung
  • Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity "http:// <servername>:port" -To Claims
    -RetainPermissions [-Force]
    

    Dabei gilt Folgendes:

    • <servername> ist der Name des Servers.

Stellen Sie sicher, dass die Benutzer nach der Konvertierung in die anspruchsbasierte Authentifizierung auf die Webanwendung zugreifen können.

Weitere Informationen finden Sie unter New-SPWebApplication, Get-SPManagedAccount und Convert-SPWebApplication.

HinweisHinweis:
Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.

Führen Sie in SharePoint 2013 folgende Schritte aus, um eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus zu erstellen und diese dann zu einer SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus zu migrieren.

So migrieren Sie eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus zu SharePoint 2013
  1. Stellen Sie die folgenden Mitgliedschaften sicher:

    • Die feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die Windows PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen unter about_Execution_Policies (http://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann das Add-SPShellAdmin-Cmdlet verwenden, um Berechtigungen zur Verwendung der SharePoint 2013-Cmdlets zu gewähren.

    HinweisHinweis:
    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über Windows PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.
  2. Geben Sie an der Windows PowerShell-Eingabeaufforderung Folgendes ein:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool 
    "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount 
    "<domainname>\<user>")
    

    Dabei gilt Folgendes:

    • <domainname>\<user> ist die Domäne, zu der der Server gehört, und der Name des Benutzerkontos.

  3. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neue SharePoint 2013-Webanwendung mit klassischer Authentifizierung an. Stellen Sie sicher, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint 2013.

Weitere Informationen finden Sie unter New-SPWebApplication und Get-SPManagedAccount.

HinweisHinweis:
Es wird empfohlen, Windows PowerShell zum Ausführen von administrativen Befehlszeilenaufgaben zu verwenden. Das Befehlszeilentool Stsadm ist veraltet, aber weiterhin vorhanden, um die Kompatibilität mit früheren Produktversionen zu gewährleisten.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft