Konfigurieren der Server-zu-Server-Authentifizierung zwischen den veröffentlichenden und nutzenden Farmen

  • Artikel

 

**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-09-06

**Zusammenfassung:**Erfahren Sie, wie Sie Server-zu-Server-Authentifizierungen konfigurieren, wenn Sie Dienstanwendungen in SharePoint Server 2016- und SharePoint 2013-Veröffentlichungs- und Nutzungsfarmen freigeben.

Sie müssen eine Server-zu-Server-Authentifizierung zwischen den Farmen konfigurieren, um einer Webanwendung oder einem Anwendungsdienst die Anforderung einer Ressource von einer Webanwendung an eine andere Farm in Namen eines Benutzers zu ermöglichen. Einige Beispiele für SharePoint ServerProzesse, die die Server-zu-Server-Authentifizierung wie folgt verwendet:

  • Folgen Sie einem Dokument in einer Teamwebsite-Webanwendung, wenn sich die persönliche Website eines Benutzers in einer Meine WebsitesWebanwendung befindet. Die Teamwebsite-Webanwendung sendet eine Anforderung der Meine WebsitesWebanwendung im Namen des Benutzers.

  • Erstellen oder antworten auf einen Websitefeed-Beitrag für eine Website, die sich in einer Teamwebsite-Webanwendung befindet, jedoch über den Meine WebsiteNewsfeed des Benutzers in der Meine WebsitesWebanwendung durchgeführt wird. Die Meine Websites-Webanwendung sendet eine Anforderung der Teamwebsite-Webanwendung im Namen des Benutzers, um den Beitrag oder die Anwort zu schreiben.

  • Eine Benutzerprofil-Dienstanwendung zum Auffüllen des Feed-Cache muss von der persönlichen Website oder Teaemwebsite ausgelesen werden. Wenn die Benutzerprofil-Dienstanwendung in einer anderen Farm ausgeführt wird, sendet die Benutzerprofil-Dienstanwendung eine Anforderung an die Meine Websites-Webanwendung oder Teamwebsite-Webanwendung, um die Benutzer- oder Website-Feed-Daten in den Cache einzulesen.

Hinweis

Webanwendungen oder Anwendungsdienste, die Ressourcen von einem Anwendungsdienst auf einer anderen Farm anfordern, benötigen keine Server-zu-Server-Authentifizierung.

Bevor Sie beginnen

Um die Verfahren in diesem Artikel zu verstehen, sollten Sie mit der grundlegenden Konzepte in den folgenden Artikeln vertraut sein:

Authentifizierungsübersicht für SharePoint Server

Planen der Server-zu-Server-Authentifizierung in SharePoint Server

Konfigurieren einer Server-zu-Server-Authentifizierung zwischen den Veröffentlichungs- und Nutzungsfarmen

Im folgenden Verfahren wird beschrieben, wie die Server-zu-Server-Authentifizierung zwischen den Veröffentlichungs- und Nutzungsfarmen konfiguriert wird.

So konfigurieren Sie Server-zu-Server-Authentifizierung zwischen Veröffentlichungs- und Nutzungsfarmen

  1. Wählen Sie einen Bereichsnamen, der auf beiden Farmen gleich ist.

  2. Sie müssen auf dem Server, auf dem Sie PowerShell-Cmdlets ausführen, ein Mitglied der Gruppe "Administratoren" sein.

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    Mit dem Cmdlet Add-SPShellAdmin kann ein Administrator die Berechtigung zur Verwendung von SharePoint Server-Cmdlets gewähren.

    Hinweis

    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  3. Starten Sie in der SharePoint Server-Umgebung auf den Veröffentlichungs- und Nutzungsfarmen die SharePoint 15-Verwaltungsshell.

  4. Um die Veröffentlichungsfarm für den allgemeinen Bereichsnamen zu konfigurieren, geben Sie folgenden Befehl an der PowerShell-Eingabeaufforderung auf einem Server in der Veröffentlichungsfarm ein:

    Set-SPAuthenticationRealm -realm <RealmName>

    Dabei gilt Folgendes:

    RealmName ist der Name, den Sie in Schritt 1 ausgewählt haben.

  5. Um die Namen-ID für den SharePoint Security Token Service (STS) für die Veröffentlichungsfarm zu konfigurieren, um den allgemeinen Bereich einzuschließen, geben Sie die folgenden Befehle an der PowerShellEingabeaufforderung auf einem Server in der Veröffentlichungsfarm ein:

    $sts=Get-SPSecurityTokenServiceConfig
$Realm=Get-SpAuthenticationRealm
$nameId = "00000003-0000-0ff1-ce00-000000000000@$Realm"
Write-Host "Setting STS NameId to $nameId"
$sts.NameIdentifier = $nameId
$sts.Update()

  6. Um die Nutzungsfarm für den allgemeinen Bereichsnamen zu konfigurieren, geben Sie folgenden Befehl an der PowerShell-Eingabeaufforderung auf einem Server in der Nutzungsfarm ein:

    Set-SPAuthenticationRealm -realm <RealmName>

    Dabei gilt Folgendes:

    RealmName ist der Name, den Sie in Schritt 1 ausgewählt haben.

  7. Um die Namen-ID für den SharePoint STS für die Nutzungsfarm zu konfigurieren, um den allgemeinen Bereich einzuschließen, geben Sie die folgenden Befehle an der PowerShellEingabeaufforderung auf einem Server in der Nutzungsfarm ein:

    $sts=Get-SPSecurityTokenServiceConfig
$Realm=Get-SpAuthenticationRealm
$nameId = "00000003-0000-0ff1-ce00-000000000000@$Realm"
Write-Host "Setting STS NameId to $nameId"
$sts.NameIdentifier = $nameId
$sts.Update()

  8. Um die Veröffentlichungsfarm für die Server-zu-Server-Authentifizierung mit der Nutzungsfarm zu konfigurieren, geben Sie folgenden Befehl an der PowerShell-Eingabeaufforderung auf einem Server in der Veröffentlichungsfarm ein:

    New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<ConsumeHostName>/_layouts/<15or16>/metadata/json/1" -Name "<ConsumeFriendlyName>"

    Dabei gilt Folgendes:

    • ConsumeHostName ist der Name und Port einer beliebigen SSL-fähigen Webanwendung der SharePoint-Farm.

    • 15or16 ist das Verzeichnis für die SharePoint Server-Version.

    • ConsumeFriendlyName ist ein Anzeigename für die Nutzungsfarm.

    Dadurch wird die Vertrauensstellung der Server-zu-Server-Authentifizierung mit der Nutzungsfarm erstellt.

  9. Um die Nutzungsfarm für die Server-zu-Server-Authentifizierung mit der Veröffentlichungsfarm zu konfigurieren, geben Sie folgenden Befehl an der PowerShell-Eingabeaufforderung auf einem Server in der Nutzungsfarm ein:

    New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<PublishHostName>/_layouts/<15or16>/metadata/json/1" -Name "<PublishFriendlyName>"

    Dabei gilt Folgendes:

    • PublishHostName ist der Name und Port einer beliebigen SSL-fähigen Webanwendung der Veröffentlichungsfarm.

    • 15or16 ist das Verzeichnis für die SharePoint Server-Version.

    • PublishFriendlyName ist ein Anzeigename für die Veröffentlichungsfarm.

    Dadurch wird die Vertrauensstellung der Server-zu-Server-Authentifizierung mit der Veröffentlichungsfarm erstellt.

See also

Freigeben von Dienstanwendungen für mehrere Farmen in SharePoint Server

Get-SPAuthenticationRealm
Set-SPAuthenticationRealm
New-SPTrustedSecurityTokenIssuer