规划备用访问映射 (Windows SharePoint Services)

本文内容:

  • 关于备用访问映射

  • 反向代理发布

  • 备用访问映射与身份验证提供程序集成

  • 备用访问映射与 Web 应用程序策略集成

  • 备用访问映射和外部资源映射

  • 备用访问映射疑难解答

在用户与 Windows SharePoint Services 3.0 进行交互的过程中(例如,当浏览到 Windows SharePoint Services 3.0 网站的主页时),备用访问映射会将用户定向到正确的 URL。使用备用访问映射,Windows SharePoint Services 3.0 可将 Web 请求映射到正确的 Web 应用程序和网站,并使 Windows SharePoint Services 3.0 能够为用户返回正确的内容。

由于在一些常见的 Internet 部署方案中,Internet Information Services (IIS) 接收的 Web 请求的 URL 与最终用户键入的 URL 不相同,因此已实现备用访问映射。在包含反向代理发布和负载平衡的部署方案中,最可能出现此情况。

备注

即使备用访问映射通常不适用于主机头网站集,也必须配置备用访问映射以实现负载平衡。默认区域的公用 URL 应设置为适合于所有用户查看的域 URL。否则,Web 服务器的名称或其 IP 地址可能会显示在 Windows SharePoint Services 3.0 内的网页之间传递的参数中。

关于备用访问映射

备用访问映射使接收针对内部 URL(在五个身份验证区域之一中)请求的 Web 应用程序能够返回包含指向该区域的公用 URL 的链接的页面。可以将 Web 应用程序与内部 URL 和公用 URL 之间的映射集合关联。内部 URL 是指 Windows SharePoint Services 3.0 接收的 Web 请求的 URL。公用 URL 是指可外部访问的网站的 URL。公用 URL 是 Windows SharePoint Services 3.0 在它返回的页中使用的基 URL。如果反向代理设备已修改内部 URL,则它将与公用 URL 不同。

备注

以主机命名的网站集不能使用备用访问映射。以主机命名的网站集将自动视为在默认区域中,且不得在最终用户和服务器之间修改请求的 URL。

可以将多个内部 URL 与一个公用 URL 相关联。映射集合最多可以包含五个身份验证区域,但每个区域只能具有一个公用 URL。映射集合与以下身份验证区域对应:

  • 默认

  • Intranet

  • Internet

  • 自定义

  • Extranet

反向代理发布

反向代理是一类介于最终用户和 Web 服务器之间的设备。对 Web 服务器的所有请求首先由反向代理设备接收,如果这些请求通过代理的安全筛选,则代理会将请求转发到 Web 服务器。反向代理可以执行高级功能,例如通过使用 HTTPS(安全套接字层上的超文本传输协议)在 Internet 上接收 Web 请求,但通过使用 HTTP 将请求转发到服务器。这称作“外部 SSL 终止”。反向代理可以将请求转发到端口号,而不是最初接收请求的端口。反向代理还可以更改 HTTP 主机标头字段。

Windows SharePoint Services 3.0 可与许多反向代理服务器兼容,但在下面的示例中,发布规则由反向代理软件 Microsoft Internet Security and Acceleration (ISA) Server 2006 提供。ISA Server 2006 包含一个发布向导,可帮助您创建 Windows SharePoint Services 3.0 的发布规则。在创建规则之后,可以随时修改规则。

备注

一些反向代理设备可以修改请求的路径(位于主机名和端口号之后的 URL 部分),这样用户发送到 https://www.contoso.com/sharepoint/default.aspx 的请求将作为 http://sharepoint.perimeter.example.com/default.aspx 转发到 Web 服务器。

这称作非对称路径。Windows SharePoint Services 3.0 不支持非对称路径。URL 的路径必须在公用 URL 和内部 URL 之间对称。在前面的示例中,这意味着反向代理设备不得修改 URL 的“/sharepoint/default.aspx”部分。

配置反向代理服务器

此示例中的前两幅图演示已修改的发布规则,其中将禁用“转发原始主机标头”选项以帮助演示备用访问映射的灵活性。如果已选择“转发原始主机标头”选项,则在配置备用访问映射时,公共主机名还将用作内部主机名。

下图演示规则的属性表上的“侦听器”选项卡和“公共名称”选项卡。这些属性定义了用于访问 Web 应用程序的 URL。此 URL 实际上是反向代理服务器的 URL,它会将请求转发到运行 Windows SharePoint Services 3.0 的服务器。

规划备用访问映射 - 侦听器 备用访问映射公用名称对话框

最终用户的 URL 包含公共协议、公共主机名和公用端口号,如下表所示。

公共协议 公共主机名 公用端口号 公用 URL

HTTPS

+ "://" +

www.contoso.com

+ ":" +

443

=

https://www.contoso.com

下图演示规则的属性页上的“转发到”选项卡和“桥接”选项卡。这些属性定义反向代理服务器用来将请求转发到运行 Windows SharePoint Services 3.0 的服务器的 URL。

备用访问映射 - 网站属性 规划备用访问映射 - 桥接

运行 Windows SharePoint Services 3.0 的服务器的 URL 包含内部协议、内部主机名和内部端口号,如下表所示。

内部协议 内部主机名 内部端口号 内部 URL

HTTP

+ "://" +

sharepoint.perimeter.contoso.com

+ ":" +

80

=

http://sharepoint.perimeter.contoso.com

此时,反向代理服务器将配置为接收来自 https://www.contoso.com 上的最终用户的 Web 请求,并将这些请求转发到位于 http://sharepoint.perimeter.contoso.com 上的运行 Windows SharePoint Services 3.0 的服务器。

配置 SharePoint Web 应用程序

在配置反向代理服务器发布规则之后,配置 Web 应用程序和备用访问映射以匹配此发布规则。可通过将现有 Web 应用程序扩展到专门针对反向代理服务器发布规则的附加 IIS 网站执行此操作。也可以为此发布规则创建新的 Web 应用程序。需要输入的值在任一情况下都是相同的。

使用以下过程可扩展现有 Web 应用程序。

扩展现有 Web 应用程序

  1. 从“管理工具”打开 SharePoint 管理中心网站。

  2. 在管理中心主页上,单击“应用程序管理”。

  3. 在“应用程序管理”页上,在“SharePoint Web 应用程序管理”部分中,单击“创建或扩展 Web 应用程序”。

  4. 在“创建或扩展 Web 应用程序”页上,单击“扩展现有 Web 应用程序”。

  5. 在“将 Web 应用程序扩展到其他 IIS 网站”页上,选择 Web 应用程序。在选定 Web 应用程序之后,根据本文中先前的“配置反向代理服务器”中定义的内部 URL 属性,为端口、主机标头和 SSL 字段输入值。在 URL 字段中,输入“配置反向代理服务器”中定义的公用 URL,如下图所示。

    备用访问映射配置页

  6. 选择要为其分配此 Web 应用程序扩展的备用访问映射区域。每个 Web 应用程序最多可使用五个区域。在此示例中,将使用 Internet 区域。所有区域都提供相同的功能,尽管默认区域总是用于特定功能(如将管理电子邮件发送给网站集所有者)。

  7. 若要创建 IIS 网站,请单击“确定”。

在完成这些过程之后,请验证是否已在备用访问映射中正确创建公用 URL,然后添加内部 URL。除非内部 URL 与公用 URL 相同,否则,此步骤是一个必须手动执行的额外步骤。

使用以下过程可查看备用访问映射页。

查看备用访问映射页

  1. 从“管理工具”打开“管理中心”。

  2. 在管理中心主页上,单击“操作”。

  3. 在“操作”页上的“全局配置”部分中,单击“备用访问映射”。

  4. 在“备用访问映射”页上,选择要通过反向代理服务器发布的 Web 应用程序。

此时,应查看分配给 Web 应用程序的备用访问映射 URL,如下图所示。

备用访问映射 第 1 页

已将反向代理发布规则中的公用 URL 分配给 Web 应用程序的 Internet 区域。使用下面的过程可将反向代理发布规则中的内部 URL 添加到 Web 应用程序的 Internet 区域。

将反向代理发布规则中的内部 URL 添加到 Web 应用程序的 Internet 区域

  1. 在“备用访问映射”页上,单击“添加内部 URL”。

  2. 键入内部 URL 的名称并选择用于公用 URL 的同一区域。在此示例中,将使用 Internet 区域。

  3. 单击“保存”。

此时,应查看分配给 Web 应用程序的附加 URL(位于与反向代理发布规则的公用 URL 相同的区域中),如下图所示。

备用访问映射 - 第 2 页

当用户浏览到 https://www.contoso.com 时,反向代理服务器将接收 Web 请求并将其转发到 http://sharepoint.perimeter.contoso.com。然后,Windows SharePoint Services 3.0 将接收 Web 请求,可看到此请求的 URL 为 http://sharepoint.perimeter.contoso.com,此 URL 将分配给 Contoso Web 应用程序,并从该 Web 应用程序返回内容。此外,由于已将 http://sharepoint.perimeter.contoso.com URL 分配给 Internet 区域,因此 Windows SharePoint Services 3.0 将使用此区域的公用 URL https://www.contoso.com 在页面上生成链接。这将确保当最终用户单击网页上的链接时将转到正确的 URL。

负载平衡器的工作原理与其类似,特别是当它们使用将请求负载平衡到的单个 Web 服务器的 URL 重写最终用户的原始 URL 时。若要对这些已重写的 URL 进行说明,只需为每个单独的 Web 服务器的 URL 添加备用访问映射(与内部 URL 一样),然后将其关联到与最终用户的公用 URL 相同的区域。如果它们保留原始 URL,则只需使原始 URL 成为公用 URL。

备用访问映射与身份验证提供程序集成

利用备用访问映射,可在多达五个不同的区域中公开 Web 应用程序,并且每个区域都具有一个不同的辅助 IIS 网站。

备注

一些人错误地认为可具有多达五个共享相同的内容数据库的不同 Web 应用程序。事实上,仅仅有一个 Web 应用程序。

使用这些区域,不仅可让您使用多个 URL 来访问同一个 Web 应用程序,还可让您使用多个身份验证提供程序来访问同一个 Web 应用程序。

在将 Web 应用程序扩展到区域中时,必须使用由 IIS 提供的 Windows 身份验证。在将 Web 应用程序扩展到区域中之后,可以修改区域以使用不同类型的身份验证。

使用以下过程可修改区域的身份验证配置。

修改区域的身份验证配置

  1. 从“管理工具”打开“管理中心”。

  2. 在管理中心主页上,单击“应用程序管理”。

  3. 在“应用程序管理”页上的“应用程序安全性”部分中,单击“验证提供程序”。

  4. 在“验证提供程序”页上,选择在“Web 应用程序”框中列出的 Web 应用程序。

  5. 单击要修改其身份验证配置的区域的名称。

    备注

    将只能从具有辅助 IIS 网站的区域中选择。在“扩展现有 Web 应用程序”过程中,将为这些区域分配 IIS 网站。

  6. 在“编辑验证”页上的“验证类型”部分中,选择要用于该区域的验证类型:

    • Windows

    • 表单

    • Web 单一登录

  7. 修改要更改的任何其他身份验证配置设置,并单击“保存”。

此时,还可以更改任何其他区域的身份验证配置设置。可以为访问相同内容的不同区域配置完全独立的身份验证设置。例如,可以将一些内容配置为可匿名访问,而其他内容需要凭据才能访问。可以将一个区域配置为已启用匿名访问并已禁用所有其他形式的身份验证,从而确保仅可以访问匿名内容。同时,可以为另一个区域禁用匿名访问并启用 NTLM 身份验证,从而确保仅允许经身份验证的访问。此外,可以具有用于访问相同内容的不同类型的帐户:可以将一个区域配置为使用 Windows Active Directory 帐户,而将另一个区域配置为同时使用非 Active Directory 帐户和基于 ASP.NET 表单的身份验证。

备用访问映射与 Web 应用程序策略集成

利用 Web 应用程序策略,管理员可授予或取消帐户和安全组对通过区域公开的所有网站所具有权限。这对于各种方案很有用。

例如,与其他程序一样,Windows SharePoint Services 3.0 搜索爬网程序也必须通过授权基础结构:它只能对它可访问的内容进行爬网。但是,用户仍希望搜索受爬网限制的内容,以便经授权的用户可以在搜索结果中查找此内容。搜索服务使用 Web 应用程序上的“完全读取”策略以便为其爬网程序提供读取 Web 应用程序上的所有内容的权限。这样,它可以对所有现有的和将来的内容,甚至于对网站管理员尚未为其明确提供访问权的内容进行爬网和建立索引。

另一个示例是支持人员需要对 Windows SharePoint Services 3.0 网站的管理权限以便他们能够为用户提供帮助。为此,可以创建一个 Web 应用程序策略,此策略为所有支持人员帐户授予“完全控制”权限以便他们具有对 Web 应用程序上的所有当前和将来网站的完全管理权限。

由于已将策略与 Web 应用程序及其区域绑定,因此可以确保已对一个区域应用的策略不会影响其他区域。在将内容同时公开在企业网络和 Internet 上时,这将很有用。例如,假定已为所有支持人员帐户授予针对已分配到企业网络的 Web 应用程序的区域的“完全控制”权限。如果某些人尝试使用该帐户在 Internet 上访问该网站,则不会应用此“完全控制”策略,原因是系统将识别该 URL 位于不同的区域中。因此,将不会自动为该帐户授予网站的管理权限。

备用访问映射和外部资源映射

利用 Windows SharePoint Services 3.0,可让您对 Windows SharePoint Services 3.0 场中未承载的内容扩展备用访问映射功能。若要配置此功能,请浏览到“备用访问映射”页并单击“映射到外部资源”。然后,系统将要求您创建外部资源的项,可将其视为另一个 Web 应用程序。在具有外部资源之后,可以对其分配不同的 URL 和区域,分配的方式与 Web 应用程序的相同。Windows SharePoint Services 3.0 中不使用此功能,但基于 Windows SharePoint Services 3.0 构建的第三方产品可以使用它。

例如,Office SharePoint Server 2007 中的搜索技术可将外部内容爬网到场(例如,文件共享和网站)。如果该内容在不同网络上的不同 URL 上可用,则可能希望通过使用该用户的当前网络的相应 URL 来进行搜索以返回结果。通过使用备用访问映射的外部资源映射技术,搜索可重新映射其搜索结果中的外部 URL,以匹配该用户的区域。

备用访问映射疑难解答

参考以下指南可避免出现管理员易犯的六个备用访问映射错误。

错误 1:假定无需配置备用访问映射,除非正在按照特殊方式部署 SharePoint

导致出现与备用访问映射相关的问题的最常见原因是:管理员没有意识到必须首先配置备用访问映射。由于备用访问映射是 Windows SharePoint Services 3.0 中的新要求,因此出现此情况是可以理解的。每个 Windows SharePoint Services 3.0 管理员都必须确保正确配置备用访问映射,哪怕只是对简单的部署进行配置。

当遇到下列任一问题时,可能是由于备用访问映射未正确配置。

  • 在网站上看到损坏的图像。

  • 如果在不指定文件名的情况下浏览到网站时(例如,http://计算机名称/网站名称)遇到 DNS 错误消息或指示无法找到服务器的错误消息,但在直接浏览到网站中的指定文件(例如,http://计算机名称/网站名称/default.aspx)时可以访问网站,则备用访问映射配置错误可能是导致出现此问题的原因。

  • 在浏览到网站时被重定向到 http://计算机名称。如果 Windows SharePoint Services 3.0 收到来自未知 URL(或尚未配置备用访问映射的 URL)的请求,并且您已安装 Windows SharePoint Services 3.0 的基础结构更新,则 Windows SharePoint Services 3.0 将尝试确定正确的 Web 应用程序,然后通过使用其返回页面上的链接中的同一个基 URL 对请求进行响应。如果请求来自尚未配置备用访问映射的 URL,并且您已安装 Windows SharePoint Services 3.0 的基础结构更新,则 Windows SharePoint Services 3.0 还将在 Windows 事件日志和 Windows SharePoint Services ULS 日志中创建严重错误,以通知 Windows SharePoint Services 管理员为未知的 URL 配置备用访问映射。

备注

在结合反向代理或网络负载平衡器使用备用访问映射的 Windows SharePoint Services 3.0 服务器场(如 Extranet 部署)中安装 Windows SharePoint Services 3.0 的基础结构更新 可能会导致某些公用 URL 没有响应。Microsoft 已经注意到这一问题并且正在开发解决方案。安装 Windows SharePoint Services 3.0 的基础结构更新 之前,使用这种配置的客户应使用测试环境来验证在安装更新后公用 URL 是否仍然可以访问。

为了让 Windows SharePoint Services 3.0 提供可以在多台计算机上(甚至在未运行 Web 应用程序的计算机上)工作的稳固而可靠的 API,解析指向网站的 URL 不能依赖于主机文件、DNS 或 IIS 绑定。相反,当 Windows SharePoint Services 3.0 接收请求时,它将只会使用备用访问映射来执行 URL 解析。在必须确保正确配置主机、DNS 和 IIS 绑定以确保 Web 请求能够到达 Windows SharePoint Services 3.0 服务器的同时,还必须配置备用访问映射的 URL,如以下示例所示。

完全限定的域名 (FQDN)

如果要使用 FQDN URL 以到达 Web 应用程序,则必须在 DNS 中配置此域名。还必须为备用访问映射配置匹配的 URL。如果这是最终用户用于到达网站的 URL,则使其成为一个公用 URL。如果这是反向代理服务器用于将请求转发到网站的 URL,则使其成为一个内部 URL。

备注

如果此 URL 是内部 URL,请确保已将最终用户的 URL 配置为同一区域中的公用 URL。

Localhost

Localhost 是一个特定的主机名称,它使您能够在浏览器中键入 https://localhost 并到达本地计算机上承载的网站。但是,由于通过访问计算机的主机文件可使用 localhost,因此 Windows SharePoint Services 3.0 不能自动使用它。如果需要让 https://localhost 成为 Windows SharePoint Services 3.0 的一个有效 URL,则必须将 https://localhost 作为备用访问映射输入。

IP 地址

如果处于没有 DNS 或主机名称解析的环境中,并且正在使用带有 IP 地址的 URL,则仍必须将这些 URL 作为备用访问映射输入。

错误 2:假定可以使用反向代理服务器链接转换功能而不是备用访问映射

虽然一些管理员知道备用访问映射将修复页面上的链接并确保将最终用户转到正确的公用 URL,但他们可能会假定:由于其反向代理服务器的链接转换功能可执行一个类似的功能,所以可能不需要备用访问映射。以下几个原因可说明为什么此假定会是一个错误的假定:

  • 在兼容性测试中,无需使用来自任何反向代理服务器(包括 ISA Server 2006)的链接转换功能就可以修复所有 Windows SharePoint Services 3.0 链接以使用公用 URL。Windows SharePoint Services 3.0 将其 URL 嵌入多个位置和各种编码中。当前,反向代理服务器还不能查找和修复所有 URL。

  • 有一些 Windows SharePoint Services 3.0 功能不使用反向代理服务器发布规则,如电子邮件通知。只需使用备用访问映射,就能确保电子邮件通知中的链接将为用户使用正确的 URL。

    Important 重要说明:

    如果通过使用发布规则来公开“管理中心”,请确保为该规则禁用链接转换功能。如果未禁用链接转换,则它可能会妨碍您配置备用访问映射。

错误 3:尝试在备用访问映射中重用同一 URL 或未将 URL 与同一区域关联

在配置 Windows SharePoint Services 3.0 以使 Web 应用程序同时对其内部网络和 Internet 公开时常会遇到这个错误。例如,在企业网络上配置 Web 应用程序时将“https://sharepoint”作为默认区域 URL,并且希望将其作为 https://www.contoso.com 在 Internet 上公开,则您可能配置反向代理服务器以将请求转发到 https://sharepoint,然后将 https://www.contoso.com 作为公用 URL 添加到 Internet 区域。这是一个错误。虽然从企业网络访问网站将继续按预期方式工作,但可能会发现来自 Internet 的访问不能正常工作并且会存在几个指向 https://sharepoint 的链接。这是因为已将这两个 URL 输入不同的备用访问映射区域中,因此二者彼此未关联。

一个 URL 在备用访问映射中只能使用一次。在前面的示例中,企业网络上已使用 https://sharepoint URL。若要将基于 Internet 的请求转发到同一个 Web 应用程序,请为反向代理发布规则使用其他内部 URL(例如,http://sharepoint.perimeter.contoso.com)。可以将 https://sharepoint 保留在备用访问映射中,并仍在 Internet 区域中将 https://www.contoso.com 作为公用 URL 添加。必须在与 https://www.contoso.com 公用 URL 相同的区域(Internet 区域)中将 http://sharepoint.perimeter.contoso.com 作为附加的内部 URL 添加。通过在同一区域中使用二者,Windows SharePoint Services 3.0 可以生成使用该区域的公用 URL 的正确链接。

备注

建议将 Web 应用程序扩展到要使用的每个区域的新 IIS 网站。这将提供一个辅助 IIS 网站。不建议对多个区域重用相同的 IIS 网站,除非 Microsoft 已明确通知您这样做。

错误 4:假定备用访问映射中生成的更新会自动更新 IIS 绑定

在将 Web 应用程序扩展到一个区域后,Windows SharePoint Services 3.0 将不会尝试修改其 IIS 绑定。如果通过添加主机标头绑定、更改端口号或添加 SSL 端口来修改 IIS 中的这些绑定,则 Windows SharePoint Services 3.0 将不会注意到所做的更改,并将不会更新备用访问映射 URL。同样,对要添加 SSL URL 的备用访问映射 URL 的更新将不会自动更新要匹配的 IIS 绑定。

如果需要在 IIS 绑定中进行更改,请通过使用“应用程序管理”页上的“从 IIS 网站删除 SharePoint”链接从区域中移除 Web 应用程序。

备注

此操作只会从 Web 应用程序中移除 IIS 网站及其区域。它不会删除 Web 应用程序本身或 Web 应用程序的内容数据库。

然后,可以使用更新的绑定将 Web 应用程序重新扩展到该区域。如果要添加一个 SSL 端口,也可以这样做。不建议对 HTTP 和 SSL 承载重用相同的 IIS 网站。相反,扩展一个专用的 HTTP 和一个专用的 SSL 网站,并将二者分别分配给各自的备用访问映射区域和 URL。

错误 5:忘记将环境配置为启用搜索以便对网站进行爬网

如果已配置备用访问映射和网络以使最终用户能够到达网站,则还必须为 Windows SharePoint Services 3.0 搜索配置备用访问映射和网络。Windows SharePoint Services 3.0 搜索服务浏览到 Web 应用程序以对其内容进行爬网,并且必须能够访问公用 URL。确保运行搜索索引服务的计算机可到达这些公用 URL。这对于使用 NTLM 身份验证的计算机尤为重要。如有必要,请将 Windows SharePoint Services 3.0 搜索服务帐户的代理设置配置为使用代理服务器。通过登录到作为该帐户的计算机并在 Internet Explorer 中编辑局域网连接设置可做到这一点。

使用以下过程可在 Internet Explorer 中编辑局域网连接设置。

在 Internet Explorer 中编辑局域网连接设置

  1. 从“控制面板”打开“Internet 选项”。

  2. 在“Internet 选项”属性页上的“连接”选项卡上,单击“局域网设置”。

  3. 在“局域网(LAN)设置”对话框中编辑局域网连接设置,然后单击“确定”。

错误 6:发生打印错误

请确保正确输入备用访问映射中的 URL。如果正在使用反向代理服务器,请验证备用访问映射中的 URL 是否与发布规则中的 URL 匹配。

下载此书籍

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)

另请参见

概念

配置备用访问映射 (Windows SharePoint Services)