Freigeben über

Migrieren von der klassischen Authentifizierung zur anspruchsbasierten Authentifizierung in SharePoint 2013

  • Artikel

 

**Gilt für:**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013

**Letztes Änderungsdatum des Themas:**2018-02-20

**Zusammenfassung:**Konvertieren von SharePoint 2010-Produkten oder SharePoint 2013-Webanwendungen im klassischen Modus in Webanwendungen mit anspruchsbasierter Authentifizierung oder Erstellen neuer Webanwendungen in SharePoint 2013, die die anspruchsbasierte Authentifizierung verwenden.

Die anspruchsbasierte Authentifizierung ist eine der entscheidenden Komponenten für die erweiterte Funktionalität von SharePoint 2013. Um Webanwendungen mit klassischem Authentifizierungsmodus von SharePoint 2010-Produkte nach SharePoint 2013 zu übertragen, können Sie diese in SharePoint 2010-Produkte in Webanwendungen mit anspruchsbasierter Authentifizierung konvertieren und zu SharePoint 2013 migrieren. Die in diesem Artikel beschriebenen Verfahren erläutern verschiedene unterstützte Szenarien.

Das PowerShell-Cmdlet Convert-SPWebApplication in SharePoint 2013 konvertiert Webanwendungen vom klassischen Authentifizierungsmodus in die anspruchsbasierte Authentifizierung.

Warnung

Eine Webanwendung, die in die anspruchsbasierte Authentifizierung konvertiert wurde, kann nicht auf den klassischen Authentifizierungsmodus zurückgesetzt werden.

Konvertieren von SharePoint 2010-Produkte-Webanwendungen mit klassischem Authentifizierungsmodus in die anspruchsbasierte Authentifizierung in SharePoint 2010-Produkte und anschließendes Upgrade auf SharePoint 2013

Führen Sie in SharePoint 2010-Produkte folgende Schritte aus, um eine vorhandene Webanwendung in die anspruchsbasierte Authentifizierung zu konvertieren. Führen Sie nach der Konvertierung der Webanwendung in die anspruchsbasierte Authentifizierung die zusätzlichen Schritte zur Migration der Webanwendung zu SharePoint 2013 aus. Für dieses Verfahren benötigen Sie die folgenden Informationen:

  • Die URL der zu konvertierenden Webanwendung:http://yourWebAppUrl

  • Ein Benutzerkonto, das als Websiteadministrator festgelegt ist:yourDomain\yourUser

So konvertieren Sie eine SharePoint 2010-Produkte-Webanwendung in die anspruchsbasierte Authentifizierung

  1. Stellen Sie die folgenden Mitgliedschaften sicher:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen zu Ausführungsrichtlinien (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin-Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein, um das angegebene Benutzerkonto als Administrator für die Website festzulegen:

    $WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()

    Dabei gilt Folgendes:

    • <yourWebAppUrl> ist die URL der Webanwendung.

  3. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein, um die Richtlinie so zu konfigurieren, dass der Benutzer Vollzugriff hat:

    $account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()

    Weitere Informationen finden Sie unter Get-SPWebApplication.

  4. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein, um die Benutzermigration auszuführen:

    $wa.MigrateUsers($true)

  5. Geben Sie nach der Benutzermigration an der PowerShell-Eingabeaufforderung Folgendes ein, um die Bereitstellung durchzuführen:

    $wa.ProvisionGlobally()

    Weitere Informationen finden Sie unter New-SPClaimsPrincipal.

Nach Abschluss der vorherigen Verfahren können ein oder mehrere der folgenden Probleme auftreten: Benutzer, die beim Zugreifen auf die migrierte Webanwendung gültige Anmeldeinformationen übermitteln, werden möglicherweise benachrichtigt, dass sie nicht über die erforderlichen Berechtigungen verfügen. In diesem Fall wurden die Eigenschaften „portalsuperuseraccount“ und „portalsuperreaderaccount“ der Webanwendung wahrscheinlich vor der Migration konfiguriert. Wenn dies der Fall ist, aktualisieren Sie die Eigenschaften „portalsuperuseraccount“ und „portalsuperreaderaccount“ so, dass der neue anspruchsbasierte Kontoname verwendet wird. Nach der Migration finden Sie den neuen anspruchsbasierten Kontonamen in der Webanwendungsrichtlinie für die migrierte Webanwendung. Wenn vorhandene Warnungen nach der Migration nicht aufgerufen werden, müssen Sie möglicherweise die Warnungen löschen und neu erstellen. Falls die Suchdurchforstung der Webanwendung nach der Migration nicht ausgeführt werden kann, stellen Sie sicher, dass im Durchforstungskonto der neue konvertierte Kontoname aufgelistet wird. Ist dies nicht der Fall, müssen Sie manuell eine neue Richtlinie für das Durchforstungskonto erstellen.

So migrieren Sie eine anspruchsbasierte SharePoint 2010-Produkte-Webanwendung zu SharePoint 2013

  1. Erstellen Sie in SharePoint 2013 eine anspruchsbasierte Webanwendung. Weitere Informationen finden sie unter Create claims-based web applications in SharePoint Server.

  2. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neu erstellte anspruchsbasierte SharePoint 2013-Webanwendung an. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint Server.

    Hinweis

    Wenn Sie die SharePoint 2010-Produkte-Inhaltsdatenbanken an die anspruchsbasierte SharePoint 2013-Webanwendung anfügen, werden die Datenbanken auf das SharePoint 2013-Datenbankformat aktualisiert. Sie müssen sicherstellen, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren.

Konvertieren der SharePoint 2010-Produkte-Webanwendungen mit klassischem Authentifizierungsmodus in anspruchsbasierte SharePoint 2013-Webanwendungen

Führen Sie in SharePoint 2013 folgende Schritte aus, um eine vorhandene SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus in eine SharePoint 2013-Webanwendung mit anspruchsbasierter Authentifizierung zu konvertieren.

So konvertieren Sie eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus in eine anspruchsbasierte SharePoint 2013-Authentifizierung

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen zu Ausführungsrichtlinien (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin-Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Klicken Sie in der SharePoint 2013-Umgebung im Startmenü auf Alle Programme.

  3. Klicken Sie auf SharePoint 2016.

  4. Klicken Sie auf SharePoint 2016-Verwaltungsshell.

  5. Navigieren Sie zu dem Verzeichnis, in dem Sie die Datei gespeichert haben.

  6. Geben Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl ein:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

    Dabei gilt Folgendes:

    • <domainname>\<user> ist die Domäne, zu der der Server gehört, und der Name des Benutzerkontos.

  7. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neue SharePoint 2013-Webanwendung mit klassischer Authentifizierung an. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint Server.

    Hinweis

    Wenn Sie die SharePoint 2010-Produkte-Inhaltsdatenbanken an die SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus anfügen, werden die Datenbanken auf das SharePoint 2013-Datenbankformat aktualisiert. Sie müssen sicherstellen, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren.

  8. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity <yourWebAppUrl> -To Claims -RetainPermissions [ -Force]

    Dabei gilt Folgendes:

    • <yourWebAppUrl> ist die URL der Webanwendung.

    Hinweis

    Convert-SPWebApplication konvertiert die Webanwendung in die anspruchsbasierte Authentifizierung. Sie müssen sicherstellen, dass die Benutzer auf die Webanwendung zugreifen können, nachdem Sie sie konvertiert haben.

  9. Fügen Sie ggf. eine dritte SharePoint 2010-Produkte-Inhaltsdatenbank an die neue SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus an, und stellen Sie sicher, dass die Inhaltsdatenbank nach dem Anfügen ordnungsgemäß funktioniert.

  10. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity yourWebAppUrl -To Claims -RetainPermissions [ -Force]

Stellen Sie sicher, dass die Benutzer auf die Webanwendung zugreifen können, nachdem Sie sie in eine anspruchsbasierte Authentifizierung konvertiert haben. Weitere Informationen finden Sie unter „New-SPWebApplication“, „Get-SPManagedAccount“ und „Convert-SPWebApplication“.

Konvertieren der SharePoint 2013-Webanwendungen mit klassischem Authentifizierungsmodus in anspruchsbasierte Webanwendungen

Führen Sie in SharePoint 2013 die folgenden Schritte aus, um zuerst eine Webanwendung mit klassischem Authentifizierungsmodus zu erstellen und diese dann in eine anspruchsbasierte Authentifizierung zu konvertieren.

So erstellen Sie eine Webanwendung mit klassischem Authentifizierungsmodus in SharePoint 2013

  • Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen zu Ausführungsrichtlinien (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin-Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  • Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>

    Dabei gilt Folgendes:

    • <Name> ist der Name der neuen Webanwendung mit klassischer Authentifizierung.

    • <ApplicationPool> ist der Name des Anwendungspools.

    • <WindowsAuthType> ist entweder "NTLM" oder "Kerberos". Kerberos wird empfohlen.

    • <ApplicationPoolAccount> ist das Benutzerkonto, unter dem dieser Anwendungspool ausgeführt wird.

    • <Port> ist der Port, an dem die Webanwendung in IIS erstellt wird.

    • <URL> ist die öffentliche URL der Webanwendung.

    Hinweis

    Weitere Informationen finden Sie unter New-SPWebApplication.

    Hinweis

    Wenn Sie die Webanwendung erfolgreich erstellt haben, wird beim Öffnen der Seite "Zentraladministration" eine Integritätsregelwarnung angezeigt, die darauf hinweist, dass eine oder mehrere Webanwendungen mit klassischem Authentifizierungsmodus aktiviert sind. Dies bestätigt unsere Empfehlung, anspruchsbasierte Authentifizierung zu verwenden anstatt klassischer.

So konvertieren Sie eine SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus in eine anspruchsbasierte Authentifizierung

  • Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity "http:// <servername>:port" -To Claims -RetainPermissions [-Force]

    Dabei gilt Folgendes:

    • <servername> ist der Name des Servers.

Stellen Sie sicher, dass die Benutzer auf die Webanwendung zugreifen können, nachdem Sie sie in eine anspruchsbasierte Authentifizierung konvertiert haben. Weitere Informationen finden Sie unter „New-SPWebApplication“, „Get-SPManagedAccount“ und „Convert-SPWebApplication“.

Migrieren der SharePoint 2010-Produkte-Webanwendungen mit klassischem Authentifizierungsmodus zu SharePoint 2013-Webanwendungen mit klassischem Authentifizierungsmodus

Führen Sie in SharePoint 2013 folgende Schritte aus, um eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus zu erstellen und diese dann zu einer SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus zu migrieren.

So migrieren Sie eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus zu SharePoint 2013

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Lesen Sie die Informationen zu Ausführungsrichtlinien (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Fügen Sie Mitgliedschaften hinzu, die ggf. außer den oben genannten erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin-Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  2. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

    Dabei gilt Folgendes:

    • <domainname>\<user> ist die Domäne, zu der der Server gehört, und der Name des Benutzerkontos.

  3. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neue SharePoint 2013-Webanwendung mit klassischer Authentifizierung an. Stellen Sie sicher, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint Server.

Weitere Informationen finden Sie unter New-SPWebApplication und Get-SPManagedAccount.

See also

Create claims-based web applications in SharePoint Server
Create claims-based web applications in SharePoint Server