Planen alternativer Zugriffszuordnungen für SharePoint Server

  • Artikel

 

**Gilt für:**SharePoint Foundation 2013, SharePoint Server 2013, SharePoint Server 2016

**Letztes Änderungsdatum des Themas:**2017-05-30

Zusammenfassung: Informationen zum Planen alternativer Zugriffszuordnungen in SharePoint 2013.

Alternative Zugriffszuordnungen leiten Benutzer während ihrer Interaktion mit SharePoint Server 2016 (z. B. beim Navigieren zur Startseite einer SharePoint Server 2016-Website) an die korrekten URLs weiter. Alternative Zugriffszuordnungen ermöglichen SharePoint Server 2016, Anforderungen den richtigen Webanwendungen und Websites zuzuordnen. Außerdem kann SharePoint Server 2016 mithilfe alternativer Zugriffszuordnungen dem Benutzer die richtigen Inhalte bereitstellen.

Da die Features für alternative Zugriffszuordnungen veraltet sind, empfehlen wir, anstatt alternativer Zugriffszuordnungen Websitesammlungen mit Hostnamen verwenden.

Zusätzliche Informationen zum Planen von Websitesammlungen mit Hostnamen finden Sie unter Websitesammlungsarchitektur mit Hostnamen und Bereitstellung in SharePoint Server.

Inhalt dieses Artikels:

  • Info zu alternativen Zugriffszuordnungen

  • Reverseproxy-Veröffentlichung

  • Integration von alternativen Zugriffszuordnungen in Authentifizierungsanbieter

  • Integration von alternativen Zugriffszuordnungen in Webanwendungsrichtlinien

  • Alternative Zugriffszuordnungen und externe Ressourcenzuordnung

Alternative Zugriffszuordnungen wurden implementiert, da es gängige Internetbereitstellungsszenarios gibt, in denen die von Internetinformationsdienste (IIS) erhaltene URL einer Webanforderung von der URL abweicht, die vom Benutzer eingegeben wurde. Dies tritt am ehesten in Bereitstellungsszenarios auf, die Reverseproxy-Veröffentlichung und Lastenausgleich enthalten.

Hinweis

Alternative Zugriffszuordnungen müssen für Lastenausgleich konfiguriert sein, obwohl sich dieser normalerweise nicht auf Hostheader-Websitesammlungen bezieht. Die öffentliche Standardzonen-URL sollte auf eine Domänen-URL festgelegt werden, die alle Benutzer anzeigen dürfen. Nur dann können die Namen von Webservern oder deren IP-Adressen in Parametern angezeigt werden, die zwischen Seiten in SharePoint Server 2016 übergeben wurden.

Info zu alternativen Zugriffszuordnungen

Alternative Zugriffszuordnungen ermöglichen einer Webanwendung, die eine Anforderung für eine interne URL in einer der fünf Zonen erhält, Seiten zurückzugeben, die Links zur öffentlichen URL für die Zone enthalten. Sie können eine Webanwendung mithilfe einer Sammlung von Zuordnungen zwischen internen und öffentlichen URLs zuordnen. Intern bezieht sich auf die URL einer Webanforderung, so wie sie von SharePoint Server 2016 empfangen wird. Öffentlich bezieht sich auf die URL, mit der SharePoint Links formatiert, die Anforderungen entsprechen, die mit einer der internen URLs in dieser Zone übereinstimmen, wenn der Dienst eine Antwort zurückgibt. Die öffentliche URL ist die Basis-URL, die SharePoint Server 2016 in den Seiten verwendet, die der Dienst zurückgibt. Wenn die interne URL durch ein Reverseproxy-Gerät geändert wurde, kann sie von der öffentlichen URL abweichen.

Hinweis

Websitesammlungen mit Hostnamen können alternative Zugriffszuordnungen nicht verwenden. Websitesammlungen mit Hostnamen werden automatisch in der Standardzone verarbeitet, und die URL der Anforderung darf zwischen dem Benutzer und dem Server nicht geändert werden.

Mehrere interne URLs können mit einer einzigen öffentlichen URL verknüpft werden. Zuordnungssammlungen können bis zu fünf Authentifizierungszonen enthalten. Jede Zone kann jedoch nur eine einzige öffentliche URL haben. Zuordnungssammlungen entsprechen den folgenden Authentifizierungszonen:

  • Standard

  • Intranet

  • Internet

  • Benutzerdefiniert

  • Extranet

Reverseproxy-Veröffentlichung

Ein Reverseproxy ist ein Gerät, das sich zwischen Benutzern und Ihrem Webserver befindet. Alle Anforderungen an Ihren Webserver werden zuerst vom Reverseproxy-Gerät empfangen, und wenn diese Anforderungen die Sicherheitsfilter des Proxy passieren, leitet der Proxy die Anforderungen an Ihren Webserver weiter.

Integration von alternativen Zugriffszuordnungen in Authentifizierungsanbieter

Alternative Zugriffszuordnungen erlauben Ihnen, eine Webanwendung in fünf verschiedenen Zonen zur Verfügung zu stellen, wobei jede Zone eine andere IIS-Website aufweist.

Hinweis

Fälschlicherweise wird manchmal angenommen, dass bis zu fünf verschiedene Webanwendungen vorhanden sind, welche die gleichen Inhaltsdatenbanken teilen. In Wirklichkeit ist nur eine Webanwendung vorhanden.

Diese Zonen erlauben Ihnen nicht nur, ein und dieselbe Webanwendung über mehrere URLs aufzurufen, sondern auch, mehrere Authentifizierungsanbieter zu verwenden, um auf die gleiche Webanwendung zuzugreifen.

Wenn Sie eine Webanwendung in eine Zone erweitern, müssen Sie von IIS bereitgestellte Windows-Authentifizierung verwenden. Nachdem die Webanwendung in die Zone erweitert wurde, können Sie den von der Zone verwendeten Authentifizierungstyp ändern.

Verwenden Sie das folgende Verfahren, um die Authentifizierungskonfiguration für eine Zone zu ändern.

So ändern Sie den Authentifizierungstyp für eine Zone

  1. Öffnen Sie unter Verwaltung die Zentraladministration.

  2. Klicken Sie auf der Zentraladministration-Homepage auf Anwendungsverwaltung.

  3. Klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Authentifizierungsanbieter.

  4. Wählen Sie auf der Seite Authentifizierungsanbieter Ihre Webanwendung aus, die im Feld Webanwendung aufgeführt wird.

  5. Klicken Sie auf den Namen der Zone, deren Authentifizierungskonfiguration Sie ändern möchten.

    Hinweis

    Sie können nur Zonen auswählen, die eine unterstützende IIS-Website aufweisen. Diesen Zonen wurde im Rahmen des Verfahrens "Erweitern einer vorhandenen Webanwendung" eine IIS-Website zugeordnet.

  6. Wählen Sie auf der Seite Authentifizierung bearbeiten im Abschnitt Forderungsauthentifizierungstypen den Authentifizierungstyp aus, den Sie für diese Zone verwenden möchten:

    • Windows-Authentifizierung (Standardwert)

    • Standardauthentifizierung

    • Formularbasierte Authentifizierung (FBA)

    • Vertrauenswürdiger Identitätsanbieter

  7. Ändern Sie alle anderen Authentifizierungskonfigurationseinstellungen, die Sie ändern möchten, und klicken Sie auf Speichern.

Zu diesem Zeitpunkt können Sie Authentifizierungskonfigurationseinstellungen für jede andere Zone ändern. Sie können für unterschiedliche Zonen, die auf die gleichen Inhalte zugreifen, vollständig unabhängige Authentifizierungseinstellungen konfigurieren. So können Sie z. B. festlegen, dass einige Inhalte anonym verfügbar sind, während für andere Inhalte Anmeldedaten erforderlich sind. Sie könnten für eine Zone anonymen Zugriff aktivieren und alle anderen Authentifizierungsformen deaktivieren und dadurch sicherstellen, dass nur die anonymen Inhalte verfügbar sind. Gleichzeitig können Sie für eine andere Zone anonymen Zugriff deaktivieren und NTLM-Authentifizierung aktivieren und dadurch sicherstellen, dass nur authentifizierter Zugriff aktiviert ist. Darüber hinaus können Sie festlegen, dass auf die gleichen Inhalte über unterschiedliche Kontoarten zugegriffen wird: Eine Zone kann so konfiguriert werden, dass Active Directory-Konten in Windows verwendet werden, während eine andere Zone so konfiguriert wird, dass Nicht-Active Directory-Konten verwendet werden, die formularbasierte ASP.NET-Authentifizierung verwenden.

Integration von alternativen Zugriffszuordnungen in Webanwendungsrichtlinien

Webanwendungsrichtlinien erlauben Administratoren, Konten und Sicherheitsgruppen für alle durch eine Zone verfügbar gemachten Websites Zugriffsrechte zu gewähren oder zu verweigern. Dies kann für viele Szenarios hilfreich sein.

Der SharePoint Server 2016-Suchcrawler muss z. B. die gleiche Authentifizierungsinfrastruktur wie jeder andere Benutzer verwenden: Er kann nur Inhalte durchforsten, auf die er Zugriff hat. Benutzer würden aber dennoch wünschen, dass die Suche eingeschränkte Inhalte durchforstet, sodass autorisierte Benutzer diese Inhalte in Suchergebnissen finden können. Der Suchdienst verwendet eine Richtlinie mit vollständigen Leseberechtigungen für die Webanwendungen, um dem Crawler zu erlauben, alle Inhalte in dieser Webanwendung zu lesen. So kann der Crawler alle vorhandenen und zukünftigen Inhalte durchforsten und indizieren. Dazu zählen auch Inhalte, auf die der Websiteadministrator dem Crawler nicht ausdrücklich Zugriff erteilt hat.

Ein weiteres Beispiel wären Helpdeskmitarbeiter, die administrativen Zugriff auf SharePoint Server 2016-Websites benötigen, damit sie Benutzern helfen können. Dazu können Sie eine Webanwendungsrichtlinie erstellen, die den Konten der Helpdeskmitarbeiter Vollzugriff gewährt, sodass sie vollständigen administrativen Zugriff auf alle derzeitigen und zukünftigen Websites in der Webanwendung haben.

Da Richtlinien sowohl mit Webanwendungen als auch deren Zonen verknüpft werden, können Sie sicherstellen, dass die Richtlinie, die Sie auf eine Zone anwendet haben, keine Auswirkung auf andere Zonen hat. Dies kann hilfreich sein, wenn Sie Inhalte sowohl im Unternehmensnetzwerk als auch im Internet bereitgestellt haben. Beispiel: Angenommen, Sie haben dem Konto eines Helpdeskmitarbeiters Vollzugriff auf die Zone einer Webanwendung erteilt, die dem Unternehmensnetzwerk zugewiesen ist. Würde ein Benutzer versuchen, die Website mit diesem Konto über das Internet aufzurufen, würde diese Vollzugriffsberechtigung nicht angewendet werden, da sie erkennt, dass sich die URL in einer anderen Zone befindet. Daher würden dem Konto nicht automatisch administrative Zugriffsrechte auf die Website erteilt.

Alternative Zugriffszuordnungen und externe Ressourcenzuordnung

SharePoint Server 2016 erlaubt, die Funktion der alternativen Zugriffszuordnung auf Inhalte zu erweitern, die nicht in der SharePoint Server 2016-Farm gehostet werden. Um diese Funktion zu konfigurieren, navigieren Sie zur Seite Alternative Zugriffszuordnungen, und klicken Sie dann auf Externer Ressource zuordnen. Sie werden dann aufgefordert, einen Eintrag für eine externe Ressource zu erstellen, die Sie sich als eine andere Webanwendung vorstellen können. Nachdem Sie eine externe Ressource erstellt haben, können Sie ihr auf die gleiche Weise, wie Sie dies für Webanwendungen tun, unterschiedliche URLs und Zonen zuweisen. Diese Funktion wird nicht in SharePoint Server 2016 verwendet. Sie kann allerdings von Drittanbieterprodukten verwendet werden, die auf SharePoint Server 2016 basieren.

Die Suchtechnologie in SharePoint Server 2016 kann z. B. Inhalte wie Dateifreigaben und Websites durchsuchen, die sich nicht in der Farm befinden. Wenn diese Inhalte unter unterschiedlichen URLs in unterschiedlichen Netzwerken verfügbar sind, sollte die Suche Ergebnisse mithilfe der dem derzeitigen Netzwerk des Benutzers entsprechenden URLs zurückgeben. Mithilfe der Technologie für externe Ressourcenzuordnung der alternativen Zugriffszuordnung kann die Suche die externen URLs in den Ergebnisse entsprechend der Zone des Benutzers neu zuordnen.

See also

Konfigurieren alternativer Zugriffszuordnungen für SharePoint Server