Поделиться через

Планирование подключения из Office 365 на сервере SharePoint Server

  • Статья

 

**Применимо к:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**Последнее изменение раздела:**2017-06-20

Сводка: Планирование и Подготовка к настройке входящие подключения от Office 365 в гибридной среде SharePoint Server.

В этой статье призвана помочь спланировать и Подготовка к настройке входящие подключения от Office 365 для предприятий к SharePoint Server через устройство обратного прокси-сервера. Это требуется для следующих гибридные среды:

  • Входящего гибридного поиска (отображения результатов поиска из SharePoint Server в Office 365 )

  • гибридные службы Business Connectivity Services;

В этой статье мы представлены необходимые сведения, которые необходимо знать, например необходимые условия и листа можно собирать необходимую информацию, прежде чем начать процесс настройки.

Эта статья поможет вам выполнить следующие задачи:

  • узнать обязательные условия и требования для входящего подключения;

  • запланировать архитектуру веб-приложения;

  • запланировать использование SSL-сертификатов;

  • записать основные решения и сведения.

Сбор и запись сведений в рабочем листе и сведений журнала построения

Рабочий лист. Во время планирования необходимо собирать сведения и файлы. Обязательно используйте рабочий лист гибридной среды SharePoint для отслеживания информации о планировании и развертывании. Это пригодится во время самого процесса, а также если вам понадобится поделиться сведениями с другими участниками группы развертывания. Невозможно переоценить важность использования этого рабочего листа для организации данных перед началом настройки.

Создайте журнал построения. В любом сложном проекте по внедрению подробный журнал, содержащий все проектные решения, конфигурации сервера, процедуры, результаты выполнения команд и ошибки, — ключевой справочный документ для устранения неполадок, поддержки и получения необходимых данных. Мы настоятельно рекомендуем тщательно документировать процесс развертывания.

Предупреждение

По соображениям безопасности храните рабочий лист и журнал построения в надежном месте, например защищенном файловом ресурсе или библиотеке документов SharePoint, и предоставьте разрешения только администраторам, участвующим в процессе развертывания и которым требуется эта информация.

Сбор и запись сведений об URL-адресах и именах узлов

В этом разделе вы запишите сведения об URL-адресах и именах узлов в среде. Эта информация будет использоваться во время развертывания.

  • Запишите DNS-имя общедоступного домена (например, adventureworks.com).

  • Запишите URL-адрес общедоступной конечной точки обратного прокси-устройства, которая будет использоваться для гибридной среды SharePoint. Это внешний URL-адрес. Если такая конечная точка еще не существует, вам придется определить, какой URL-адрес будет применяться.

  • Запишите IP-адрес внешней конечной точки обратного прокси-устройства.

  • Убедитесь, что запись A (которую также называют записью узла) существует в общедоступной зоне прямого просмотра DNS для вашего общедоступного домена, которая сопоставляет внешний URL-адрес с IP-адресом доступной из Интернета конечной точки на устройстве обратного прокси. Если у вас еще нет записи A, создайте ее сейчас.

  • Убедитесь в наличии записи A в зоне прямого просмотра DNS интрасети , которая сопоставляет имя узла фермы SharePoint Server IP-адрес. Если эта запись A еще нет, создайте его.

    Важно!

    Если вы настроили внутренние URL-адреса для доступа к веб-приложению в процессе развертывания, также создайте записи A для этих URL-адресов в зоне прямого просмотра DNS интрасети и запишите их в рабочем листе.

Значок редактирования

Запишите следующие сведения в таблице 3 рабочего листа гибридной среды SharePoint:

  • Доменное имя общедоступного корпоративного домена DNS в строке Общедоступное интернет-имя домена.

  • URL-адрес общедоступной конечной точки устройства обратного прокси в строке Внешний URL-адрес.

  • IP-адрес внешней конечной точки устройства обратного прокси в строке IP-адрес внешней конечной точки.

Для получения дополнительных сведений об отношении между URL-адресами и именами узлов в гибридной среде посмотрите видео Общее представление об URL-адресах и именах узлов. Длительность: 6 минут.

Планирование архитектуры веб-приложения

Этот раздел поможет вам спланировать архитектуру SharePoint Server веб-приложений, которые будут использоваться в гибридной среде.

Входящие подключения требуются канала безопасного обмена данными между локальной фермой SharePoint Server и SharePoint Online. Обмена данными между семейства веб-сайтов в SharePoint Online и веб-приложения в локальной через канал связи.

SharePoint Online отправляет запросы обратного прокси-сервера, который ретранслирует запросы для конкретного веб-приложения в ферме в локальной SharePoint Server, которые настроены для гибридной среды SharePoint. Это будет называться следующему в качестве основного веб-приложения.

Совет

Независимо от числа гибридных решений, которые вы планируете настроить, обычно будет использоваться одно основное веб-приложение. Нет необходимости создавать дополнительные основные веб-приложения для каждого гибридного решения.

Как основное веб-приложение, так и семейство веб-сайтов в основном веб-приложении необходимо настроить для приема входящих подключений от SharePoint Online.

Администратор SharePoint связывает служб и подключений к объектам, которые требуются для поддержки гибридных решений, развертываемых с основного веб-приложения. Исходящие подключения могут поступать из любого веб-приложения в локальной SharePoint Server с помощью конфигураций определенного компонента.

SharePoint Server веб-приложения состоит из IIS веб-сайт, который выступает в качестве логическую единицу для семейств веб-сайтов, которые вы создаете. Каждое веб-приложение представлены различные веб-сайта IIS, который имеет уникальный или совместно используемый приложениями пула, который имеет уникальный общедоступный URL-адрес, после чего, которая также может быть настроена на использование до пяти внутренние URL-адреса, с помощью альтернативного сопоставления доступа (AAM). Данного веб-приложения связан с одной базы данных контента и настроены для использования метода проверки подлинности для подключения к базе данных. Несколько веб-приложений можно настроить для использования разных методов проверки подлинности и при необходимости сопоставления для альтернативного доступа, чтобы предоставить доступ к одной базы данных контента.

Общедоступный URL-адрес веб-приложения всегда использовать в качестве корневой URL-адрес в все ссылки на сайты и контент, доступны через веб-приложения. Рассмотрите возможность веб-приложения с помощью общедоступный URL-адрес https://spexternal.adventureworks.com , имеющей внутренний URL-адрес https://sharepoint настроенного в AAM. При просмотре внутренний URL-адрес https://sharepoint SharePoint Server возвращает веб-сайта с https://spexternal.adventureworks.com URL-адрес, и все ссылки на сайте будут иметь URL-адреса на основе этого пути.

Альтернативное сопоставление доступа (AAM) — необходимые только при настройке входящего подключения с использованием семейства сайтов на основе пути с общедоступный URL-адрес отличается от внешнего URL-адреса. Альтернативное сопоставление доступа позволяет связать внешний URL-адрес внутреннего URL-адрес сайта SharePoint в вашей организации. Это позволяет SharePoint Server для маршрутизации запросов для внутренних URL-адресов, настроенных в альтернативного сопоставления доступа для соответствующего основного веб-приложения.

Дополнительные сведения о веб-приложениях на основе утверждений см. в статье Создание веб-приложений, основанных на утверждениях, в SharePoint 2013.

Дополнительные сведения о расширении веб-приложения см. в статье Расширение веб-приложений, основанных на утверждениях, в SharePoint.

Дополнительные сведения о семействах сайтов см. в статье Обзор сайтов и семейств веб-сайтов в SharePoint Server.

Выбор стратегии семейства веб-сайтов

Прежде чем определить, будет ли использоваться существующее веб-приложение или вы создадите новое, необходимо изучить требования конфигурации, которым должны соответствовать веб-приложение и семейство сайтов для поддержки гибридной среды. Используйте информацию в этом разделе, чтобы сформировать стратегию для создания веб-приложения и семейства сайтов или определить, можно ли использовать семейство сайтов в существующем веб-приложении в вашей гибридной среде.

На следующем рисунке показана схема принятия решений для определения стратегии семейства сайтов.

Три возможные стратегии семейства веб-сайтов для односторонней входящей или двухсторонней гибридной топологии проверки подлинности SharePoint.

Требования для гибридных веб-приложений

Веб-приложения, используемые для гибридной среды, должны соответствовать всем этим требованиям:

  • Общедоступный URL-адрес веб-приложения должен совпадать с внешним URL-адресом.

    Протокол OAuth реализует авторизацию пользователей в гибридных решениях SharePoint. Заголовок запроса Host во всех пакетах SharePoint Online, передаваемых в локальную среду SharePoint, содержит URL-адрес, на который запрос был отправлен изначально. Для проверки подлинности входящих запросов от SharePoint Online локальная служба проверки подлинности SharePoint должна иметь возможность сопоставить этот URL-адрес для любого трафика от SharePoint Online с общедоступным URL-адресом основного веб-приложения. Это внешний URL-адрес. Одно из преимуществ использования семейства сайтов с именем узла для гибридных сред SharePoint — это возможность настройки семейства сайтов с именем узла для использования URL-адреса, совпадающего с внешним URL-адресом. Это избавляет от необходимости настраивать альтернативное сопоставление доступа.

  • Веб-приложение должно быть настроено для использования встроенной проверки подлинности Windows с протоколом NTLM.

    Использование встроенной проверки подлинности Windows с протоколом NTLM является обязательным для веб-приложений в тех случаях, когда необходима межсерверная проверка подлинности и проверка подлинности приложений. Дополнительные сведения см. в разделе Планирование проверки подлинности между серверами в SharePoint Server.

    Типы проверки подлинности на основе утверждений для гибридной среды SharePoint

Требования к определенным конфигурациям семейств сайтов

Семейства сайтов, используемые для гибридной среды, должны соответствовать всем этим требованиям. Кроме того, они уже должны существовать или их необходимо создать в веб-приложении, которое соответствует требованиям веб-приложения:

  • Семейства веб-сайтов с именем узла

    • Веб-приложение должно поддерживать семейства сайтов с именем узла.

      Для создания семейства сайтов с именем узла необходимо создать веб-приложение. После создания веб-приложения эту функцию включить невозможно.

      Дополнительные сведения о создании семейств веб-сайтов с именем узла см. в статье Архитектура и развертывание семейства сайтов с именем на основе узла в SharePoint Server.

      Примечание

      Хотя это требование для веб-приложений, оно указано здесь, так как применимо только к средам с семействами сайтов с именем узла.

    • DNS-сервера для локальной должен быть настроен с разделенная DNS. Вам необходимо создать зону прямого просмотра для домена общедоступную сеть Интернет, который использовался для общедоступных URL-адреса и записи (узла) в зоне прямого просмотра, которая содержит IP-адрес сервера SharePoint Server и имени узла внешнего URL-адреса.

      Важно!

      Устройство обратного прокси-сервер должен иметь возможность сопоставлять имена узлов в этой зоне прямого просмотра для ретрансляции входящих запросов в ферму SharePoint Server.

  • Семейства веб-сайтов на основе путей

    • Если общедоступный URL-адрес совпадает с внешним URL-адресом:

      Локальные DNS-сервера должны быть настроены разделенная DNS. Вам необходимо создать зону прямого просмотра для домена общедоступную сеть Интернет, который был использован для общедоступных URL-адреса и записи в зоне прямого просмотра, которая содержит IP-адрес сервера SharePoint Server и имени узла внешнего URL-адреса.

      Важно!

      Устройство обратного прокси-сервер должен иметь возможность сопоставлять имена узлов в этой зоне прямого просмотра для ретрансляции входящих запросов в ферму SharePoint Server.

      Это простой способ настроить веб-приложение для гибридной среды SharePoint. Цель состоит в том, чтобы сопоставить поле Общедоступный URL-адрес нового веб-приложения с URL-адресом общедоступной конечной точки в обратном прокси, который также называют внешним URL-адресом.

    • Если общедоступный URL-адрес отличается от внешнего URL-адреса:

      Необходимо настроить альтернативное сопоставление доступа (AAM) для ретрансляции входящих запросов из SharePoint Online.

      Расширьте основное веб-приложение и используйте внешний URL-адрес как общедоступный URL-адрес. Затем создайте внутренний URL-адрес (с помощью кнопки Добавить внутренние URL-адреса) в той же зоне безопасности, где находится расширенное веб-приложение, который будет использоваться как URL-адрес моста. Вы также можете настроить устройство обратного прокси для ретрансляции входящих запросов от SharePoint Online на этот URL-адрес моста.

      Помните, что альтернативное сопоставление доступа (AAM) необходимо только при настройке входящего подключения с использованием такого семейства веб-сайтов на основе путей, общедоступный URL-адрес которого отличается от внешнего URL-адреса.

Примечание

Помните, что внешний URL-адрес — это URL-адрес доступной из Интернета конечной точки устройства обратного прокси.

Значок редактирования

Запишите выбранную стратегию семейства сайтов в рабочий лист в строку Site collection strategy таблицы 2.

Выбор существующего веб-приложения или создание нового

В качестве основного веб-приложения можно использовать существующее веб-приложение или создать новое.

Если вы предпочитаете управлять веб-приложением, используемым для гибридной среды, независимо или если существующее веб-приложение не соответствует требованиям, указанным в разделе Выбор стратегии семейства веб-сайтов, создайте новое веб-приложение.

Значок редактирования

Запишите свое решение в строку New or existing web application в таблице 2.

Планирование использования существующего веб-приложения

Если вы решили использовать существующее веб-приложение в качестве основного, узнайте URL-адрес основного веб-приложения URL-адрес семейства сайтов верхнего уровня и запишите их в рабочем листе.

Значок редактирования

Запишите в рабочем листе следующие данные:

  • В зависимости от стратегии семейства сайтов запишите URL-адрес основного веб-приложения в строке Primary web application URL таблицы 5a, 5b или 5c.

  • Если вы используете существующее семейство сайтов с именем узла, запишите URL-адрес семейства сайтов верхнего уровня в строке Host-named site collection URL в таблице 5a.

После этого перейдите к разделу Планирование использования SSL-сертификатов.

Планирование создания веб-приложения

Если вы решили создать веб-приложение, мы расскажем, как сделать это при настройке гибридной топологии.

Планирование использования SSL-сертификатов

SSL-сертификаты содержат сведения об удостоверении сервера и делают возможной проверку подлинности на основе сертификата для различных служб и подключений в гибридной среде SharePoint. Вам потребуются два SSL-сертификата: SSL-сертификат защищенного канала и сертификат службы маркеров безопасности.

Дополнительные сведения об использовании SSL-сертификатов в гибридных средах SharePoint см. в статье Гибридная топология SharePoint 2013: модель сертификации и проверки подлинности.

Примечание

Если выбран для улучшения защиты локальной фермы SharePoint с помощью протокола SSL, необходимо также сертификат SSL для основного веб-приложения. Имеется не относящиеся к гибридной вопросы для этого сертификата, поэтому можно следовать Общие рекомендации по настройке SharePoint Server через SSL.

Примечание

"Безопасный канал" не является классом сертификата. Этот термин используется для отделения этого сертификата от других SSL-сертификатов, используемых в среде.

Сведения о SSL-сертификатах безопасного канала

Сертификат безопасного канала SSL обеспечивает проверку подлинности и шифрование для канала безопасного обмена данными между устройства обратного прокси-сервера и Office 365, работающие в качестве сервера и клиентского сертификата. Он также проверяет подлинность конечной точки обратного прокси-сервера, который используется для публикации коллекции веб-сайтов в локальной SharePoint Server.

Это должен быть групповой сертификат или сертификат SAN, выданный общедоступным корневым центром сертификации. Поле субъекта сертификата должно содержать имя узла внешней конечной точки обратного прокси-сервера или групповой URL-адрес, охватывающий все имена узлов в пространстве имен. Сертификат должен использовать по крайней мере 2048-разрядное шифрование.

Важно!

Групповые сертификаты могут защитить только один уровень пространства имен DNS. Например, если внешний URL-адрес — https://spexternal.public.adventureworks.com, субъектом группового сертификата должно быть значение ".public.adventureworks.com", а не ".adventureworks.com".

В сценариях, где SharePoint Online настроена для запроса сведений от SharePoint Server SSL-сертификат является обязательным для выполнения следующих:

  • чтобы шифровать трафик в безопасном канале;

  • чтобы включить обратное прокси-устройство для проверки подлинности входящих подключений на основе сертификата;

  • чтобы позволить SharePoint Online идентифицировать внешнюю конечную точку и доверять ей.

Во время развертывания SSL-­сертификат устанавливается на устройстве обратного прокси и в конечном приложении SharePoint Online Secure Store. Эти параметры задаются при настройке инфраструктуры гибридной среды.

Получение SSL-сертификата безопасного канала

Получите групповой сертификат SSL или сертификат SAN безопасного канала для локального общедоступного домена в известном центре сертификации, например DigiCert, VeriSign, Thawte или GeoTrust.

Примечание

  • Этот сертификат должен поддерживать несколько имен и должен использовать по крайней мере 2048-разрядный ключ.

  • Поле Субъект или Имя субъекта сертификата должно содержать групповую запись доменного имени во внешнем URL-адресе. Например, если внешний URL­-адрес — https://spexternal.public.adventureworks.com, субъектом группового сертификата должно быть значение *.public.adventureworks.com.

  • Обычно интервал срока действия сертификатов составляет 1 год. Поэтому важно заранее спланировать обновление сертификатов, чтобы избежать перерыва в обслуживании. Администраторы SharePoint должны запланировать отправку напоминания о замене сертификата, чтобы у вас было достаточно времени для предотвращения простоя.

Значок редактирования

Запишите следующие данные в рабочий лист в таблицу 4b, "SSL-сертификат безопасного канала":

  • Имя сертификата и его расположение в строке Secure Channel Certificate location and file name.

  • Понятное имя сертификата в строке Secure Channel SSL Certificate Friendly Name.

  • Укажите тип сертификата (групповой или SAN) в строке Тип сертификата.

  • Дата окончания срока действия сертификата в строке Дата окончания срока действия .

  • Если расширение файла этого сертификата — PFX, запишите его пароль в строке Пароль SSL-сертификата безопасного канала. Не забудьте защитить рабочий лист с помощью пароля, если вы изменили сведения о пароле сертификата.

Сведения о сертификатах STS

Сертификату службы токенов безопасности для локальной фермы SharePoint требуется сертификат по умолчанию для проверки входящих токенов. В гибридной среде SharePoint Azure Active Directory действует как доверенная служба подписи токенов и использует сертификат службы токенов безопасности для подписи. Azure Active Directory не может использовать такой сертификат по умолчанию от SharePoint Server в качестве сертификата для подписи, так как не может проверить цепочку доверия.

Поэтому сертификат STS по умолчанию на каждом сервере локальной фермы SharePoint необходимо заменить на один из следующих сертификатов:

  • сертификат, выданный общедоступным центром сертификации (ЦС), которому доверяет служба Azure Active Directory;

  • самозаверяющий сертификат.

Сертификат STS по умолчанию заменяется позже при настройке инфраструктуры управления удостоверениями.

Важно!

  • Минимальный размер этого сертификата должен составлять 2048 бит.

  • Вам потребуется заменить сертификат STS на каждом сервере веб-серверы и приложений в ферме SharePoint Server.

  • Срок действия сертификатов обычно составляет 1 год, поэтому важно заблаговременно запланировать обновление сертификатов, чтобы избежать нарушений в работе служб.

Если вы решили использовать самозаверяющий сертификат, то вы создадите его во время настройки развертывания. Инструкции по созданию самозаверяющего сертификата для SharePoint представлены в статье Настройка проверки подлинности между серверами SharePoint Server и SharePoint Online.

Получение сертификата STS

Получите сертификат STS, прежде чем начать процесс настройки.

Значок редактирования

Запишите следующие данные в рабочем листе в таблице 4a, "Сертификат STS":

  • понятное имя сертификата STS;

  • путь и имя файла сертификата STS (PFX-файл);

  • пароль сертификата STS;

  • путь и имя файла сертификата STS (CER-файл);

  • имя субъекта;

  • дата начала действия сертификата STS;

  • дата окончания действия сертификата STS.

Запишите учетные записи, необходимые для настройки и тестирования

Для настройки гибридной среды SharePoint требуется несколько учетных записей в локальной службе Active Directory и в каталоге Office 365 (службе Azure Active Directory, доступной в каталоге Office 365). Эти учетные записи обладают разными разрешениями и состоят в разных группах или ролях. Некоторые из учетных записей будут использоваться для развертывания и настройки программного обеспечения, а другие потребуются для проверки определенных функций и работы систем безопасности и проверки подлинности.

Дальнейшие действия

К этому моменту вы должны были заполнить лист для входящего подключения и подготовиться к началу настройки. Далее следует выбрать схему настройки.