Требования к оборудованию и программному обеспечению для гибридной среды SharePoint
**Применимо к:**Office 365 Enterprise, SharePoint Server 2013, SharePoint Server 2016
**Последнее изменение раздела:**2017-06-20
Сводка. Сведения о компонентах, необходимых для настройки гибридного решения для SharePoint Server.
В этой статье описываются необходимые компоненты, с помощью которых выполняется развертывания гибридного решения SharePoint между SharePoint Server и SharePoint Online в Office 365 для предприятий.
Требования к оборудованию и программному обеспечению
Работоспособный локальный домен AD DS.
Работоспособная ферма SharePoint Server. Дополнительные сведения см. в статье Требования к оборудованию и программному обеспечению для SharePoint Server 2016.
Правильно настроенный клиент Office 365, подготовленный с помощью SharePoint Online, с одним из следующих планов подписки: E1 поддерживает только Гибридные отображения федеративных результатов поиска в SharePoint Server, E3 или E4.
Требования к сертификатам
Для всех SharePoint Server, кроме гибридного решения OneDrive для бизнеса, необходимо обновить сертификат службы токенов безопасности SharePoint Server (STS).
Сертификат службы маркеров безопасности в ферме SharePoint не работает в гибридной топологии SharePoint. Вам нужно заменить его на каждом сервере в ферме SharePoint Server с самозаверяющим сертификатом или сертификатом, выданным общедоступным центром сертификации.
Дополнительные сведения см. в разделе Планирование замены сертификата STS.
Требования для входящего подключения
Для следующих гибридных решений требуется входящее подключение от Office 365 к SharePoint Server:
входящий запрос на гибридный поиск (результаты поиска из SharePoint Server отображаются в Office 365);
гибридные службы Business Connectivity Services;
гибридная версия Duet Enterprise Online для Microsoft SharePoint и SAP.
К каждому из этих гибридных решений применяются требования в следующих разделах.
Дополнительные требования к оборудованию
Для входящего подключения необходимо следующее:
Обратное прокси-устройство. Подробнее см. в разделе Требования к обратному прокси-устройству далее в этой статье.
Домен Интернета (например, https://adventureworks.com) и разрешение на создание или изменение записей DNS для домена.
Примечание
Этот общедоступный домен должен быть зарегистрирован у регистратора доменных имен, например GoDaddy.com, и должен являться доменом, с которым сопоставлен URL-адрес внешней конечной точки обратного прокси-устройства.
Требования к сертификатам
В этом разделе описаны сертификаты, которые потребуются вам при настройке входящего подключения от Office 365 к SharePoint Server.
Сертификат безопасного канала SSL
Этот сертификат обеспечивает проверку подлинности и шифрование между обратным прокси-устройством и Office 365. Это должен быть групповой сертификат или сертификат SAN, выданный общедоступным корневым центром сертификации. Подробнее см. в статьях Сведения о SSL-сертификатах безопасного канала и Получение SSL-сертификата безопасного канала.
Сертификат SSL для службы маркеров безопасности
Сертификат по умолчанию, используемый для службы маркеров безопасности (STS) в ферме SharePoint, не работает в гибридной топологии SharePoint. Вам необходимо заменить его на каждом сервере в локальной ферме SharePoint на самозаверяющий сертификат или сертификат, выданный официальным центром сертификации. Подробнее см. в статьях Сведения о сертификатах STS и Получение сертификата STS.
Локальный сертификат SharePoint SSL
Если вы настроите использование SSL для основного веб-приложения (веб-приложение на локальной ферме SharePoint, настроенное для гибридного развертывания), вам придется привязать сертификат SSL к основному веб-приложению.
Если это веб-приложение уже существует и настроено для SSL, у вас все готово. В противном случае необходимо получить или создать его для этой цели. Для рабочих сред этот сертификат должен быть выдан официальным центром сертификации (ЦС). Для тестовых сред и сред разработки подходит самозаверяющий сертификат.
Дополнительные сведения см. в статье Планирование SSL-сертификатов и на плакате Гибридная топология SharePoint 2013: сертификат, аутентификация и авторизация.
Требования к устройствам обратного прокси-устройства
Устройство обратного прокси-сервера в гибридной топологии предоставляет безопасную конечную точку для входящего трафика с использованием шифрования SSL и проверки подлинности на основе клиентского сертификата.
Поддерживаемые обратные прокси-устройства
В таблице ниже перечислены поддерживаемые в настоящее время обратные прокси-устройства для гибридных развертываний SharePoint Server. Этот список будет обновляться по мере тестирования новых устройств.
| Поддерживаемые обратные прокси-устройства | Статья о конфигурации | Дополнительные сведения |
|---|---|---|
Windows Server 2012 R2 с прокси-службой веб-приложения (WA-P) |
Прокси-служба веб-приложения (WA-P) — это служба удаленного доступа в Windows Server 2012 R2, публикующая веб-приложения, с которыми пользователи могут взаимодействовать на многих устройствах. Важно! Чтобы использовать прокси-службу веб-приложения как обратное прокси-устройство в гибридной среде SharePoint Server, необходимо также развернуть службы AD FS в Windows Server 2012 R2. Более ранние версии Windows не поддерживают прокси-службу веб-приложения. |
|
Forefront Threat Management Gateway (TMG) 2010 |
Forefront TMG 2010 — это комплексное решение безопасного веб-шлюза, предоставляющее функции безопасного обратного прокси-сервера. Примечание Forefront TMG 2010 больше не продается корпорацией Майкрософт, но будет поддерживаться до 14 апреля 2020 г. Дополнительные сведения см. на странице сроков поддержки продуктов Майкрософт для Forefront TMG 2010. |
|
F5 BIG-IP |
Это внешний контент, управляемый сетями F5. |
Общие требования к обратному прокси-серверу
В гибридном сценарии SharePoint Server обратный прокси-сервер должен поддерживать следующее:
Проверка подлинности на основе клиентских сертификатов с использованием групповых SSL-сертификатов или SSL-сертификатов SAN.
Сквозная проверка подлинности для OAuth 2.0, включая неограниченное число транзакций маркера носителя OAuth.
Принятие незапрошенного входящего трафика с использованием TCP port 443 (HTTPS).
Совет
Для поддержки гибридного подключения на внешней конечной точке обратного прокси нужно открыть только TCP-порт 443.
Привязка к групповому SSL-сертификату или SSL-сертификату SAN.
Ретрансляция трафика в локальную ферму SharePoint Server или балансировщик нагрузки без перезаписи заголовков пакетов.
Обзор обратных прокси-устройств в гибридной топологии SharePoint см. в статье Настройка устройства обратного прокси-сервера для гибридной среды SharePoint Server.