規劃從 Office 365 與 SharePoint Server 的連線

發行項
01/15/2018

**適用版本：**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**上次修改主題的時間：**2017-06-20

**摘要：**規劃及準備設定 SharePoint Server 混合式環境的 Office 365 的輸入的連線。

本文被設計來協助您規劃及準備設定輸入的連線從Office 365 企業版SharePoint Server透過反向 proxy 裝置。這是必要的下列的混合式環境：

輸入混合式搜尋（顯示搜尋結果從SharePoint ServerOffice 365中）
混合式Business Connectivity Services

在本文中，我們提供您必須知道，例如先決條件，以及在工作表以開始設定程序收集必要資訊的資訊。

本主題協助您完成下列工作：

了解先決條件和需求的輸入連線
規劃 Web 應用程式架構
規劃 SSL 憑證
記錄重要決策和資訊

收集和記錄工作表及建置記錄資訊

**工作表。**在規劃過程中，您需要收集資訊及檔案。請務必使用SharePoint 混合式工作表來追蹤規劃及部署資訊的參考（英文）以及與其他的部署小組成員資訊共用。我們不能壓力足夠的組織資訊開始設定程序之前使用此工作表的重要性。

**建立建置記錄。**在任何複雜的實作專案中，詳細地記錄每一項設計決策、伺服器設定、程序、命令輸出和錯誤，這在疑難排解、支援和瞭解方面，都是非常重要的參考。強烈建議您完整記錄部署程序。

警告

基於安全理由，請將工作表和建置記錄存放在加強安全保護的地方，例如受保護的安全共用或 SharePoint 文件庫，並只將權限授與參與部署程序且必須知道此資訊的管理員。

收集和記錄 URL 及主機名稱資訊

在本節中，您將記錄環境中的 URL 和主機名稱的相關資訊。在部署過程中，將會用到此資訊。

記錄公司的公用 DNS 網域名稱 (例如 adventureworks.com)。
針對要用於 SharePoint 混合式的反向 Proxy 裝置，記錄公開端點的 URL。這是「外部 URL」。如果此端點尚未存在，則您必須決定此 URL。
記錄反向 Proxy 裝置的外部端點的 IP 位址。
在公用網域的公用 DNS 正向對應區域中，請確定有一筆 A 記錄 (又稱為主機記錄) 可將外部 URL，對應至反向 Proxy 裝置上對網際網路開放的端點的 IP 位址。如果您沒有這一筆 A 記錄，請立即建立。
確定 A 記錄存在對應SharePoint Server伺服器陣列的主機名稱為 IP 位址的內部網路DNS 正向對應區域。如果您沒有尚未此 A 記錄，請立即建立。

重要

如果您在部署過程中設定內部 URL 來存取 Web 應用程式，請記得在內部網路 DNS 正向對應區域中也建立這些 URL 的 A 記錄，並記錄於工作表。

請在「SharePoint 混合式」工作表的表格 3 中記錄下列資訊：

[公用網際網路網域名稱] 資料列：公司公開 DNS 網域的網域名稱。
[外部 URL] 資料列：反向 Proxy 裝置的公開端點的 URL。
[外部端點的 IP 位址] 資料列：反向 Proxy 裝置的外部端點的 URL。

如需 Url 和混合式環境中的主機名稱之關係的詳細資訊，請觀看影片了解 Url 和主機名稱。長度： 6 分鐘。

規劃 Web 應用程式架構

本節將協助您規劃將用於混合式環境的SharePoint Server web 應用程式的架構。

輸入的連線需要在內部SharePoint Server伺服器陣列與SharePoint Online之間的安全通訊通道。此通訊通道上SharePoint Online中的網站集合與內部部署 web 應用程式之間交換資料。

SharePoint Online將要求傳送至會轉送至內部部署SharePoint Server在伺服器陣列中設定 SharePoint 混合式的特定 web 應用程式要求的反向 proxy 伺服器。我們參照此作為主要 web 應用程式。

提示

不論您打算設定多少個混合式解決方案，通常只會使用一個主要 Web 應用程式。您不需要為每一個增加的混合式解決方案額外建立主要 Web 應用程式。

主要 web 應用程式與單一網站集合內的主要 web 應用程式必須設定為接受來自SharePoint Online輸入的連線。

SharePoint 管理員將關聯的服務和支援與主要 web 應用程式所要部署的混合式解決方案所需的 connection 物件。從任何內部SharePoint Server web 應用程式可以進行輸出連線使用的特定功能的設定。

SharePoint Server web 應用程式是做為您建立網站集合的邏輯單位Internet Information Services (IIS)網站所組成。每個 web 應用程式會以不同的 IIS 網站已具有唯一的公用 URL 與之也可以設定成使用最多可以有五個使用備用存取對應 (AAM) 的內部 Url 的唯一或共用應用程式集區來表示。指定的 web 應用程式相關聯的單一內容資料庫及設定成使用特定的驗證方法來連接至資料庫。多個 web 應用程式可以設定為使用不同的驗證方法，並選擇性地 Aam，提供單一的內容資料庫的存取權。

在 web 應用程式的公用 URL 一律會當做中為網站及內容透過 web 應用程式的所有連結的根 URL。請考慮使用公用 URL https://spexternal.adventureworks.com已是內部的 URL https://sharepoint AAM 中所設定的 web 應用程式。當您瀏覽至 [內部 URL https://sharepoint 時、 SharePoint Server會傳回與 URL https://spexternal.adventureworks.com、網站和站台內的所有連結將會都擁有該路徑為基礎的 Url。

備用存取對應 (AAM) 時才需要僅當您設定公用 url 與外部 URL 不同以使用路徑型網站集合的輸入的連線。AAM 可讓您建立與組織內的 SharePoint 網站的內部 URL 關聯的外部 URL。這讓SharePoint Server將要求路由傳送設定在 AAM 中對應的主要 web 應用程式的內部 url。

如需宣告式 Web 應用程式的詳細資訊，請參閱＜在 SharePoint 2013 中建立宣告式 Web 應用程式＞。

如需如何延伸 Web 應用程式的詳細資訊，請參閱＜在 SharePoint 中擴充宣告式 Web 應用程式＞。

如需網站集合的詳細資訊，請參閱＜SharePoint Server 中的網站與網站集合概觀＞。

選擇網站集合策略

決定使用現有 Web 應用程式或建立新的 Web 應用程式之前，必須了解 Web 應用程式和網站集合必須符合才能支援混合式功能的設定需求。使用本節中的資訊，可以判斷建立新 Web 應用程式和網站集合的策略，或判斷是否可以在混合式環境中使用現有 Web 應用程式中的網站集合。

下圖顯示用於判斷網站集合策略的決策流程。

單向輸入或雙向 SharePoint 混合式驗證拓撲的三個可能網站集合策略。

混合式 Web 應用程式的需求

用於混合式功能的 Web 應用程式必須符合所有這些需求：

Web 應用程式的公用 URL 必須與外部 URL 相同。

OAuth 通訊協定提供 SharePoint 混合式解決方案中的使用者授權。SharePoint 內部部署之所有 SharePoint Online 通訊中的主機要求標頭都包含一開始將要求傳送至其中的 URL。若要驗證來自 SharePoint Online 的輸入要求，則在從 SharePoint Online 到主要 Web 應用程式之公用 URL 的所有流量中，內部部署 SharePoint 驗證服務必須可以符合此 URL。這是外部 URL。針對 SharePoint 混合式環境使用主機命名型網站集合的其中一個優點，是您可以設定主機命名型網站集合使用與外部 URL 相同的 URL。這樣就不需要設定備用存取對應。
Web 應用程式必須設定成使用利用 NTLM 的整合式 Windows 驗證。

在支援伺服器對伺服器驗證和應用程式驗證的案例中部署 Web 應用程式時，需要使用 NTLM 的整合式 Windows 驗證。如需詳細資訊，請參閱在 SharePoint Server 中規劃伺服器對伺服器的驗證。

特定網站集合設定的需求

用於混合式功能的網站集合必須符合所有這些需求，也必須存在於或建立在符合 Web 應用程式需求的 Web 應用程式中：

主機命名型網站集合
- Web 應用程式必須支援主機命名型網站集合。
  
  若要建立主機命名型網站集合，必須建立 Web 應用程式來啟用這些網站。建立 Web 應用程式之後就無法啟用此功能。
  
  如需如何建立主機命名型網站集合的詳細資訊，請參閱＜SharePoint Server 中已指定主機的網站集合架構與部署＞。
  
  注意
  
  雖然這是 Web 應用程式需求，但在這裡列出是因為它只適用於具有主機命名型網站集合的環境。
- 內部 DNS 伺服器具有設定分割 DNS。您需要建立用於您的公用 URL 和A （主機）記錄中有SharePoint Server伺服器的 IP 位址和外部 URL 的主機名稱的正向對應區域的公用網際網路網域的正向對應區域。
  
  重要
  
  反向 proxy 裝置必須能夠解析此正向對應區域輸入將要求轉送至SharePoint Server伺服器陣列中的主機名稱。
路徑型網站集合
- 如果公用 URL 與外部 URL 相同：
  
  必須使用分割 DNS 設定內部 DNS 伺服器。您需要建立所使用的公用 URL 和記錄中有SharePoint Server伺服器的 IP 位址和外部 URL 的主機名稱的正向對應區域的公用網際網路網域的正向對應區域。
  
  重要
  
  反向 proxy 裝置必須能夠解析此正向對應區域輸入將要求轉送至SharePoint Server伺服器陣列中的主機名稱。
  
  這樣可以輕鬆地設定 SharePoint 混合式的 Web 應用程式。目標是將新 Web 應用程式的 [公用 URL] 欄位，對應至反向 Proxy 上的公開端點的 URL (又稱為「外部 URL」)。
- 如果公用 URL 與外部 URL 不同：
  
  您需要設定備用存取對應 (AAM) 來轉送來自 SharePoint Online 的輸入要求。
  
  擴充主要 Web 應用程式，以及使用外部 URL 作為 [公用 URL]。然後，在與已擴充 Web 應用程式相同的安全性區域中，建立內部 URL (透過 [新增內部 URL]) 作為橋接 URL。您也會設定反向 Proxy 裝置，將輸入要求從 SharePoint Online 轉送至此橋接 URL。
  
  請記住，備用存取對應 (AAM) 時才需要僅當您設定公用 url 與外部 URL 不同以使用路徑型網站集合的輸入的連線。

注意

請記住，「外部 URL」是反向 Proxy 裝置上對網際網路開放的端點的 URL。

將選擇的網站集合策略記錄在工作表之表 2 的 [網站集合策略] 列中。

選擇現有的 Web 應用程式或建立新的應用程式集區

您可以使用現有的 Web 應用程式或建立 Web 應用程式，做為主要 Web 應用程式。

如果您喜歡另外管理用於混合式功能的 Web 應用程式，或者，如果現有的 Web 應用程式不符合＜選擇網站集合策略＞一節列出的需求，則應該建立新的 Web 應用程式。

在表 2 的 [新或現有 Web 應用程式] 列中記錄您的決策。

規劃使用現有 Web 應用程式

如果您決定使用現有 Web 應用程式作為主要 Web 應用程式，則請收集主要 Web 應用程式的 URL 以及最上層網站集合的 URL，並將它列在工作表上。

在工作表上記錄下列資訊：

根據網站集合策略，將主要 Web 應用程式 URL 記錄在表 5a、5b 或 5c 的 [主要 Web 應用程式 URL] 列中。
如果您是使用現有主機命名型網站集合，請將最上層網站集合 URL 記錄在表 5a 的 [主機命名型網站集合 URL] 列中。

記錄此資訊之後，請移至規劃 SSL 憑證小節。

規劃建立新的 Web 應用程式

如果您決定建立新的 Web 應用程式，我們會在您設定混合式拓撲時指導您怎麼做。

規劃 SSL 憑證

SSL 憑證建立伺服器身分識別和憑證驗證提供數個不同的服務與 SharePoint 混合式環境中的連線。您需要有兩個 SSL 憑證：安全通道 SSL 憑證與STS 憑證。

如需如何在 SharePoint 混合式環境中使用 SSL 憑證的詳細資訊，請參閱SharePoint 2013 混合式拓撲：憑證和驗證模型。

注意

如果您選擇協助保護內部部署 SharePoint 伺服器陣列使用 SSL，您也必須 SSL 憑證的主要 web 應用程式。沒有混合特有的考量此憑證，因此您可以遵循設定SharePoint Server與 SSL 的一般最佳作法。

注意

「安全通道」不是一種憑證類別；我們使用這個字詞來區分此特定憑證與環境中所用的其他 SSL 憑證。

關於安全通道 SSL 憑證

安全通道 SSL 憑證提供驗證及加密的反向 proxy 裝置和Office 365，當成伺服器和用戶端憑證之間的安全通訊通道。它也會驗證用以發佈的內部部署SharePoint Server網站集合的反向 proxy 端點的 identity。

此憑證必須為萬用字元憑證或 SAN 憑證，並由公用根憑證授權單位發行。此憑證的主體欄位必須包含反向 Proxy 伺服器之外部端點的主機名稱，或包含萬用字元 URL 來涵蓋命名空間中所有主機名稱。至少必須使用 2048 位元加密。

重要

萬用字元憑證只能保護單一層級的 DNS 命名空間。例如，如果外部 URL 是 https://spexternal.public.adventureworks.com，則萬用字元憑證的主體必須是 *.public.adventureworks.com，而不是 *.adventureworks.com。

其中SharePoint Online設定成要求來自SharePoint Server資訊的情況下，則 SSL 憑證才能執行下列動作：

加密安全通道上的流量。
讓反向 Proxy 裝置能夠使用憑證驗證來驗證輸入連線。
允許 SharePoint Online 識別並信任外部端點。

在部署期間，您會將 SSL 憑證安裝在反向 Proxy 裝置和 SharePoint Online Secure Store 目標應用程式中。您需要在設定混合式環境基礎結構時完成此設定。

取得安全通道 SSL 憑證

針對內部部署公用網域，取得來自已知憑證授權單位 (例如 DigiCert、VeriSign、Thawte 或 GeoTrust) 的安全通道 SSL 萬用字元或 SAN (主體別名) 憑證。

注意

此憑證必須支援多個名稱，而且必須至少 2048 位元。
憑證的 [主體] 或 [主體名稱] 欄位必須包含「外部 URL」中的網域名稱的萬用字元項目。例如，如果外部 URL 是 https://spexternal.public.adventureworks.com，則萬用字元憑證的主體應該為 *.public.adventureworks.com。
憑證的有效期限通常為一年。因此，請務必事先規劃憑證更新，以免服務中斷。SharePoint 管理員應該安排提醒更換憑證的時間，讓您有足夠的前置時間來避免工作中斷。

將下列項目記錄在表 4b：安全通道 SSL 憑證的工作表上：

此憑證的名稱，以及已儲存在 [安全通道憑證位置和檔案名稱] 列中的位置。
[安全通道 SSL 憑證好記名稱] 列中此憑證的好記名稱。
[憑證類型] 資料列：指定憑證類型 (萬用字元或 SAN)。
[到期日] 資料列：憑證的到期日。
如果此憑證的副檔名為 .pfx，請在 [安全通道 SSL 憑證密碼] 資料列中記錄憑證的密碼。如果您在工作表中更新密碼，請記得以密碼來保護工作表的安全。

關於 STS 憑證

內部部署 SharePoint 伺服器陣列的 STS 憑證要求預設憑證來驗證傳入的 token。在 SharePoint 混合式環境中， Azure Active Directory做為受信任權杖簽署服務和使用的 STS 憑證的簽署憑證。Azure Active Directory無法作為預設 STS 憑證從SharePoint Server簽署憑證因為它無法驗證信任鏈結。

因此，您必須在內部部署 SharePoint 伺服器陣列中每一個伺服器上，將預設 STS 憑證取代為下列憑證：

Azure Active Directory所信任公用憑證授權單位 (CA) 所發出的憑證
自我簽署憑證

稍後當您設定身分識別管理基礎結構時，就會取代預設 STS 憑證。

重要

此憑證至少必須為 2048 位元。
您必須取代SharePoint Server伺服器陣列中的每部網頁伺服器和應用程式伺服器上的 STS 憑證。
憑證的有效期限通常為一年。因此，請務必事先規劃憑證更新，以免服務中斷。

如果您選擇使用自我簽署憑證，則會在部署設定期間建立它。設定從 SharePoint Server 到 SharePoint Online 之間的伺服器對伺服器驗證主題包括針對 SharePoint 建立新自我簽署憑證的步驟。

取得 STS 憑證

請先取得 STS 憑證，再開始設定程序。

將下列項目記錄在表 4a：STS 憑證的工作表上：

STS 憑證好記名稱
STS 憑證路徑\檔案名稱 (*.pfx 檔案)
STS 憑證密碼
STS 憑證路徑\檔案名稱 (*.cer 檔案)
主體名稱
STS 憑證開始日期
STS 憑證結束日期

記錄設定和測試所需的帳戶

SharePoint 混合式環境安裝程序需要您在內部部署 Active Directory 與 Office 365 目錄 (Azure Active Directory所呈現的 Office 365 目錄中的) 的數個使用者帳戶。這些帳戶會有不同的權限及群組或角色的成員資格。部分的帳戶可用來部署及設定軟體，有些不需要修改測試特定的功能有助於確保該安全性和驗證系統已如預期般運作。

如需必要使用者帳戶的完整說明 (包括角色和身分識別提供者的附註)，請移至混合式設定和測試所需的帳戶。
請依指示，將必要帳戶資訊記錄在工作表中。
完成此步驟後，請回到本規劃文件。

後續步驟

此時，您應已完成的填寫 [必要] 工作表輸入連線並準備好可開始設定程序。下一步是選擇設定藍圖。