本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

實機操作教室: 設定單向輸出混合式拓樸與搜尋

 

適用版本:SharePoint Online, SharePoint Server 2013

上次修改主題的時間:2016-12-16

摘要:建置單向輸出 SharePoint 混合式環境與搜尋測試環境中

在本文中,我們會逐步解說搜尋建立單向輸出 SharePoint 混合式環境的步驟。這是您可以嘗試在測試環境中的範例。當您已經準備好於生產環境中執行這項作業時,請參閱 < 設定混合式同盟的搜尋從 SharePoint Server 2013 to SharePoint Online-藍圖

在這個範例中,我們使用 DirSync 搭配密碼同步處理的身分識別管理。此設定並使用其最簡單的解決方案,我們示範而不設定 Active Directory Federation Services (AD FS) 混合式解決方案的運作方式。

為達成此實驗室中,您需要為SharePoint Server 2013伺服器陣列與Office 365 企業版租用戶。您必須為您SharePoint Server 2013所在的網域的網域系統管理員存取與Office 365租用戶的全域系統管理員存取權。因此建議您為二者設定測試環境。我們會談更詳細的下一節。您也需要您可以利用Office 365註冊網際網路網域。

若要設定的混合輸出拓撲,必須SharePoint Server 2013伺服器陣列與下列服務應用程式設定:

我們建議例如下, 表中的測試環境,仍能得到任何類似環境的運作方式為已設定適當的服務應用程式。

 

虛擬機器 描述

網域控制站

Windows Server 2008年或 2012 與 Active Directory 目錄服務與 Active Directory 憑證服務。

SQL Server

SharePoint Server 2013伺服器陣列的資料庫伺服器。

SharePoint Server 2013

SharePoint Server 2013伺服器陣列的應用程式伺服器。

DirSync

目錄同步處理伺服器與Office 365同步處理帳戶。

用戶端

Windows 7 或 Windows 8 虛擬機器的測試使用者經驗。

我們假設您有類似以上,所述的測試伺服器陣列與我們將會移到稍後您需要設定的使用者設定檔、 憑證和目錄同步處理之特定設定的相關詳細資訊。

設定您的Office 365租用戶包含三個基本步驟:

  1. 註冊 Office 365 免費試用版。

  2. Office 365中註冊您的網域。

  3. 設定測試網域和Office 365示範租用戶之間的 Active Directory 同步處理。

我們在下列各節中的下列步驟在每部上移詳細資料。

如果您已經沒有您可以使用Office 365租用戶,請註冊 30 天免費試用版。

若要註冊Office 365免費試用版
  1. 移至Office 365 企業版 E3

  2. 按一下 [免費試用版

  3. 請遵循精靈註冊免費的試用版。

下一步是Office 365中註冊您的網域。

若要註冊您的網域
  1. 在Office 365系統管理入口網站,在 [管理] 下拉式清單中,選擇 [ Office 365

  2. 在左導覽列中,選擇 [網域]。

  3. 選擇 [新增網域]。

  4. 選擇 [啟動步驟 1

  5. 輸入您的網域名稱,然後按 [下一步

  6. 請遵循指示來新增網域。這些異您用來購買網域。

  7. 在 [步驟 2中,選擇 [我不想要新增使用者來說

  8. 在 [步驟 3中,保留預設設定。

您必須在您剛才登錄Office 365公用網域會比對您的內部 Active Directory 網域中建立 UPN 網域尾碼。然後您必須以想要同步處理Office 365與每個使用者帳戶指派 UPN 網域尾碼。

在內部部署 DNS 中建立 UPN 尾碼
  1. 在您的網域控制站上開啟 [ Active Directory 網域及信任]。

  2. 在左窗格中,於最上層節點上按一下滑鼠右鍵,然後按一下 [內容]。

  3. 在 [ UPN 尾碼] 對話方塊中,輸入您要用於混合式 [替用的 UPN 尾碼] 方塊中的網域尾碼。這是您登錄Office 365的網域。

  4. 按一下 [新增] 及 [確定]

您必須以測試混合式部署與某些使用者帳戶。使用 Active Directory 使用者及電腦新增至您的網域這些效果。置於自己組織單位中的這些使用者帳戶。我們要設定目錄同步處理短時間內,並擁有特定組織單位來同步處理會讓管理更易於長期。

您可以在 [網域] 節點上按一下滑鼠右鍵、 選擇 [新增],然後選擇 [組織單位中 Active Directory 使用者及電腦建立組織單位。一旦您已經建立組織單位,您可以以滑鼠右鍵按一下並選擇 [新增],然後再使用者建立您的組織單位內的使用者。

一旦使用者有,您需要針對每個新增的 UPN 尾碼和電子郵件地址。遵循此程序的每個您要同步處理的使用者。

若要更新的使用者屬性
  1. Active Directory 使用者及電腦,在左窗格中,按一下您建立的組織單位。

  2. 在 [名稱] 欄中,於想要同盟的使用者帳戶上按一下滑鼠,然後按一下 [內容]。

  3. 在 [內容] 對話方塊中,按一下 [帳戶] 索引標籤。

  4. 從下拉式清單中,選取上一個程序中所新增的 UPN 網域尾碼 (如下圖所示)。

    此圖說明「UPN 尾碼」設定
  5. 在 [一般] 索引標籤上的電子郵件] 方塊中,輸入電子郵件地址符合您選取的 UPN。例如,如果您具有Office 365註冊的網域是 contoso.com,電子郵件地址會是username@contoso.com。

接下來,我們將內部部署SharePoint Server 2013環境中設定一些設定。

確認已啟動 [Microsoft SharePoint Foundation 訂閱設定服務。這項服務預設為已停止。您可以使用SharePoint 管理中心網站中的 [伺服器上的服務] 頁面上查看此服務已啟動。

User Profile Service

接下來,我們將看看一些使用者設定檔設定。針對混合式,我們需要與 Active Directory 目錄服務的 [使用者設定檔服務的同步處理連線。如果您尚未一個設定,請使用下列程序來達成。

若要設定同步處理連線
  1. 在管理中心中,按一下 [應用程式管理] 下的 [管理服務應用程式]。

  2. 按一下 [User Profile service 應用程式。

  3. 按一下 [設定同步處理連線]。

  4. 按一下 [建立新的連線

  5. 在 [連線名稱] 中輸入連線的名稱。

  6. 在 [樹系名稱] 方塊中,輸入測試網域,例如,contoso.com 的名稱。

  7. 輸入使用者名稱與網域系統管理員的密碼。

  8. 按一下 [填入容器]。

  9. 依序展開 [網域] 節點,並為您的使用者所建立的組織單位選取此核取方塊。

  10. 按一下 [確定]。

接下來,我們將驗證的使用者設定檔服務中某些使用者屬性。

Work email使用者屬性必須包含您設定 Active Directory 目錄服務中每個使用者的電子郵件地址。此外, User Principal Name屬性必須對應至userPrincipalName屬性。使用下列程序來確認這兩個這些對應。

若要確認使用者設定檔屬性
  1. 在管理中心中,按一下 [應用程式管理] 下的 [管理服務應用程式]。

  2. 按一下 [User Profile service 應用程式。

  3. 按一下 [管理使用者屬性]。

  4. 在 [屬性名稱] 欄中確認使用者主體名稱對應到對應屬性] 欄中的userPrincipalName

  5. 在 [屬性名稱] 欄確認的工作電子郵件會對應至對應屬性] 欄中的郵件

如果任一種屬性不會對應所述,您要更新之對應

同步處理使用者設定檔

確認使用者屬性對應之後,我們需要同步處理的 UPN 網域尾碼和電子郵件地址我們在 Active Directory 網域服務中設定。為達成此目的,您必須啟動設定檔同步處理。

以手動方式啟動設定檔同步處理
  1. 在 SharePoint 管理中心網站上,按一下 [應用程式管理] 區段中的 [管理服務應用程式]。

  2. 在 [管理服務應用程式] 頁面的 [User Profile Service 應用程式] 列中,按一下 [名稱] 欄。

  3. 在 [管理設定檔服務] 頁面的 [同步處理] 區段中,按一下 [啟動設定檔同步處理]。

  4. 在 [啟動設定檔同步處理] 頁面上,選取同步處理您已更新設定檔啟動累加同步處理

  5. 按一下 [確定]。

    注意事項 附註:
    重新整理 [管理設定檔服務] 頁面,以檢視設定檔同步處理狀態。

設定 HTTP 上的 OAuth

SharePoint Server 2013 中的 OAuth 預設需要 HTTPS。如果您將主要 Web 應用程式設定成使用 HTTP (而非 SSL) 來連線 SharePoint Online,則必須在 SharePoint Server 2013 伺服器陣列的每部網頁伺服器上,於 HTTP 上啟用 OAuth。

若要在 HTTP 上啟用 OAuth,請在 SharePoint Server 2013 伺服器陣列的每部網頁伺服器上,使用伺服器陣列管理員帳戶從 SharePoint 2013 管理命令介面 命令提示字元執行下列命令。

$serviceConfig = Get-SPSecurityTokenServiceConfig
$serviceConfig.AllowOAuthOverHttp = $true
$serviceConfig.Update()

接下來,我們需要Office 365Active Directory 目錄服務中設定的使用者同步處理。

設定目錄同步作業中Office 365
  1. 登入您要用以系統管理員身分執行 Active Directory 同步處理的電腦。

  2. 此電腦上,開啟瀏覽器並登入Office 365。

  3. 在Office 365管理入口網站,在 [管理] 下拉式清單中,選擇 [ Office 365

  4. 在左導覽列中,選擇 [使用者],然後按使用中的使用者

  5. Active Directory 同步處理] 旁按一下 [設定]。

  6. [步驟 3、 啟用 Active Directory 同步處理、 [啟動],並再按一下 [啟動]。

  7. 步驟 4 中,安裝及設定目錄同步作業工具,按一下 [下載]。儲存在本機磁碟上的檔案。

接下來,您需要執行檔案儲存至設定目錄同步處理公用程式。

若要設定目錄同步處理
  1. 系統管理員身分執行目錄同步處理設定工具。

  2. 在 [歡迎] 頁面上,按 [下一步]

  3. 輸入全域系統管理員認證Office 365試用承租人,然後按一下 [下一步

  4. 輸入 Active Directory 企業系統管理員認證,然後按 [下一步

  5. 在混合部署] 頁面上,按一下 [下一步]。

  6. 在 [密碼同步處理] 頁面上選取 [啟用密碼同步處理] 核取方塊,然後按一下 [下一步

  7. 完成設定時,請按一下 [下一步]。

  8. 清除同步處理目錄現在] 核取方塊。

    重要事項 重要事項:
    不同步處理目錄尚未。
  9. 按一下 [完成]

依預設,目錄同步處理公用程式會同步處理所有的 Active Directory 目錄服務帳戶。一般而言,儘管如此,您就只想要同步處理、 使用者帳戶和不服務帳戶或伺服器系統管理員帳戶。這就是為什麼我們為我們的使用者建立的組織單位。我們將設定目錄同步處理的只是該一組使用者之前我們一開始實際的同步處理與Office 365。

若要設定目錄同步處理的組織單位
  1. 開啟 [同步處理服務管理員]。這被安裝以目錄同步作業工具在 C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell\miisclient.exe 的預設值。

    注意事項 附註:
    如果您收到錯誤開啟 Synchronization Service Manager,不在電腦的記錄檔和記錄檔備份上一次。
  2. 按一下 [管理代理程式]。

  3. 按兩下 [ Active Directory 連接器

  4. 按一下 [設定目錄磁碟分割

  5. 按一下 [容器]。

  6. 輸入您的網域系統管理員使用者名稱和密碼,然後按一下 [確定]

  7. [選取容器] 對話方塊中,清除所有核取方塊,但不包括為使用Office 365同步處理所建立的組織單位。

  8. 按一下 [確定] 並再次按一下 [確定]

接著,我們我們將手動啟動同步處理的使用者在我們的組織單位中。開啟以管理員身分Windows PowerShell視窗並輸入下列 cmdlet:

Import-module DirSync
Start-OnlineCoexistenceSync

這會啟動 Active Directory 目錄服務和Office 365之間進行同步處理。

如果您需要使用Windows PowerShell,一律手動同步處理Office 365更新會自動在定期排程,但您的目錄同步處理。

Office 365中的使用者授權

您必須指派Office 365您同步處理每位使用者的授權。

若要新增的使用者授權
  1. 全域系統管理員身分登入Office 365 。

  2. 在 [管理] 功能表中選擇 [ Office 365

  3. 依序展開 [使用者],然後按一下 [作用中使用者

  4. 選取 [使用者]。(您有一次選取一位使用者)。

  5. 已指派授權,按一下 [編輯]。

  6. 選擇位置和授權,並按一下 [儲存]。

本節可協助您設定伺服器對伺服器間下列的驗證:

  • SharePoint Server 2013

  • SharePoint Online

  • Azure Active Directory

當您設定的混合式環境的伺服器對伺服器驗證時,您會建立您的內部部署 SharePoint 伺服器陣列和SharePoint Online承租人,它會使用Azure Active Directory為受信任權杖簽署服務之間的信任關係。

以下是本節中您必須完成之程序的高階檢視:

  1. 在 SharePoint Server 2013 中設定 Security Token Service (STS):

    • 建立新的 STS 憑證。

    • 取代 SharePoint Server 2013 伺服器陣列中的各個伺服器上的預設 STS 憑證。

  2. 在 SharePoint Server 2013 伺服器陣列的網頁伺服器上安裝線上服務管理工具。

  3. 設定伺服器對伺服器的驗證:

    • 將新的內部部署 STS 憑證上傳至 SharePoint Online。

    • 將服務主體名稱 (SPN) 新增至 Azure。

    • 向內部部署 SharePoint Server 2013 登錄 SharePoint Online 應用程式主體物件識別碼。

    • 設定內部部署 SharePoint Server 2013 伺服器陣列與 SharePoint Online 之間的一般驗證領域。

    • 設定Azure Active Directory應用程式 proxy 內部部署。

注意事項 附註:
若要讓您輕鬆將完成本節中的步驟,您應該開啟SharePoint Server 2013網頁伺服器上的單一Windows PowerShell命令提示字元視窗並使用之所有程序。
提示 提示:
想要保留在步驟、 Windows PowerShell cmdlet 執行,以及您可能會發生任何錯誤記錄。您應設定Windows PowerShell視窗為最大可能緩衝區大小,並完成之後再關閉視窗然後擷取Windows PowerShell緩衝區的所有內容。這可讓您記錄您執行的步驟是如果您必須疑難排解或其他人說明的程序很有幫助。這也可以是有用如果安裝程式發生問題階段重新整理記憶體。

您必須取代SharePoint Server中的 STS 憑證。是您內部部署 SharePoint 網站集合的 Security Token Service 與SharePoint Online租用戶之間建立信任此憑證的工作。這可讓 STS 服務及Azure Active Directory來登入經驗證使用者的安全性權杖。

生產環境中,我們建議您新的 STS 憑證公用憑證授權單位 (CA) 所發出。這可讓您最高層級的安全性憑證並降低機會自我簽署的憑證會有其他應用程式及服務的整合問題。我們將在此實驗室中使用 ca 憑證。

重要事項 重要事項:
此憑證必須至少 2048年位元加密。

在此步驟中,您會建立新的 SSL 憑證來作為您的 STS 憑證。您這麼做兩個檔案格式:

  • .pfx (含有私密金鑰)。

  • .cer (不包含私密金鑰)。

這些程序全部應執行的憑證授權單位的電腦上。

若要建立的憑證範本
  1. 按一下 [開始]、 按一下 [執行]、 輸入certsrv.msc,並按一下 [確定]

  2. 展開節點。

  3. 以滑鼠右鍵按一下 [憑證範本],然後按一下 [管理

  4. 以滑鼠右鍵按一下 [Web 伺服器範本,然後按一下 [複製範本

  5. 在 [一般] 索引標籤中,輸入範本顯示名稱

  6. 密碼編譯索引標籤上,確認 [最小金鑰大小設為2048年

  7. 處理要求] 索引標籤上選取 [允許私密金鑰要匯出] 核取方塊。

  8. 在 [安全性] 索引標籤:

    • 按一下 [新增]。

    • 按一下 [物件類型]、 選取 [電腦] 並按一下 [確定]

    • 輸入電腦 (在電腦上登入),執行您的憑證授權單位的名稱並按一下 [確定]

    • 群組或使用者名稱] 中選取該電腦,並選取 [允許讀取」、 「寫入」 及 「註冊 」權限。

  9. 按一下 [確定]。

關閉 [憑證範本] 主控台中,但是讓憑證授權單位主控台保持開啟以便進行下一個程序。

發出憑證範本
  1. 在憑證授權單位主控台中,以滑鼠右鍵按一下 [憑證範本、 按一下 [新增] 和 [憑證範本] 問題

  2. 選擇您剛才建立的範本,並按一下 [確定]

接下來,您必須要求憑證。

若要要求憑證
  1. 按一下 [啟動、 按一下 [執行]、 輸入mmc,並再按一下 [確定]

  2. 按一下 [檔案] 和 [新增/移除嵌入式管理單元

  3. 選擇 [憑證] 嵌入式管理單元,然後按一下 [新增]

  4. 選擇 [電腦帳戶]、 按一下 [下一步,和 [完成時間

  5. 按一下 [確定]。

  6. 依序展開 [憑證] 節點。

  7. 依序展開 [個人、 以滑鼠右鍵按一下 [憑證、 選擇 [所有工作],然後選擇要求新憑證]

  8. 在 [憑證註冊精靈] 中按一下 [下一步]。

  9. 選擇 [ Active Directory 註冊原則] 中,並按一下 [下一步

  10. 尋找您建立的憑證範本並按一下 [按一下此處進行設定

  11. [主旨] 索引標籤選擇一種類型一般名稱、 在 [] 方塊中,輸入SharePoint Server應用程式伺服器的名稱並按一下 [新增]。

  12. 在 [一般] 索引標籤上輸入易記名稱

  13. 按一下 [確定]。

  14. 選取您建立的範本] 核取方塊,然後按一下 [註冊

  15. 按一下 [完成]

讓 [憑證] 主控台保持開啟以便進行下一個程序。

匯出憑證與私密金鑰
  1. 中的個人憑證存放區中,尋找您剛才建立之憑證。(如您所選擇的易記名稱的易記名稱] 欄中尋找)。

  2. 按兩下 [憑證]。

  3. 在 [詳細資料] 索引標籤上,按一下 [複製到檔案]。

  4. 按一下 [憑證匯出精靈] 的 [下一步]。

  5. 選擇 [是,匯出私密金鑰] 選項,並按一下 [下一步

  6. 按 [下一步]。

  7. 選取 [密碼] 核取方塊,輸入並確認密碼並再按 [下一步

  8. 輸入.pfx 副檔名的路徑和檔案名稱,然後按 [下一步

  9. 按一下 [完成]

  10. 按一下 [確定]匯出已成功] 對話方塊,並再按一下[確定]以關閉 [憑證] 對話方塊。

保持開啟以便進行下一個程序的個人憑證存放區。

若要匯出的私密金鑰而憑證
  1. 按兩下您所建立的憑證。

  2. 在 [詳細資料] 索引標籤上,按一下 [複製到檔案]。

  3. 按一下 [憑證匯出精靈] 的 [下一步]。

  4. 選擇 [否,不要匯出私密金鑰] 選項,並按一下 [下一步

  5. 選取 [ Base 64 編碼 X.509 (。CER)選項,然後按一下 [下一步

  6. 輸入.cer 副檔名的路徑和檔案名稱,然後按 [下一步

  7. 按一下 [完成]

  8. 按一下 [確定]匯出已成功] 對話方塊,並再按一下[確定]以關閉 [憑證] 對話方塊。

我們設定混合式連線,因此您要在其中您可以從SharePoint Server應用程式伺服器存取這些位置儲存這些檔案時需要這些匯出的憑證。

若要取代 Windows 憑證存放區中的 STS 憑證,請在SharePoint Server伺服器陣列中每部伺服器上遵循下列步驟。

取代憑證存放區中的 STS 憑證
  1. 確認執行此程序的使用者帳戶是伺服器陣列管理員群組的成員。

  2. 按一下 [開始] > [執行]。

  3. 輸入mmc,並按 Enter。

  4. 移至 [檔案] > [新增/移除嵌入式管理單元] > [憑證] > [新增] > [電腦帳戶] > [下一步] > [完成],然後按一下 [確定]。

  5. 按一下加號展開 [憑證],以滑鼠右鍵按一下 [信任的根憑證授權單位] > [所有工作] > [匯入]。

  6. 按 [下一步]。隨即顯示 [歡迎使用憑證匯入精靈] 對話方塊。

  7. 按一下 [瀏覽]。選取您要匯入的 *.cer 檔案名稱,按一下 [開啟舊檔],然後按 [下一步]。

  8. Certificate Store、 [將以下的存放區中的所有憑證都放、 確定已選擇Trusted Root Certification Authorities ,然後再按 [下一步

  9. 按一下 [完成]

  10. 以滑鼠右鍵按一下 [企業信任>所有任務>匯入

  11. 按 [下一步]。隨即顯示 [歡迎使用憑證匯入精靈] 對話方塊。

  12. 按一下 [瀏覽]。選取您要匯入的 *.cer 檔案名稱,按一下 [開啟舊檔],然後按 [下一步]。

  13. Certificate Store、 [將以下的存放區中的所有憑證都放、 確定已選擇Enterprise Trust ,然後再按 [下一步

  14. 按一下 [完成]

如果您在SharePoint Server伺服器陣列中有其他前端網頁伺服器和應用程式伺服器,重複此程序在這些項目的。

在此程序,您將更新 STS 服務的設定。

使用 SharePoint 2013 管理命令介面 取代 STS 憑證
  1. 登入 SharePoint Server 伺服器陣列中的伺服器。

  2. 啟動 SharePoint 2013 管理命令介面。

  3. 為了協助確保您未填滿緩衝區以及未遺失任何命令歷程記錄,請增加Windows PowerShell視窗的緩衝區大小執行下列動作:

    1. 按一下 Windows PowerShell 視窗的左上角,然後按一下 [內容]。

    2. 在 Windows PowerShell [內容] 視窗中,按一下 [版面配置] 索引標籤。

    3. 在 [螢幕緩衝區大小] 下,將 [高度] 欄位設定為 [9999],然後按一下 [確定]。

  4. 將複製您組織特有,然後將其貼入 [記事本] 之類的文字編輯器的下列變數宣告的下列值。

    • <path to replacement certificate (.pfx file)>
      e.g. c:\certificates\NewSTScert.pfx

    • <certificate password>

  5. 在 Windows PowerShell 命令提示字元處,貼入下列命令:

    $pfxPath = "<path to replacement certificate (.pfx file)>"
    $pfxPass = "<certificate password>"
    $stsCertificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 $pfxPath, $pfxPass, 20
    Set-SPSecurityTokenServiceConfig -ImportSigningCertificate $stsCertificate
    iisreset
    net stop SPTimerV4
    net start SPTimerV4
    
    注意事項 附註:
    如果成功執行這些命令不會顯示任何輸出。
  6. 若要驗證這個步驟,在每一個伺服器陣列,在Windows PowerShell命令提示字元處輸入:

    $stsCertificate |fl
    

    在螢幕的輸出中,確定憑證有好記的新名稱。

如果您在SharePoint Server伺服器陣列中有其他前端網頁伺服器和應用程式伺服器,重複此程序在這些項目的。

保持開啟程序的下一組Windows PowerShell視窗。

在內部SharePoint Server 2013伺服器上安裝這些工具來執行下列動作:

  1. 安裝 Microsoft Online Services 登入小幫手:

    Microsoft Online Services 登入小幫手的 IT 專業人員 BETA (64 位元版本)(https://go.microsoft.com/fwlink/?LinkId=391943)

  2. 安裝Windows PowerShell 的 Azure Active Directory 模組:

    Azure Active Directory Module for Windows PowerShell (64 位元版本)(https://go.microsoft.com/fwlink/p/?linkid=236297)

  3. 安裝 SharePoint Online 管理命令介面:

    SharePoint Online 管理命令介面 (64 位元版本)(https://go.microsoft.com/fwlink/?LinkId=392323)

下一步是以載入您下載讓您可以用於Windows PowerShell工作階段的模組。複製到您Windows PowerShell工作階段的下列命令並按 Enter 鍵。

Add-PSSnapin Microsoft.SharePoint.PowerShell
Import-Module Microsoft.PowerShell.Utility
Import-Module MSOnline -force
Import-Module MSOnlineExtended -force
Import-Module Microsoft.Online.SharePoint.PowerShell -force

如果您稍後需要再次執行任何設定步驟,請一定要再次執行這些命令,以在 Windows PowerShell 中載入所需的模組和嵌入式管理單元。

現在您需要設定的Windows PowerShell遠端處理。Windows PowerShell命令提示字元處輸入下列命令:

enable-psremoting
new-pssession

我們將步驟的一些需要您租用戶登入。若要登入您SharePoint Online租用戶Windows PowerShell命令提示字元處輸入下列命令:

$cred=Get-Credential
Connect-MsolService -Credential $cred

系統提示您登入。您需要使用Office 365全域管理員帳戶登入。

持續開啟 Windows PowerShell 視窗。在此程序的後續步驟中,您會需要它。

既然您已安裝工具可遠端管理Azure Active Directory和SharePoint Online,即準備好設定伺服器對伺服器驗證。

本節說明您可設定的程序中的變數。這些變數包含許多其餘的組態步驟中所使用的重要資訊。

 

Variable

Comments

$spcn

公用網域的根網域名稱。這個值不應該在 url 中 ;它應該具有no protocoldomain name only

這是您在Office 365中註冊的網域。

例如,contoso.com。

$spsite

內部部署主要 web 應用程式,例如http://sharepointhttps://sharepoint.contoso.com內部 URL。這個值是使用適當的通訊協定 ( http://https://) 的完整 URL。

$site

內部部署主要 Web 應用程式的物件。填入此變數的命令會取得 $spsite 變數中所指定網站的物件。

會自動填入此變數。

$spoappid

SharePoint Online 應用程式主體識別碼一律是 00000003-0000-0ff1-ce00-000000000000。這個一般值會識別 Office 365 承租人中的 SharePoint Online 物件。

$spocontextID

SharePoint Online 承租人的內容識別碼 (ObjectID)。這個值是可識別 SharePoint Online 承租人的唯一 GUID。

執行命令來設定變數時,會自動偵測這個值。

$metadataEndpoint

Azure Active Directory proxy 用來連線至Azure Active Directory租用的 URL。

您不需要輸入此變數的值。

現在,您已識別需要設定的變數,請使用這些指示來設定它們。預先填入最常用的變數,應該可協助您更快速地執行其餘步驟。只要未關閉 Windows PowerShell 工作階段,就會持續填入這些變數。看到角括弧 (< >) 時,請小心地提供精確資訊,而且一律先移除角括弧,再執行命令。請不要變更角括弧外部的程式碼。

注意事項 附註:
如果您稍後必須重新執行其中的任何設定步驟,則應該在此步驟中執行下列 Windows PowerShell 命令,以重新填入重要變數。

複製下列變數宣告並將它們貼到 [記事本] 之類的文字編輯器。設定您的組織特定輸入的值。您設定線上服務管理工具Windows PowerShell命令提示字元處執行下列命令:

$spcn="*.<public_root_domain_name>.com"
$spsite=Get-Spsite <principal_web_application_URL>
$site=Get-Spsite $spsite
$spoappid="00000003-0000-0ff1-ce00-000000000000"
$spocontextID = (Get-MsolCompanyInformation).ObjectID
$metadataEndpoint = "https://accounts.accesscontrol.windows.net/" + $spocontextID + "/metadata/json/1"

填入這些變數之後,只要在 Windows PowerShell 視窗中輸入變數名稱,即可檢視其值。例如,輸入 $metadataEndpoint 會傳回與下面類似的值:

https://accounts.accesscontrol.windows.net/00fceb75-246c-4ac4-a0ad-7124xxxxxxxx/metadata/json/1

在此步驟中,您會將新的 STS 憑證上傳到 SharePoint Online 承租人,以讓 SharePoint Server 2013 和 SharePoint Online 連線以及使用彼此的服務應用程式。

此圖說明將 STS 憑證上傳至 SharePoint Online 時所牽涉的架構

此步驟中的命令會將新的內部部署 STS 憑證和私密金鑰新增至您 Office 365 租用的 SharePoint Online主體物件

注意事項 附註:
這些步驟使用 .pfx 和 .cer 格式的 STS 憑證檔案。

複製下列變數宣告,並將它們貼到 [記事本] 之類的文字編輯器。設定輸入的值特定到您的組織與Windows PowerShell命令提示字元處,輸入下列命令:

$cerPath = "<path to replacement certificate (.cer file)>"
$cer = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 -ArgumentList $pfxPath, $pfxPass
$cer.Import($cerPath)
$binCert = $cer.GetRawCertData()
$credValue = [System.Convert]::ToBase64String($binCert);
New-MsolServicePrincipalCredential -AppPrincipalId $spoappid -Type asymmetric -Usage Verify -Value $credValue

在此步驟中,您可以將服務主要名稱 (SPN) 新增至Azure Active Directory租用。

若要將 SPN 新增至Azure Active Directory,請在Windows PowerShell 的 Azure Active Directory 模組命令提示字元處輸入下列命令。

$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames
$spns.Add("$spoappid/$spcn") 
Set-MsolServicePrincipal -AppPrincipalId $spoappid -ServicePrincipalNames $spns

若要驗證已設定的 SPN,請在 Windows PowerShell 的 Azure Active Directory 模組 命令提示字元處輸入下列命令。

$msp = Get-MsolServicePrincipal -AppPrincipalId $spoappid
$spns = $msp.ServicePrincipalNames 
$spns

您應該會看到 Office 365 租用中 SharePoint Online 的目前 SPN 清單,而且其中一個 SPN 應該包括您的公用根網域名稱 (前面會加上 SharePoint Online 應用程式主體識別碼)。此登錄是萬用字元登錄,而且應該如下例所示:

00000003-0000-0ff1-ce00-000000000000/*.<公用網域名稱>.com

這應該是含有公用根網域名稱的清單中「唯一」的 SPN。

這個步驟將向內部部署 SharePoint 應用程式管理服務登錄 SharePoint Online 應用程式主體物件 ID,這允許使用 OAuth 向 SharePoint Online 驗證 SharePoint Server 2013。

Windows PowerShell命令提示字元處輸入下列命令:

$spoappprincipalID = (Get-MsolServicePrincipal -ServicePrincipalName $spoappid).ObjectID
$sponameidentifier = "$spoappprincipalID@$spocontextID"
$appPrincipal = Register-SPAppPrincipal -site $site.rootweb -nameIdentifier $sponameidentifier -displayName "SharePoint Online"

若要驗證這個步驟, Windows PowerShell命令提示字元處輸入下列命令:

$appPrincipal | fl

預期的輸出是已登錄的應用程式主體名稱為SharePoint Online的描述。

這個步驟會將 SharePoint Server 2013 伺服器陣列的驗證領域設定為組織 Office 365 租用的內容 ID。

在 Windows PowerShell 命令提示字元處,輸入下列命令:

Set-SPAuthenticationRealm -realm $spocontextID

若要驗證這個步驟, Windows PowerShell命令提示字元處輸入下列命令:

$spocontextID
 Get-SPAuthenticationRealm

各個命令的輸出是代表 SharePoint Online 租用內容識別碼的 GUID。這些 GUID 應該相同。

重要事項 重要事項:
如果所設定的伺服器陣列設定指令碼指定伺服器陣列驗證領域值,則應該將設定指令碼更新為新的值。
您現在已設定參與的混合式設定此 SharePoint 伺服器陣列,因為 SharePoint 伺服器陣列驗證領域值一定必須符合的租用戶內容識別碼。如果您變更這個值,「 混合 」 功能會停止運作。

在此步驟中,您可建立SharePoint Server 2013伺服器陣列中的Azure Active Directory proxy 服務。這可讓Azure Active Directory為受信任權杖發行者的SharePoint Server 2013會使用登入及驗證從SharePoint Online宣告 token。

在 Windows PowerShell 命令提示字元處,輸入下列命令。

New-SPAzureAccessControlServiceApplicationProxy -Name "ACS" -MetadataServiceEndpointUri $metadataEndpoint -DefaultProxyGroup
New-SPTrustedSecurityTokenIssuer -MetadataEndpoint $metadataEndpoint -IsTrustBroker:$true -Name "ACS"

若要驗證New-SPAzureAccessControlServiceApplicationProxy命令,在管理中心,按一下 [安全性] >一般安全性>管理信任,並確定您具有名稱開頭為ACS開頭且類型為受信任服務取用者的項目。

若要驗證這個步驟, Windows PowerShell命令提示字元處輸入下列命令:

Get-SPTrustedSecurityTokenIssuer

預期的輸出是伺服器陣列受信任權杖發行者的描述,其中 RegisteredIssuerName 屬性的值如下:

00000001-0000-0000-c000-000000000000@<內容識別碼>

< 內容識別碼 > 所在您是在 $spocontextID 變數值的SharePoint Online租用的內容識別碼。

設定混合式連線,我們將會開啟設定搜尋以提供從SharePoint Server和Office 365我們SharePoint Server搜尋入口網站中的同盟的搜尋結果。

第一個步驟是建立結果來源。

建立結果來源
  1. 檢查執行此程序所用的使用者帳戶是否為您要設定之 Search Service 應用程式的管理員。

  2. 在 SharePoint Server 2013 部署中,在 管理中心 的 [應用程式管理] 區段按一下 [管理服務應用程式]。

  3. 針對您要新增的結果來源,按一下 [Search Service 應用程式]。

  4. 在 Search Service 應用程式的 [搜尋管理] 頁面上,按一下 [快速啟動] 中的 [結果來源]。

  5. 在 [管理結果來源] 頁面中,按一下 [新的結果來源] 。

  6. 在 [新增結果來源] 頁面上,執行下列動作:

    1. 在 [一般資訊] 區段的 [名稱] 文字方塊中,輸入新結果來源的名稱 (例如,Get results from SharePoint Online)。

    2. 在 [通訊協定] 區段中,選取 [遠端 SharePoint]。

    3. 在 [遠端服務 URL] 區段中,輸入要取得搜尋結果的 SharePoint Online 根網站集合位址,例如 https://adventure-works.sharepoint.com

    4. 在 [類型] 區段中,選取 [SharePoint 搜尋結果]。

    5. 保留預設查詢轉換。

    6. 在 [認證資訊] 區段中,選取 [預設驗證]。

    7. 按一下 [儲存] 以儲存新結果來源。

留在此頁面來建立查詢規則。

建立查詢規則
  1. 在 [快速啟動] 中,按一下 [查詢規則]。

  2. 在 [選取結果來源] 下拉式清單中,選取 [本機 SharePoint 結果]。

  3. 按一下 [新增查詢規則]。

  4. 在 [新增查詢規則] 頁面上,執行下列動作:

    1. 在 [一般資訊] 區段的 [規則名稱] 文字方塊中,輸入新查詢規則的名稱 (例如,Show results from SharePoint Online)。

    2. 如果 [內容] 區段已摺疊,請按一下 [內容] 旁邊的箭頭加以展開。

    3. 在 [內容] 區段的 [查詢會在這些來源上執行,選取 [所有來源]。

    4. 在 [查詢條件] 區段中,按一下 [移除條件]。

    5. 在 [執行] 區段的 [結果區塊] 下,按一下 [新增結果區塊]。

    6. 在 [新增結果區塊] 對話方塊中,執行下列動作:

      1. (選用) 在 [區塊標題] 區段的 [標題] 文字方塊中,變更要在搜尋結果頁面的結果區塊上方顯示的文字標題 (例如來自 SharePoint Online (內部部署) 的 "{subjectTerms}" 結果)。

      2. 在 [查詢] 區段的 [設定查詢] 文字方塊中,保留預設查詢{subjectterms}。

      3. 在 [查詢] 區段的 [搜尋此來源] 下拉式清單中,選取您建立結果來源的名稱。

      4. 在 [查詢] 區段的 [項目] 下拉式清單中,選取要在搜尋結果頁面的結果區塊中顯示的 SharePoint Online 搜尋結果數。

        例如,選取 [3] 將在此結果區塊中顯示 3 筆 SharePoint Online 結果。

      5. 如果已摺疊 [設定] 區段,請按一下 [設定] 旁邊的箭頭加以展開。

      6. 在 [設定] 區段中選取 [此區塊永遠會核心結果上方]。這是最適合選項進行測試。

      7. 按一下 [確定] 新增結果區塊。

    7. 在 [新增查詢規則] 頁面中,如果 [發佈] 區段已摺疊,請按一下 [發佈] 旁邊的箭頭加以展開。

    8. 在 [新增查詢規則] 頁面上 [發佈] 區段中選取為作用中。使用中查詢規則時,它就會引發查詢條件符合時。

    9. 按一下 [儲存]

下一步是嘗試搜尋。請確認您是否已SharePoint Server 2013及SharePoint Online可搜尋的上傳某些檔案。也請確定您已啟動編目SharePoint Server 2013上以便將檔案顯示在搜尋索引中。(編目自動完成中SharePoint Online。)

嘗試從 SharePoint Server 2013 搜尋中心搜尋
  1. 以已經在 SharePoint Online 中啟用且有權檢視 SharePoint Online 根網站集合的使用者身分登入 SharePoint Server 2013 部署。

  2. 瀏覽至 SharePoint Server 2013 部署中的企業搜尋中心。

  3. 在企業搜尋中心,執行下列動作:

    1. 在搜尋方塊中,輸入測試查詢,例如貴公司的名稱。

      確定測試查詢可產生來自 SharePoint Server 2013 搜尋索引和 SharePoint Online 搜尋索引的搜尋結果。

    2. 按一下 [搜尋] 圖示,或按 Enter。

  4. 在搜尋結果頁面上,您應該會看見 SharePoint Server 2013 搜尋索引的結果,以及 SharePoint Online 搜尋索引結果的結果區塊。

如果看不到兩個搜尋索引的搜尋結果,檢查 SharePoint 統一登入服務 (ULS) 記錄,也稱為 SharePoint 追蹤記錄檔。如需詳細資訊,請參閱概觀 (英文) 的統一記錄系統 (ULS) 記錄

https://technet.microsoft.com/zh-tw/library/cc262327.aspx
顯示: