Konfigurieren eines Webanwendungsproxys für eine Hybridumgebung
GILT FÜR:
2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
In diesem Artikel erfahren Sie mehr über Webanwendungsproxy und wie es für die Verwendung als Reverseproxy für eine SharePoint Server-Hybridumgebung eingerichtet wird.
Bevor Sie beginnen:
Hinweis für Barrierefreiheit: SharePoint Server unterstützt die Barrierefreiheitsfunktionen von üblichen Browsern für die Verwaltung von Bereitstellungen und den Zugriff auf Websites. Weitere Informationen hierzu finden Sie unter Accessibility for SharePoint 2013.
Webanwendungsproxy in einer Hybridumgebung
Webanwendungsproxy ist ein Remotezugriffsdienst in Windows Server 2012 R2 zum Veröffentlichen von Webanwendungen, mit denen Benutzern auf vielen Geräten interagieren können. Der Dienst bietet auch Proxyfunktionalität für Active Directory-Verbunddienste (AD FS). Er hilft Administratoren, einen sicheren Zugriff auf einen AD FS-Server bereitzustellen. Bei Verwenden von Webanwendungsproxy bestimmen Systemadministratoren, wie sich Benutzer bei einer Webanwendung authentifizieren und wer für deren Verwendung autorisiert ist.
In SharePoint Server-Hybridumgebungen, in denen SharePoint in Microsoft 365 Daten von SharePoint Server anfordert, können Sie Windows Server 2012 R2 mit Webanwendungsproxy als Reverseproxygerät verwenden, um Anforderungen aus dem Internet sicher an Ihre lokale SharePoint Server-Farm weiterzuverwenden.
Wichtig
Um Webanwendungsproxy als Reverseproxygerät in einer SharePoint Server-Hybridumgebung zu verwenden, müssen Sie auch AD FS in Windows Server 2012 R2 bereitstellen.
Hinweis
[!HINWEIS] Zum Installieren und Konfigurieren des Webanwendungsproxy-Features müssen Sie lokaler Administrator auf dem Computer sein, auf dem Windows Server 2012 R2 installiert ist. Der Server mit Windows Server 2012 R2, auf dem Webanwendungsproxy ausgeführt wird, kann Mitglieder einer Domäne oder Arbeitsgruppe sein.
Schritt 1: Installieren von AD FS und des Webanwendungsproxy-Features
Informationen zum Installieren von AD FS unter Windows Server 2012 R2 finden Sie unter Übersicht über Active Directory-Verbunddienste.
Informationen zum Installieren des Webanwendungsproxyfeatures in Windows Server 2012 R2 finden Sie unter Installieren von Serverrollen und Features auf einem Server Core-Server.
Schritt 2: Konfigurieren des Webanwendungsproxys
In diesem Abschnitt wird erklärt, wie das Feature Webanwendungsproxy nach seiner Installation konfiguriert wird:
Der Webanwendungsproxy gleicht den Fingerabdruck mit dem sicheren Kanalzertifikat ab, das auf den Server mit dem Webanwendungsproxy im persönlichen Zertifikatspeicher des Computerbenutzers importiert und dort installiert sein muss.
Konfigurieren Sie den Webanwendungsproxy mit einer veröffentlichten Anwendung, die eingehende Anforderungen von Ihrem SharePoint in Microsoft 365-Mandanten akzeptieren kann.
Importieren des Secure Channel SSL-Zertifikats
Sie müssen das Secure Channel SSL-Zertifikat in den persönlichen Speicher des lokalen Computerkontos importieren und anschließend für den privaten Schlüssel des Zertifikats Berechtigungen festlegen, um dem Dienstkonto des Webanwendungsproxydiensts (appproxysvc) Vollzugriff zu gewähren.
Hinweis
Das Standarddienstkonto des Webanwendungsproxydiensts ist der lokale Computer Network Service.
|
Der Ort des Secure Channel SSL-Zertifikats wird in Zeile 1 (Ort und Dateiname des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat gespeichert. Wenn das Zertifikat einen privaten Schlüssel enthält, müssen Sie das Zertifikatkennwort bereitstellen, das in Zeile 4 (Kennwort des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat enthalten ist. |
Weitere Informationen zum Importieren eines SSL-Zertifikats finden Sie unter Importieren eines Zertifikats.
Konfigurieren der veröffentlichten Anwendung
Hinweis
Diese Schritte können nur mithilfe von Windows PowerShell ausgeführt werden.
Geben Sie den folgenden Microsoft PowerShell-Befehl ein, um eine veröffentlichte Anwendung so zu konfigurieren, dass sie Anforderungen von Ihrem SharePoint in Microsoft 365-Mandanten akzeptiert und weitergibt.
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
Dabei gilt:
- <externalUrl> ist die externe URL der Webanwendung. Dies ist die öffentliche URL, an die SharePoint in Microsoft 365 eingehende Anforderungen für SharePoint Server-Inhalte und -Ressourcen sendet.
|
|
Die externe URL ist in Zeile 3 (Externe URL) von Tabelle 3: Infos zur öffentlichen Domäne im SharePoint-Hybridarbeitsblatt gespeichert. |
- <bridging URL> ist die interne URL, die Sie für die primäre Webanwendung in Ihrer lokalen SharePoint Server-Farm konfiguriert haben. Dies ist die URL, an die der Webanwendungsproxy eingehende Anforderungen von SharePoint in Microsoft 365 weitergibt.
|
|
Die Überbrückungs-URL ist an einem der folgenden Orte im SharePoint-Hybridarbeitsblatt gespeichert: Wenn Ihre primäre Webanwendung mit einer Websitesammlung mit Hostnamen konfiguriert ist, verwenden Sie den Wert in Zeile 1 (Primary web application URL) von Table 5a: Primary web application (host-named site collection). Wenn Ihre primäre Webanwendung mit einer pfadbasierten Websitesammlung konfiguriert ist, verwenden Sie den Wert in Zeile 1 (URL der primären Webanwendung) von Tabelle 5b: Primäre Webanwendung (pfadbasierte Websitesammlung ohne AAM). Wenn Ihre primäre Webanwendung mit einer pfadbasierten Websitesammlung mit AAM konfiguriert ist, verwenden Sie den Wert in Zeile 5 (URL der primären Webanwendung) von Tabelle 5c: Primäre Webanwendung (pfadbasierte Websitesammlung mit AAM). |
<friendly name of the published application> ist ein Name, den Sie zum Bestimmen der veröffentlichten Anwendung im Webanwendungsproxy gewählt haben.
<Zertifikatfingerabdruck> ist der Zertifikatfingerabdruck als eine Zeichenfolge ohne Leerzeichen des Zertifikats, das für die adresse verwendet werden soll, die durch den ExternalUrl-Parameter angegeben wird. Dieser Wert sollte zweimal eingegeben werden, einmal für den Parameter ExternalCertificateThumbprint und erneut für den ClientCertificatePreauthenticationThumbprint-Parameter .
|
|
Dies ist der Fingerabdruck des Secure Channel SSL-Zertifikats. Der Ort dieses Zertifikats ist in Zeile 1 (Ort und Dateiname des Secure Channel SSL-Zertifikats) von Tabelle 4b: Secure Channel SSL-Zertifikat gespeichert. |
Weitere Informationen zum Cmdlet Add-WebApplicationProxyApplication finden Sie unter Add-WebApplicationProxyApplication.
Überprüfen der veröffentlichten Anwendung
Überprüfen Sie die veröffentlichte Anwendung mit dem Cmdlet Get-WebApplicationProxyApplication. Geben Sie den folgenden Microsoft PowerShell-Befehl ein:
Get-WebApplicationProxyApplication |fl
Die Ausgabe sollte wie der Inhalt der folgenden Tabelle aussehen.
| ADFSRelyingPartyID |
:<Wird zur Laufzeit ausgefüllt> |
| ADFSRelyingPartyName |
:<Name der vertrauenden Seite> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
: None |
| BackendServerCertificateValidation |
: None |
| BackendServerUrl |
: https://<-URL>/ |
| ClientCertificateAuthenticationBindingMode |
: None |
| ClientCertificatePreauthenticationThumbprint : |
: <Zertifikatfingerabdruck> |
| DisableTranslateUrlInRequestHeaders |
: False |
| DisableTranslateUrlInResponseHeaders |
: False |
| ExternalCertificateThumbprint |
: <Zertifikatfingerabdruck> |
| ExternalPreauthentication |
: PassThrough |
| ExternalUrl |
: https://< externe URL>/ |
| ID |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| Name |
: <Anzeigename der veröffentlichten Anwendung> |
| UseOAuthAuthentication |
: False |
| PSComputerName |
: |
Problembehandlung
Webanwendungsproxy speichert Ereignisse und Fehler in den Windows Server-Ereignisprotokollen von Anwendung und Remotezugriff. Die Protokollierung spielt eine wichtige Rolle bei der Behandlung von Konnektivitäts- und Authentifizierungsproblemen zwischen SharePoint Server und SharePoint in Microsoft 365. Das Ermitteln der Komponente, die einen Verbindungsfehler verursacht, kann mühselig sein, und die Reverseproxyprotokolle sind die ersten Dokumente, in denen Sie nach Hinweisen suchen sollten. Die Problembehandlung kann einen Vergleich der Protokollereignisse in den Webanwendungsproxy-Ereignisprotokollen, SharePoint Server-ULS-Protokollen, Windows Server-Ereignisprotokollen und Internetinformationsdienste (IIS)-Protokollen auf mehreren Servern umfassen.
Weitere Informationen zu Techniken und Tools zur Problembehandlung für SharePoint Server-Hybridumgebungen finden Sie unter Problembehandlung für Hybridumgebungen.
Siehe auch
Konzepte
Hybridlösung für SharePoint Server
Konfigurieren eines Reverseproxygeräts für SharePoint Server-Hybridbereitstellung