Freigeben über


Konfigurieren der Konnektivität zwischen Microsoft 365 und SharePoint Server

GILT FÜR:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

**This article is part of a roadmap of procedures for configuring SharePoint hybrid solutions. Be sure you're following a roadmap when you do the procedures in this article. **

Dieser Artikel enthält Anleitungen zum Bereitstellungsprozess der SharePoint-Hybridumgebung, bei dem SharePoint Server und SharePoint in Microsoft 365 integriert werden.

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Bevor Sie beginnen

Hinweis für Barrierefreiheit: SharePoint Server unterstützt die Barrierefreiheitsfunktionen von üblichen Browsern für die Verwaltung von Bereitstellungen und den Zugriff auf Websites. Weitere Informationen hierzu finden Sie unter Accessibility for SharePoint 2013.

Wenn Sie dies noch nicht getan haben, lesen Sie Planen der Konnektivität von Microsoft 365 mit SharePoint Server , bevor Sie mit der Konfiguration beginnen. Dies ist wichtig, da der Planungsartikel Ihnen dabei hilft, wichtige Entscheidungen zu treffen und sie auf dem Arbeitsblatt für die SharePoint-Hybridbereitstellung aufzuzeichnen, das im restlichen Teil dieses Artikels als Arbeitsblatt bezeichnet wird. Diesem Arbeitsblatt können Sie wiederum entnehmen, welche der in diesem Artikel enthaltenen Verfahren Sie verwenden und welche Sie überspringen sollten.

Wenn Sie den Planungsartikel gelesen haben, sollten Sie bereits Folgendes getan haben:

  • Entscheiden Sie, welche Websitesammlungsstrategie Sie für die Hybridbereitstellung konfigurieren möchten.

  • Ob Sie eine vorhandene Webanwendung verwenden oder eine Webanwendung für die Hybridumgebung erstellen

Symbol Beschreibung
Symbol Diese Entscheidungen sind in Tabelle 2 des Arbeitsblatts eingetragen. Wenn dies nicht der Fall ist, lesen Sie Plan connectivity from Microsoft 365 to SharePoint Server (Planen der Konnektivität von Microsoft 365 zu SharePoint Server ), und treffen Sie diese Entscheidungen, bevor Sie fortfahren.

Tipps zum Arbeitsblatt

Es wird viel einfacher, wenn alle relevanten Informationen in das SharePoint-Hybridarbeitsblatt eingegeben werden, bevor Sie mit der Konfiguration beginnen. Um diesen Artikel zu verwenden, müssen Sie sich zumindest über die folgenden Punkte im Klaren sein:

Tabelle: Entscheidungen, die bereits im Arbeitsblatt zur SharePoint-Hybridumgebung eingetragen sein sollten

Entscheidung Stelle im Arbeitsblatt
Verwenden Sie eine vorhandene Webanwendung für die Hybridumgebung, oder erstellen Sie eine neue?
Tabelle 2, Zeile Neue oder vorhandene Webanwendung
Welche Websitesammlungsstrategie verwenden Sie?
Tabelle 2, Zeile Websitesammlungsstrategie
Was ist die externe URL?
Tabelle 3, Zeile Externe URL
Wie lautet die IP-Adresse des Endpunkts mit Internetzugriff auf dem Reverseproxygerät, dem die externe URL zugeordnet ist?
Tabelle 3, ZeileIP-Adresse des externen Endpunkts

Stellen Sie sicher, dass diese Entscheidungen im Arbeitsblatt eingetragen wurden, bevor Sie fortfahren.

Konfigurationsphasen

Um die Umgebungsinfrastruktur zu konfigurieren, benötigen Sie sowohl SharePoint Server-Schnittstellen wie die Website der SharePoint-Zentraladministration als auch die Verwaltungsseiten in SharePoint in Microsoft 365. Damit Sie nicht öfter als nötig zwischen diesen Schnittstellen wechseln müssen, haben wir die Konfigurationsschritte in die folgenden Phasen unterteilt:

Führen Sie jeden Konfigurationsschritt in der in diesem Artikel angegebenen Reihenfolge aus.

Wichtig

Es wird Ihnen empfohlen, Ihre Bereitstellungsstrategie sorgfältig zu dokumentieren und während des Konfigurationsprozesses für die Hybridumgebung ausführliche Arbeitsprotokolle zu führen. In einem komplexen Implementierungsprojekt ist eine ausführliche Dokumentation sämtlicher Entwurfsentscheidungen, Serverkonfigurationen, Verfahren und Ausgaben eine sehr wichtige Referenz für Fehlerbehebung, Support und Sachkenntnis.

Vorbereiten Ihrer öffentlichen Domäne

Damit Microsoft 365 Anforderungen an den externen Endpunkt Ihres Reverseproxygeräts senden kann, benötigen Sie Folgendes:

  • Sie verfügen über eine öffentliche Domäne, die bei einer Domänenregistrierungsstelle wie GoDaddy.com eingetragen ist, mit der die URL des externen Endpunkts des Reverseproxygeräts verknüpft ist.

  • Ein A-Eintrag in der DNS-Zone Ihrer öffentlichen Domäne, der der veröffentlichten SharePoint in Microsoft 365-Website zugeordnet ist (dies ist die externe URL, z. B. spexternal.adventureworks.com). Dadurch kann Microsoft 365 Anforderungen an den externen Endpunkt auf dem Reverseproxygerät senden, das für hybrid konfiguriert ist. Dieser A-Datensatz ordnet die externe URL der IP-Adresse des Internet-Endpunkts des Reverseproxygeräts zu. Weitere Informationen finden Sie unter Planen der Konnektivität von Microsoft 365 mit SharePoint Server.

Wenn Sie noch nicht über eine öffentliche Domäne verfügen, die Sie für diesen Zweck verwenden möchten (z. B. adventureworks.com), rufen Sie jetzt eine ab, und erstellen Sie dann diesen A-Eintrag. Wenn Sie dies bereits in der Planungsphase getan haben, sollten der Name Ihrer öffentlichen Domäne und die IP-Adresse, die Sie zur Erstellung dieses A-Datensatzes benötigen, im Arbeitsblatt in Tabelle 3 eingetragen sein.

Sie müssen die Schritte im Artikel Verbinden Ihrer Domäne mit Microsoft 365 ausführen, um microsoft 365 den Hostnamen Ihrer öffentlichen Domäne hinzuzufügen.

Konfigurieren von SharePoint Server

In diesem Abschnitt erfahren Sie, wie Sie die SharePoint Server-Farm für die Verwendung in einer eingehenden Hybridlösung konfigurieren. Wir haben die Schritte für diesen Abschnitt in die folgenden Phasen unterteilt. Führen Sie die Verfahren in der angegebenen Reihenfolge aus, um möglichst zuverlässige Ergebnisse zu erhalten.

  • Konfigurieren einer Websitesammlungsstrategie

  • Zuweisen eines UPN-Domänensuffix

  • Synchronisieren von Benutzerprofilen

  • Konfigurieren von OAuth über HTTP (falls erforderlich)

Hinweis

Bei den Verfahren in diesem Abschnitt wird davon ausgegangen, dass Sie über eine vorhandene SharePoint Server-Farm verfügen, die Sie für hybride Funktionen verwenden möchten.

Konfigurieren einer Websitesammlungsstrategie

In einer Hybridumgebung werden Daten zwischen der Stammwebsitesammlung in SharePoint in Microsoft 365 und einer bestimmten Webanwendung in der lokalen SharePoint-Farm ausgetauscht, die für hybrid konfiguriert ist. Wir bezeichnen diese als die primäre Webanwendung. Diese Webanwendung ist der zentrale Ausgangspunkt für die Konfiguration Ihrer Websitesammlungsstrategie.

Sie sollten in der Planungsphase entschieden haben, ob Sie eine bestehende Webanwendung verwenden oder eine neue erstellen möchten, und welche Websitesammlungsstrategie Sie konfigurieren. Falls Sie diese Entscheidungen getroffen haben, sind Ihre Entscheidungen im Arbeitsblatt in Tabelle 2 in der Zeile Websitesammlungsstrategie eingetragen. Wenn Sie sich noch nicht entschieden haben, lesen Sie den Artikel Planen der Konnektivität von Microsoft 365 mit SharePoint Server , und treffen Sie diese Entscheidungen, bevor Sie fortfahren.

Wählen Sie eine der folgenden Strategien für die Konfiguration einer Websitesammlungsstrategie:

Konfigurieren einer Websitesammlungsstrategie mithilfe einer hostbenannten Websitesammlung

Wenn Sie für die SharePoint-Hybridumgebung eine Websitesammlungsstrategie mithilfe einer hostbenannten Websitesammlung konfigurieren möchten, führen Sie diese Schritte in der angegebenen Reihenfolge aus:

  1. Sicherstellen, dass die Webanwendung und die Stammwebsitesammlung vorhanden sind.

  2. Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist.

  3. Erstellen der hostbenannten Websitesammlung.

  4. Konfigurieren von Split-DNS.

  5. Erstellen eines A-Datensatzes im lokalen DNS.

Weitere Informationen zu Entscheidungen zur Strategie der Websitesammlung finden Sie im Abschnitt Auswählen einer Websitesammlungsstrategie unter Planen der Konnektivität von Microsoft 365 zu SharePoint Server.

Sicherstellen, dass die Webanwendung und die Stammwebsitesammlung vorhanden sind

Die Websitesammlung mit dem Hostnamen, die Sie später erstellen, muss in einer Webanwendung erstellt werden, die für die Verwendung von Folgendem konfiguriert ist:

  • Integrierte Windows-Authentifizierung mit NTLM

  • HTTPS-Protokoll (Secure Sockets Layer)

Sie benötigen auch eine pfadbasierte Websitesammlung, die in dieser Webanwendung als die Stammwebsitesammlung verwendet wird.

Symbol Beschreibung
Symbol Wenn Sie eine Webanwendung angegeben haben, die Sie während der Planung verwenden möchten, sollte sie im Arbeitsblatt in Tabelle 5a in der Zeile Primary web application URL eingetragen sein.

Wenn die Webanwendung und die Stammwebsitesammlung nicht vorhanden sind, müssen Sie sie erstellen. Dazu können Sie entweder die Zentraladministration oder die SharePoint 2016-Verwaltungsshell verwenden. Wenn sie bereits vorhanden sind, wechseln Sie zu Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist.

Hier ist ein Beispiel für das Erstellen einer Webanwendung mithilfe der SharePoint 2016-Verwaltungsshell.

New-SPWebApplication -Name 'Adventureworks Web app' -SecureSocketsLayer -port 443 -ApplicationPool AdventureworksAppPool -ApplicationPoolAccount (Get-SPManagedAccount 'adventureworks\abarr') -AuthenticationProvider (New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication)

Dabei gilt:

  • Der Name der Webanwendung lautet Adventureworks Web app.

  • Die Portnummer der Webanwendung ist 443.

Symbol Beschreibung
Symbol Tragen Sie die von Ihnen ausgewählte Portnummer im Arbeitsblatt in Tabelle 5a in der Zeile Port number of the web application ein.
  • Die neue Webanwendung verwendet einen Webanwendungspool mit der Bezeichnung AdventureworksAppPool.

  • Die Webanwendung wird als das verwaltete Konto Adventureworks\abarr ausgeführt.

  • Die Webanwendung wird mithilfe der integrierten Windows-Authentifizierung mit NTLM erstellt.

Hier ist ein Beispiel für das Erstellen der Stammwebsitesammlung mithilfe der SharePoint 2016-Verwaltungsshell.

New-SPSite 'https://sharepoint' -Name 'Portal' -Description 'Adventureworks Root site collection' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'

Dabei gilt:

  • Der Hostname des SharePoint-Farm ist "Sharepoint".

  • Der primäre Administrator ist Adventureworks\abarr.

  • Die Websitevorlage verwendet die englische Sprache (1033).

  • Die Vorlage (STS#0) ist die Teamwebsite-Vorlage.

Weitere Informationen zum Erstellen einer Webanwendung und einer Stammwebsitesammlung für eine Websitesammlung mit hostem Namen finden Sie unter Erstellen von anspruchsbasierten Webanwendungen in SharePoint Server und Architektur und Bereitstellung von Websitesammlungen mit Hostnamen in SharePoint Server.

Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist

Da diese Webanwendung für die Verwendung von SSL konfiguriert ist, müssen Sie stellerstellen, dass an die primäre Webanwendung ein SSL-Zertifikat gebunden ist. Bei Produktionsumgebungen sollte dieses Zertifikat von einer öffentlichen Zertifizierungsstelle (Certification Authority ,CA) ausgestellt worden sein. Bei Test- und Entwicklungsumgebungen kann es sich um ein selbstsigniertes Zertifikat handeln. Wir bezeichnen dieses als das lokale SharePoint-SSL-Zertifikat.

Tipp

Es ist normalerweise nicht mit dem Zertifikat identisch, das Sie später auf dem Reverseproxygerät installieren. Weitere Informationen zu diesen Zertifikaten finden Sie im Abschnitt Planen von SSL-Zertifikaten unter Planen der Konnektivität von Microsoft 365 zu SharePoint Server.

Nachdem das Zertifikat an die Webanwendung gebunden wurde, wird dieser Hostname im Feld Ausgestellt an im Dialogfeld Serverzertifikate in Internetinformationsdienste (IIS) angezeigt. Weitere Informationen finden Sie unter Einrichten von SSL unter IIS 7.0.

Erstellen der hostbenannten Websitesammlung

Sobald die Webanwendung und Stammwebsitesammlung vorhanden sind, wird als nächster Schritt in der primären Webanwendung eine hostbenannte Websitesammlung erstellt. Die öffentliche URL dieser Websitesammlung muss mit der externen Endpunkt-URL übereinstimmen.

Hinweis

Websitesammlungen mit Hostnamen müssen mithilfe der SharePoint 2016-Verwaltungsshell erstellt werden. Sie können die Zentraladministration nicht zum Erstellen dieser Art von Websitesammlung verwenden.

Hier sehen Sie ein Beispiel für das Erstellen einer Websitesammlung mit dem Hostnamen mithilfe der SharePoint 2016-Verwaltungsshell.

New-SPSite 'https://spexternal.adventureworks.com' -HostHeaderWebApplication 'https://sharepoint' -Name 'https://spexternal.adventureworks.com' -Description 'Site collection for hybrid' -OwnerAlias 'adventureworks\abarr' -language 1033 -Template 'STS#0'

Dabei gilt:

  • https://spexternal.adventureworks.com ist die URL der Websitesammlung mit dem Hostnamen. Diese URL muss mit der externen URL übereinstimmen.

  • https://sharepoint ist die Webanwendung, in der die Websitesammlung erstellt wird.

Weitere Informationen finden Sie unter Websitesammlungsarchitektur mit Hostnamen und Bereitstellung in SharePoint Server.

Konfigurieren von Split-DNS

Sie müssen geteiltes DNS konfigurieren. Dies ist eine gängige Konfiguration, die verwendet wird, um sicherzustellen, dass lokale Clientcomputer einen Servernamen in interne IP-Adressen auflösen, obwohl die öffentliche DNS-Auflösung denselben Dienstnamen in eine völlig andere öffentliche IP-Adresse auflöst. Dadurch können Benutzer zu einem Endpunkt umgeleitet werden, der standardmäßige SharePoint in Microsoft 365 sicherheitserweiterte Mechanismen für die Authentifizierung verwendet, aber Abfragen von Microsoft 365 können über einen Reverseproxy geleitet werden, der für die Verwendung der Zertifikatauthentifizierung konfiguriert ist.

Weitere Informationen zur Verwendung von geteiltem DNS in einer Hybridtopologie finden Sie unter Architekturentwurfsempfehlung für SharePoint 2013-Hybridsuchfeatures. Informationen zum Konfigurieren eines geteilten DNS finden Sie unter Eine fehlerhafte Split-Brain-DNS-Konfiguration kann eine nahtlose SSO-Anmeldung verhindern.

Erstellen eines A-Datensatzes im lokalen DNS

Das Reverseproxygerät muss die interne URL der hostbenannten Websitesammlung auflösen können. Sie können dazu im gewünschten lokalen DNS-Namespace einen A-Datensatz erstellen. Dies muss sich nicht im selben Namespace wie das Reverseproxygerät befinden. Das Reverseproxygerät muss diesen Namespace allerdings auflösen können. Dieser A-Datensatz ordnet den Hostnamen der externen URL der IP-Adresse der lokalen SharePoint-Farm zu. Hier sehen Sie ein Beispiel für einen A-Eintrag, bei dem die externe URL lautet https://spexternal.adventureworks.comund die IP-Adresse des Netzwerklastenausgleichs für die SharePoint-Farm 10.0.0.13 lautet.

Diese Abbildung veranschaulicht ein Beispiel für einen A-Eintrag.

Symbol Beschreibung
Symbol Die externe URL ist im Arbeitsblatt in Tabelle 3 in der Zeile External URL eingetragen.

Sie haben die Konfiguration der Websitesammlungsstrategie mithilfe einer hostbenannten Websitesammlung für eine Hybridumgebung abgeschlossen. Fahren Sie nun direkt mit Zuweisen eines UPN-Domänensuffix fort.

Konfigurieren einer Websitesammlungsstrategie mithilfe einer pfadbasierten Webanwendung ohne AAM

Wenn Sie eine Websitesammlungsstrategie mithilfe einer pfadbasierten Webanwendung konfigurieren möchten, ohne eine alternative Zugriffszuordnung (Alternate Access Mapping, AAM) für die SharePoint-Hybridumgebung zu erstellen, führen Sie diese Schritte in der angegebenen Reihenfolge aus.

  1. Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist.

  2. Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist.

  3. Konfigurieren von Split-DNS.

  4. Erstellen eines A-Datensatzes im lokalen DNS.

Hinweis

Wenn Sie eine Websitesammlungsstrategie ohne AAM konfigurieren, muss die öffentliche URL der primären Webanwendung mit der externen URL identisch sein.

Weitere Informationen finden Sie im Abschnitt Auswählen einer Websitesammlungsstrategie unter Planen der Konnektivität von Microsoft 365 zu SharePoint Server.

Sicherstellen, dass die primäre Webanwendung vorhanden ist

Sie können eine vorhandene Webanwendung als primäre Webanwendung verwenden oder eine neue erstellen. Sie sollten diese Entscheidung während der Planung getroffen und im Arbeitsblatt in Tabelle 2 in der Zeile New or existing web application eingetragen haben. Wenn Sie diese Entscheidung noch nicht getroffen haben, lesen Sie Planen der Konnektivität von Microsoft 365 mit SharePoint Server , und entscheiden Sie sich, bevor Sie fortfahren. Wenn Sie eine Websitesammlungsstrategie ohne AAM konfigurieren, muss die öffentliche URL der primären Webanwendung mit der externen URL identisch sein.

Wenn Sie sich bei der Planung für eine vorhandene Webanwendung entschieden haben, die Sie als primäre Webanwendung verwenden möchten, sollte deren URL im Arbeitsblatt in Tabelle 5b in der Zeile Primary web application URL eingetragen sein. Ist dies der Fall, wechseln Sie direkt zu Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist. Wenn Sie andernfalls eine Webanwendung erstellen möchten, die als primäre Webanwendung verwendet werden soll, verwenden Sie die Verfahren unter Erstellen von anspruchsbasierten Webanwendungen in SharePoint Server.

Im Allgemeinen sollten Sie die Standardeinstellungen verwenden. Allerdings sind die folgenden Konfigurationseinstellungen erforderlich.

Erforderliche Konfigurationseinstellungen

Location Beschreibung
Im Abschnitt IIS-Website im Feld Port
Geben Sie die Portnummer ein, die diese Webanwendung verwenden soll, z. B. "443".
Im Abschnitt Sicherheitskonfiguration
Stellen Sie sicher, dass Anonymen Zugriff zulassen auf Nein festgelegt ist.
Im Abschnitt Sicherheitskonfiguration
Stellen Sie sicher, dass Secure Sockets Layer (SSL) verwenden auf Ja festgelegt ist. Sie müssen ein SSL-Zertifikat an die Webanwendung binden, was im nächsten Abschnitt näher erläutert wird.
Im Abschnitt Forderungsauthentifizierungstypen
Aktivieren Sie das Kontrollkästchen Windows-Authentifizierung aktivieren, aktivieren Sie das Kontrollkästchen Integrierte Windows-Authentifizierung, und wählen Sie im Dropdownmenü NTLM aus.
Im Abschnitt Öffentliche URL im Feld URL
Geben Sie die externe URL ein, https://spexternal.adventureworks.comz. B. .
Standardmäßig fügt SharePoint in Microsoft 365 die Portnummer an die Standard-URL an, die für dieses Feld empfohlen wird. Wenn Sie diese URL durch die externe URL ersetzen, fügen Sie die Portnummer nicht an.

Um Ihnen die Vorgehensweise in späteren Verfahren zu erleichtern, empfehlen wir Ihnen Folgendes.

Symbol Beschreibung
Symbol Rufen Sie die URL aus dem Abschnitt Öffentliche URL der Seite Neue Webanwendung erstellen in der Zentraladministration ab, und notieren Sie sie in der Zeile Url der primären Webanwendung in Tabelle 5b des Arbeitsblatts.

Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist

Sie müssen sicherstellen, dass an die primäre Webanwendung ein SSL-Zertifikat gebunden ist. Bei Produktionsumgebungen sollte dieses Zertifikat von einer öffentlichen Zertifizierungsstelle (Certification Authority, CA) ausgestellt worden sein. Bei Test- und Entwicklungsumgebungen kann es sich um ein selbstsigniertes Zertifikat handeln. Wir nennen dies das lokale SharePoint in Microsoft 365 SSL-Zertifikat.

Tipp

Es ist normalerweise nicht mit dem Zertifikat identisch, das Sie später auf dem Reverseproxygerät installieren, aber Sie können das Sicherer-Kanal-SSL-Zertifikat dafür verwenden, wenn Sie möchten. Weitere Informationen zu diesen Zertifikaten finden Sie im Abschnitt Planen von SSL-Zertifikaten unter Planen der Konnektivität von Microsoft 365 zu SharePoint Server.

Im Feld Subject des SSL-Zertifikats muss der Hostname der Webanwendung stehen. Nachdem das Zertifikat an die Webanwendung gebunden wurde, wird dieser Hostname im Feld Ausgestellt für im Dialogfeld Serverzertifikate in Internetinformationsdienste (IIS) angezeigt. Weitere Informationen finden Sie unter Einrichten von SSL unter IIS 7.0.

Konfigurieren von Split-DNS

Sie müssen geteiltes DNS konfigurieren. Dies ist eine gängige Konfiguration, die verwendet wird, um sicherzustellen, dass lokale Clientcomputer einen Servernamen in interne IP-Adressen auflösen, obwohl die öffentliche DNS-Auflösung denselben Dienstnamen in eine völlig andere öffentliche IP-Adresse auflöst. Dadurch können Benutzer zu einem Endpunkt umgeleitet werden, der standardmäßige SharePoint in Microsoft 365 sicherheitserweiterte Mechanismen für die Authentifizierung verwendet, aber Abfragen von Microsoft 365 können über einen Reverseproxy geleitet werden, der für die Verwendung der Zertifikatauthentifizierung konfiguriert ist.

Weitere Informationen zur Verwendung von geteiltem DNS in einer Hybridtopologie finden Sie unter Architekturentwurfsempfehlung für SharePoint 2013-Hybridsuchfeatures. Informationen zum Konfigurieren eines geteilten DNS finden Sie unter Eine fehlerhafte Split-Brain-DNS-Konfiguration kann eine nahtlose SSO-Anmeldung verhindern.

Erstellen eines A-Datensatzes im lokalen DNS

Das Reverseproxygerät muss die interne URL der hostbenannten Websitesammlung auflösen können. Sie können dazu im gewünschten lokalen DNS-Namespace einen A-Datensatz erstellen. Dies muss sich nicht im selben Namespace wie das Reverseproxygerät befinden. Das Reverseproxygerät muss diesen Namespace allerdings auflösen können. Dieser A-Datensatz ordnet den Hostnamen der externen URL der IP-Adresse der lokalen SharePoint-Farm zu. Hier sehen Sie ein Beispiel für einen A-Eintrag, bei dem die externe URL https://spexternal.adventureworks.com lautet und die IP-Adresse des Netzwerklastenausgleichs für die SharePoint-Farm 10.0.0.13 lautet.

Diese Abbildung veranschaulicht ein Beispiel für einen A-Eintrag.

Symbol Beschreibung
Symbol Die externe URL ist im Arbeitsblatt in Tabelle 3 in der Zeile External URL eingetragen.

Sie haben die Konfiguration der Websitesammlungsstrategie mithilfe einer pfadbasierten Websitesammlung ohne AAM für eine Hybridumgebung abgeschlossen. Fahren Sie nun direkt mit Zuweisen eines UPN-Domänensuffix fort.

Konfigurieren einer Websitesammlungsstrategie mithilfe einer pfadbasierten Webanwendung mit AAM

Wenn Sie für Ihre Websitesammlungsstrategie eine pfadbasierte Webanwendung mit alternativer Zugriffszuordnung (Alternate Access Mapping, AAM) verwenden möchten, befolgen Sie diese Schritte in der angegebenen Reihenfolge:

  1. Sicherstellen, dass die Webanwendung vorhanden ist.

  2. Erweitern der primären Webanwendung und Konfigurieren von AAM.

  3. Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist (falls diese erforderlich ist).

  4. Konfigurieren von AAM.

  5. Erstellen eines CNAME-Eintrags.

Wenn Sie bereits einen anderen Namenszuordnungstyp konfiguriert haben, wechseln Sie zu Zuweisen eines UPN-Domänensuffixes.

Das folgende Video demonstriert, wie eine Websitesammlungsstrategie mit einer pfadbasierten Webanwendung mit AAM funktioniert.

Video: Grundlegendes zu URLs und Hostnamen

Sicherstellen, dass die primäre Webanwendung vorhanden ist

Sie können eine vorhandene Webanwendung als primäre Webanwendung verwenden oder eine neue erstellen. Wenn Sie diese Entscheidung noch nicht getroffen haben, lesen Sie Planen der Konnektivität von Microsoft 365 mit SharePoint Server , und entscheiden Sie sich, bevor Sie fortfahren.

Wenn Sie sich bei der Planung für eine vorhandene Webanwendung entschieden haben, die Sie als primäre Webanwendung verwenden möchten, sollte deren URL im Arbeitsblatt in Tabelle 5c in der Zeile Primary web application URL eingetragen sein. Ist dies der Fall, fahren Sie direkt mit Extend the primary web application fort. Wenn Sie andernfalls eine Webanwendung erstellen möchten, die als primäre Webanwendung verwendet werden soll, verwenden Sie die Verfahren unter Erstellen von anspruchsbasierten Webanwendungen in SharePoint Server. Die SharePoint-Hybridkonfiguration ist von der ursprünglichen Konfiguration dieser Webanwendung nicht betroffen, wenn Sie diese Websitesammlungsstrategie konfigurieren. Dies liegt daran, dass Sie die Einstellungen anwenden, die Sie für die Hybridbereitstellung benötigen, wenn Sie die Webanwendung ein wenig später erweitern. Sie können daher beliebige Einstellungen verwenden, wenn Sie eine Webanwendung erstellen.

Symbol Beschreibung
Symbol Um Ihnen die Vorgehensweise in späteren Verfahren zu erleichtern, empfehlen wir, diese Informationen zu notieren, wenn Sie die Webanwendung erstellen:
Rufen Sie die URL aus dem Abschnitt Öffentliche URL der Seite Neue Webanwendung erstellen in der Zentraladministration ab, und notieren Sie sie in tabelle 5c des Arbeitsblatts in der Zeile Url der primären Webanwendung .

Erweitern der primären Webanwendung

In diesem Abschnitt wird erläutert, wie Sie die Webanwendung erweitern. Durch das Erweitern der Webanwendung wird eine neue IIS-Website erstellt, der Sie die externe URL als öffentliche URL zuweisen.

Wenn Sie die Verfahren in diesem Abschnitt abgeschlossen haben, verfügen Sie über zwei IIS-Websites. Beide sind mit derselben Inhaltsdatenbank verbunden. Die ursprüngliche IIS-Website bleibt unverändert und kann weiterhin von internen Benutzern aufgerufen werden. Die erweiterte Webanwendung verwendet eine andere Zone, etwa die Internetzone, und wird so konfiguriert, dass sie die externe URL als die öffentliche URL verwendet. Diese erweiterte Webanwendung wird nur für die Erfüllung von SharePoint-Hybridanforderungen verwendet.

Wichtig

Stellen Sie sicher, dass Sie diese Verfahren in den spezifischen Webanwendungen durchführen, die Sie als die primäre Webanwendung für SharePoint-Hybridlösungen verwenden möchten. Die URL dieser Webanwendung, die Sie erweitern müssen, ist im Arbeitsblatt in Tabelle 5c in der Zeile Primary web application URL eingetragen.

Verwenden Sie zum Erweitern der Webanwendung die Verfahren unter Erweitern von anspruchsbasierten Webanwendungen in SharePoint in Microsoft 365. Im Allgemeinen sollten Sie die Standardeinstellungen verwenden. Die folgenden Konfigurationseinstellungen sind jedoch erforderlich.

Erforderliche Konfigurationseinstellungen

Location Beschreibung
Im Abschnitt IIS-Website im Feld Port
Stellen Sie sicher, dass der Wert hierbei auf die entsprechende Portnummer festgelegt ist:
Wenn Sie sich entscheiden, die primäre Webanwendung für verschlüsselte HTTP-Verbindungen zu erweitern, verwenden Sie Port 80 oder den vom Netzwerkadministrator, der das Reverseproxygerät konfiguriert, angegebenen HTTP-Port. Alle eingehenden Dienstverbindungen vom Reverseproxygerät zur Websitesammlung der Webanwendung müssen HTTP verwenden.
Wenn Sie sich entscheiden, die primäre Webanwendung für unverschlüsselte HTTP-Verbindungen zu konfigurieren, verwenden Sie Port 443 oder den vom Netzwerkadministrator, der das Reverseproxygerät konfiguriert, angegebenen SSL-Port. Alle eingehenden Dienstverbindungen vom Reverseproxygerät zur Websitesammlung der Webanwendung müssen HTTS verwenden.
Im Abschnitt Sicherheitskonfiguration
Stellen Sie sicher, dass Anonymen Zugriff zulassen auf Nein festgelegt ist.
Im Abschnitt Sicherheitskonfiguration
Wählen Sie den entsprechenden Wert für Secure Sockets Layer (SSL) verwenden aus. Wenn Sie Nein auswählen, verwendet die Webanwendung unverschlüsseltes HTTP. Wenn Sie Ja auswählen, verwendet die Webanwendung verschlüsseltes HTTPS, und Sie müssen ein SSL-Zertifikat an die erweiterte Webanwendung binden. Dieses Zertifikat wird im nächsten Abschnitt näher erläutert.
Im Abschnitt Forderungsauthentifizierungstypen
Aktivieren Sie das Kontrollkästchen Windows-Authentifizierung aktivieren, aktivieren Sie das Kontrollkästchen Integrierte Windows-Authentifizierung, und wählen Sie im Dropdownmenü NTLM aus.
Im Abschnitt Öffentliche URL im Feld URL
Geben Sie die externe URL ein, https://spexternal.adventureworks.comz. B. .
Beachten Sie, dass SharePoint standardmäßig die Portnummer an die Standard-URL angibt, die für dieses Feld empfohlen wird. Wenn Sie diese URL durch die externe URL ersetzen, fügen Sie die Portnummer nicht an.
Im Abschnitt Öffentliche URL im Feld Zone
Wählen Sie die Zone aus, die Sie dieser erweiterten Webanwendung zuweisen möchten. Es wird empfohlen, den Wert Zone auf Internet festzulegen, sofern verfügbar.

Sicherstellen, dass in der primären Webanwendung eine SSL-Bindung vorhanden ist (falls diese erforderlich ist)

Wenn Sie die erweiterte Webanwendung für die Verwendung von SSL konfiguriert haben, müssen Sie sicherstellen, dass ein SSL-Zertifikat an die Webanwendung gebunden ist, die Sie im vorherigen Abschnitt erweitert haben. Wenn Sie die erweiterte Webanwendung für HTTP (unverschlüsselt) konfiguriert haben, fahren Sie direkt mit Konfigurieren von AAM fort.

Bei Produktionsumgebungen sollte dieses Zertifikat von einer öffentlichen oder einer unternehmensinternen Zertifizierungsstelle (Certification Authority, CA) ausgestellt worden sein. Bei Test- und Entwicklungsumgebungen kann es sich um ein selbstsigniertes Zertifikat handeln. Wir nennen dies das lokale SharePoint in Microsoft 365 SSL-Zertifikat.

Wichtig

Dieses Zertifikat muss im Feld Antragsteller den Bridging-Hostnamen der URL enthalten. Wenn die Bridging-URL beispielsweise lautet https://bridge, muss das Feld Betreff des Zertifikats bridge enthalten. Daher kann dieses Zertifikat nicht mithilfe von IIS erstellt werden. Sie können allerdings ein Tool zur Zertikatserstellung wie MakeCert.exe verwenden, um es zu erstellen. Nachdem das Zertifikat an die Webanwendung gebunden wurde, wird dieser Hostname im Feld Ausgestellt für im Dialogfeld Serverzertifikate in Internetinformationsdienste (IIS) angezeigt.

Tipp

Es ist normalerweise nicht mit dem Zertifikat identisch, das Sie später auf dem Reverseproxygerät installieren. Weitere Informationen zu diesen Zertifikaten finden Sie im Abschnitt Planen von SSL-Zertifikaten unter Planen der Konnektivität von Microsoft 365 zu SharePoint Server.

Weitere Informationen zum Einrichten von SSL finden Sie unter A guide to https and Secure Sockets Layer in SharePoint 2013( A guide to https and Secure Sockets Layer in SharePoint 2013).

Konfigurieren von AAM

Führen Sie die folgenden Schritte aus, um SharePoint Server die dynamische Übersetzung von Links in Anforderungen mithilfe der externen URL zu ermöglichen.

So konfigurieren Sie AAM

  1. Wählen Sie in der Zentraladministration unter Schnellstart die Option Anwendungsverwaltung aus.

  2. Wählen Sie im Abschnitt Webanwendungendie Option Alternative Zugriffszuordnungen konfigurieren aus.

  3. Wählen Sie auf der Seite Alternative Zugriffszuordnungendie Option Interne URLs hinzufügen aus.

  4. Wählen Sie im Abschnitt Sammlung für alternative Zugriffszuordnungen den Pfeil nach unten und dann Alternative Zugriffszuordnungssammlung ändern aus. Wählen Sie im angezeigten Dialogfeld die primäre Webanwendung aus, die Sie für die Hybridbereitstellung konfigurieren.

Symbol Beschreibung
Symbol Die URL dieser Webanwendung, ist im Arbeitsblatt in Tabelle 5c in der Zeile Primary web application URL eingetragen.
  1. Geben Sie im Abschnitt Interne URL hinzufügen im Feld URL-Protokoll, Host und Port die URL ein, die Sie als Bridging-URL verwenden möchten. Diese URL muss das gleiche Protokoll wie die erweiterte Webanwendung aufweisen: http oder https. Wenn Sie z. B. die erweiterte Webanwendung mit https konfiguriert haben, ähnelt https://bridgedie URL .
Symbol Beschreibung
Symbol
Das von Ihnen verwendete Protokoll ist im Arbeitsblatt in Tabelle 5c in der Zeile Protocol of the extended web application eingetragen. Tragen Sie diese URL ist im Arbeitsblatt in Tabelle 5c in der Zeile Bridging URL ein.
  1. Wählen Sie in der Dropdownliste Zone die gleiche Zone aus, die Sie beim Erweitern der Webanwendung verwendet haben.
Symbol Beschreibung
Symbol Diese Zone ist im Arbeitsblatt in Tabelle 5c in der Zeile Zone of the extended web application eingetragen.
  1. Klicken Sie auf Speichern.

    Die URL, die Sie in Schritt 5 angegeben haben, wird in der Spalte Interne URL der Seite Alternative Zugriffszuordnungen angezeigt.

Erstellen eines CNAME-Eintrags

Sie müssen im lokalen DNS einen CNAME-Eintrag erstellen. Dieser Eintrag ordnet den Hostnamen der Bridging-URL dem vollständig qualifizierten Domänennamen der lokalen SharePoint-Farm zu. Die Bridging-URL ist diejenige, die Sie im vorherigen Abschnitt AAM zugewiesen haben. Das Reverseproxygerät muss DNS abfragen können, um den Alias in die IP-Adresse der lokalen SharePoint-Farm aufzulösen.

Hier sehen Sie einen CNAME-Beispieleintrag, bei dem der Hostname Bridge ist, basierend auf der Bridging-URL. https://bridge

Diese Abbildung veranschaulicht einen CName-Eintrag in einer Hybridumgebung in SharePoint Server 2013.

Führen Sie den folgenden Überprüfungsschritt aus, um zu überprüfen, ob der Aliasname, den Sie für Ihren CNAME-Eintrag ausgewählt haben, in die SharePoint Server-Farm aufgelöst wird.

Überprüfung

  1. Melden Sie sich beim Reverseproxygerät als Administrator an, und öffnen Sie eine Windows-Eingabeaufforderung.

  2. Pingen Sie den Aliasnamen im CNAME-Eintrag. Wenn der Aliasname beispielsweise Bridge lautet, geben Sie Folgendes ein, und drücken <Sie die EINGABETASTE>.

ping bridge

Die Eingabeaufforderung sollte die IP-Adresse der SharePoint-Farm zurückgeben, die im CNAME-Eintrag angegeben ist. Ist dies nicht der Fall, stellen Sie sicher, dass der vollständig qualifizierte Domänenname der SharePoint-Farm im CNAME-Eintrag korrekt angegeben ist, und wiederholen Sie dann diese Überprüfung.

Hinweis

Wenn der ping Befehl im Netzwerk blockiert ist, versuchen Sie stattdessen, entweder den tracert -4 Befehl oder zu pathping -4 verwenden.

Erstellen und Konfigurieren einer Zielanwendung für das SSL-Zertifikat in SharePoint in Microsoft 365

In diesem Abschnitt erstellen und konfigurieren Sie eine Secure Store-Zielanwendung in SharePoint in Microsoft 365. Diese Zielanwendung wird verwendet, um das SSL-Zertifikat für den sicheren Kanal zu speichern und zu aktivieren, damit es von SharePoint in Microsoft 365-Diensten verwendet werden kann, wenn Benutzer Daten aus der lokalen SharePoint-Farm anfordern. Wir bezeichnen diese Zielanwendung als die Sicherer-Kanal-Zielanwendung.

Symbol Beschreibung
Symbol Um diese Schritte zu befolgen, benötigen Sie die in Tabelle 4a des Arbeitsblatts eingetragenen Informationen.

Hinweis

Sie können entweder ein Zertifikat verwenden, das einen privaten Schlüssel verwendet, wie etwa eine Private Information Exchange (.pfx)-Datei, oder eine Internet-Sicherheitszertifikat-Datei (.cer). Wenn Sie eine .pfx-Datei benutzen, müssen Sie später in diesem Verfahren ein Kennwort für den privaten Schlüssel angeben.

Wenn Sie SharePoint-Hybridlösungen in Phase 4: Konfigurieren einer Hybridlösung konfigurieren, geben Sie den Namen der Zielanwendung an, die Sie erstellt haben, damit SharePoint in Microsoft 365 Search and Business Connectivity Services das SSL-Zertifikat für secure Channel abrufen kann, das für die Authentifizierung beim Reverseproxygerät erforderlich ist.

So erstellen Sie eine Zielanwendung zum Speichern des Sicherer-Kanal-SSL-Zertifikats

  1. Wechseln Sie zu Weitere Features im SharePoint Admin Center, und melden Sie sich mit einem Konto an, das über Administratorberechtigungen in Microsoft 365 verfügt.

  2. Wählen Sie unter Sicherer Speicher die Option Öffnen aus.

  3. Wählen Sie auf der Registerkarte Bearbeiten die Option Neu aus.

  4. Führen Sie im Abschnitt Zielanwendungseinstellungen folgende Schritte durch:

  5. Geben Sie im Feld Zielanwendungs-ID den Namen (die ID) ein, den Sie für die Zielanwendung verwenden möchten. Es wird z. B. empfohlen, sie SecureChannelTargetApplication zu nennen. Verwenden Sie in diesem Namen keine Leerzeichen.

    Hinweis

    Sie erstellen die ID in diesem Schritt – Sie erhalten die ID nirgendwo anders. Diese ID ist ein eindeutiger Zielanwendungsname, der nicht geändert werden kann.

Symbol Beschreibung
Symbol Tragen Sie diesen Namen im Arbeitsblatt in Tabelle 6 in der Zeile Target Application ID ein.
  1. Geben Sie im Feld Anzeigename den Namen ein, den Sie als Anzeigenamen für die neue Zielanwendung verwenden möchten. Beispiel: Secure Channel-Ziel-App.
Symbol Beschreibung
Symbol Tragen Sie diesen Namen im Arbeitsblatt in Tabelle 6 in der Zeile Target Application Display Name ein.
  1. Geben Sie im Feld Kontakt-E-Mail den Namen des primären Kontakts für diese Zielanwendung ein.

  2. Führen Sie im Abschnitt Anmeldeinformationsfelder folgende Aktionen aus:

  3. Löschen Sie in der Spalte Feldname in der ersten Zeile den im Feld vorhandenen Text, und geben Sie dann Zertifikat ein.

  4. Wählen Sie in der Spalte Feldtyp in der ersten Zeile in der Dropdownliste Zertifikat aus.

  5. Löschen Sie in der Spalte Feldname in der zweiten Zeile den im Feld vorhandenen Text, und geben Sie dann Zertifikatkennwort ein.

    Hinweis

    Sie müssen diesen Schritt nur ausführen, wenn Sie das Zertifikat aus einem Zertifikat importieren, das einen privaten Schlüssel enthält, wie etwa einer Private Information Exchange (.pfx)-Datei.

  6. Wählen Sie in der Spalte Feldtyp in der zweiten Zeile in der Dropdownliste Zertifikatkennwort aus.

    Der Abschnitt "Anmeldeinformationen" sollte der folgenden Abbildung ähneln.

    Diese Abbildung veranschaulicht die Einstellung für Anmeldeinformationen einer Secure Store Service-Zielanwendung.

  7. Geben Sie im Abschnitt Zielanwendungsadministratoren in das Feld die Namen der Benutzer ein, die Zugriff haben, um die Einstellungen dieser Zielanwendung zu verwalten. Stellen Sie sicher, dass Sie alle Benutzer hinzufügen, die die Hybridkonfiguration testen, damit sie bei Bedarf Änderungen vornehmen können.

  8. Geben Sie im Abschnitt Mitglieder in das Feld die Namen der Microsoft Entra-Benutzer und -Gruppen ein, die Sie für die Verwendung von Hybridlösungen aktivieren möchten.

    Der globale Microsoft 365-Administrator kann Microsoft Entra-Gruppen erstellen. Dies sind Domänengruppen, nicht SharePoint in Microsoft 365-Gruppen.

Symbol Beschreibung
Symbol Eine Liste dieser Benutzer oder der Gruppe, der sie hinzugefügt wurden, ist im Arbeitsblatt in Tabelle 1 in der Zeile Federated Users zu finden.
  1. Wählen Sie OK aus.

  2. Aktivieren Sie das Kontrollkästchen neben der ID der Zielanwendung, die Sie erstellt haben (z. B. SecureChannelTargetApp).

Symbol Beschreibung
Symbol Dieser Namen ist im Arbeitsblatt in Tabelle 6 in der Zeile Target Application Display Name eingetragen.
  1. Wählen Sie auf der Registerkarte Bearbeiten in der Gruppe Anmeldeinformationen die Option Festlegen aus.

  2. Gehen Sie im Dialogfeld Anmeldeinformationen für die Zielanwendung für den sicheren Speicher festlegen wie folgt vor:

  3. Wählen Sie neben dem Feld Zertifikat die Option Durchsuchen aus.

  4. Navigieren Sie zum Speicherort des SSL-Zertifikats für den sicheren Kanal, wählen Sie das Zertifikat und dann Öffnen aus.

Symbol Beschreibung
Symbol Der Name und der Speicherort dieses Zertifikats ist im Arbeitsblatt in Tabelle 4b in der Zeile Secure Channel SSL Certificate location and filename angegeben.
  1. Wenn das verwendete Zertifikat einen privaten Schlüssel enthält, z. B. eine Pfx-Datei (Private Information Exchange), geben Sie im Feld Zertifikatkennwort das Kennwort des Zertifikats ein. Setzen Sie den Vorgang andernfalls mit Schritt 12 fort.
Symbol Beschreibung
Symbol Das Kennwort ist im Arbeitsblatt in Tabelle 4b in der Zeile Secure Channel SSL Certificate password eingetragen.
  1. Geben Sie im Feld Zertifikatkennwort bestätigen das Kennwort des Zertifikats erneut ein.

  2. Wählen Sie OK aus.

Weitere Informationen finden Sie unter Konfigurieren des Secure Store Service in SharePoint Server.

Überprüfung und weitere Schritte

Nachdem Sie die Konfigurationsaufgaben dieses Themas abgeschlossen haben, müssen Sie folgende Elemente überprüfen:

  • Prüfen Sie, ob Ihr öffentlicher Internetdomänenname in DNS aufgelöst werden kann.

  • Stellen Sie sicher, dass Sie sowohl über die interne als auch über die externe URL eine Verbindung zur primären Webanwendung herstellen können.

  • Prüfen Sie, ob Sie auf eine lokale Websitesammlung in der primären Webanwendung über das Internet mithilfe der externen URL Ihres Reverseproxyendpunkts zugreifen können. Auf dem Computer, den Sie für diesen Überprüfungsschritt verwenden, muss das Sicherer-Kanal-SSL-Zertifikat im persönlichen Zertifikatspeicher des Computerkontos installiert sein.

Nachdem Sie die in diesem Thema aufgeführten Konfigurationsaufgaben abgeschlossen und geprüft haben, fahren Sie mit Ihrer Konfigurationsroadmap fort.