Требования к оборудованию и программному обеспечению для гибридной среды SharePoint

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint в Microsoft 365

В этой статье описаны предварительные требования, необходимые для развертывания гибридного решения SharePoint между SharePoint Server и SharePoint в Microsoft 365 для предприятий.

Требования к оборудованию и программному обеспечению

Требования к сертификатам

Сертификат STS по умолчанию в ферме SharePoint используется мастером гибридной конфигурации для установления доверия подписывания маркеров при настройке гибридных рабочих нагрузок. При настройке гибридных рабочих нагрузок рекомендуется использовать встроенный сертификат службы маркеров безопасности. Однако если вы планируете использовать сертификат, подписанный публичным центром сертификации, замените им встроенный сертификат, следуя приведенным инструкциям.

Дополнительные сведения см. в статье Замена сертификата службы токенов безопасности.

Требования для входящего подключения

Для следующих гибридных решений требуется входящее подключение из Microsoft 365 к SharePoint Server:

  • Входящий гибридный поиск (отображение результатов поиска из SharePoint Server в Microsoft 365)

  • гибридные службы Business Connectivity Services;

  • Гибридный Duet Enterprise Online для Microsoft SharePoint в Microsoft 365 и SAP

К каждому из этих гибридных решений применяются требования в следующих разделах.

Дополнительные требования к оборудованию

Для входящего подключения необходимо следующее:

  • Устройство обратного прокси-сервера. Устройство обратного прокси-сервера в гибридной топологии предоставляет безопасную конечную точку для входящего трафика с использованием шифрования SSL и проверки подлинности на основе клиентского сертификата.

  • Интернет-домен (например, https://adventureworks.com) и разрешение на создание или изменение записей DNS для этого домена.

    Примечание.

    Этот общедоступный домен должен быть зарегистрирован у регистратора доменных имен, например GoDaddy.com, и должен являться доменом, с которым сопоставлен URL-адрес внешней конечной точки обратного прокси-устройства.

Требования к сертификатам

В этом разделе описываются сертификаты, необходимые для настройки входящего подключения из Microsoft 365 к SharePoint Server.

Сертификат безопасного канала SSL

Этот сертификат обеспечивает проверку подлинности и шифрование между устройством обратного прокси-сервера и Microsoft 365. Это должен быть групповой сертификат или сертификат SAN, выданный общедоступным корневым центром сертификации. Дополнительные сведения см. в разделах Сведения о SSL-сертификатах Secure Channel и Получение SSL-сертификата Secure Channel.

Локальный сертификат SharePoint SSL

Если вы настроите использование SSL для основного веб-приложения (веб-приложение на локальной ферме SharePoint, настроенное для гибридного развертывания), вам придется привязать сертификат SSL к основному веб-приложению.

Если это веб-приложение уже существует и настроено для SSL, у вас все готово. В противном случае необходимо получить или создать его для этой цели. Для рабочих сред этот сертификат должен быть выдан официальным центром сертификации (ЦС). Для тестовых сред и сред разработки подходит самозаверяющий сертификат.

Дополнительные сведения см. в разделе Планирование SSL-сертификатов.

Поддерживаемые обратные прокси-устройства

В таблице ниже перечислены поддерживаемые в настоящее время обратные прокси-устройства для гибридных развертываний SharePoint Server. Этот список будет обновляться по мере тестирования новых устройств.

Поддерживаемые обратные прокси-устройства Статья о конфигурации Дополнительные сведения
Windows Server 2012 R2 с прокси-службой веб-приложения (WA-P)
 Настройка прокси веб-приложения для гибридной среды
Прокси веб-приложения (WA-P) — это служба удаленного доступа в Windows Server 2012 R2, публикующая веб-приложения, с которыми пользователи могут работать на многих устройствах.
>[! ВАЖНО]> Чтобы использовать веб-Application Proxy в качестве устройства обратного прокси-сервера в гибридной среде SharePoint Server, необходимо также развернуть AD FS в Windows Server 2012 R2. Earlier versions of Windows don't support Web Application Proxy
Forefront Threat Management Gateway (TMG) 2010
 Настройка Forefront TMG для гибридной среды
Forefront TMG 2010 — это комплексное решение безопасного веб-шлюза, предоставляющее функции безопасного обратного прокси-сервера.
Обратите внимание, что Forefront TMG 2010 больше не продается корпорацией Майкрософт, но будет поддерживаться до 14.04.2020 г. For more information, see Microsoft Support Lifecycle information for Forefront TMG 2010.
F5 BIG-IP
 Включение гибридного поиска SharePoint 2013 с BIG-IP
Это внешний контент, управляемый сетями F5.

Общие требования к обратному прокси-серверу

В гибридном сценарии SharePoint Server обратный прокси-сервер должен поддерживать следующее:

  • Проверка подлинности на основе клиентских сертификатов с использованием групповых SSL-сертификатов или SSL-сертификатов SAN.

  • Поддержка сквозной проверки подлинности для OAuth 2.0, включая неограниченное число транзакций маркера носителя OAuth.

  • Возможность принимать незапрошенный входящий трафик с использованием TCP-порта 443 (HTTPS).

    Совет

    Для поддержки гибридного подключения на внешней конечной точке обратного прокси нужно открыть только TCP-порт 443.

  • Привязка к групповому SSL-сертификату или SSL-сертификату SAN.

  • Ретрансляция трафика в локальную ферму SharePoint Server или балансировщик нагрузки без перезаписи заголовков пакетов.

Обзор обратных прокси-устройств в гибридной топологии SharePoint см. в статье Настройка устройства обратного прокси-сервера для гибридной среды SharePoint Server.