Поделиться через

Настройка проверки подлинности на основе утверждений для веб-приложения с классическим режимом проверки подлинности в SharePoint 2013

  • Статья

 

**Применимо к:**SharePoint 2013, SharePoint Foundation 2013, SharePoint Server 2013

**Последнее изменение раздела:**2017-09-26

**Сводка.**Узнайте, как преобразовать продукты SharePoint 2010 или классические веб-приложения SharePoint 2013 для использования проверки подлинности на основе утверждений и создавать веб-приложения на основе утверждений в SharePoint 2013.

Проверка подлинности на основе утверждений — это важный компонент для обеспечения расширенных функциональных возможностей SharePoint 2013. Чтобы переместить веб-приложения с классическим режимом из продуктов Продукты SharePoint 2010 в SharePoint 2013, вы можете преобразовать их в веб-приложения, основанные на утверждениях, в продуктах Продукты SharePoint 2010, а затем перенести их в SharePoint 2013. В приведенных в данной статье процедурах рассматриваются различные поддерживаемые сценарии.

Командлет PowerShellConvert-SPWebApplication в SharePoint 2013 преобразует веб-приложения с классическим режимом в веб-приложения, основанные на утверждениях.

Предупреждение

После миграции веб-приложения на проверку подлинности на основе утверждений вернуться к классическому режиму проверки подлинности уже нельзя.

Преобразуйте веб-приложения с классическим режимом продуктов Продукты SharePoint 2010 в веб-приложения с проверкой подлинности на основе утверждений в продуктах Продукты SharePoint 2010, а затем выполните обновление до SharePoint 2013

Выполните в продуктах Продукты SharePoint 2010 следующую процедуру, чтобы преобразовать существующее веб-приложение в веб-приложение с проверкой подлинности на основе утверждений. После завершения такого преобразования выполните дополнительную операцию по переносу этого веб-приложения в SharePoint 2013. Чтобы завершить данную процедуру, вам потребуется следующая информация:

  • URL-адрес преобразуемого веб-приложения: http://URL-адрес_вашего_веб-приложения

  • Учетная запись пользователя с правами администратора сайта: ваш_домен\ваш_пользователь

Преобразование веб-приложения Продукты SharePoint 2010 для использования проверки подлинности на основе утверждений

  1. Убедитесь, что вы являетесь участником следующих групп:

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    Примечание

    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.

  2. Чтобы задать для указанной учетной записи пользователя права администратора сайта, в командной строке PowerShell введите следующие команды.

    $WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()

    Где:

    • <yourWebAppUrl> — URL-адрес веб-приложения.

  3. Для настройки политики, включающей полный доступ для пользователя, в командной строке PowerShell введите следующие команды.

    $account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()

    Дополнительные сведения см. в статье Get-SPWebApplication.

  4. Чтобы выполнить миграцию пользователей, в командной строке PowerShell введите следующие команды.

    $wa.MigrateUsers($true)

  5. После завершения миграции пользователя введите в командной строке PowerShell следующую команду для выполнения подготовки:

    $wa.ProvisionGlobally()

    Дополнительные сведения см. в статье New-SPClaimsPrincipal.

После выполнения вышеописанных процедур может возникнуть одна или несколько из указанных ниже проблем. Пользователи, отправляющие действительные учетные данные при доступе к перенесенному веб-приложению, могут получать уведомления об отсутствии разрешений. Это может быть вызвано тем, что свойства portalsuperuseraccount и portalsuperreaderaccount веб-приложения были настроены до миграции. В этом случае необходимо обновить свойства portalsuperuseraccount и portalsuperreaderaccount для использования новой учетной записи на основе утверждений. После миграции в политике перенесенного веб-приложения может отображаться имя новой учетной записи на основе утверждений. Если после миграции не вызываются имеющиеся оповещения, вы можете удалить и повторно создать их. Если обход контента при поиске не работает в веб-приложении после миграции, убедитесь, что списке учетных записей для обхода контента при поиске указано имя новой учетной записи. Если новая преобразованная учетная запись не отображается в списке, необходимо вручную создать новую политику для учетной записи обхода контента.

Перенос веб-приложения Продукты SharePoint 2010 на основе утверждений в SharePoint 2013

  1. Создайте веб-приложение, основанное на утверждениях, в SharePoint 2013. Дополнительные сведения см. в статье Создание веб-приложений, основанных на утверждениях, в SharePoint 2013.

  2. Подключите две существующие базы данных контента продуктов Продукты SharePoint 2010 к созданному веб-приложению SharePoint 2013, основанному на утверждениях. Дополнительные сведения см. в статье Подключение и отключение баз данных контента в SharePoint Server.

    Примечание

    При подключении баз данных контента продуктов Продукты SharePoint 2010 к веб-приложению SharePoint 2013, основанному на утверждениях, эти базы данных обновляются до формата SharePoint 2013. После подключения баз данных контента требуется убедиться в их работоспособности.

Преобразование веб-приложений продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложения SharePoint 2013, основанные на утверждениях

Выполните в SharePoint 2013 следующую процедуру, чтобы преобразовать существующее веб-приложение продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложение SharePoint 2013 с проверкой подлинности на основе утверждений.

Преобразование классического веб-приложения Продукты SharePoint 2010 для использования проверки подлинности на основе утверждений в SharePoint 2013

  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    Примечание

    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.

  2. В среде SharePoint 2013 в меню Пуск выберите Все программы.

  3. Щелкните элемент Продукты SharePoint 2016.

  4. Щелкните элемент Командная консоль Командная консоль SharePoint 2016.

  5. Измените каталог сохранения файла.

  6. В командной строке PowerShell введите следующую команду:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

    Где:

    • <domainname>\<user> — домен, в который входит сервер, и имя учетной записи пользователя.

  7. Подключите две существующие базы данных контента продуктов Продукты SharePoint 2010 к новому веб-приложению SharePoint 2013 с классическим режимом. Дополнительные сведения см. в статье Подключение и отключение баз данных контента в SharePoint Server.

    Примечание

    При подключении баз данных контента продуктов Продукты SharePoint 2010 к веб-приложению SharePoint 2013 с классическим режимом эти базы данных обновляются до формата SharePoint 2013. После подключения баз данных контента требуется убедиться в их работоспособности.

  8. В командной строке PowerShell введите следующую команду:

    Convert-SPWebApplication -Identity <yourWebAppUrl> -To Claims -RetainPermissions [ -Force]

    Где:

    • <yourWebAppUrl> — URL-адрес веб-приложения.

    Примечание

    Командлет Convert-SPWebApplication преобразует веб-приложение для использования проверки подлинности на основе утверждений. Вам необходимо убедиться, что пользователи могут получить доступ к веб-приложению после реализации в нем проверки подлинности на основе утверждений.

  9. При необходимости подключите к новому веб-приложению SharePoint 2013 с классическим режимом третью базу данных контента продуктов Продукты SharePoint 2010 и убедитесь, что она работает правильно.

  10. В командной строке PowerShell введите следующую команду:

    Convert-SPWebApplication -Identity yourWebAppUrl -To Claims -RetainPermissions [ -Force]

Убедитесь, что пользователи могут получать доступ к веб-приложению после его преобразования. Дополнительные сведения см. в описаниях командлетов New-SPWebApplication, Get-SPManagedAccount и Convert-SPWebApplication.

Преобразование веб-приложений SharePoint 2013 с классическим режимом в веб-приложения, основанные на утверждениях

Выполните следующие процедуры в SharePoint 2013, чтобы создать веб-приложение с классическим режимом, а затем преобразовать его для использования проверки подлинности на основе утверждений.

Создание классического веб-приложения в SharePoint 2013

  • Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    Примечание

    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.

  • В командной строке PowerShell введите следующую команду:

    New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>

    Где:

    • <Name> — имя нового веб-приложения, использующего классический режим проверки подлинности.

    • <ApplicationPool> — имя пула приложений.

    • <WindowsAuthType> имеет значение NTLM или Kerberos. Рекомендуется использовать Kerberos.

    • <ApplicationPoolAccount> — учетная запись пользователя, от имени которого будет выполняться данный пул приложений.

    • <Port> — номер порта, на котором в IIS будет создано веб-приложение.

    • <URL> — общедоступный URL-адрес для веб-приложения.

    Примечание

    Дополнительные сведения см. в статье New-SPWebApplication.

    Примечание

    После успешного создания веб-приложения при открытии страницы центра администрирования отображается предупреждение правила анализатора работоспособности, указывающее на то, что в одном или нескольких веб-приложениях включен классический режим проверки подлинности. Это предупреждение согласовано с рекомендацией использовать проверку подлинности на основе утверждений вместо классического режима проверки подлинности.

Преобразование классического веб-приложения SharePoint 2013 для использования проверки подлинности на основе утверждений

  • В командной строке PowerShell введите следующую команду:

    Convert-SPWebApplication -Identity "http:// <servername>:port" -To Claims -RetainPermissions [-Force]

    Где:

    • <servername> — имя сервера.

Убедитесь, что пользователи могут получать доступ к веб-приложению после его преобразования. Дополнительные сведения см. в описаниях командлетов New-SPWebApplication, Get-SPManagedAccount и Convert-SPWebApplication.

Миграция веб-приложений продуктов Продукты SharePoint 2010 с классическим режимом в веб-приложения SharePoint 2013 с классическим режимом

Выполните в SharePoint 2013 следующую процедуру, чтобы создать веб-приложение с классическим режимом, а затем выполнить его миграцию существующего веб-приложения продуктов Продукты SharePoint 2010 с классическим режимом в SharePoint 2013.

Перенос классического веб-приложения Продукты SharePoint 2010 в SharePoint 2013

  1. Убедитесь, что предоставлены следующие разрешения.

    • Предопределенная роль сервера securityadmin для экземпляра SQL Server.

    • Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.

    • Группа администраторов для сервера, на котором выполняются командлеты PowerShell.

    • Обязательно прочтите статью о политиках выполнения (https://go.microsoft.com/fwlink/p/?LinkId=193050).

    • Добавьте членства в группах, которые необходимы в дополнение минимальным требованиям, указанным выше.

    Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 2013.

    Примечание

    Если у вас отсутствуют разрешения, обратитесь к администратору установки или администратору SQL Server и запросите соответствующие разрешения. Для получения дополнительных сведений о разрешениях PowerShell см. статью о разрешениях и командлете Add-SPShellAdmin.

  2. В командной строке PowerShell введите следующую команду:

    New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

    Где:

    • <domainname>\<user> — домен, в который входит сервер, и имя учетной записи пользователя.

  3. Подключите две существующие базы данных контента продуктов Продукты SharePoint 2010 к новому веб-приложению SharePoint 2013 с классическим режимом. После подключения баз данных контента убедитесь в их работоспособности. Дополнительные сведения см. в статье Подключение и отключение баз данных контента в SharePoint Server.

Дополнительные сведения см. в статьях New-SPWebApplication и Get-SPManagedAccount.

See also

Создание веб-приложений, основанных на утверждениях, в SharePoint 2013
Создание веб-приложений, использующих классический режим проверки подлинности, в SharePoint 2013