Настройка прокси веб-приложения для гибридной среды
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition SharePoint в Microsoft 365
В этой статье описывается веб-Application Proxy и показано, как использовать его в качестве обратного прокси-сервера для гибридной среды SharePoint Server.
Подготовка к работе
Примечание о специальных возможностях: SharePoint Server поддерживает специальные возможности распространенных браузеров, помогая администрировать развертывания и получать доступ к сайтам. Дополнительные сведения см. в статье Accessibility for SharePoint 2013.
О прокси веб-приложения для гибридной среды
Веб-Application Proxy — это служба удаленного доступа в Windows Server 2012 R2, которая публикует веб-приложения, с которыми пользователи могут взаимодействовать со многих устройств. Она также предоставляет возможности прокси-сервера для служб федерации Active Directory (AD FS). Это помогает системным администраторам обеспечивать безопасный доступ к серверу AD FS. С помощью прокси веб-приложения они могут выбирать, как пользователи будут проходить проверку подлинности в веб-приложении, а также определять авторизованных пользователей приложения.
В гибридных средах SharePoint Server, в которых SharePoint в Microsoft 365 запрашивает данные из SharePoint Server, можно использовать Windows Server 2012 R2 с веб-Application Proxy в качестве устройства обратного прокси-сервера для безопасной передачи запросов из Интернета в локальную ферму SharePoint Server.
Важно!
Чтобы использовать веб-Application Proxy в качестве устройства обратного прокси-сервера в гибридной среде SharePoint Server, необходимо также развернуть AD FS в Windows Server 2012 R2.
Примечание.
Чтобы установить и настроить компонент веб-Application Proxy, необходимо быть локальным администратором на компьютере, на котором установлена Windows Server 2012 R2. Сервер Windows Server 2012 R2 с функцией веб-Application Proxy может быть членом домена или рабочей группы.
Шаг 1. Установка служб федерации Active Directory и веб-прокси приложения
Сведения об установке AD FS в Windows Server 2012 R2 см. в службы федерации Active Directory (AD FS) Обзор.
Сведения об установке компонента веб-Application Proxy в Windows Server 2012 R2 см. в статье Установка ролей и компонентов сервера на сервере с основным сервером.
Шаг 2. Настройка прокси веб-приложения
В этом разделе описывается настройка компонента прокси веб-приложения после его установки.
Веб-Application Proxy соответствует отпечатку сертификата безопасного канала, который должен быть импортирован и установлен в хранилище персональных сертификатов локального компьютера на сервере веб-Application Proxy.
Настройте веб-Application Proxy с помощью опубликованного приложения, которое может принимать входящие запросы от SharePoint в клиенте Microsoft 365.
Импорт SSL-сертификата безопасного канала
Необходимо импортировать SSL-сертификат Secure Channel в личное хранилище учетной записи локального компьютера, а затем задать разрешения на закрытый ключ сертификата, чтобы разрешить учетной записи службы веб-службы Application Proxy (appproxysvc) полный доступ.
Примечание.
Учетная запись службы прокси-сервера веб-приложений по умолчанию — это учетная запись сетевой службы локального компьютера.
 |
Расположение SSL-сертификата безопасного канала записано в строке 1 ("Расположение и имя файла SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". Если сертификат содержит закрытый ключ, вам потребуется указать пароль сертификата, записанный в строке 4 ("Пароль SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". |
Сведения об импорте SSL-сертификата см. в разделе Импорт сертификата.
Настройка опубликованного приложения
Примечание.
Действия, описанные в этом разделе, могут выполняться только с помощью Windows PowerShell.
Чтобы настроить опубликованное приложение для приема и ретрансляции запросов от клиента SharePoint в Microsoft 365, введите следующую команду Microsoft PowerShell.
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
Где:
- <externalUrl> — это внешний URL-адрес веб-приложения. Это общедоступный URL-адрес, по которому SharePoint в Microsoft 365 будет отправлять входящие запросы на содержимое и ресурсы SharePoint Server.
|
Внешний URL-адрес записан в строке 3 ("Внешний URL-адрес") таблицы 3, "Сведения об общедоступном домене" в рабочем листе гибридной среды SharePoint. |
- <URL-адрес> моста — это внутренний URL-адрес, настроенный для основного веб-приложения в локальной ферме SharePoint Server. Это URL-адрес, по которому веб-Application Proxy будет ретранслировать входящие запросы из SharePoint в Microsoft 365.
|
URL-адрес моста записан в одном следующих мест в рабочем листе гибридной среды SharePoint: Если основное веб-приложение использует семейство сайтов с именем узла, используйте значение из строки 1 ("URL-адрес основного веб-приложения") таблицы 5a, "Основное веб-приложение (семейство сайтов с именем узла)". Если основное веб-приложение настроено с семейством веб-сайтов на основе пути , используйте значение в строке 1 (URL-адрес основного веб-приложения) таблицы 5b: первичное веб-приложение (семейство веб-сайтов на основе пути без AAM). Если основное веб-приложение настроено с семейством веб-сайтов на основе пути с AAM , используйте значение в строке 5 (URL-адрес основного веб-приложения) таблицы 5c: первичное веб-приложение (семейство веб-сайтов на основе пути с AAM). |
<понятное имя опубликованного приложения> — это имя, выбранное для идентификации опубликованного приложения в веб-Application Proxy.
<Отпечаток> сертификата — это отпечаток сертификата в виде строки без пробелов, используемого для адреса, указанного параметром ExternalUrl. Это значение вводится дважды: один раз для параметра ExternalCertificateThumbprint и еще раз для параметра ClientCertificatePreauthenticationThumbprint.
|
Это отпечаток SSL-сертификата безопасного канала. Расположение этого файла записано в строке 1 ("Расположение и имя файла SSL-сертификата безопасного канала") таблицы 4b, "SSL-сертификата безопасного канала". |
Дополнительные сведения о командлете Add-WebApplicationProxyApplication см. в разделе Add-WebApplicationProxyApplication.
Проверка опубликованного приложения
Чтобы проверить опубликованное приложение, используйте командлет Get-WebApplicationProxyApplication. Введите следующую команду Microsoft PowerShell:
Get-WebApplicationProxyApplication |fl
Выходные данные должны быть похожи на содержимое следующей таблицы:
| ADFSRelyingPartyID |
:<заполнено во время выполнения> |
| ADFSRelyingPartyName |
:<имя проверяющей стороны> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
: None |
| BackendServerCertificateValidation |
: None |
| BackendServerUrl |
: url-адрес> https://< bridging/ |
| ClientCertificateAuthenticationBindingMode |
: None |
| ClientCertificatePreauthenticationThumbprint : |
: <отпечаток сертификата> |
| DisableTranslateUrlInRequestHeaders |
: False |
| DisableTranslateUrlInResponseHeaders |
: False |
| ExternalCertificateThumbprint |
: <отпечаток сертификата> |
| ExternalPreauthentication |
: PassThrough |
| ExternalUrl |
: https://< внешний URL-адрес>/ |
| Идентификатор |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| Имя |
: <понятное имя опубликованного приложения> |
| UseOAuthAuthAuthentication |
: False |
| PSComputerName |
: |
Устранение неполадок
Веб-Application Proxy регистрирует события и ошибки в журналы событий Приложений и удаленного доступа Windows Server. Ведение журнала играет важную роль в устранении проблем с подключением и проверкой подлинности между SharePoint Server и SharePoint в Microsoft 365. Определение компонента, вызывающего сбой подключения, может оказаться сложной задачей, и журналы обратного прокси-сервера — это первое место, где следует искать возможные причины. Устранение неполадок может включать сравнение событий из веб-Application Proxy журналов событий, журналов ULS SharePoint Server, журналов событий Windows Server и журналов служб IIS на нескольких серверах.
Дополнительные сведения о методах и средствах устранения неполадок для гибридных сред SharePoint Server см. в статье Устранение неполадок с гибридными средами.
См. также
Понятия
Гибридная конфигурация SharePoint Server
Настройка устройства обратного прокси-сервера для гибридного развертывания SharePoint Server