Планирование подключения из Microsoft 365 к серверу SharePoint Server

ОБЛАСТЬ ПРИМЕНЕНИЯ:2013 2016 2019 Subscription Edition SharePoint в Microsoft 365

Эта статья поможет вам спланировать и подготовиться к настройке входящего подключения из Microsoft 365 для предприятий к SharePoint Server через обратное прокси-устройство. Это необходимо для следующих гибридных сред:

• Входящий гибридный поиск (отображение результатов поиска из SharePoint Server в Microsoft 365)

• гибридные службы Business Connectivity Services;

В этой статье мы предоставим вам необходимые сведения, такие как предварительные требования, и лист для сбора необходимых сведений, прежде чем приступить к процессу настройки.

Этот раздел поможет вам сделать следующее:

• Общие сведения о предварительных требованиях и требованиях для входящего подключения

• Планирование архитектуры веб-приложения

• Планирование SSL-сертификатов

• Запись ключевых решений и сведений

Сбор и запись сведений о листе и сборке сведений журнала

Лист. В процессе планирования необходимо собирать сведения и файлы. Очень важно использовать гибридный лист SharePoint для отслеживания сведений о планировании и развертывании, а также для совместного использования с другими участниками группы развертывания. Мы не можем настолько подчеркнуть важность использования этого листа, чтобы упорядочить сведения перед началом процесса настройки.

Создайте журнал сборки. Как и в любом сложном проекте реализации, подробный отчет о каждом решении по проектированию, конфигурации сервера, процедуре, выходных данных команды и ошибке является очень важным справочным материалом для устранения неполадок, поддержки и осведомленности. Мы настоятельно рекомендуем тщательно документировать процесс развертывания.

Предостережение

По соображениям безопасности храните лист и журнал сборки в защищенном месте, например в защищенном файловом ресурсе или SharePoint в библиотеке документов Microsoft 365, и предоставьте разрешения только администраторам, которые участвуют в процессе развертывания и должны знать эту информацию.

Сбор и запись сведений о URL-адресе и имени узла

В этом разделе вы запишите сведения о URL-адресах и именах узлов в вашей среде. Эти сведения будут использоваться во время развертывания.

• Запишите общедоступное доменное имя DNS вашей компании (например, adventureworks.com).

• Запишите URL-адрес общедоступной конечной точки устройства обратного прокси-сервера, которое будет использоваться для гибридной среды SharePoint. Это внешний URL-адрес. Если эта конечная точка еще не существует, необходимо решить, каким будет этот URL-адрес.

• Запишите IP-адрес внешней конечной точки устройства обратного прокси-сервера.

• Убедитесь, что запись A (также известная как запись узла) существует в общедоступной зоне прямого просмотра DNS для общедоступного домена, которая сопоставляет внешний URL-адрес с IP-адресом конечной точки, выходя в Интернет, на обратном прокси-устройстве. Если у вас еще нет этой записи A, создайте ее сейчас.

• Убедитесь, что в зоне прямого просмотра DNS интрасети существует запись A, которая сопоставляет имя узла фермы SharePoint Server с ее IP-адресом. Если у вас еще нет этой записи A, создайте ее сейчас.

  Важно!

  Если вы настраиваете внутренние URL-адреса для доступа к веб-приложению во время развертывания, убедитесь, что вы также создаете записи A для этих URL-адресов в зоне прямого просмотра DNS интрасети и запишите их на листе.

	Запишите следующие сведения в таблице 3 гибридного листа SharePoint: Доменное имя общедоступного корпоративного домена DNS в строке Имя общедоступного домена Интернета . URL-адрес общедоступной конечной точки устройства обратного прокси-сервера в строке Внешний URL-адрес . IP-адрес внешней конечной точки устройства обратного прокси-сервера в строке IP-адреса внешней конечной точки .

Планирование архитектуры веб-приложения

Этот раздел поможет вам спланировать архитектуру веб-приложений SharePoint Server, которые будут использоваться в гибридной среде.

Для входящего подключения требуется безопасный канал связи между локальной фермой SharePoint Server и SharePoint в Microsoft 365. Обмен данными осуществляется между семейством веб-сайтов в SharePoint в Microsoft 365 и локальным веб-приложением по этому каналу связи.

SharePoint в Microsoft 365 отправляет запросы на обратный прокси-сервер, который ретранслирует запросы в определенное веб-приложение в локальной ферме SharePoint Server, настроенной для гибридной среды SharePoint. Мы называем его основным веб-приложением.

Совет

Независимо от количества гибридных решений, которые планируется настроить, обычно используется только одно основное веб-приложение. Вам не нужно создавать дополнительные основные веб-приложения для каждого дополнительного гибридного решения.

Основное веб-приложение и одно семейство веб-сайтов в основном веб-приложении должны быть настроены для приема входящих подключений из SharePoint в Microsoft 365.

Администратор SharePoint связывает службы и объекты подключения, необходимые для поддержки гибридных решений, развертываемых с помощью основного веб-приложения. Исходящие подключения можно установить из любого локального веб-приложения SharePoint Server с помощью конфигураций, зависящих от функций.

Веб-приложение SharePoint Server состоит из веб-сайта служб IIS, который выступает в качестве логической единицы для создаваемых семейств веб-сайтов. Каждое веб-приложение представлено различным веб-сайтом IIS, который имеет уникальный или общий пул приложений, имеющий уникальный общедоступный URL-адрес, который также можно настроить для использования до пяти внутренних URL-адресов с помощью альтернативного сопоставления доступа (AAM). Данное веб-приложение связано с отдельной базой данных контента и настроено для подключения к ней с помощью определенного метода проверки подлинности. Несколько веб-приложений можно настроить для использования различных методов проверки подлинности и при необходимости AAM для предоставления доступа к одной базе данных контента.

Общедоступный URL-адрес веб-приложения всегда используется в качестве корневого URL-адреса во всех ссылках на сайты и содержимое, доступ к которым осуществляется через веб-приложение. Рассмотрим веб-приложение с общедоступным URL-адресом https://spexternal.adventureworks.com , который имеет внутренний URL-адрес https://sharepoint , настроенный в AAM. При переходе по внутреннему URL-адресу https://sharepointSharePoint Server возвращает веб-сайт с URL-адресом https://spexternal.adventureworks.com, и все ссылки на сайте будут иметь URL-адреса на основе этого пути.

Альтернативное сопоставление доступа (AAM) требуется только при настройке входящего подключения с помощью семейства веб-сайтов на основе пути с общедоступным URL-адресом, отличным от внешнего. AAM позволяет связать внешний URL-адрес с внутренним URL-адресом сайта SharePoint в Microsoft 365 в организации. Это позволяет SharePoint Server направлять запросы для внутренних URL-адресов, настроенных в AAM, в соответствующее основное веб-приложение.

Дополнительные сведения о веб-приложениях на основе утверждений см. в статье Создание веб-приложений на основе утверждений в SharePoint Server.

Дополнительные сведения о расширении веб-приложения см. в статье Расширение веб-приложений на основе утверждений в SharePoint.

Дополнительные сведения о семействах веб-сайтов см. в статье Обзор сайтов и семейств веб-сайтов в SharePoint Server.

Выбор стратегии семейства веб-сайтов

Прежде чем использовать существующее веб-приложение или создать новое, необходимо понимать требования к конфигурации, которым должны соответствовать веб-приложение и семейство веб-сайтов для поддержки гибридных функций. Используйте сведения в этом разделе, чтобы определить стратегию создания нового веб-приложения и семейства веб-сайтов или определить, можно ли использовать семейство веб-сайтов в существующем веб-приложении в гибридной среде.

На следующем рисунке показан поток принятия решений для определения стратегии семейства веб-сайтов.

Требования к гибридным веб-приложениям

Веб-приложения, используемые для гибридных функций, должны соответствовать всем следующим требованиям:

• Общедоступный URL-адрес веб-приложения должен быть идентичен внешнему URL-адресу.

  Протокол OAuth обеспечивает авторизацию пользователей в гибридных решениях SharePoint. Заголовок запроса узла во всех сообщениях SharePoint в Microsoft 365 к локальной среде SharePoint содержит URL-адрес, по которому был отправлен запрос. Для проверки подлинности входящих запросов из SharePoint в Microsoft 365 локальная служба проверки подлинности SharePoint должна иметь возможность сопоставлять этот URL-адрес во всем трафике из SharePoint в Microsoft 365 с общедоступным URL-адресом основного веб-приложения. Это внешний URL-адрес. Одним из преимуществ использования семейства веб-сайтов с именем узла для гибридных сред SharePoint является то, что вы можете настроить семейство веб-сайтов с именем узла для использования того же URL-адреса, что и внешний URL-адрес. Это устраняет необходимость в настройке альтернативного сопоставления доступа.

• Веб-приложение должно быть настроено для использования интегрированной проверка подлинности Windows с помощью NTLM.

  Интегрированные проверка подлинности Windows с использованием NTLM требуются для веб-приложений, развернутых в сценариях, поддерживающих проверку подлинности между серверами и проверку подлинности приложений. Дополнительные сведения см. в статье Планирование проверки подлинности между серверами в SharePoint Server.

  

Требования для конкретных конфигураций семейства веб-сайтов

Семейства веб-сайтов, используемые для гибридных функций, должны соответствовать всем этим требованиям, а также должны существовать в веб-приложении или создаваться в веб-приложении, которое соответствует требованиям веб-приложения:

• Семейства веб-сайтов с именем на основе узла

  • Веб-приложение должно поддерживать семейства веб-сайтов с именем узла.

    Чтобы создать семейство веб-сайтов с именем узла, необходимо создать веб-приложение, чтобы включить их. Эту функцию нельзя включить после создания веб-приложения.

    Дополнительные сведения о создании семейства веб-сайтов с именем узла см. в статье Архитектура и развертывание семейства веб-сайтов с именем узла в SharePoint Server.

    Примечание.

    Хотя это требование веб-приложения, оно указано здесь, так как оно применяется только к средам с семействами веб-сайтов с именем узла.

  • Локальный DNS-сервер должен быть настроен с разделением DNS. Необходимо создать зону прямого просмотра для общедоступного интернет-домена, который использовался для общедоступного URL-адреса, и запись A (узел) в зоне прямого просмотра с IP-адресом SharePoint Server и именем узла внешнего URL-адреса.

    Важно!

    Устройство обратного прокси-сервера должно иметь возможность разрешать имена узлов в этой зоне прямого просмотра для ретрансляции входящих запросов в ферму SharePoint Server.

• Семейства веб-сайтов на основе путей

  • Если общедоступный URL-адрес идентичен внешнему URL-адресу:

    Локальный DNS-сервер должен быть настроен с разделением DNS. Необходимо создать зону прямого просмотра для общедоступного интернет-домена, который использовался для общедоступного URL-адреса, и запись A в зоне прямого просмотра с IP-адресом SharePoint Server и именем узла внешнего URL-адреса.

    Важно!

    Устройство обратного прокси-сервера должно иметь возможность разрешать имена узлов в этой зоне прямого просмотра для ретрансляции входящих запросов в ферму SharePoint Server.

    Это простой способ настройки веб-приложения для гибридной среды SharePoint. Цель — сопоставить поле Общедоступный URL-адрес нового веб-приложения с URL-адресом общедоступной конечной точки на обратном прокси-сервере, который также называется внешним URL-адресом.

  • Если общедоступный URL-адрес отличается от внешнего:

    Необходимо настроить альтернативное сопоставление доступа (AAM) для ретрансляции входящих запросов из SharePoint в Microsoft 365.

    Расширьте основное веб-приложение и используйте внешний URL-адрес в качестве общедоступного URL-адреса. Затем создайте внутренний URL-адрес (с помощью добавления внутренних URL-адресов) в той же зоне безопасности, что и расширенное веб-приложение, для использования в качестве URL-адреса моста. Вы также настроите устройство обратного прокси-сервера для ретрансляции входящих запросов из SharePoint в Microsoft 365 по этому URL-адресу моста.

    Помните, что альтернативное сопоставление доступа (AAM) требуется только при настройке входящего подключения с помощью семейства веб-сайтов на основе пути с общедоступным URL-адресом, отличным от внешнего.

Примечание.

Помните, что внешний URL-адрес — это URL-адрес конечной точки обратного прокси-сервера с выходом в Интернет.

	Запишите выбор стратегии семейства веб-сайтов на листе в строке Стратегия семейства веб-сайтов таблицы 2.

Выберите существующее веб-приложение или создайте новое.

Вы можете использовать существующее веб-приложение или создать его в качестве основного веб-приложения.

Если вы предпочитаете управлять веб-приложением, используемым для гибридных функций, независимо или если существующее веб-приложение не соответствует требованиям, перечисленным в разделе Выбор стратегии семейства веб-сайтов , необходимо создать новое веб-приложение.

	Запишите свое решение в строке Новое или существующее веб-приложение таблицы 2.

Планирование использования существующего веб-приложения

Если вы решили использовать существующее веб-приложение в качестве основного веб-приложения, соберите URL-адрес основного веб-приложения и URL-адрес семейства веб-сайтов верхнего уровня и выведите его на листе.

	Запишите на лист следующие сведения: В зависимости от стратегии семейства веб-сайтов запишите URL-адрес основного веб-приложения в строке URL-адрес основного веб-приложения в таблице 5a, 5b или 5c. Если вы используете существующее семейство веб-сайтов с именем узла, запишите URL-адрес семейства веб-сайтов верхнего уровня в строке URL-адрес семейства веб-сайтов с именем узла в таблице 5a.

Планирование создания нового веб-приложения

Если вы решите создать новое веб-приложение, мы научим вас делать это при настройке гибридной топологии.

Планирование SSL-сертификатов

SSL-сертификаты устанавливают удостоверение сервера и обеспечивают проверку подлинности сертификатов для нескольких различных служб и подключений в гибридной среде SharePoint. Необходимо иметь два SSL-сертификата: SSL-сертификат Secure Channel и сертификат STS.

Дополнительные сведения об использовании SSL-сертификатов в гибридных средах SharePoint см. в статье Гибридная топология SharePoint 2013: модель сертификатов и проверки подлинности.

Примечание.

Если вы решили защитить локальную ферму SharePoint с помощью SSL, вам также потребуется SSL-сертификат для основного веб-приложения. Для этого сертификата нет рекомендаций, относящихся к гибридной среде, поэтому вы можете следовать общим рекомендациям по настройке SharePoint Server с помощью SSL.

Примечание.

"Безопасный канал" не является классом сертификата; Мы используем этот термин как способ отличить этот конкретный сертификат от других SSL-сертификатов, используемых в среде.

Сведения о SSL-сертификатах Secure Channel

SSL-сертификат Secure Channel обеспечивает проверку подлинности и шифрование безопасного канала связи между устройством обратного прокси-сервера и Microsoft 365, выступая в качестве сертификата сервера и клиента. Он также проверяет удостоверение конечной точки обратного прокси-сервера, используемой для публикации локального семейства веб-сайтов SharePoint Server.

Этот сертификат должен быть подстановочным знаком или сертификатом SAN и выдаваться общедоступным корневым центром сертификации. Поле субъекта этого сертификата должно содержать имя узла внешней конечной точки обратного прокси-сервера или URL-адрес с подстановочными знаками, охватывающий все имена узлов в пространстве имен. Оно должно использовать не менее 2048-разрядного шифрования.

Важно!

Сертификаты с подстановочными знаками могут защитить только один уровень пространства имен DNS. Например, если внешний URL-адрес — https://spexternal.public.adventureworks.com, тема сертификата с подстановочными знаками должна быть *.public.adventureworks.com, а не *.adventureworks.com.

В сценариях, когда SharePoint в Microsoft 365 настроен для запроса сведений из SharePoint Server, SSL-сертификат требуется для выполнения следующих действий:

• Шифрование трафика по каналу безопасности.

• Включите устройство обратного прокси-сервера для проверки подлинности входящих подключений с помощью проверки подлинности сертификата.

• Разрешить SharePoint в Microsoft 365 идентифицировать внешнюю конечную точку и доверять ей.

Во время развертывания ssl-сертификат устанавливается как на устройстве обратного прокси-сервера, так и в целевом приложении SharePoint в Microsoft 365 Secure Store. Она будет настроена при настройке инфраструктуры гибридной среды.

Получение SSL-сертификата Secure Channel

Получите подстановочный знак SSL secure channel или сертификат SAN (альтернативное имя субъекта) для локального общедоступного домена из хорошо известного центра сертификации, например DigiCert, VeriSign, Thawte или GeoTrust.

Примечание.

Этот сертификат должен поддерживать несколько имен и иметь не менее 2048 бит. Срок действия сертификатов обычно истекает через один год. Поэтому важно заранее спланировать продление сертификатов, чтобы избежать перебоев в обслуживании. Администраторы SharePoint должны запланировать напоминание о замене сертификата, которое дает вам достаточно времени, чтобы предотвратить остановку работы.

Сведения о сертификатах STS

Сертификату STS локальной фермы SharePoint требуется сертификат по умолчанию для проверки входящих маркеров. В гибридной среде SharePoint идентификатор Microsoft Entra выступает в качестве доверенной службы подписи маркеров и использует сертификат STS в качестве сертификата подписи. Если вы решили использовать сертификат, отличный от сертификата STS по умолчанию (например, сертификат из общедоступного центра сертификации), замените сертификат по умолчанию, прежде чем начинать процесс гибридной конфигурации.

Запись учетных записей, необходимых для настройки и тестирования

Для настройки гибридной среды SharePoint требуется несколько учетных записей пользователей как в локальная служба Active Directory, так и в каталоге Microsoft 365 (Microsoft Entra идентификатор, отображаемый в каталоге Microsoft 365). Эти учетные записи имеют разные разрешения и членство в группах или роли. Некоторые учетные записи используются для развертывания и настройки программного обеспечения, а некоторые необходимы для тестирования определенных функций, чтобы гарантировать, что системы безопасности и проверки подлинности работают должным образом.

• Перейдите в раздел Учетные записи, необходимые для гибридной конфигурации и тестирования , чтобы получить полное описание необходимых учетных записей пользователей, включая заметки о ролях и поставщиках удостоверений.

• Запишите необходимые сведения об учетной записи на листе в соответствии с инструкциями.

• Вернитесь к этой статье о планировании после завершения этого шага.

Дальнейшие действия

На этом этапе необходимо завершить заполнение необходимого листа для входящего подключения и быть готовым к началу процесса настройки. Следующий шаг — выбрать схему конфигурации.