为 SharePoint Server 混合配置反向代理设备
适用于:
2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
重要
本文是配置 SharePoint 混合解决方案的过程 路线图 的一部分。 Be sure you're following a roadmap when you do the procedures in this article.
本主题概述了反向代理设备在 SharePoint Server 混合部署中的角色,并链接到特定于设备的配置指南。
SharePoint Server 混合部署中反向代理的角色
可以在混合配置中配置 SharePoint Server 和 Microsoft 365 中的 SharePoint,以安全地合并来自 Microsoft 业务连接 Services 的搜索结果和外部数据。 当来自 Microsoft 365 中的 SharePoint 的入站流量需要中继到本地 SharePoint 服务器场时,反向代理设备在混合 SharePoint Server 部署的安全配置中扮演一个角色。 例如,如果联合用户使用 Microsoft 365 搜索门户中配置为返回混合搜索结果的 SharePoint,则反向代理设备会截获并预验证本地 SharePoint Server 内容的请求,然后将其中继到 SharePoint Server。 混合拓扑中的反向代理设备使用 SSL 加密和客户端证书身份验证为入站通信提供了一个安全终结点。
入站连接的工作原理
下列图显示如何使用反向代理设备实现入站连接。
使用入站搜索解决方案时,只有 Microsoft 365 网站中的 SharePoint 具有这两个位置的搜索结果。
入站连接
在下面的示例中,Internet 上的联合用户使用 Microsoft 365 搜索门户中的 SharePoint 在 Microsoft 365 中的 SharePoint 及其公司的本地 SharePoint 服务器中搜索内容。
Internet 上的联合用户搜索位于公司的本地服务器上的内容。
以下列表描述了以上图片中所示的相关步骤。
联合用户从 Internet 浏览到她在 Microsoft 365 中的 SharePoint 网站。
Microsoft 365 中的 SharePoint 查询 Microsoft 365 中 SharePoint 中的搜索索引,并将搜索查询发送到本地 SharePoint 场的外部 URL,该 URL 解析为反向代理设备的外部终结点。
反向代理设备将使用安全通道 SSL 证书对请求进行预先身份验证,然后将请求中继到主 Web 应用程序的 URL。
SharePoint 场服务帐户将查询本地搜索索引,并对发送搜索请求的用户的上下文搜索结果进行安全剪裁。
安全修整的搜索结果将返回到 Microsoft 365 中的 SharePoint,并显示在搜索结果页上。 此结果集包括 Microsoft 365 搜索索引中 SharePoint 的搜索结果和来自 SharePoint Server 场搜索索引的搜索结果。
注意
仅当用户通过 VPN 或 DirectAccess 连接到 Intranet 网络,或者 SharePoint Server 场在 Extranet 拓扑中配置时,入站连接才允许 从 Internet 访问本地 SharePoint Server 场中的内容和资源。
有关此过程的详细说明(即介绍如何在此拓扑中使用证书以及执行身份验证和授权),请参阅 Poster: SharePoint 2013 Hybrid Topology: Certificate, Authentication, and Authorization flow(海报:SharePoint 2013 混合拓扑:证书、身份验证和授权流)。
反向代理的常规要求
在混合 SharePoint Server 方案中,反向代理必须能够:
通过通配符或 SAN SSL 证书支持客户端证书身份验证。
为 OAuth 2.0 支持传递身份验证,包括不受限制的 OAuth 持有者令牌事务。
在 TCP 端口 443 (HTTPS) 上接受未经请求的入站通信。
提示
除 TCP 443 外,无需在外部反向代理终结点上打开任何其他端口来支持混合连接性。
将通配符或 SAN SSL 证书绑定到已发布的终结点。
将通信中继到本地 SharePoint Server 场或负载均衡器,而无需重新编写任何数据包标头。
支持的反向代理设备
下表列出了 SharePoint Server 混合部署当前支持的反向代理设备。 随着新设备通过支持性测试,将会更新此列表。 按照您想要使用的反向代理设备的配置文章中的步骤操作。 完成反向代理设备的配置后,返回到您的路线图。
| 支持的反向代理设备 | 配置文章 | 其他信息 |
|---|---|---|
| Azure 应用程序代理 | 使用 Microsoft Entra 应用程序代理启用对 Microsoft 365 中的 SharePoint 的远程访问 | Azure 应用程序代理是一项 Azure 服务,允许远程访问网络中的服务,而无需打开从 Internet 到服务的防火墙端口。 |
| 具有 Web 应用程序代理 (WA-P) 的 Windows Server 2012 R2 |
在混合环境中配置 Web 应用程序代理 |
Web 应用程序代理 (WA-P) 是 Windows Server 2012 R2 中的一项远程访问服务,可发布 Web 应用程序以便用户与多个设备进行交互。 >[!重要说明]> 若要在混合 SharePoint Server 环境中将 Web 应用程序代理用作反向代理设备,还必须在 Windows Server 2012 R2 中部署 AD FS。 |
| Forefront Threat Management Gateway (TMG) 2010 |
配置混合环境的 Forefront TMG |
Forefront TMG 2010 是一款功能齐全、安全的 Web 网关解决方案,提供安全的反向代理功能。 > [!注意:> Forefront TMG 2010 不再由 Microsoft 销售,但将在 2020 年 4 月 14 日提供支持。 有关详细信息,请参阅 TMG 2010 的 Microsoft 支持生命周期信息。 |
| F5 BIG-IP |
启用包含 BIG-IP 的 SharePoint 2013 混合搜索 |
由 F5 网络管理的外部内容。 |
| Citrix NetScaler |
Citrix NetScaler and Microsoft SharePoint 2013 Hybrid Deployment Guide(Citrix NetScaler 和 Microsoft SharePoint 2013 混合部署指南) |
由 Citrix 管理的外部内容。 |