计划从 Microsoft 365 到 SharePoint Server 的连接

适用于:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

本文旨在帮助你规划和准备通过反向代理设备配置从 Microsoft 365 企业到 SharePoint Server 的入站连接。 下列混合环境需要执行此操作:

  • 在 Microsoft 365) 中显示 SharePoint Server 搜索结果的入站混合搜索 (

  • 混合 Business Connectivity Services

在本文中,我们将提供您需要了解的信息(例如先决条件),以及用于在开始配置过程之前收集必要信息的工作表。

本主题将帮助您执行下列操作:

  • 了解入站连接的先决条件和要求

  • 规划您的 Web 应用程序体系结构

  • 规划 SSL 证书

  • 记录关键决策和信息

收集和记录工作表并生成日志信息

工作表。 在规划过程中,必须收集信息和文件。 请务必使用 SharePoint 混合工作表 来跟踪规划和部署信息以供参考并与部署团队的其他成员共享。 在开始配置过程之前,我们强调使用此工作表来组织信息的重要性。

创建生成日志。 与在所有复杂的实施项目中一样,针对每个设计决策、服务器配置、程序、命令输出和错误进行的详细记录对于故障排除、支持和了解来说都是非常重要的参考。 我们强烈建议您详细记录您的部署过程。

警告

出于安全原因,请将工作表和生成日志存储在安全增强的位置(例如Microsoft 365 文档库中的安全文件共享或 SharePoint),并仅向参与部署过程且必须知道此信息的管理员授予权限。

收集并记录 URL 和主机名信息

在本节中,您将记录关于您环境中的 URL 和主机名的信息。 在部署过程中,您将使用此信息。

  • 记录公司的公共 DNS 域名 (,例如 adventureworks.com) 。

  • 记录将用于 SharePoint 混合的反向代理设备的面向公众的终结点的 URL。 这是外部 URL。 如果此终结点尚不存在,则必须确定此 URL 是什么。

  • 记录反向代理设备的外部终结点的 IP 地址。

  • 确保 A 记录 (也称为 主机记录) 存在于公共域 的公共 DNS 正向查找区域中,该区域将外部 URL 映射到反向代理设备上面向 Internet 的终结点的 IP 地址。 如果还没有此 A 记录,请立即创建它。

  • 确保 Intranet DNS 正向查找区域中存在一条 A 记录,该记录将 SharePoint Server 服务器场的主机名映射到其 IP 地址。 如果还没有此 A 记录,请立即创建它。

    重要

    如果您将内部 URL 配置为在部署过程中访问 Web 应用程序,请确保您在 Intranet DNS 正向查找区域中也为这些 URL 创建了 A 记录,并将其记录在工作表上。

   
编辑图标 在 SharePoint 混合工作表的表 3 中记录以下信息:
“公共 Internet 域名”行中面向公众的公司 DNS 域的域名。
“外部 URL”行中反向代理设备面向公众的终结点的 URL。
“外部终结点的 IP 地址”行中反向代理设备外部终结点的 IP 地址。

规划您的 Web 应用程序体系结构

本部分可帮助你规划将在混合环境中使用的 SharePoint Server Web 应用程序的体系结构。

入站连接需要本地 SharePoint Server 场与 Microsoft 365 中的 SharePoint 之间的安全信道。 Microsoft 365 SharePoint 中的网站集通过此通信通道在本地 Web 应用程序之间交换数据。

Microsoft 365 中的 SharePoint 将请求发送到反向代理服务器,该服务器将请求中继到为 SharePoint 混合配置的本地 SharePoint Server 场中的特定 Web 应用程序。 我们称之为主 Web 应用程序。

提示

不论您计划配置多少个混合解决方案,您通常仅使用一个主 Web 应用程序。 无需为每个附加的混合解决方案创建额外的主 Web 应用程序。

主 Web 应用程序和主 Web 应用程序中的单个网站集都必须配置为接受来自 Microsoft 365 中的 SharePoint 的入站连接。

SharePoint 管理员关联支持与主 Web 应用程序部署的混合解决方案所需的服务和连接对象。 可以使用特定于功能的配置从任何本地 SharePoint Server Web 应用程序建立出站连接。

SharePoint Server Web 应用程序由 Internet Information Services (IIS) 网站组成,该网站充当您创建的网站集的逻辑单元。 每个Web 应用程序由一个不同的 IIS 网站表示,该 IIS 网站具有唯一或共享应用程序池和唯一公共 URL,并且还可以使用备用访问映射 (AAM) 配置为使用多达五个内部 URL。 指定 Web 应用程序与单个内容数据库关联,并配置为使用特定的身份验证方法连接到数据库。 多个 Web 应用程序可以配置为使用不同的身份验证方法(和可选的 AAM),以提供对单个内容数据库的访问权限。

Web 应用程序的公共 URL 始终用作通过 Web 应用程序访问的网站和内容的所有链接中的根 URL。 请考虑使用公共 URL https://spexternal.adventureworks.com 的 Web 应用程序,该应用程序在 AAM 中配置了内部 URL https://sharepoint 。 当您浏览到内部 URL https://sharepoint时,SharePoint Server 将返回带有 URL https://spexternal.adventureworks.com的网站,并且网站中的所有链接都将具有基于该路径的 URL。

仅当使用基于路径的网站集(其公共 URL 与外部 URL 不相同)配置入站连接时,才需要备用访问映射 (AAM)。 AAM 允许您将外部 URL 与组织内 Microsoft 365 网站中的 SharePoint 的内部 URL 相关联。 这使 SharePoint Server 能够将 AAM 中配置的内部 URL 的请求路由到相应的主 Web 应用程序。

有关基于声明的 Web 应用程序的详细信息,请参阅 在 SharePoint Server 中创建基于声明的 Web 应用程序

有关如何扩展 Web 应用程序的详细信息,请参阅 在 SharePoint 中扩展基于声明的 Web 应用程序

有关网站集的详细信息,请参阅 SharePoint Server 中的网站和网站集概述

选择网站集策略

在您决定使用现有 Web 应用程序还是创建一个新的之前,您必须了解 Web 应用程序和网站集支持混合功能要满足的配置要求。 使用本节中的信息确定创建新 Web 应用程序和网站集的策略,或者确定现有 Web 应用程序中的网站集能否用于您的混合环境。

下图显示了用于确定您的网站集策略的决策流程。

单向入站或双向 SharePoint 混合身份验证拓扑的三种可能的网站集策略。

混合 Web 应用程序的要求

用于混合功能的 Web 应用程序必须满足下列所有要求:

  • Web 应用程序的公共 URL 必须与外部 URL 相同

    OAuth 协议提供了 SharePoint 混合解决方案中的用户授权。 Microsoft 365 与本地 SharePoint 通信的所有 SharePoint 中的 主机 请求标头包含请求最初发送到的 URL。 若要在 Microsoft 365 中对来自 SharePoint 的入站请求进行身份验证,本地 SharePoint 身份验证服务必须能够匹配从 Microsoft 365 中的 SharePoint 到主 Web 应用程序的公共 URL 的所有流量中的此 URL。 这是外部 URL。 对 SharePoint 混合环境使用以主机命名的网站集的一个优势是,您可以将以主机命名的网站集配置为使用与外部 URL 相同的 URL。 因此无需配置备用访问映射。

  • 必须将 Web 应用程序配置为采用使用 NTLM 的集成 Windows 身份验证

    对于在支持服务器到服务器身份验证和应用程序身份验证的方案中部署的 Web 应用程序,需要使用 NTLM 的集成 Windows 身份验证。 有关详细信息,请参阅规划 SharePoint Server 中的服务器到服务器身份验证.

    声明混合 SharePoint 的身份验证类型

特定网站集配置的要求

用于混合功能的网站集必须满足所有要求,还必须在满足 Web 应用程序要求的 Web 应用程序中存在或创建:

  • 以主机命名的网站集

    • Web 应用程序必须支持以主机命名的网站集。

      要创建以主机命名的网站集,必须创建 Web 应用程序来进行启用。 创建 Web 应用程序后则无法启用此功能。

      有关如何创建以主机命名的网站集的详细信息,请参阅 SharePoint Server 中以主机命名的网站集体系结构和部署

      注意

      尽管这是 Web 应用程序要求,但在此处列出是因为它仅适用于包含以主机命名的网站集的环境。

    • 您的本地 DNS 服务器必须使用拆分 DNS 配置。 您需要为用于公共 URL 的公共 Internet 域创建向前查找区域,并在具有 SharePoint Server IP 地址和外部 URL 主机名的正向查找区域中创建 A (主机) 记录

      重要

      反向代理设备必须能够解析此正向查找区域中的主机名,以便将入站请求中继到 SharePoint Server 场。

  • 基于路径的网站集

    • 如果公共 URL 与外部 URL 相同:

      您的本地 DNS 服务器必须使用拆分 DNS 配置。 您需要为用于公共 URL 的公共 Internet 域创建向前查找区域,并在具有 SharePoint Server IP 地址和外部 URL 主机名的正向查找区域中创建 A 记录

      重要

      反向代理设备必须能够解析此正向查找区域中的主机名,以便将入站请求中继到 SharePoint Server 场。

      这是为 SharePoint 混合配置 Web 应用程序的一种简单方式。 目的是将新 Web 应用程序的“公共 URL”字段与反向代理上面向公众的终结点的 URL(也称为外部 URL)相匹配。

    • 如果公共 URL 与外部 URL 不同:

      需要配置备用访问映射 (AAM) ,以中继来自 Microsoft 365 中的 SharePoint 的入站请求。

      扩展主 Web 应用程序,并使用外部 URL 作为“公共 URL”。 然后在与扩展 Web 应用程序相同的安全区域创建一个内部 URL(通过“添加内部 URL”),以作为桥接 URL。 还将配置反向代理设备,以将来自 Microsoft 365 中的 SharePoint 的入站请求中继到此桥接 URL。

      记住,仅当使用基于路径的网站集(其公共 URL 与外部 URL 不相同)配置入站连接时,才需要备用访问映射 (AAM)。

注意

记住,外部 URL 是反向代理设备面向 Internet 的终结点的 URL。

   
编辑图标 在表 2 的“网站集策略”行中记录您的网站集策略选择。

选择现有 Web 应用程序或新建一个应用程序

您可以使用现有 Web 应用程序或创建一个作为主 Web 应用程序。

如果您倾向于单独管理用于混合功能的 Web 应用程序,或者如果您的现有 Web 应用程序不符合选择网站集策略一节中所列的要求,您应该创建一个新的 Web 应用程序。

   
编辑图标 在表 2 的“新的或现有的 Web 应用程序”行中记录您的决定。

计划使用现有的 Web 应用程序

如果您决定使用现有的 Web 应用程序作为主 Web 应用程序,请收集主 Web 应用程序和顶级网站集的 URL 并将其列在工作表中。

   
编辑图标 在工作表中记录以下信息:
根据您的网站集策略,在表 5a、5b 或 5c 的 “Primary web application URL” 行中记录主 Web 应用程序的 URL。
如果您使用以主机命名的现有网站集,请在表 5a 的 “Host-named site collection URL” 行中记录顶级网站集的 URL。

计划创建新的 Web 应用程序

如果您决定创建新的 Web 应用程序,我们将指导您在配置混合拓扑时进行创建。

规划 SSL 证书

SSL 证书可确定服务器身份,并为 SharePoint 混合环境中的多种不同服务和连接提供证书身份验证。 需要有两个 SSL 证书: 安全通道 SSL 证书STS 证书

有关如何在 SharePoint 混合环境中使用 SSL 证书的详细信息,请参阅 SharePoint 2013 混合拓扑:证书和身份验证模型

注意

如果您选择使用 SSL 来帮助保护本地 SharePoint 场,您还需要具备主 Web 应用程序的 SSL 证书。 此证书没有混合特定的注意事项,因此可以遵循使用 SSL 配置 SharePoint Server 的一般最佳做法。

注意

“安全通道”不是证书类;我们使用 术语来将此特定证书与环境中使用的其他 SSL 证书区分开来。

关于安全通道 SSL 证书

安全通道 SSL 证书为反向代理设备和 Microsoft 365 之间的安全信道提供身份验证和加密,充当服务器证书和客户端证书。 它还验证用于发布本地 SharePoint Server 网站集的反向代理终结点的标识。

此证书必须是通配符或 SAN 证书,并由公共根证书颁发机构颁发。 此证书的主题字段必须包含反向代理服务器的外部终结点的主机名,或者涵盖命名空间中所有主机名的通配符 URL。 它必须至少使用 2048 位加密。

重要

通配符证书只能保护一个级别的 DNS 命名空间。 例如,如果外部 URL 为 https://spexternal.public.adventureworks.com,则通配符证书的使用者必须为 *.public.adventureworks.com,而不是 *.adventureworks.com。

在将 Microsoft 365 中的 SharePoint 配置为从 SharePoint Server 请求信息的情况下,需要 SSL 证书才能执行以下操作:

  • 通过安全通道加密通信。

  • 使反向代理设备使用证书身份验证来对入站连接进行身份验证。

  • 允许 Microsoft 365 中的 SharePoint 标识和信任外部终结点。

在部署过程中,你将在反向代理设备和 SharePoint Microsoft 365 Secure Store 目标应用程序中安装 SSL 证书。 当您配置混合环境基础结构时,您需进行此配置。

获取安全通道 SSL 证书

从已知的证书颁发机构(例如 DigiCert、VeriSign、Thawte 或 GeoTrust)获取本地公共域的安全通道 SSL 通配符或 SAN (使用者可选名称) 证书。

注意

此证书必须支持多个名称,并且必须至少为 2048 位。 证书通常每隔一年过期。 因此,请务必提前计划证书续订,以避免服务中断。 SharePoint 管理员应安排一个证书更换提醒,为你提供足够的提前准备时间,以防止工作停止。

关于 STS 证书

本地 SharePoint 场的 STS 证书需要一个默认证书来验证传入令牌。 在 SharePoint 混合环境中,Microsoft Entra ID 充当受信任的令牌签名服务,并使用 STS 证书作为签名证书。 如果选择使用默认 STS 证书以外的证书 (例如,来自公共证书颁发机构的证书) ,请在开始混合配置过程之前替换默认证书。

记录配置和测试所需的帐户

SharePoint 混合环境设置需要本地 Active Directory 和 Microsoft 365 目录中的多个用户帐户, (Microsoft Entra ID,这些 ID 显示在 Microsoft 365 目录) 中。 这些帐户具有不同的权限和组或角色成员身份。 某些帐户将用于部署和配置软件,有些则需用于测试特定的功能,以帮助保证安全和身份验证系统按预期运行。

  • 请转到Accounts needed for hybrid configuration and testing,查看对所需用户帐户的完整解释,包括关于角色和标识提供程序的说明。

  • 按照说明在工作表中记录所需的帐户信息。

  • 完成此步骤后,返回到此规划文章。

后续步骤

现在,您应该已经填写完入站连接所需的工作表,并且已经准备好开始配置过程。 您的下一步是选择路线图