在混合环境中配置 Web 应用程序代理
**上一次修改主题:**2017-06-22
**摘要:**了解如何将 Windows Server 2012 R2 与 Web 应用程序代理 (WA P) 配置为 SharePoint 混合环境中的反向代理服务器设备。
本文介绍了 Web 应用程序代理,并帮助您将它设置为混合SharePoint Server环境作为反向代理。
开始之前
辅助功能备注: SharePoint Server支持常用浏览器可帮助您管理部署和访问站点的辅助的功能。有关详细信息,请参阅SharePoint 2013 的辅助功能。
关于混合环境中的 Web 应用程序代理
Web 应用程序代理是 Windows Server 2012 R2 中的一项远程访问服务,可发布 Web 应用程序以便用户与大量设备进行交互。它还包括 Active Directory 联合身份验证服务 (AD FS) 的代理功能。这有助于系统管理员向 AD FS 服务器提供安全访问。通过使用 Web 应用程序代理,系统管理员可以选择用户如何通过 Web 应用程序的身份验证,并确定谁有权限使用代理。
在混合SharePoint Server环境中从SharePoint Server的SharePoint Online请求数据,可用作Windows Server 2012 R2与 Web 应用程序代理反向代理设备对安全地中继请求从 Internet 向内部SharePoint Server场。
重要
作为反向代理设备混合SharePoint Server环境中使用 Web 应用程序代理服务器,您还必须部署在Windows Server 2012 R2AD FS。
备注
要安装和配置 Web 应用程序代理功能,您必须是安装 Windows Server 2012 R2 的计算机上的本地管理员。运行 Web 应用程序代理功能的 Windows Server 2012 R2 服务器可以是域或工作组的成员。
步骤 1:安装 AD FS 和 Web 应用程序代理功能
若要了解如何在 Windows Server 2012 R2 中安装 AD FS,请参阅 Active Directory 联合身份验证服务概述。
若要了解如何在 Windows Server 2012 R2 中安装 Web 应用程序代理功能,请参阅在服务器核心服务器上安装服务器角色和功能。
步骤 2:配置 Web 应用程序代理
本部分介绍安装后如何配置 Web 应用程序代理功能:
Web 应用程序代理根据安全通道证书与指纹匹配,该证书必须导入并安装在 Web 应用程序代理服务器上的本地计算机个人证书存储中。
配置 Web 应用程序代理与发布的应用程序可以接受来自SharePoint Online租户的入站的请求。
导入安全通道 SSL 证书
您必须将安全通道 SSL 证书导入到本地计算机帐户的个人存储中,然后设置对证书私钥的权限,向服务帐户授予 Web 应用程序代理服务 (appproxysvc) 完全控制权限。
备注
Web 应用程序代理服务的默认服务是本地计算机网络服务。
.png "Edit icon") |
安全通道 SSL 证书的位置记录在表 4b:安全通道 SSL 证书中的第 1 行(安全通道 SSL 证书的位置和文件名)。 如果证书包含一个私钥,您将需要提供证书密码,密码记录在表 4b:安全通道 SSL 证书中的第 4 行(安全通道 SSL 证书的密码)。 |
若要了解如何导入 SSL 证书,请参阅导入证书。
配置已发布的应用程序
备注
只能通过使用 Windows PowerShell 来执行本节中的步骤。
若要配置已发布的应用程序接受并从SharePoint Online租户的请求中继,请键入下面的Microsoft PowerShell命令。
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
其中:
*<externalUrl>*是为 web 应用程序的外部 URL。这是SharePoint Online将SharePoint Server的内容和资源的入站的请求发送到公用 URL。
外部 URL 记录在 SharePoint 混合工作表表 3:公共域信息中的第 3 行(外部 URL)。
*<bridging URL>*是针对主 web 应用程序配置内部SharePoint Server场中的内部 URL。这是 Web 应用程序代理服务器将向其中继来自SharePoint Online的入站的请求的 URL。
桥接 URL 记录在 SharePoint 混合工作表中的以下位置之一:
如果您的主 Web 应用程序使用以主机命名的网站集配置,请使用表 5a:主 Web 应用程序(以主机命名的网站集)第 1 行(主 Web 应用程序的 URL)中的值。
如果您的主 Web 应用程序使用基于路径的网站集配置,请使用表 5b:主 Web 应用程序(基于路径的网站集,不带 AAM)第 1 行(主 Web 应用程序的 URL)中的值。
如果您的主 Web 应用程序使用基于路径的网站集,带 AAM配置,请使用表 5c:主 Web 应用程序(基于路径的网站集,带 AAM)第 5 行(主 Web 应用程序的 URL)中的值。
<friendly name of the published application> 是选择用于标识 Web 应用程序代理中的已发布应用程序的名称。
<certificate thumbprint> 是用于 ExternalUrl 参数指定的地址的证书的证书指纹(作为字符串,不含空格)。该值应输入两次,一次是针对 ExternalCertificateThumbprint 参数,另一次是针对 ClientCertificatePreauthenticationThumbprint 参数。
这是安全通道 SSL 证书的指纹。该证书的位置记录在表 4b:安全通道 SSL 证书中的第 1 行(安全通道 SSL 证书的位置和文件名)。
有关 Add-WebApplicationProxyApplication cmdlet 的更多信息,请参阅 Add-WebApplicationProxyApplication。
验证已发布的应用程序
要验证已发布的应用程序,请使用 Get-WebApplicationProxyApplication cmdlet。键入以下 Microsoft PowerShell 命令。
Get-WebApplicationProxyApplication |fl
输出应类似于下表中的内容。
ADFSRelyingPartyID |
:<在运行时填充> |
ADFSRelyingPartyName |
:<信赖方名称> |
BackendServerAuthenticationMode |
:ADFS |
BackendServerAuthenticationSPN |
: None |
BackendServerCertificateValidation |
: None |
BackendServerUrl |
: https://<桥接 URL>/ |
ClientCertificateAuthenticationBindingMode |
: None |
ClientCertificatePreauthenticationThumbprint : |
: <证书指纹> |
DisableTranslateUrlInRequestHeaders |
: False |
DisableTranslateUrlInResponseHeaders |
: False |
ExternalCertificateThumbprint |
: <证书指纹> |
ExternalPreauthentication |
: PassThrough |
ExternalUrl |
: https://<外部 URL>/ |
ID |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
InactiveTransactionsTimeoutSec |
: 300 |
Name |
: <已发布应用程序的友好名称> |
UseOAuthAuthentication |
: False |
PSComputerName |
: |
疑难解答
Web 应用程序代理记录到应用程序和远程访问Windows Server事件日志中的事件和错误。日志记录扮演重要的角色,连接和SharePoint Server和SharePoint Online之间的身份验证与解决问题。标识导致连接失败的组件可以是富有挑战性的而将反向代理日志的第一个位置,您应查找线索。故障诊断可包括比较日志事件从事件日志 Web 应用程序代理SharePoint Server ULS 日志, Windows Server事件日志,并Internet Information Services (IIS)记录在多个服务器上。
故障排除技术和工具可用于SharePoint Server混合环境的详细信息,请参阅混合环境故障排除。