计划从 Office 365 到 SharePoint 服务器的连接

项目
03/21/2018

**上一次修改主题：**2017-06-20

**摘要：**计划和准备配置从 Office 365 的入站的连接到 SharePoint 服务器混合环境。

本文旨在帮助您计划和准备通过反向代理设备配置从Office 365 企业版到SharePoint Server的入站的连接。这是下面的混合环境所需要的：

入站的混合搜索（在Office 365中显示来自SharePoint Server的搜索结果）
混合 Business Connectivity Services

在本文中，我们为您提供的信息，您需要知道，如前提条件，以及工作表来开始配置过程之前收集必要的信息。

本主题将帮助您执行下列操作：

了解入站连接的先决条件和要求
规划您的 Web 应用程序体系结构
规划 SSL 证书
记录关键决策和信息

收集和记录工作表并生成日志信息

**工作表。**在规划过程中，必须收集信息和文件。必须使用 SharePoint 混合工作表跟踪参考的规划和部署信息，并将其与部署团队的其他成员共享。必须强调的是，在开始执行配置过程之前，请务必使用此工作表整理信息。

**创建生成日志。**与在所有复杂的实施项目中一样，针对每个设计决策、服务器配置、程序、命令输出和错误进行的详细记录对于故障排除、支持和了解来说都是非常重要的参考。我们强烈建议您详细记录您的部署过程。

警告

出于安全考虑，请将工作表和生成日志存储在增强安全位置，如安全的文件共享或 SharePoint 文档库，仅向参与部署过程且必须知道此信息的管理员授予权限。

收集并记录 URL 和主机名信息

在本节中，您将记录关于您环境中的 URL 和主机名的信息。在部署过程中，您将使用此信息。

记录您公司的公共 DNS 域名（如 adventureworks.com）。
记录您将用于 SharePoint 混合的反向代理设备的面向公众的终结点的 URL。这是外部 URL。如果此终结点尚不存在，您必须决定此 URL 将是什么。
记录反向代理设备的外部终结点的 IP 地址。
确保公共域的公共 DNS 正向查找区域中存在 A 记录（也称为主机记录），以便将外部 URL 映射到反向代理设备上面向 Internet 的终结点的 IP 地址。
确保将SharePoint Server场的主机名映射到 IP 地址位于intranet DNS 正向查找区域存在的 A 记录。如果您尚没有此 A 记录，则立即创建它。

重要

如果您将内部 URL 配置为在部署过程中访问 Web 应用程序，请确保您在 Intranet DNS 正向查找区域中也为这些 URL 创建了 A 记录，并将其记录在工作表上。

在 SharePoint 混合工作表的表 3 中记录以下信息：

"公共 Internet 域名"行中面向公众的公司 DNS 域的域名。
"外部 URL"行中反向代理设备面向公众的终结点的 URL。
"外部终结点的 IP 地址"行中反向代理设备外部终结点的 IP 地址。

若要详细了解混合环境中 URL 与主机名之间的关系，请观看视频 Understanding URLs and host names（了解 URL 和主机名）。时长为 6 分钟。

规划您的 Web 应用程序体系结构

此部分可帮助您计划将在混合环境中使用的SharePoint Server web 应用程序的体系结构。

入站的连接要求安全通信通道内部SharePoint Server场和SharePoint Online之间。通过此通信通道中SharePoint Online的网站集和内部部署 web 应用程序之间交换数据。

SharePoint Online将请求中继到特定的 web 应用程序配置为 SharePoint 混合内部SharePoint Server场中的反向代理服务器发送请求。我们称它为主要的 web 应用程序。

提示

不论您计划配置多少个混合解决方案，您通常仅使用一个主 Web 应用程序。您无需为每个混合解决方案再额外创建一个主 Web 应用程序。

主 Web 应用程序及其中的单个网站集必须配置为接受来自 SharePoint Online 的入站连接。

在 SharePoint 管理员将关联的服务和支持主要的 web 应用程序部署混合解决方案所需的连接对象。出站连接可从任何内部SharePoint Server web 应用程序使用的特定功能的配置。

SharePoint Server web 应用程序组成的Internet Information Services (IIS)网站，它就像为您创建网站集的逻辑单元。每个 web 应用程序是由不同的 IIS 网站，具有唯一或共享应用程序池，具有独特的公用 URL，并且，还可以配置为使用最多五个内部 Url 使用备用访问映射 (AAM) 表示。一个给定的 web 应用程序与一个内容数据库和配置为使用特定的身份验证方法连接到数据库。可以配置多个 web 应用程序使用不同的身份验证方法和（可选） AAMs，来提供对单个内容数据库的访问。

Web 应用程序的公共 URL 总是用作根 URL 的所有链接网站和 web 应用程序要访问的内容。考虑具有配置为 AAM 内部 URL https://sharepoint公用 URL https://spexternal.adventureworks.com的 web 应用程序。当您浏览到内部 URL https://sharepoint 时， SharePoint Server返回的 URL https://spexternal.adventureworks.com，网站和站点内的所有链接都将根据该路径的 Url。

替代访问映射 (AAM) 需时仅配置基于路径的网站集使用公共 URL 不同于外部 URL 的入站的连接。AAM 使您组织内的 SharePoint 网站的内部 URL 相关联的外部 URL。这样， SharePoint Server将请求路由到相应的主 web 应用程序配置为 AAM 的内部 Url 的。

有关基于声明的 Web 应用程序的详细信息，请参阅在 SharePoint 服务器中创建基于声明的 web 应用程序。

有关如何扩展 Web 应用程序的详细信息，请参阅在 SharePoint 中扩展基于声明的 Web 应用程序。

有关网站集的详细信息，请参阅 SharePoint Server 中的网站和网站集概述。

选择网站集策略

在您决定使用现有 Web 应用程序还是创建一个新的之前，您必须了解 Web 应用程序和网站集支持混合功能要满足的配置要求。使用本节中的信息确定创建新 Web 应用程序和网站集的策略，或者确定现有 Web 应用程序中的网站集能否用于您的混合环境。

下图显示了用于确定您的网站集策略的决策流程。

The three possible site collection strategies for a one-way inbound or two-way SharePoint hybrid authentication topology.

混合 Web 应用程序的要求

用于混合功能的 Web 应用程序必须满足下列所有要求：

Web 应用程序的公共 URL 必须与外部 URL 相同。

OAuth 协议提供了 SharePoint 混合解决方案中的用户授权。发送到 SharePoint 本地的所有 SharePoint Online 通信的主机请求头中均包含请求最初发送到的 URL。要对来自 SharePoint Online 的入站请求进行身份验证，本地 SharePoint 身份验证服务必须能够将来自 SharePoint Online 的所有流量中的此 URL 与主 Web 应用程序的公共 URL 相匹配。这是外部 URL。对 SharePoint 混合环境使用以主机命名的网站集的一个优势是，您可以将以主机命名的网站集配置为使用与外部 URL 相同的 URL。因此无需配置备用访问映射。
必须将 Web 应用程序配置为采用使用 NTLM 的集成 Windows 身份验证。

对于在支持服务器到服务器身份验证和应用程序身份验证的方案中部署的 Web 应用程序，需要使用 NTLM 的集成 Windows 身份验证。有关详细信息，请参阅规划 SharePoint Server 中的服务器到服务器身份验证。

特定网站集配置的要求

用于混合功能的网站集必须满足所有要求，还必须在满足 Web 应用程序要求的 Web 应用程序中存在或创建：

以主机命名的网站集
- Web 应用程序必须支持以主机命名的网站集。
  
  要创建以主机命名的网站集，必须创建 Web 应用程序来进行启用。创建 Web 应用程序后则无法启用此功能。
  
  有关如何创建以主机命名的网站集的详细信息，请参阅SharePoint Server 中以主机命名的网站集体系结构和部署。
  
  备注
  
  尽管这是 Web 应用程序要求，但在此处列出是因为它仅适用于包含以主机命名的网站集的环境。
- 您的内部 DNS 服务器必须使用拆分 DNS 配置。您需要创建用于公用 URL 和A （主机）记录了SharePoint Server服务器的 IP 地址和主机名外部 URL 的正向查找区域中的公用的 Internet 域的正向查找区域。
  
  重要
  
  反向代理设备必须能够解析此正向查找区域将入站的请求中继到SharePoint Server服务器场中的主机名。
基于路径的网站集
- 如果公共 URL 与外部 URL 相同：
  
  您的内部 DNS 服务器必须与拆分 DNS 配置。您需要创建正向查找区域公共 Internet 域用于公用 URL 并具有SharePoint Server服务器的 IP 地址以及您的外部 URL 的主机名的正向查找区域中的记录。
  
  重要
  
  反向代理设备必须能够解析此正向查找区域将入站的请求中继到SharePoint Server服务器场中的主机名。
  
  这是为 SharePoint 混合配置 Web 应用程序的一种简单方式。目的是将新 Web 应用程序的"公共 URL"字段与反向代理上面向公众的终结点的 URL（也称为外部 URL）相匹配。
- 如果公共 URL 与外部 URL 不同：
  
  您需要配置备用访问映射 (AAM) 以中继来自 SharePoint Online 的入站请求。
  
  扩展主 Web 应用程序，并使用外部 URL 作为"公共 URL"。然后在与扩展 Web 应用程序相同的安全区域创建一个内部 URL（通过"添加内部 URL"），以作为桥接 URL。您还需将反向代理设备配置为将入站请求从 SharePoint Online 中继到此桥接 URL。
  
  记住，仅当使用基于路径的网站集（其公共 URL 与外部 URL 不相同）配置入站连接时，才需要备用访问映射 (AAM)。

备注

记住，外部 URL 是反向代理设备面向 Internet 的终结点的 URL。

在表 2 的"网站集策略"行中记录您的网站集策略选择。

选择现有 Web 应用程序或新建一个应用程序

您可以使用现有 Web 应用程序或创建一个作为主 Web 应用程序。

如果您倾向于单独管理用于混合功能的 Web 应用程序，或者如果您的现有 Web 应用程序不符合选择网站集策略一节中所列的要求，您应该创建一个新的 Web 应用程序。

在表 2 的"新的或现有的 Web 应用程序"行中记录您的决定。

计划使用现有的 Web 应用程序

如果您决定使用现有的 Web 应用程序作为主 Web 应用程序，请收集主 Web 应用程序和顶级网站集的 URL 并将其列在工作表中。

在工作表中记录以下信息：

根据您的网站集策略，在表 5a、5b 或 5c 的 "Primary web application URL" 行中记录主 Web 应用程序的 URL。
如果您使用以主机命名的现有网站集，请在表 5a 的 "Host-named site collection URL" 行中记录顶级网站集的 URL。

记录此信息后，转到规划 SSL 证书一节。

计划创建新的 Web 应用程序

如果您决定创建新的 Web 应用程序，我们将指导您在配置混合拓扑时进行创建。

规划 SSL 证书

SSL 证书可确定服务器身份，并为 SharePoint 混合环境中的多种不同服务和连接提供证书身份验证。您需要具备两个 SSL 证书：即安全通道 SSL 证书和 STS 证书。

若要详细了解如何在 SharePoint 混合环境中使用 SSL 证书，请参阅 SharePoint 2013 Hybrid Topology: Certificate and Authentication Model（SharePoint 2013 混合拓扑：证书和身份验证模型）。

备注

如果您选择来帮助保护内部部署 SharePoint 场使用 SSL，您还需要 SSL 证书主 web 应用程序。没有混合特有的事项为该证书，所以您可以按照使用 SSL 配置SharePoint Server的常规最佳做法。

备注

"安全通道"并非一种证书种类；我们使用这个词来区分这种特殊的证书与环境中使用的其他 SSL 证书。

关于安全通道 SSL 证书

身份验证和安全通信通道之间的反向代理服务器设备和Office 365，充当服务器和客户端证书的加密提供了安全通道的 SSL 证书。它还能验证用于发布内部SharePoint Server网站的反向代理终结点的标识。

此证书必须是通配符或 SAN 证书，并由公共根证书颁发机构颁发。此证书的主题字段必须包含反向代理服务器的外部终结点的主机名，或者涵盖命名空间中所有主机名的通配符 URL。它必须至少使用 2048 位加密。

重要

通配符证书只能保护一个级别的 DNS 命名空间。例如，如果您的外部 URL 为 https://spexternal.public.adventureworks.com，则您的通配符证书的主题必须为 *.public.adventureworks.com，而非 *.adventureworks.com。

在配置SharePoint OnlineSharePoint Server查询信息的位置的情况下，SSL 证书都需要执行下列操作：

通过安全通道加密通信。
使反向代理设备使用证书身份验证来对入站连接进行身份验证。
允许 SharePoint Online 标识和信任外部终结点。

在部署过程中，您将同时在反向代理设备和 SharePoint Online 安全存储目标应用程序上安装 SSL 证书。当您配置混合环境基础结构时，您需进行此配置。

获取安全通道 SSL 证书

从某个知名证书颁发机构为本地公共域获取一个安全通道 SSL 通配符或 SAN（使用者可选名称），例如 DigiCert、VeriSign、Thawte 或 GeoTrust。

备注

此证书必须支持多个名称，并且必须至少为 2048 位。
证书的"主题"或"主题名称"字段必须在外部 URL 中包含域名的通配符条目。例如，如果您的外部 URL 为 https://spexternal.public.adventureworks.com，则通配符证书的主题应为 *.public.adventureworks.com。
证书通常在间隔 1 年后到期，因此请务必提前规划证书续订以避免服务中断。SharePoint 管理员应安排证书替换提醒，确保您有足够的准备时间，以免工作中断。

在工作表的表 4b：安全通道 SSL 证书中记录以下信息：

此证书的名称以及您将其存储在"安全通道证书位置和文件名"行中的位置。
"Secure Channel SSL Certificate Friendly Name" 行中的此证书的友好名称。
在"证书类型"行中指定证书的类型（通配符还是 SAN）。
"到期日期"行中的证书到期日期。
如果此证书的文件扩展名为 .pfx，请在"安全通道 SSL 证书密码"行中记录证书的密码。如果您要更新工作表中的密码信息，请务必使用密码保护来帮助保护工作表。

关于 STS 证书

本地 SharePoint 场的 STS 证书需要一个默认证书来验证传入令牌。在 SharePoint 混合环境中，Azure Active Directory 充当可信令牌签名服务，并使用 STS 证书作为签名证书。Azure Active Directory 无法使用 SharePoint Server 中的默认 STS 作为签名证书，因为它无法验证信任链。

因此，您必须将本地 SharePoint 场中每台服务器上的默认 STS 证书替换为以下证书之一：

由 Azure Active Directory 信任的公共证书颁发机构 (CA) 颁发的证书
自签名证书

当您配置身份管理基础结构时，将在稍后替换默认 STS 证书。

重要

此证书必须至少为 2048 位。
您需要替换SharePoint Server服务器场中的每个 web 和应用程序服务器上的 STS 证书。
证书通常在间隔 1 年后到期，因此请务必提前规划证书续订以避免服务中断。

如果您选择使用自签名证书，请在部署配置过程中进行创建。有关为 SharePoint 创建新的自签名证书的步骤，请参阅主题配置从 SharePoint Server 到 SharePoint Online 的服务器间身份验证。

获取 STS 证书

在开始配置过程之前，请获取 STS 证书。

在工作表的表 4a：STS 证书中记录以下信息：

STS 证书友好名称
STS 证书路径\文件名（*.pfx 文件）
STS 证书密码
STS 证书路径\文件名（*.cer 文件）
主题名称
STS 证书开始日期
STS 证书结束日期

记录配置和测试所需的帐户

SharePoint 混合环境设置需要本地 Active Directory 和 Office 365 目录中的多个用户帐户（Office 365 目录中呈现的 Azure Active Directory）。这些帐户具有不同的权限和组或角色成员身份。某些帐户将用于部署和配置软件，有些则需用于测试特定的功能，以帮助保证安全和身份验证系统按预期运行。

请转到混合配置和测试所需的帐户，查看对所需用户帐户的完整解释，包括关于角色和标识提供程序的说明。
根据说明在工作表中记录所需的帐户信息。
完成此步骤后，返回到此规划文章。

通过