SharePoint 混合的硬件和软件要求

 

**上一次修改主题：**2018-02-05

**摘要：**了解为 SharePoint Server 配置混合解决方案时需满足的先决条件。

本文介绍了在 SharePoint Server 和 Office 365 企业版 中的 SharePoint Online 之间部署 SharePoint 混合解决方案时需满足的先决条件。

硬件和软件要求

• 可操作的本地 Active Directory 目录服务 (AD DS) 域。

• 一个可操作的 SharePoint Server 场。有关详细信息，请参阅 SharePoint Server 2016 的硬件和软件要求。

• 在以下订阅计划之一中，使用 SharePoint Online 设置的正确配置的 Office 365 租户：E1 仅支持 显示混合联合在 SharePoint 服务器的搜索结果；E3 或 E4。

证书要求

对于除混合 OneDrive for Business 以外的所有 SharePoint Server，需要更新 SharePoint Server 安全令牌服务 (STS) 证书。

SharePoint 场中的默认 STS 证书在 SharePoint 混合拓扑中无法正常运行。您必须将 SharePoint Server 场中每台服务器上的默认证书替换为自签名证书或由公共证书机构颁发的证书。

有关详细信息，请参阅规划替换 STS 证书。

入站连接要求

下列混合解决方案要求建立从 Office 365 到 SharePoint Server 的入站连接：

• 入站混合搜索（显示 Office 365 中 SharePoint Server 的搜索结果）

• 混合 Business Connectivity Services

• 混合 Duet Enterprise Online for Microsoft SharePoint and SAP

对于这些混合解决方案，以下各节中的要求将适用。

其他硬件要求

入站连接的要求如下：

• 反向代理设备。有关详细信息，请参阅下文中的反向代理设备要求。

• Internet 域（如 https://adventureworks.com）以及为该域创建或编辑 DNS 记录的权限。

  备注

  此公共域必须通过使用域注册器（如 GoDaddy.com）进行注册，且必须与反向代理设备外部终结点 URL 相关联的域相同。

证书要求

本节介绍配置从 Office 365 到 SharePoint Server 的入站连接时所需的证书。

关于安全通道 SSL 证书

此证书提供反向代理设备与 Office 365 之间的身份验证和加密。此证书必须是通配符或 SAN 证书，并由公共根证书颁发机构颁发。有关详细信息，请参阅关于安全通道 SSL 证书和获取安全通道 SSL 证书。

关于 Security Token Service 的 SSL 证书

用于 SharePoint 场中 Security Token Service (STS) 的默认证书不适用于 SharePoint 混合拓扑。您必须将本地 SharePoint 场中每个服务器上的默认证书替换为自签名证书或由公共证书颁发机构颁发的证书。有关详细信息，请参阅关于 STS 证书和获取 STS 证书。

关于本地 SharePoint SSL 证书

如果您将配置主 Web 应用程序以使用 SSL（针对混合而配置的本地 SharePoint 场上的 Web 应用程序），则必须将某个 SSL 证书绑定到此主 Web 应用程序。

如果此 Web 应用程序已存在且对 SSL 进行了配置，则您可以继续。否则，您必须为此获得或创建一个 Web 应用程序。对于生产环境，此证书应由公共证书颁发机构 (CA) 颁发。对于测试和开发环境，可以是自签名证书。

有关详细信息，请参阅规划 SSL 证书和 SharePoint 2013 混合拓扑：证书、身份验证和授权海报。

反向代理设备要求

反向代理设备使用 SSL 加密和客户端证书身份验证为入站通信提供一个安全的终结点。

支持的反向代理设备

下表列出了 SharePoint Server 混合部署当前支持的反向代理设备。新设备进行支持性测试后，此列表将会更新。

支持的反向代理设备	配置文章	详细信息
具有 Web 应用程序代理 (WA-P) 的 Windows Server 2012 R2	在混合环境中配置 Web 应用程序代理	Web 应用程序代理 (WA-P) 是 Windows Server 2012 R2 中的一项远程访问服务，可发布 Web 应用程序以便用户与多个设备进行交互。 重要 要在混合 SharePoint Server 环境中将 Web 应用程序代理用作反向代理设备，您还必须在 Windows Server 2012 R2 中部署 AD FS。Windows 的早期版本不支持 Web 应用程序代理
Forefront Threat Management Gateway (TMG) 2010	配置混合环境的 Forefront TMG	Forefront TMG 2010 是一款功能齐全、安全的 Web 网关解决方案，提供安全的反向代理功能。 备注 Microsoft 不再出售 Forefront TMG 2010，但仍对其支持至 2020 年 4 月 14 日。有关详细信息，请参阅 Forefront TMG 2010 的 Microsoft 支持生命周期信息。
F5 BIG-IP	使用 BIG-IP 启用 SharePoint 2013 混合搜索	这是由 F5 网络管理的外部内容。

反向代理的常规要求

在混合 SharePoint Server 方案中，反向代理必须能够：

• 通过通配符或 SAN SSL 证书支持客户端证书身份验证。

• 为 OAuth 2.0 支持传递身份验证，包括不受限制的 OAuth 持有者令牌事务。

• 在 TCP 端口 443 (HTTPS) 上接受未经请求的入站通信。

  提示

  除 TCP 443 外，无需在外部反向代理终结点上打开任何其他端口来支持混合连接性。

• 将通配符或 SAN SSL 证书绑定到已发布的终结点。

• 将通信中继到本地 SharePoint Server 场或负载均衡器，而无需重新编写任何数据包标头。

有关 SharePoint 混合拓扑中反向代理设备的概述，请参阅配置反向代理服务器的 SharePoint 服务器混合设备。