在混合环境中配置 Web 应用程序代理
适用于:
2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
本文介绍 Web 应用程序代理,并帮助你将其设置为用作混合 SharePoint Server 环境的反向代理。
开始之前
辅助功能说明: SharePoint Server 支持常见浏览器的辅助功能,以帮助您管理部署和访问网站。 有关详细信息,请参阅 Accessibility for SharePoint 2013。
关于混合环境中的 Web 应用程序代理
Web 应用程序代理是 Windows Server 2012 R2 中的远程访问服务,可发布用户可以从许多设备与之交互的 Web 应用程序。 它还包括 Active Directory 联合身份验证服务 (AD FS) 的代理功能。 这有助于系统管理员向 AD FS 服务器提供安全访问。 通过使用 Web 应用程序代理,系统管理员可以选择用户如何通过 Web 应用程序的身份验证,并确定谁有权限使用代理。
在 Microsoft 365 中的 SharePoint 从 SharePoint Server 请求数据的混合 SharePoint Server 环境中,可以将 Windows Server 2012 R2 与 Web 应用程序代理 用作反向代理设备,以安全地将请求从 Internet 中继到本地 SharePoint Server 场。
重要
若要在混合 SharePoint Server 环境中将 Web 应用程序代理 用作反向代理设备,还必须在 Windows Server 2012 R2 中部署 AD FS。
注意
若要安装和配置 Web 应用程序代理功能,你必须是安装了 Windows Server 2012 R2 的计算机上的本地管理员。 运行 Web 应用程序代理功能的Windows Server 2012 R2 服务器可以是域或工作组的成员。
步骤 1:安装 AD FS 和 Web 应用程序代理功能
有关在 Windows Server 2012 R2 中安装 AD FS 的信息,请参阅Active Directory 联合身份验证服务概述。
有关在 Windows Server 2012 R2 中安装 Web 应用程序代理功能的信息,请参阅在服务器核心服务器上安装服务器角色和功能。
步骤 2:配置 Web 应用程序代理
本部分介绍安装后如何配置 Web 应用程序代理功能:
Web 应用程序代理将指纹与安全通道证书相匹配,该证书必须导入并安装在 Web 应用程序代理 服务器上的本地计算机个人证书存储中。
使用可接受来自 Microsoft 365 租户 SharePoint 的入站请求的已发布应用程序配置 Web 应用程序代理。
导入安全通道 SSL 证书
必须将安全通道 SSL 证书导入本地计算机帐户的个人存储中,然后设置对证书私钥的权限,以允许 Web 应用程序代理 服务的服务帐户 (appproxysvc) 完全控制。
注意
Web 应用程序代理服务的默认服务是本地计算机网络服务。
 |
安全通道 SSL 证书的位置记录在表 4b:安全通道 SSL 证书中的第 1 行(安全通道 SSL 证书的位置和文件名)。 如果证书包含一个私钥,您将需要提供证书密码,密码记录在表 4b:安全通道 SSL 证书中的第 4 行(安全通道 SSL 证书的密码)。 |
有关如何导入 SSL 证书的信息,请参阅 导入证书。
配置已发布的应用程序
注意
只能通过使用 Windows PowerShell 来执行本节中的步骤。
若要将已发布的应用程序配置为在 Microsoft 365 租户中接受和中继来自 SharePoint 的请求,请键入以下 Microsoft PowerShell 命令。
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
其中:
- <externalUrl> 是 Web 应用程序的外部 URL。 这是 Microsoft 365 中的 SharePoint 将向其发送 SharePoint Server 内容和资源入站请求的公共 URL。
|
外部 URL 记录在 SharePoint 混合工作表表 3:公共域信息中的第 3 行(外部 URL)。 |
- <桥接 URL> 是为本地 SharePoint Server 场中的主 Web 应用程序配置的内部 URL。 这是 Web 应用程序代理将中继来自 Microsoft 365 SharePoint 的入站请求的 URL。
|
桥接 URL 记录在 SharePoint 混合工作表中的以下位置之一: 如果您的主 Web 应用程序使用以主机命名的网站集配置,请使用表 5a:主 Web 应用程序(以主机命名的网站集)第 1 行(主 Web 应用程序的 URL)中的值。 如果主 Web 应用程序配置了基于路径的网站集,请使用表 5b:主 Web 应用程序 (不带 AAM ) 的基于路径的网站集的第 1 行 (主要 Web 应用程序 URL) 中的值。 如果主 Web 应用程序配置了 AAM 的基于路径的网站集 ,请使用表 5c 中的第 5 行 (主要 Web 应用程序 URL) 中的值 :主 Web 应用程序 (基于路径的网站集,其中 AAM) 。 |
<已发布应用程序的>友好名称是用于在 Web 应用程序代理中标识已发布应用程序的名称。
<证书指纹> 是证书指纹,作为一个没有空格的字符串,用于 由 ExternalUrl 参数指定的地址的证书指纹。 该值应输入两次,一次是针对 ExternalCertificateThumbprint 参数,另一次是针对 ClientCertificatePreauthenticationThumbprint 参数。
|
这是安全通道 SSL 证书的指纹。 该证书的位置记录在表 4b:安全通道 SSL 证书中的第 1 行(安全通道 SSL 证书的位置和文件名)。 |
有关 Add-WebApplicationProxyApplication cmdlet 的其他信息,请参阅 Add-WebApplicationProxyApplication。
验证已发布的应用程序
要验证已发布的应用程序,请使用 Get-WebApplicationProxyApplication cmdlet。 输入以下 Microsoft PowerShell 命令:
Get-WebApplicationProxyApplication |fl
输出应类似于下表中的内容。
| ADFSRelyingPartyID |
:<在运行时填充> |
| ADFSRelyingPartyName |
:<信赖方名称> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
: None |
| BackendServerCertificateValidation |
: None |
| BackendServerUrl |
:https://< 加注 URL>/ |
| ClientCertificateAuthenticationBindingMode |
: None |
| ClientCertificatePreauthenticationThumbprint : |
: <证书指纹> |
| DisableTranslateUrlInRequestHeaders |
: False |
| DisableTranslateUrlInResponseHeaders |
: False |
| ExternalCertificateThumbprint |
: <证书指纹> |
| ExternalPreauthentication |
: PassThrough |
| ExternalUrl |
:https://< 外部 URL>/ |
| ID |
:91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| 名称 |
: <已发布应用程序的友好名称> |
| UseOAuthAuthentication |
: False |
| PSComputerName |
: |
故障排除
Web 应用程序代理将事件和错误记录到应用程序和远程访问 Windows Server 事件日志中。 在排查 SharePoint Server 与 Microsoft 365 中的 SharePoint 之间的连接和身份验证问题时,日志记录起着重要作用。 有时可能很难识别导致连接失败的组件,反向代理日志是您查找原因的第一个线索。 故障排除可能涉及比较来自 Web 应用程序代理事件日志、SharePoint Server ULS 日志、Windows Server 事件日志和 Internet Information Services 的日志事件, (IIS) 多个服务器上的日志。
有关 SharePoint Server 混合环境故障排除技术和工具的详细信息,请参阅 混合环境故障排除。