針對混合式環境設定 Web 應用程式 Proxy
適用於:
Subscription Edition SharePoint in Microsoft 365
本文說明 Web 應用程式 Proxy,並協助您將它設定為作為混合式 SharePoint Server 環境的反向 Proxy。
開始之前
輔助功能注意事項: SharePoint Server 支援一般瀏覽器的輔助功能功能,可協助您管理部署和存取網站。 如需詳細資訊,請參閱 SharePoint 2013 的協助工具。
關於混合式環境中的 Web 應用程式 Proxy
Web 應用程式 Proxy 是 Windows Server 2012 R2 中的遠端存取服務,可發布使用者可從許多裝置互動的 Web 應用程式。 它也包含 Active Directory Federation Services (AD FS) 的 Proxy 功能。 這可協助系統管理員提供AD FS伺服器的安全存取。 透過使用 Web 應用程式 Proxy,系統管理員會選擇使用者向 Web 應用程式驗證自己的方式,並可判斷獲授權使用該應用程式的人員。
在混合式 SharePoint Server 環境中,Microsoft 365 中的 SharePoint 會向 SharePoint Server 要求數據,您可以使用 Windows Server 2012 R2 搭配 Web 應用程式 Proxy 作為反向 Proxy 裝置,以安全地將要求從因特網轉送至內部部署 SharePoint Server 伺服器數組。
重要事項
若要在混合式 SharePoint Server 環境中使用 Web 應用程式 Proxy 作為反向 Proxy 裝置,您也必須在 Windows Server 2012 R2 中部署 AD FS。
注意事項
若要安裝和設定 Web 應用程式 Proxy 功能,您必須是安裝 Windows Server 2012 R2 之電腦上的本機系統管理員。 執行 Web 應用程式 Proxy 功能的 Windows Server 2012 R2 伺服器可以是網域或工作組的成員。
步驟 1:安裝 AD FS 和 Web 應用程式 Proxy 功能
如需在 Windows Server 2012 R2 中安裝 AD FS 的相關信息,請參閱 Active Directory 同盟服務概觀。
如需在 Windows Server 2012 R2 中安裝 Web 應用程式 Proxy 功能的相關信息,請參閱 在 Server Core Server 上安裝伺服器角色和功能。
步驟 2:設定 Web 應用程式 Proxy
本節說明如何在安裝 Web 應用程式 Proxy 功能之後進行設定:
Web 應用程式 Proxy 會比對安全通道憑證的指紋,該憑證必須匯入並安裝在 Web 應用程式 Proxy 伺服器上本機電腦的個人證書存儲中。
使用可在 Microsoft 365 租使用者中接受 SharePoint 輸入要求的已發佈應用程式來設定 Web 應用程式 Proxy。
匯入安全通道 SSL 憑證
您必須將安全通道 SSL 憑證匯入本機電腦帳戶的個人存放區,然後設定憑證私鑰的許可權,以允許 Web 應用程式 Proxy 服務的服務帳戶 (appproxysvc) 完全控制。
注意事項
Web 應用程式 Proxy 服務的預設服務帳戶是本機電腦 網路服務。
|
安全通道 SSL 憑證的位置會記錄在表 4b:安全通道 SSL 憑證的列 1 (安全通道 SSL 憑證位置和檔案名稱) 中。 如果憑證包含私密金鑰,則需要提供憑證密碼 (其記錄在表 4b:安全通道 SSL 憑證的列 4 (安全通道 SSL 憑證密碼) 中。 |
如需如何匯入 SSL 憑證的資訊,請參閱 匯入憑證。
設定已發佈的應用程式
注意事項
本節中的步驟只能使用 Windows PowerShell 來執行。
若要將已發佈的應用程式設定為在 Microsoft 365 租使用者中接受和轉送來自 SharePoint 的要求,請輸入下列Microsoft PowerShell 命令。
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
其中:
- <externalUrl> 是 Web 應用程式的外部 URL。 這是 Microsoft 365 中的 SharePoint 將傳送 SharePoint Server 內容和資源輸入要求的公用 URL。
|
|
外部 URL 會記錄在第 3 列 (SharePoint 混合式工作 表中數據表 3:公用網域資訊 的外部 URL) 。 |
- <橋接 URL> 是您在內部部署 SharePoint Server 伺服器陣列中為主要 Web 應用程式設定的內部 URL。 這是 Web 應用程式 Proxy 在 Microsoft 365 中從 SharePoint 轉送輸入要求的 URL。
|
|
橋接 URL 會記錄在 SharePoint 混合式工作表中的下列其中一個位置: 如果您的主要 Web 應用程式已設定主機命名型網站集合,請使用表 5a:主要 Web 應用程式 (主機命名型網站集合) 的列 1 (主要 Web 應用程式 URL) 中的值。 如果您的主要 Web 應用程式是使用 路徑型網站集合 來設定,請使用資料表 5b:主要 Web 應用程式) 的資料 列 1 (主要 Web 應用程式 URL 中的值 , (路徑型網站集合,而不需要 AAM) 。 如果您的主要 Web 應用程式是使用 AAM 設定路徑型網站集合,請使用資料表 5c:主要 Web 應用程式 (路徑型網站集合的資料表 5 (主要 Web 應用程式 URL) 中的值) 。 |
<已發佈>應用程式的易記名稱是您選擇在 Web 應用程式 Proxy 中識別已發佈應用程式的名稱。
<憑證指紋> 是憑證指紋,以沒有空格的字串形式,用於 ExternalUrl 參數所指定的位址。 這個值應該輸入兩次,一次是針對 ExternalCertificateThumbprint 參數,一次是 針對 ClientCertificatePreauthenticationThumbprint 參數輸入。
|
|
這是 安全通道 SSL 憑證的指紋。 此憑證檔案的位置會記錄在數據表 4b 的數據列 1 (安全通道 SSL 憑證位置和檔名) :安全通道 SSL 憑證中。 |
如需 Add-WebApplicationProxyApplication Cmdlet 的其他資訊,請參閱 Add-WebApplicationProxyApplication。
驗證已發佈的應用程式
若要驗證已發佈的應用程式,請使用 Get-WebApplicationProxyApplication Cmdlet。 輸入下列Microsoft PowerShell 命令:
Get-WebApplicationProxyApplication |fl
輸出應該類似下表中的內容。
| ADFSRelyingPartyID |
:<在運行時間填入> |
| ADFSRelyingPartyName |
:<信賴憑證者名稱> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
:沒有 |
| BackendServerCertificateValidation |
:沒有 |
| BackendServerUrl |
:https://< URL>/ |
| ClientCertificateAuthenticationBindingMode |
:沒有 |
| ClientCertificatePreauthenticationThumbprint : |
: <憑證指紋> |
| DisableTranslateUrlInRequestHeaders |
:假 |
| DisableTranslateUrlInResponseHeaders |
:假 |
| ExternalCertificateThumbprint |
: <憑證指紋> |
| ExternalPreauthentication |
:PassThrough |
| ExternalUrl |
:https://< 外部 URL>/ |
| 識別碼 |
:91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| 名稱 |
: <已發佈應用程式的易記名稱> |
| UseOAuthAuthentication |
:假 |
| PSComputerName |
: |
疑難排解
Web 應用程式 Proxy 會將事件和錯誤記錄到應用程式和遠端訪問 Windows Server 事件記錄檔。 記錄在針對 SharePoint Server 與 SharePoint 之間的連線和驗證問題進行疑難解答時扮演重要角色,Microsoft 365。 識別造成連線失敗的元件可能很困難,而反向 Proxy 記錄是您應該尋找線索的第一個位置。 疑難解答可能牽涉到比較來自 Web 應用程式 Proxy 事件記錄檔、SharePoint Server ULS 記錄檔、Windows Server 事件記錄檔和 Internet Information Services 的記錄事件, (多部伺服器上的 IIS) 記錄。
如需 SharePoint Server 混合式環境之疑難解答技術和工具的詳細資訊,請參閱針對 混合式環境進行疑難解答。