Настройка устройства обратного прокси-сервера для гибридного развертывания SharePoint Server

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint в Microsoft 365

Важно!

Эта статья является частью стратегии действий по настройке гибридных решений SharePoint. Be sure you're following a roadmap when you do the procedures in this article.

В этом разделе представлен обзор роли устройств обратного прокси-сервера в гибридном развертывании SharePoint Server, а также приведены ссылки на рекомендации по настройке для конкретных устройств.

Роль обратного прокси-сервера в гибридном развертывании SharePoint Server

SharePoint Server и SharePoint в Microsoft 365 можно настроить в гибридной конфигурации для безопасного объединения результатов поиска и внешних данных из служб Microsoft Business Connectivity Services. Обратные прокси-устройства играют роль в безопасной конфигурации гибридного развертывания SharePoint Server, когда входящий трафик из SharePoint в Microsoft 365 необходимо ретранслировать в локальную ферму SharePoint Server. Например, если федеративный пользователь использует портал поиска SharePoint в Microsoft 365, настроенный для возврата результатов гибридного поиска, устройство обратного прокси-сервера перехватывает и предварительно проверяет подлинность запроса на локальное содержимое SharePoint Server, а затем передает его в SharePoint Server. Устройство обратного прокси-сервера в гибридной топологии предоставляет безопасную конечную точку для входящего трафика с использованием шифрования SSL и проверки подлинности на основе клиентского сертификата.

Принципы работы входящего подключения

На следующих схемах показано использование устройства обратного прокси-сервера для входящего подключения.

В решении для входящего поиска только сайт SharePoint в Microsoft 365 имеет результаты поиска из обоих расположений.

Входящее подключение

График прокси-сервера входящих сообщений.

В приведенном ниже примере федеративный пользователь в Интернете использует портал поиска SharePoint в Microsoft 365 для поиска содержимого в SharePoint в Microsoft 365 и на локальном сервере SharePoint своей компании.

Федеративный пользователь в Интернете ищет контент, расположенный на локальном сервере компании.

График, описывающий, как пользователи экстрасети получают доступ к файлам с помощью TMG.

В следующем списке описываются шаги, показанные на рисунке выше.

  1. Из Интернета федеративный пользователь переходит на свой сайт SharePoint в Microsoft 365.

  2. SharePoint в Microsoft 365 запрашивает индекс поиска в SharePoint в Microsoft 365, а также отправляет поисковый запрос на внешний URL-адрес локальной фермы SharePoint, который разрешается во внешнюю конечную точку устройства обратного прокси-сервера.

  3. Устройство обратного прокси-сервера выполняет предварительную проверку подлинности запроса с помощью SSL-сертификата и ретранслирует запрос на URL-адрес основного веб-приложения.

  4. Учетная запись службы фермы SharePoint запрашивает локальный индекс поиска и выполняет фильтрацию по ролям безопасности в контексте пользователя, который отправил поисковый запрос.

  5. Результаты поиска с обрезами безопасности возвращаются в SharePoint в Microsoft 365 и отображаются на странице результатов поиска. Этот результирующий набор включает результаты поиска из индекса поиска SharePoint в Microsoft 365 и результаты поиска из индекса поиска фермы SharePoint Server.

Примечание.

Входящее подключение обеспечивает доступ к содержимому и ресурсам локальной фермы SharePoint Server из Интернета только в том случае, если пользователь имеет активное и безопасное подключение к сети интрасети через VPN или DirectAccess или если ферма SharePoint Server настроена в топологии экстрасети.

Более подробное описание этого процесса с демонстрацией использования сертификатов, проверки подлинности и авторизации в этой топологии см. на странице Плакат. Гибридная топология SharePoint 2013: поток сертификатов, проверки подлинности и авторизации.

Общие требования к обратному прокси-серверу

В гибридном сценарии SharePoint Server обратный прокси-сервер должен поддерживать следующее:

  • Проверка подлинности на основе клиентских сертификатов с использованием групповых SSL-сертификатов или SSL-сертификатов SAN.

  • Поддержка сквозной проверки подлинности для OAuth 2.0, включая неограниченное число транзакций маркера носителя OAuth.

  • Возможность принимать незапрошенный входящий трафик с использованием TCP-порта 443 (HTTPS).

    Совет

    Для поддержки гибридного подключения на внешней конечной точке обратного прокси-сервера нужно открыть только TCP-порт 443.

  • Привязка к групповому SSL-сертификату или SSL-сертификату SAN.

  • Ретрансляция трафика в локальную ферму SharePoint Server или балансировщик нагрузки без перезаписи заголовков пакетов.

Поддерживаемые устройства обратного прокси-сервера

В таблице ниже перечислены поддерживаемые в настоящее время устройства обратного прокси-сервера для гибридных развертываний SharePoint Server. Этот список будет обновляться по мере тестирования новых устройств. Следуйте процедуре в статье по настройке для устройства обратного прокси-сервера, которое вы собираетесь использовать. По завершении настройки устройства обратного прокси-сервера возвращайтесь к выбранной схеме

Поддерживаемые устройства обратного прокси-сервера Статья о конфигурации Дополнительные сведения
прокси-сервер приложение Azure Включение удаленного доступа к SharePoint в Microsoft 365 с помощью прокси приложения Microsoft Entra прокси-сервер приложение Azure — это служба Azure, которая обеспечивает удаленный доступ к службам в сети без открытия портов брандмауэра из Интернета в службу.
Windows Server 2012 R2 с прокси веб-приложения (WA-P)
 Настройка прокси веб-приложения для гибридной среды
Прокси веб-приложения (WA-P) — это служба удаленного доступа в Windows Server 2012 R2, публикующая веб-приложения, с которыми пользователи могут работать на многих устройствах.
>[! ВАЖНО]> Чтобы использовать веб-Application Proxy в качестве устройства обратного прокси-сервера в гибридной среде SharePoint Server, необходимо также развернуть AD FS в Windows Server 2012 R2.
Forefront Threat Management Gateway (TMG) 2010
 Настройка Forefront TMG для гибридной среды
Forefront TMG 2010 — это комплексное решение безопасного веб-шлюза, предоставляющее функции безопасного обратного прокси-сервера.
> [! ПРИМЕЧАНИЕ]> Forefront TMG 2010 больше не продается корпорацией Майкрософт, но будет поддерживаться до 14.04.2020 г. Дополнительные сведения см. в разделе Сведения о жизненном цикле служба поддержки Майкрософт для TMG 2010.
F5 BIG-IP
 Включение гибридного поиска SharePoint 2013 с помощью BIG-IP
Внешний контент, которым управляет решение F5 Networks.
Citrix NetScaler
 Citrix NetScaler и Microsoft SharePoint 2013: руководство по гибридному развертыванию
Внешний контент, которым управляет решение Citrix.

См. также

Понятия

Гибридная конфигурация SharePoint Server