Настройка устройства обратного прокси-сервера для гибридного развертывания SharePoint Server

ПРИМЕНЯЕТСЯ К:  да 2013  да 2016  да 2019  да SharePoint в Microsoft 365

**Эта статья входит в план процедуры настройки гибридных решений SharePoint. Убедитесь, что вы следуете плану при выполнении процедуры, описанных в этой статье. **

В этом разделе представлен обзор роли обратных прокси-устройств в гибридном развертывании SharePoint Server и ссылки на руководство по конфигурации для конкретных устройств.

Роль обратного прокси-сервера в гибридном развертывании SharePoint Server

SharePoint Сервер и SharePoint в Microsoft 365 можно настроить в гибридной конфигурации для безопасного объединения результатов поиска и внешних данных из Microsoft Business Connectivity Services. Обратные прокси-устройства играют роль в безопасной конфигурации гибридного развертывания SharePoint Server, когда входящий трафик из SharePoint в Microsoft 365 должен быть передан локальной ферме SharePoint Server. Например, если федераированный пользователь использует SharePoint на портале поиска Microsoft 365, настроенный для возврата результатов гибридного поиска, устройство обратного прокси перехватывает и предварительно передает запрос на локальное содержимое SharePoint Server, а затем передает его в SharePoint Server. Устройство обратного прокси-сервера в гибридной топологии предоставляет безопасную конечную точку для входящего трафика с использованием шифрования SSL и проверки подлинности на основе клиентского сертификата.

Принципы работы входящего подключения

На следующих схемах показано использование устройства обратного прокси-сервера для входящего подключения.

С решением входящий поиск только SharePoint в Microsoft 365 сайте имеет результаты поиска из обоих местоположений.

Входящее подключение

График прокси-сервера входящих сообщений.

В приведенном ниже примере федераированный пользователь в Интернете использует SharePoint на портале поиска Microsoft 365 для поиска контента как в SharePoint Microsoft 365, так и на локальном сервере SharePoint компании.

Федеративный пользователь в Интернете ищет контент, расположенный на локальном сервере компании.

График, описывающий, как пользователи экстрасети получают доступ к файлам с помощью TMG.

В следующем списке описываются шаги, показанные на рисунке выше.

  1. Из Интернета федераированный пользователь просматривает ее SharePoint на Microsoft 365 сайте.

  2. SharePoint в Microsoft 365 запрашивает индекс поиска в SharePoint в Microsoft 365, а также отправляет запрос поиска на внешний URL-адрес локальной фермы SharePoint, которая решается на внешнюю конечную точку обратного прокси-устройства.

  3. Устройство обратного прокси-сервера выполняет предварительную проверку подлинности запроса с помощью SSL-сертификата и ретранслирует запрос на URL-адрес основного веб-приложения.

  4. Учетная запись службы фермы SharePoint запрашивает локальный индекс поиска и выполняет фильтрацию по ролям безопасности в контексте пользователя, который отправил поисковый запрос.

  5. Результаты поиска, обрезанные по безопасности, возвращаются SharePoint в Microsoft 365 и отображаются на странице результатов поиска. Этот набор результатов включает результаты поиска из SharePoint в Microsoft 365 индексе поиска и результаты поиска из индекса поиска фермы SharePoint Server.

Примечание

Входящие подключения позволяют получать доступ к контенту и ресурсам в локальной ферме SharePoint Server из Интернета только в том случае, если у пользователя есть активное безопасное подключение к сети интрасети через VPN или DirectAccess или если ферма SharePoint Server настроена в топологии экстрасети.

Более подробное описание этого процесса с демонстрацией использования сертификатов, проверки подлинности и авторизации в этой топологии см. на странице Плакат. Гибридная топология SharePoint 2013: поток сертификатов, проверки подлинности и авторизации.

Общие требования к обратному прокси-серверу

В гибридном сценарии SharePoint Server обратный прокси-сервер должен поддерживать следующее:

  • Проверка подлинности на основе клиентских сертификатов с использованием групповых SSL-сертификатов или SSL-сертификатов SAN.

  • Поддержка сквозной проверки подлинности для OAuth 2.0, включая неограниченное число транзакций маркера носителя OAuth.

  • Возможность принимать незапрошенный входящий трафик с использованием TCP-порта 443 (HTTPS).

    Совет

    Для поддержки гибридного подключения на внешней конечной точке обратного прокси-сервера нужно открыть только TCP-порт 443.

  • Привязка группового SSL-сертификата или SSL-сертификата SAN к опубликованной конечной точке.

  • Ретрансляция трафика в локальную ферму SharePoint Server или балансировщик нагрузки без перезаписи заголовков пакетов.

Поддерживаемые устройства обратного прокси-сервера

В таблице ниже перечислены поддерживаемые в настоящее время обратные прокси-устройства для SharePoint серверов гибридного развертывания. Этот список будет обновляться по мере тестирования новых устройств. Следуйте процедуре в статье по настройке для устройства обратного прокси-сервера, которое вы собираетесь использовать. По завершении настройки устройства обратного прокси-сервера возвращайтесь к выбранной схеме

Поддерживаемые устройства обратного прокси-сервера Статья о конфигурации Дополнительная информация
Прокси-сервер приложения Azure Включить удаленный доступ SharePoint в Microsoft 365 с помощью прокси-сервера приложения Azure AD Azure Application Proxy — это служба Azure, которая позволяет удаленно получать доступ к службам в сети без открытия портов брандмауэра из Интернета в службу.
Windows Server 2012 R2 с прокси веб-приложения (WA-P)
Настройка прокси веб-приложения для гибридной среды
Прокси-служба веб-приложения (WA-P) это служба удаленного доступа в Windows Server 2012 R2, публикующая веб-приложения, с которыми пользователи могут взаимодействовать на многих устройствах.
> [!IMPORTANT]> To use Web Application Proxy as a reverse proxy device in a hybrid SharePoint Server environment, you must also deploy AD FS in Windows Server 2012 R2.
Forefront Threat Management Gateway (TMG) 2010
Настройка Forefront TMG для гибридной среды
Forefront TMG 2010 — это комплексное решение безопасного веб-шлюза, предоставляющее функции безопасного обратного прокси-сервера.
> [!NOTE]> Корпорация Майкрософт больше не продает продукт Forefront TMG 2010, но будет поддерживать его до 14.04.2020 г. Дополнительные сведения см. в статье Правила по срокам поддержки для TMG 2010.
F5 BIG-IP
Включение гибридного поиска SharePoint 2013 с помощью BIG-IP
Внешний контент, которым управляет решение F5 Networks.
Citrix NetScaler
Citrix NetScaler и Microsoft SharePoint 2013: руководство по гибридному развертыванию
Внешний контент, которым управляет решение Citrix.

См. также

Понятия

Гибридная конфигурация SharePoint Server