本文内容:
在用户与 Microsoft Office SharePoint Server 2007 进行交互的过程中(例如,当浏览到 Office SharePoint Server 2007 网站的主页时),备用访问映射会将用户定向到正确的 URL。使用备用访问映射,Office SharePoint Server 2007 可将 Web 请求映射到正确的 Web 应用程序和网站,并使 Office SharePoint Server 2007 能够为用户返回正确的内容。
由于在一些常见的 Internet 部署方案中,Internet Information Services (IIS) 接收的 Web 请求的 URL 与最终用户键入的 URL 不相同,因此已实现了备用访问映射。在包含反向代理发布和负载平衡的部署方案中,最可能出现此情况。
 注意: |
|---|
| 必须为负载平衡配置备用访问映射,即使它通常不适用于主机标头网站集。默认区域公用 URL 应设置为适合所有用户查看的域 URL。除非完成此操作,否则,在 Office SharePoint Server 2007 内的页面之间传递的参数中可能会显示 Web 服务器的名称或其 IP 地址。 |
关于备用访问映射
通过备用访问映射,接收针对内部 URL(在五个身份验证区域之一中)的请求的 Web 应用程序可以返回包含指向该区域的公用 URL 的链接。可以将 Web 应用程序与内部 URL 和公用 URL 之间的映射集合关联。内部 URL 是指 Office SharePoint Server 2007 接收的 Web 请求的 URL。公用 URL 是指可从外部访问的网站的 URL。公用 URL 是 Office SharePoint Server 2007 在它返回的页中使用的基 URL。如果反向代理设备已修改了内部 URL,则它将与公用 URL 不同。
| 注意: |
|---|
| 以主机命名的网站集不能使用备用访问映射。以主机命名的网站集将自动视为在默认区域中,且不得在最终用户和服务器之间修改请求的 URL。 |
可以将多个内部 URL 与一个公用 URL 相关联。映射集合最多可以包含五个身份验证区域,但每个区域只能具有一个公用 URL。映射集合与以下身份验证区域对应:
-
默认值
-
Intranet
-
Internet
-
自定义
-
Extranet
反向代理发布
反向代理是一类介于最终用户和 Web 服务器之间的设备。对 Web 服务器的所有请求首先由反向代理设备接收,如果这些请求通过代理的安全筛选,则代理会将请求转发到 Web 服务器。反向代理可以执行高级功能,例如,通过使用 HTTPS(安全套接字层上的超文本传输协议)在 Internet 上接收 Web 请求,但通过使用 HTTP 将请求转发到服务器。这称作“外部 SSL 终止”。反向代理可以将请求转发到端口号,而不是最初接收请求的端口。反向代理还可以更改 HTTP 主机标头字段。
Office SharePoint Server 2007 可与许多反向代理服务器兼容,但在下面的示例中,发布规则由反向代理软件 Microsoft Internet Security and Acceleration (ISA) Server 2006 提供。ISA Server 2006 包含一个发布向导,可帮助您创建 Office SharePoint Server 2007 的发布规则。在创建规则之后,可以随时修改规则。
| 注意: |
|---|
| 一些反向代理设备可以修改请求的路径(位于主机名和端口号之后的 URL 部分),这样用户发送到 http://www.contoso.com/sharepoint/default.aspx 的请求将作为 http://sharepoint.perimeter.example.com/default.aspx 转发到 Web 服务器。 这称作非对称路径。Microsoft Office SharePoint Server 2007 不支持非对称路径。URL 的路径必须在公用 URL 和内部 URL 之间成对称关系。在前面的示例中,这意味着反向代理设备不得修改 URL 的“/sharepoint/default.aspx”部分。 |
配置反向代理服务器
此示例中的前两幅图显示了已修改的发布规则,其中将禁用“转发原始主机标头”选项以帮助演示备用访问映射的灵活性。如果已选择“转发原始主机标头”选项,则在配置备用访问映射时,公共主机名还将用作内部主机名。
下图显示了规则的属性表上的“侦听器”选项卡和“公共名称”选项卡。这些属性定义了用于访问 Web 应用程序的 URL。此 URL 实际上是反向代理服务器的 URL,它会将请求转发到运行 Office SharePoint Server 2007 的服务器。
最终用户的 URL 包含公共协议、公共主机名和公用端口号,如下表所示。
| 公共协议 | 公共主机名 | 公用端口号 | 公用 URL | |||
|---|---|---|---|---|---|---|
| HTTPS | + "://" + | www.contoso.com | + ":" + | 443 | = | https://www.contoso.com |
下图显示了规则的属性页上的“转发到”选项卡和“桥接”选项卡。这些属性定义反向代理服务器用来将请求转发到运行 Office SharePoint Server 2007 的服务器的 URL。
运行 Office SharePoint Server 2007 的服务器的 URL 包含内部协议、内部主机名和内部端口号,如下表所示。
| 内部协议 | 内部主机名 | 内部端口号 | 内部 URL | |||
|---|---|---|---|---|---|---|
| HTTP | + "://" + | sharepoint.perimeter.contoso.com | + ":" + | 80 | = | http://sharepoint.perimeter.contoso.com |
此时,反向代理服务器将配置为接收来自 https://www.contoso.com 上的最终用户的 Web 请求,并将这些请求转发到位于 http://sharepoint.perimeter.contoso.com 上运行 Office SharePoint Server 2007 的服务器。
配置 SharePoint Web 应用程序
在配置反向代理服务器发布规则之后,配置 Web 应用程序和备用访问映射以匹配此发布规则。可通过将现有 Web 应用程序扩展到专门针对反向代理服务器发布规则的附加 IIS 网站执行此操作。也可以为此发布规则创建新的 Web 应用程序。需要输入的值在任一情况下都是相同的。
使用以下过程可扩展现有 Web 应用程序。
扩展现有的 Web 应用程序
-
从“管理工具”中,打开 SharePoint 管理中心网站。
-
在“管理中心”主页上,单击“应用程序管理”。
-
在“应用程序管理”页上的“SharePoint Web 应用程序管理”部分中单击“创建或扩展 Web 应用程序”。
-
在“创建或扩展 Web 应用程序”页上,单击“扩展现有 Web 应用程序”。
-
在“将 Web 应用程序扩展到其他 IIS 网站”页上,选择 Web 应用程序。在选定 Web 应用程序之后,根据本文中先前的“配置反向代理服务器”中定义的内部 URL 属性,为端口、主机标头和 SSL 字段输入值。在 URL 字段中,输入在“配置反向代理服务器”中定义的公用 URL,如下图所示。
-
选择要为其分配此 Web 应用程序扩展的备用访问映射区域。每个 Web 应用程序最多可使用五个区域。在此示例中,将使用 Internet 区域。所有区域都提供相同的功能,尽管默认区域总是用于特定功能(如将管理电子邮件发送给网站集所有者)。
-
若要创建 IIS 网站,请单击“确定”。
在完成这些过程之后,请验证是否已在备用访问映射中正确创建了公用 URL,然后添加内部 URL。除非内部 URL 与公用 URL 相同,否则,此步骤是一个必须手动执行的额外步骤。
使用以下过程可查看备用访问映射页。
查看备用访问映射页
-
从“管理工具”打开“管理中心”。
-
在“管理中心”主页上,单击“操作”。
-
在“操作”页上的“全局配置”部分,单击“备用访问映射”。
-
在“备用访问映射”页上,选择要通过反向代理服务器发布的 Web 应用程序。
此时,应查看分配给 Web 应用程序的备用访问映射 URL,如下图所示。
已将反向代理发布规则中的公用 URL 分配给 Web 应用程序的 Internet 区域。使用下面的过程可将反向代理发布规则中的内部 URL 添加到 Web 应用程序的 Internet 区域。
将反向代理发布规则中的内部 URL 添加到 Web 应用程序的 Internet 区域
-
在“备用访问映射”页上,单击“添加内部 URL”。
-
键入内部 URL 的名称并选择用于公用 URL 的同一区域。在此示例中,将使用 Internet 区域。
-
单击“保存”。
此时,应查看分配给 Web 应用程序的附加 URL(位于与反向代理发布规则的公用 URL 相同的区域中),如下图所示。
当用户浏览到 https://www.contoso.com 时,反向代理服务器将收到 Web 请求,然后此请求被转发到 http://sharepoint.perimeter.contoso.com。接着,Office SharePoint Server 2007 将收到此 Web 请求,并检查请求的 URL 是否为 http://sharepoint.perimeter.contoso.com,查明此 URL 是否已分配给 Contoso Web 应用程序,并从该 Web 应用程序中返回内容。此外,由于 http://sharepoint.perimeter.contoso.com URL 已分配给 Internet 区域,因此,Office SharePoint Server 2007 将使用对应于该区域的公用 URL(即 https://www.contoso.com)在页面上生成链接。这可确保当最终用户点击页面上的链接时能到达正确的 URL。
负载平衡器的工作原理与其类似,特别是当它们使用对请求实现负载平衡的单个 Web 服务器的 URL 覆盖最终用户的原始 URL 时。若要对这些已覆盖的 URL 进行说明,只需为每个单独的 Web 服务器的 URL 添加备用访问映射(与内部 URL 一样),然后将其关联到与最终用户的公用 URL 相同的区域。如果它们保留原始 URL,则只需使原始 URL 成为公用 URL。
备用访问映射与身份验证提供程序集成
利用备用访问映射,可在多达五个不同的区域中公开 Web 应用程序,并且每个区域都具有一个不同的辅助 IIS 网站。
| 注意: |
|---|
| 有些人错误地认为这样可具有多达五个共享相同内容数据库的不同 Web 应用程序。事实上,仅仅有一个 Web 应用程序。 |
使用这些区域,不仅可让您使用多个 URL 来访问同一个 Web 应用程序,还可让您使用多个身份验证提供程序来访问同一个 Web 应用程序。
在将 Web 应用程序扩展到区域中时,必须使用由 IIS 提供的 Windows 身份验证。在将 Web 应用程序扩展到区域中之后,可以修改区域以使用不同类型的身份验证。
使用以下过程可修改区域的身份验证配置。
修改区域的身份验证配置
-
从“管理工具”打开“管理中心”。
-
在“管理中心”主页上,单击“应用程序管理”。
-
在“应用程序管理”页上的“应用程序安全性”部分中单击“验证提供程序”。
-
在“验证提供程序”页上,选择在“Web 应用程序”框中列出的 Web 应用程序。
-
单击要修改其身份验证配置的区域的名称。
注意:将只能从具有辅助 IIS 网站的区域中选择。在“扩展现有 Web 应用程序”过程中,将为这些区域分配 IIS 网站。
-
在“编辑验证”页上的“验证类型”部分中,选择要用于该区域的验证类型:
-
Windows
-
表单
-
Web 单一登录
-
-
修改要更改的任何其他身份验证配置设置,并单击“保存”。
此时,还可以更改任何其他区域的身份验证配置设置。可以为访问相同内容的不同区域配置完全独立的身份验证设置。例如,可以将一些内容配置为可匿名访问,而其他内容需要凭据才能访问。可以将一个区域配置为已启用匿名访问并已禁用所有其他形式的身份验证,从而确保仅可以访问匿名内容。同时,可以为另一个区域禁用匿名访问并启用 NTLM 身份验证,从而确保仅允许经身份验证的访问。此外,可以具有用于访问相同内容的不同类型的帐户:可以将一个区域配置为使用 Windows Active Directory 帐户,而将另一个区域配置为同时使用非 Active Directory 帐户和基于 ASP.NET 表单的身份验证。
备用访问映射与 Web 应用程序策略集成
利用 Web 应用程序策略,管理员可授予或取消帐户和安全组对通过区域公开的所有网站所具有的权限。这对于各种方案很有用。
例如,与其他程序一样,Office SharePoint Server 2007 搜索爬网程序也必须通过相同的授权基础结构:它只能对可访问的内容进行爬网。但是,用户仍希望搜索受爬网限制的内容,以便经授权的用户可以在搜索结果中查找此内容。搜索服务使用 Web 应用程序上的“完全读取”策略以便为其爬网程序提供读取 Web 应用程序上的所有内容的权限。这样,它可以对所有现有的和将来的内容(甚至于对网站管理员尚未为其明确提供访问权限的内容)进行爬网和建立索引。
另一个示例是支持人员需要对 Office SharePoint Server 2007 网站拥有管理权限,以便能够为用户提供帮助。为此,可以创建一个 Web 应用程序策略,此策略为所有支持人员帐户授予“完全控制”权限,以便他们对 Web 应用程序上的所有当前和将来网站具有完全管理权限。
由于已将策略与 Web 应用程序及其区域绑定,因此可以确保已对一个区域应用的策略不会影响其他区域。在将内容同时在企业网络和 Internet 上公开时,这将很有用。例如,假定已为所有支持人员帐户授予针对已分配到企业网络的 Web 应用程序的区域的“完全控制”权限时。如果某些人尝试使用该帐户在 Internet 上访问该网站,则不会应用此“完全控制”策略,原因是系统会识别出该 URL 位于不同的区域中。因此,将不会自动为该帐户授予网站的管理权限。
备用访问映射和外部资源映射
利用 Office SharePoint Server 2007,可让您对 Office SharePoint Server 2007 服务器场中未承载的内容扩展备用访问映射功能。若要配置此功能,请浏览到“备用访问映射”页并单击“映射到外部资源”。然后,系统将要求您创建外部资源的项,您可将此资源视为另一个 Web 应用程序。在具有外部资源之后,可以对其分配不同的 URL 和区域,分配的方式与 Web 应用程序的相同。Office SharePoint Server 2007 中不使用此功能,但基于 Office SharePoint Server 2007 构建的第三方产品可以使用它。
例如,Office SharePoint Server 2007 中的搜索技术可对服务器场外部的内容进行爬网(例如,文件共享和网站)。如果该内容在不同网络上的不同 URL 上可用,则您可能希望通过使用该用户的当前网络的相应 URL 来进行搜索以返回结果。通过使用备用访问映射的外部资源映射技术,搜索功能可重新映射其搜索结果中的外部 URL,以便与该用户的区域相匹配。
备用访问映射疑难解答
参考以下指南可避免出现管理员易犯的六个备用访问映射错误。
错误 1:假定无需配置备用访问映射(除非正在按照特殊方式部署 SharePoint)
导致出现与备用访问映射相关的问题的最常见原因是:管理员没有意识到必须首先配置备用访问映射。由于备用访问映射是 Office SharePoint Server 2007 中的新要求,因此出现此情况是可以理解的。每个 Office SharePoint Server 2007 管理员都必须确保正确配置备用访问映射,哪怕只是简单的部署。
当遇到下列任一问题时,可能是由于备用访问映射未正确配置。
-
在网站上看到损坏的图像。
-
如果在不指定文件名的情况下浏览到网站时(例如,http://计算机名称/网站名称)遇到 DNS 错误消息或指示无法找到服务器的错误消息,但在直接浏览到网站中的指定文件(例如,http://计算机名称/网站名称/default.aspx)时可以访问网站,则备用访问映射配置错误可能是导致出现此问题的原因。
-
在浏览到网站时被重定向到 http://计算机名称。如果 Office SharePoint Server 2007 收到来自无法识别的 URL(或未针对备用访问映射配置的 URL)的请求,并且您已安装了 Microsoft Office Server 的基础结构更新,则 Office SharePoint Server 2007 将尝试确定正确的 Web 应用程序,然后使用所返回页面上的链接中的相同基 URL 对请求作出响应。如果请求来自尚未针对备用访问映射配置的 URL,并且您已安装了 Microsoft Office Server 的基础结构更新,Office SharePoint Server 2007 还会在 Windows 事件日志和 Office SharePoint Server ULS 日志中创建一个关键错误,以通知 Office SharePoint Server 管理员为无法识别的 URL 配置备用访问映射。
| 注意: |
|---|
| 在结合反向代理或网络负载平衡器使用备用访问映射的 Microsoft Office Server 的基础结构更新 服务器场(如 Extranet 部署)中安装 Office SharePoint Server 可能会导致某些公用 URL 没有响应。Microsoft 已经注意到这一问题并且正在开发解决方案。安装 Microsoft Office Server 的基础结构更新 之前,使用这种配置的客户应使用测试环境来验证在安装更新后公用 URL 是否仍然可以访问。 |
为了让 Office SharePoint Server 2007 提供可以在多台计算机上(甚至在未运行 Web 应用程序服务的计算机上)工作的稳固而可靠的 API,解析指向网站的 URL 不能依赖于主机文件、DNS 或 IIS 绑定。相反,当 Office SharePoint Server 2007 接收请求时,它将只会使用备用访问映射来执行 URL 解析。在必须确保正确配置主机文件、DNS 和 IIS 绑定以确保 Web 请求能够到达 Office SharePoint Server 2007 服务器的同时,还必须配置备用访问映射的 URL,如以下示例所示。
完全限定域名 (FQDN)
如果要使用 FQDN URL 访问 Web 应用程序,则必须在 DNS 中配置此域名。还必须为备用访问映射配置匹配的 URL。如果这是最终用户将用于访问网站的 URL,则使其成为一个公用 URL。如果这是反向代理服务器用于将请求转发到您的网站的 URL,则使其成为一个内部 URL。
| 注意: |
|---|
| 如果此 URL 是内部 URL,请确保已将最终用户的 URL 配置为同一区域中的公用 URL。 |
Localhost
Localhost 是一个特定的主机名称,它使您能够在浏览器中键入 http://localhost 并到达本地计算机上承载的网站。但是,由于通过访问计算机的主机文件可使用 localhost,因此 Office SharePoint Server 2007 不能自动使用它。如果需要让 http://localhost 成为 Office SharePoint Server 2007 的一个有效 URL,则必须将 http://localhost 作为备用访问映射输入。
IP 地址
如果处于没有 DNS 或主机名称解析的环境中,并且正在使用带有 IP 地址的 URL,则仍必须将这些 URL 作为备用访问映射输入。
错误 2:假定可以使用反向代理服务器链接转换功能而不是备用访问映射
虽然一些管理员知道备用访问映射将修复页面上的链接并确保将最终用户转到正确的公用 URL,但他们可能会假定:由于其反向代理服务器的链接转换功能可执行一个类似的功能,因此可能不需要备用访问映射。以下几个原因可说明为什么此假定会是一个错误的假定:
-
在兼容性测试中,任何反向代理服务器中的链接转换功能(包括 ISA Server 2006)均不足以修复所有使用此公用 URL 的 Office SharePoint Server 2007 链接。Office SharePoint Server 2007 将其 URL 嵌入到许多位置并采用各种编码。反向代理服务器目前还未达到足够成熟的阶段,而无法找到和修复所有这些 URL。
-
有一些 Office SharePoint Server 2007 功能不使用反向代理服务器发布规则,如电子邮件通知。只需使用备用访问映射,就能确保电子邮件通知中的链接将为用户使用正确的 URL。
重要说明:如果通过使用发布规则来公开“管理中心”,请确保为该规则禁用链接转换功能。如果未禁用链接转换,则它可能会妨碍您配置备用访问映射。
错误 3:尝试在备用访问映射中重用同一 URL 或未将 URL 与同一区域关联
在配置 Office SharePoint Server 2007 以使 Web 应用程序同时对其内部网络和 Internet 公开时常会遇到这个错误。例如,在企业网络上配置 Web 应用程序时将“http://sharepoint”作为默认区域 URL,并且希望将其作为 http://www.contoso.com 在 Internet 上公开,则您可能配置反向代理服务器以将请求转发到 http://sharepoint,然后将 http://www.contoso.com 作为公用 URL 添加到 Internet 区域。这是一个错误。虽然从企业网络访问网站将继续按预期方式工作,但您可能会发现来自 Internet 的访问不能正常工作,并且会存在几个指向 http://sharepoint 的链接。这是因为已将这两个 URL 输入到不同的备用访问映射区域中,因此二者彼此并未关联。
一个 URL 仅可在备选访问映射中使用一次,在上面的示例中,http://sharepoint URL 已用在您的企业网络中。若要将基于 Internet 的请求转发到同一个 Web 应用程序,请对反向代理发布规则使用一个不同的内部 URL,如 http://sharepoint.perimeter.contoso.com。您可以让 http://sharepoint 保留在备选访问映射中,并仍然添加 http://www.contoso.com 作为 Internet 区域中的公用 URL。您需要在与 http://www.contoso.com 公用 URL 区域(即 Internet 区域)相同的区域中添加 http://sharepoint.perimeter.contoso.com 作为另一个内部 URL。通过在同一个区域中同时使用这两者,Office SharePoint Server 2007 可以对该区域使用此公用 URL 来生成正确的链接。
| 注意: |
|---|
| 建议将 Web 应用程序扩展到要使用的每个区域的新 IIS 网站。这将提供一个辅助 IIS 网站。不建议对多个区域重用相同的 IIS 网站,除非 Microsoft 已明确通知您这样做。 |
错误 4:假定备用访问映射中生成的更新会自动更新 IIS 绑定
在将 Web 应用程序扩展到一个区域后,Office SharePoint Server 2007 将不会尝试修改其 IIS 绑定。如果通过添加主机标头绑定、更改端口号或添加 SSL 端口来修改 IIS 中的这些绑定,则 Office SharePoint Server 2007 将不会注意到所做的更改,并将不会更新备用访问映射 URL。同样,对要添加 SSL URL 的备用访问映射 URL 的更新将不会自动更新要匹配的 IIS 绑定。
如果需要在 IIS 绑定中进行更改,请通过使用“应用程序管理”页上的“从 IIS 网站删除 SharePoint”链接从区域中移除 Web 应用程序。
| 注意: |
|---|
| 此操作只会从 Web 应用程序中移除 IIS 网站及其区域。它不会删除 Web 应用程序本身或 Web 应用程序的内容数据库。 |
然后,您可以使用更新的绑定重新将 Web 应用程序扩展到该区域。如果您希望添加 SSL 端口,则这一点也有效。不建议将同一个 IIS 网站重复用于承载您的 HTTP 和 SSL。而是扩展专用 HTTP 和专用 SSL 网站,这两者各自均被分配给其自己的备选访问映射区域和 URL。
错误 5:忘记将环境配置为启用搜索以便对网站进行爬网
如果已配置备用访问映射和网络以使最终用户能够到达网站,则还必须为 Office SharePoint Server 2007 搜索配置备用访问映射和网络。Office SharePoint Server 2007 搜索服务浏览到 Web 应用程序以对其内容进行爬网,并且必须能够访问公用 URL。确保运行搜索索引服务的计算机可到达这些公用 URL。这对于使用 NTLM 身份验证的任何计算机都尤为重要。如有必要,请将 Office SharePoint Server 2007 搜索服务帐户的代理设置配置为使用代理服务器。通过作为该帐户登录到计算机并在 Internet Explorer 中编辑局域网连接设置可做到这一点。
使用以下过程可在 Internet Explorer 中编辑局域网连接设置。
在 Internet Explorer 中编辑局域网连接设置
-
从“控制面板”打开“Internet 选项”。
-
在“Internet 选项”属性页上的“连接”选项卡上,单击“局域网设置”。
-
在“局域网(LAN)设置”对话框中编辑局域网连接设置,然后单击“确定”。
错误 6:发生打字错误
请确保正确输入备用访问映射中的 URL。如果正在使用反向代理服务器,请验证备用访问映射中的 URL 与发布规则中的 URL 匹配。
127
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
