Freigeben über

Migrieren von der klassischen Authentifizierung zur anspruchsbasierten Authentifizierung in SharePoint 2013

  • Artikel

GILT FÜR:yes-img-132013 no-img-162016 no-img-192019 no-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

Die anspruchsbasierte Authentifizierung ist eine der entscheidenden Komponenten für die erweiterte Funktionalität von SharePoint 2013. Um Webanwendungen mit klassischem Authentifizierungsmodus von SharePoint 2010-Produkte nach SharePoint 2013 zu übertragen, können Sie diese in SharePoint 2010-Produkte in Webanwendungen mit anspruchsbasierter Authentifizierung konvertieren und zu SharePoint 2013 migrieren. Die in diesem Artikel beschriebenen Verfahren erläutern verschiedene unterstützte Szenarien.

Das PowerShell-Cmdlet Convert-SPWebApplication in SharePoint 2013 konvertiert Webanwendungen vom klassischen Authentifizierungsmodus in die anspruchsbasierte Authentifizierung.

Achtung

Eine Webanwendung, die in die anspruchsbasierte Authentifizierung konvertiert wurde, kann nicht auf den klassischen Authentifizierungsmodus zurückgesetzt werden.

Konvertieren von SharePoint 2010-Produkte-Webanwendungen mit klassischem Authentifizierungsmodus in die anspruchsbasierte Authentifizierung in SharePoint 2010-Produkte und anschließendes Upgrade auf SharePoint 2013

Führen Sie in SharePoint 2010-Produkte folgende Schritte aus, um eine vorhandene Webanwendung in die anspruchsbasierte Authentifizierung zu konvertieren. Führen Sie nach der Konvertierung der Webanwendung in die anspruchsbasierte Authentifizierung die zusätzlichen Schritte zur Migration der Webanwendung zu SharePoint 2013 aus. Für dieses Verfahren benötigen Sie die folgenden Informationen:

  • Die URL der Webanwendung, die Sie konvertieren: http://yourWebAppUrl

  • Ein Benutzerkonto, das als Websiteadministrator festgelegt werden soll: yourDomain\yourUser

So konvertieren Sie eine SharePoint 2010-Produkte-Webanwendung in die anspruchsbasierte Authentifizierung

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

  • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

  • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

  • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

  • Sie müssen about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050) lesen.

  • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin -Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    [!HINWEIS] Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  1. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein, um das angegebene Benutzerkonto als Administrator für die Website festzulegen:
$WebAppName = "http://<yourWebAppUrl>"
$wa = get-SPWebApplication $WebAppName
$wa.UseClaimsAuthentication = $true
$wa.Update()

Wobei Folgendes gilt:

  • <yourWebAppUrl> ist die URL der Webanwendung.
  1. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein, um die Richtlinie so zu konfigurieren, dass der Benutzer Vollzugriff hat:
$account = "yourDomain\yourUser"
$account = (New-SPClaimsPrincipal -identity $account -identitytype 1).ToEncodedString()
$wa = get-SPWebApplication $WebAppName
$zp = $wa.ZonePolicies("Default")
$p = $zp.Add($account,"PSPolicy")
$fc=$wa.PolicyRoles.GetSpecialRole("FullControl")
$p.PolicyRoleBindings.Add($fc)
$wa.Update()

Weitere Informationen finden Sie unter Get-SPWebApplication.

  1. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein, um die Benutzermigration auszuführen:
$wa.MigrateUsers($true)
  1. Geben Sie nach der Benutzermigration an der PowerShell-Eingabeaufforderung Folgendes ein, um die Bereitstellung durchzuführen:
$wa.ProvisionGlobally()

Weitere Informationen finden Sie unter New-SPClaimsPrincipal.

Nachdem Sie die vorherigen Verfahren abgeschlossen haben, treten möglicherweise eines oder mehrere der folgenden Probleme auf: Benutzer, die beim Zugriff auf die migrierte Webanwendung gültige Anmeldeinformationen übermitteln, werden möglicherweise benachrichtigt, dass sie nicht über Berechtigungen verfügen. In diesem Fall wurden die Eigenschaften portalsuperuseraccount und portalsuperreaderaccount der Webanwendung wahrscheinlich vor der Migration konfiguriert. In diesem Fall aktualisieren Sie die Eigenschaften portalsuperuseraccount und portalsuperreaderaccount, sodass der neue anspruchsbasierte Kontoname verwendet wird. Nach der Migration finden Sie den neuen anspruchsbasierten Kontonamen in der Webanwendungsrichtlinie für die migrierte Webanwendung. Wenn vorhandene Warnungen nach der Migration nicht aufgerufen werden, müssen Sie die Warnungen möglicherweise löschen und neu erstellen. Wenn die Suchdurchforstung nach der Migration in der Webanwendung nicht funktioniert, stellen Sie sicher, dass das Suchdurchforstungskonto den neuen konvertierten Kontonamen auflistet. Ist dies nicht der Fall, müssen Sie manuell eine neue Richtlinie für das Durchforstungskonto erstellen.

So migrieren Sie eine anspruchsbasierte SharePoint 2010-Produkte-Webanwendung zu SharePoint 2013

  1. Erstellen Sie in SharePoint 2013 eine anspruchsbasierte Webanwendung. Weitere Informationen finden sie unter Erstellen anspruchsbasierter Webanwendungen in SharePoint Server.

  2. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neu erstellte anspruchsbasierte SharePoint 2013-Webanwendung an. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint Server.

    Hinweis

    Wenn Sie die Inhaltsdatenbanken für SharePoint 2010-Produkte an die anspruchsbasierte SharePoint 2013-Webanwendung anfügen, werden die Datenbanken auf das SharePoint 2013-Datenbankformat aktualisiert, sind jedoch nicht für Ansprüche aktiviert.

Konvertieren der SharePoint 2010-Produkte-Webanwendungen mit klassischem Authentifizierungsmodus in anspruchsbasierte SharePoint 2013-Webanwendungen

Führen Sie in SharePoint 2013 folgende Schritte aus, um eine vorhandene SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus in eine SharePoint 2013-Webanwendung mit anspruchsbasierter Authentifizierung zu konvertieren.

So konvertieren Sie eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus in eine anspruchsbasierte SharePoint 2013-Authentifizierung

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

  • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

  • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

  • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

  • Sie müssen about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050) lesen.

  • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin -Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    [!HINWEIS] Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  1. Klicken Sie in der SharePoint 2013-Umgebung im Startmenü auf Alle Programme.

  2. Klicken Sie auf SharePoint 2013.

  3. Klicken Sie auf SharePoint 2013-Verwaltungsshell.

  4. Navigieren Sie zu dem Verzeichnis, in dem Sie die Datei gespeichert haben.

  5. Geben Sie an der Microsoft PowerShell-Eingabeaufforderung den folgenden Befehl ein:

$ap = New-SPAuthenticationProvider -UseWindowsIntegratedAuthentication -DisableKerberos
New-SPWebApplication -name "ClaimsWebApp" -Port 80 -ApplicationPool "ClaimsAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>") -AuthenticationMethod NTLM -AuthenticationProvider $ap

Wobei Folgendes gilt:

  • <domainname>\ <user> ist die Domäne, zu der der Server gehört, und der Name des Benutzerkontos.

  1. Fügen Sie die beiden vorhandenen Inhaltsdatenbanken für SharePoint 2010-Produkte an die neue SharePoint 2013-Webanwendung im Anspruchsmodus an. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint Server.

    Hinweis

    Wenn Sie die Inhaltsdatenbanken für SharePoint 2010-Produkte an die SharePoint 2013-Webanwendung im Anspruchsmodus anfügen, werden die Datenbanken auf das SharePoint 2013-Datenbankformat aktualisiert. Sie müssen sicherstellen, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren.

  2. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Wobei Folgendes gilt:

  • <yourWebAppUrl> ist die URL der Webanwendung.

Hinweis

Convert-SPWebApplication konvertiert die Inhaltsdatenbanken in die anspruchsbasierte Authentifizierung. Sie müssen überprüfen, ob die Benutzer auf die Webanwendung zugreifen können, nachdem Sie die Inhaltsdatenbanken konvertiert haben.

  1. Fügen Sie bei Bedarf eine dritte SharePoint 2010 Products-Inhaltsdatenbank an die neue SharePoint 2013-Webanwendung im Anspruchsmodus an, und überprüfen Sie, ob die Inhaltsdatenbank ordnungsgemäß funktioniert, nachdem Sie sie angefügt haben.

  2. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

Convert-SPWebApplication -Identity <yourWebAppUrl> -From Legacy -To Claims -RetainPermissions [-Force]

Vergewissern Sie sich, dass Benutzer auf die Webanwendung zugreifen können, nachdem Sie die Inhaltsdatenbanken in die anspruchsbasierte Authentifizierung konvertiert haben. Weitere Informationen finden Sie unter New-SPWebApplication, Get-SPManagedAccount und Convert-SPWebApplication.

Konvertieren der SharePoint 2013-Webanwendungen mit klassischem Authentifizierungsmodus in anspruchsbasierte Webanwendungen

Führen Sie in SharePoint 2013 die folgenden Schritte aus, um zuerst eine Webanwendung mit klassischem Authentifizierungsmodus zu erstellen und diese dann in eine anspruchsbasierte Authentifizierung zu konvertieren.

So erstellen Sie eine Webanwendung mit klassischem Authentifizierungsmodus in SharePoint 2013

  • Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

    • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

    • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

    • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

    • Sie müssen about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050) lesen.

    • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

      Ein Administrator kann mithilfe des Add-SPShellAdmin -Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

      Hinweis

      [!HINWEIS] Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  • Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>

    Wobei Folgendes gilt:

    • <Name> ist der Name der neuen Webanwendung mit klassischer Authentifizierung.

    • <ApplicationPool> ist der Name des Anwendungspools.

    • <WindowsAuthType> ist entweder "NTLM" oder "Kerberos". Kerberos wird empfohlen.

    • <ApplicationPoolAccount> ist das Benutzerkonto, unter dem dieser Anwendungspool ausgeführt wird.

    • <Port> ist der Port, an dem die Webanwendung in IIS erstellt wird.

    • <URL> ist die öffentliche URL der Webanwendung.

    Hinweis

    Weitere Informationen finden Sie unter New-SPWebApplication.

    Hinweis

    Wenn Sie nach erfolgreichem Erstellen der Webanwendung die Seite der Zentraladministration öffnen, wird die Integritätsregelwarnung angezeigt, dass für mindestens eine Webanwendung der klassische Authentifizierungsmodus aktiviert ist. Dies bestätigt unsere Empfehlung, anspruchsbasierte Authentifizierung zu verwenden anstatt klassischer.

So konvertieren Sie eine SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus in eine anspruchsbasierte Authentifizierung

  • Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:

    Convert-SPWebApplication -Identity "http:// <servername>:port" -From Legacy -To Claims -RetainPermissions [-Force]

    Wobei Folgendes gilt:

    • <servername> ist der Name des Servers.

Stellen Sie sicher, dass die Benutzer auf die Webanwendung zugreifen können, nachdem Sie sie in eine anspruchsbasierte Authentifizierung konvertiert haben. Weitere Informationen finden Sie unter „New-SPWebApplication“, „Get-SPManagedAccount“ und „Convert-SPWebApplication“.

Migrieren der SharePoint 2010-Produkte-Webanwendungen mit klassischem Authentifizierungsmodus zu SharePoint 2013-Webanwendungen mit klassischem Authentifizierungsmodus

Führen Sie in SharePoint 2013 folgende Schritte aus, um eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus zu erstellen und diese dann zu einer SharePoint 2013-Webanwendung mit klassischem Authentifizierungsmodus zu migrieren.

So migrieren Sie eine SharePoint 2010-Produkte-Webanwendung mit klassischem Authentifizierungsmodus zu SharePoint 2013

  1. Vergewissern Sie sich, dass Sie über die folgenden Mitgliedschaften verfügen:

  • Feste Serverrolle securityadmin auf der SQL Server-Instanz.

  • Die feste Datenbankrolle db_owner auf allen Datenbanken, die aktualisiert werden.

  • Mitglied der Gruppe der Administratoren auf dem Server, auf dem die PowerShell-Cmdlets ausgeführt werden.

  • Sie müssen about_Execution_Policies (https://go.microsoft.com/fwlink/p/?LinkId=193050) lesen.

  • Fügen Sie Mitgliedschaften hinzu, falls zusätzlich zu den obigen Mindestanforderungen noch weitere Mitgliedschaften erforderlich sind.

    Ein Administrator kann mithilfe des Add-SPShellAdmin -Cmdlets Berechtigungen zur Verwendung des SharePoint 2013-Cmdlets gewähren.

    Hinweis

    [!HINWEIS] Wenn Sie keine Berechtigungen haben, wenden Sie sich an den Setupadministrator oder SQL Server-Administrator, um Berechtigungen anzufordern. Weitere Informationen über PowerShell-Berechtigungen finden Sie unter Add-SPShellAdmin.

  1. Geben Sie an der PowerShell-Eingabeaufforderung Folgendes ein:
New-SPWebApplication -name "ClassicAuthApp" -Port 100 -ApplicationPool "ClassicAuthAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "<domainname>\<user>")

Wobei Folgendes gilt:

  • <domainname>\ <user> ist die Domäne, zu der der Server gehört, und der Name des Benutzerkontos.
  1. Fügen Sie die zwei vorhandenen SharePoint 2010-Produkte-Inhaltsdatenbanken an die neue SharePoint 2013-Webanwendung mit klassischer Authentifizierung an. Stellen Sie sicher, dass die Inhaltsdatenbanken nach dem Anfügen ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Anfügen oder Trennen von Inhaltsdatenbanken in SharePoint Server.

Weitere Informationen finden Sie unter New-SPWebApplication und Get-SPManagedAccount.

Siehe auch

Weitere Ressourcen

Erstellen anspruchsbasierter Webanwendungen in SharePoint Server

Erstellen anspruchsbasierter Webanwendungen in SharePoint Server