ハイブリッド環境用の Web アプリケーション プロキシを構成する
適用対象:
2016 2019 Subscription Edition SharePoint in Microsoft 365
この記事では、Web アプリケーション プロキシについて説明し、ハイブリッド SharePoint Server 環境でリバース プロキシとして使用するよう設定できるようにします。
はじめに
アクセシビリティ機能の注意: SharePoint Server は、展開を管理し、サイトにアクセスするための一般的なブラウザーのアクセシビリティ機能をサポートしています。 詳細については、「Accessibility for SharePoint 2013」を参照してください。
ハイブリッド環境の Web アプリケーションのプロキシについて
Web Application Proxy は、ユーザーが多数のデバイスから操作できる Web アプリケーションを公開する Windows Server 2012 R2 のリモート アクセス サービスです。 また、Active Directory Federation Services (AD FS) のプロキシ機能も含まれています。 これにより、システム管理者が、AD FS サーバーへのセキュリティで保護されたアクセスを提供できるようになります。 Web Application Proxy を使用することで、システム管理者は、ユーザーの Web アプリケーションに対する認証方法を選択し、使用が認証されるユーザーを決定することができます。
Microsoft 365 の SharePoint が SharePoint Server からデータを要求するハイブリッド SharePoint Server 環境では、Windows Server 2012 R2 と Web アプリケーション プロキシをリバース プロキシ デバイスとして使用して、インターネットからの要求をオンプレミスの SharePoint Server ファームに安全に中継できます。
重要
ハイブリッド SharePoint Server 環境で Web アプリケーション プロキシをリバース プロキシ デバイスとして使用するには、Windows Server 2012 R2 に AD FS を展開する必要もあります。
注:
Web Application Proxy 機能をインストールして構成するには、Windows Server 2012 R2 がインストールされているコンピューターのローカル管理者である必要があります。 Web Application Proxy 機能を実行する Windows Server 2012 R2 サーバーは、ドメインまたはワークグループのメンバーの可能性があります。
ステップ 1: AD FS および Web Application Proxy 機能をインストールする
Windows Server 2012 R2 への AD FS のインストールの詳細については、「 Active Directory フェデレーション サービスの概要」を参照してください。
Windows Server 2012 R2 での Web アプリケーション プロキシ機能のインストールの詳細については、「 サーバー コア サーバーへのサーバーの役割と機能のインストール」を参照してください。
ステップ 2: Web Application Proxy を構成する
このセクションでは、Web Application Proxy をインストールした後で構成する方法について説明します。
Web Application Proxy は、セキュリティで保護されたチャネル証明書に対して捺印を照合しますが、Web Application Proxy サーバーのローカル コンピューターの個人証明書ストアにインポートされインストールされている必要があります。
Microsoft 365 テナントで SharePoint からの受信要求を受け入れることができる発行済みアプリケーションで Web アプリケーション プロキシを構成します。
セキュリティで保護されたチャネルの SSL 証明書のインポート
ローカル コンピューターのアカウントの個人用ストアに、セキュリティで保護されたチャネルの SSL 証明書をインポートし、さらに証明書の秘密キーにアクセス許可を設定して、Web Application Proxy Service (appproxysvc) のフル コントロールのサービス アカウントを提供する必要があります。
注:
Web Application Proxy Service の既定のサービス アカウントは、ローカル コンピューターの ネットワーク サービス です。
|
セキュリティで保護されたチャネル SSL 証明書 の場所は、 表 4b: セキュリティで保護されたチャネル SSL 証明書 の 行 1 (セキュリティで保護されたチャネル SSL 証明書の場所とファイル名) に記録されています。 この証明書が秘密キーを含む場合、 表 4b: セキュリティで保護されたチャネル SSL 証明書 の 行 4 (セキュリティで保護されたチャネル SSL 証明書のパスワード) に記録されている証明書のパスワードを入力する必要があります。 |
SSL 証明書のインポート方法の詳細については、「証明書をインポートする」を参照してください。
公開されたアプリケーションを構成する
注:
このセクションのステップは、Windows PowerShell を使用した場合にのみ行うことができます。
Microsoft 365 テナントで SharePoint からの要求を受け入れてリレーするように発行済みアプリケーションを構成するには、次の Microsoft PowerShell コマンドを入力します。
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
ここで、
- <externalUrl> は、Web アプリケーションの外部 URL です。 これは、Microsoft 365 の SharePoint が SharePoint Server のコンテンツとリソースに対して受信要求を送信するパブリック URL です。
|
|
外部 URL は、SharePoint ハイブリッド ワークシートの 表 3: パブリック ドメイン情報の 行 3 (外部 URL) に記録されます。 |
- <bridging URL> は、オンプレミスの SharePoint Server ファーム内のプライマリ Web アプリケーション用に構成した内部 URL です。 これは、Web アプリケーション プロキシが Microsoft 365 の SharePoint からの受信要求を中継する URL です。
|
|
このブリッジ URLは、SharePoint ハイブリッド ワークシートの次のどこか 1 つの場所に記録されます。 プライマリ Web アプリケーションが ホスト名 サイト コレクション で構成されている場合は、 表 5a: プライマリ Web アプリケーション (ホスト名 サイト コレクション) の 行 1 (プライマリ Web アプリケーション URL) の値を使用します。 プライマリ Web アプリケーションがパス ベースのサイト コレクションで構成されている場合は、表 5b: プライマリ Web アプリケーション (AAM を使用しないパスベースのサイト コレクション) の行 1 (プライマリ Web アプリケーション URL) の値を使用します。 プライマリ Web アプリケーションが AAM を使用して パス ベースのサイト コレクションで 構成されている場合は、表 5c : プライマリ Web アプリケーション (AAM を使用したパスベースのサイト コレクション) の行 5 (プライマリ Web アプリケーション URL) の値を使用します。 |
<friendly name of the published application> は、Web Application Proxy の公開されたアプリケーションを特定するのに選択する名前。
<証明書拇印は> 証明書の拇印で、 ExternalUrl パラメーターで指定されたアドレスに使用する、スペースのない文字列です。 この値は、 ExternalCertificateThumbprint パラメーターに 1 回、 ClientCertificatePreauthenticationThumbprint パラメーターに対して 2 回入力する必要があります。
|
|
This is the thumbprint of the Secure Channel SSL certificate. The location of this certificate file is recorded in Row 1 (Secure Channel SSL Certificate location and Filename) of Table 4b: Secure Channel SSL Certificate. |
Add-WebApplicationProxyApplication コマンドレットの詳細については、「Add-WebApplicationProxyApplication」を参照してください。
公開されたアプリケーションを検証する
公開されたアプリケーションを検証するには、 Get-WebApplicationProxyApplication コマンドレットを使用します。 次の Microsoft PowerShell コマンドを入力します。
Get-WebApplicationProxyApplication |fl
出力は、次の表の内容と似ているはずです。
| ADFSRelyingPartyID |
:<populated at run time> (実行時に自動で入力されます) |
| ADFSRelyingPartyName |
:<relying party name> (上記参照) |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
: None |
| BackendServerCertificateValidation |
: None |
| BackendServerUrl |
: HTTPS://BRIDGING URL/ |
| ClientCertificateAuthenticationBindingMode |
: None |
| ClientCertificatePreauthenticationThumbprint : |
: <certificate thumbprint> |
| DisableTranslateUrlInRequestHeaders |
: False |
| DisableTranslateUrlInResponseHeaders |
: False |
| ExternalCertificateThumbprint |
: <certificate thumbprint> (上記参照) |
| ExternalPreauthentication |
: PassThrough |
| ExternalUrl |
: https://<外部 URL>/ |
| ID |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| Name |
: <friendly name of the published application> (上記参照) |
| UseOAuthAuthentication |
: False |
| PSComputerName |
: |
トラブルシューティング
Web Application Proxy は、アプリケーションのイベントとエラーおよびリモート アクセスの Windows Server イベントのログを取ります。 Microsoft 365 の SharePoint Server と SharePoint 間の接続と認証に関する問題のトラブルシューティングでは、ログ記録が重要な役割を果たします。 接続エラーを引き起こしているコンポーネントの特定は困難な場合があり、最初の手掛かりとしてリバース プロキシのログを調べます。 トラブルシューティングでは、複数のサーバーにある Web Application Proxy のイベント ログ、SharePoint Server ULS ログ、Windows Server イベント ログ、および インターネット インフォメーション サービス (IIS) ログからの、ログ イベントを比較する場合があります。
SharePoint Server ハイブリッド環境のトラブルシューティング手法とツールの詳細については、「 ハイブリッド環境のトラブルシューティング」を参照してください。