计划 SharePoint Server 的备用访问映射

适用于:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

备用访问映射在用户与 SharePoint Server 2016 互动的过程中(例如,浏览 SharePoint Server 2016 网站主页时 )将用户指向正确的 URL。 备用访问映射使 SharePoint Server 能够将 Web 请求映射到正确的 Web 应用程序和网站,并使 SharePoint Server 能够向用户提供正确的内容。

由于弃用备用访问映射的功能,我们建议您在备用访问映射上使用以主机命名的网站集。

有关如何规划以主机命名的网站集的其他信息,请参阅SharePoint Server 中以主机命名的网站集体系结构和部署

执行备用访问映射是因为在常见的 Internet 部署场景中,Internet Information Services (IIS) 接收到的 Web 请求的 URL 与用户键入的 URL 不同。 这很可能在包含反向代理发布和负载平衡的部署场景中发生。

注意

[!注意] 备用访问映射必须针对负载平衡进行配置,即使通常不应用于主机标头网站集也必须如此。 默认区域公用 URL 应设置为适用于所有用户查看的域 URL。 除非您如此操作,否则 Web 服务器名称或其 IP 地址可能在 SharePoint Server 2016 内的各页面之间传递的参数中显示。

关于备用访问映射

备用访问映射启用在五个区域之一中接收内部 URL 请求的 Web 应用程序,以返回包含指向区域公用 URL 的链接的页面。 您可以使用内部 URL 和外部 URL 之间映射的集合关联 Web 应用程序。 内部是指 SharePoint Server 接收的 Web 请求的 URL。 "公用"表示 SharePoint 用来格式化链接的 URL,该链接在该区域返回响应时与该区域上内部 URL 之一匹配的请求相对应。 公共 URL 是 SharePoint Server 在返回的页面中使用的基 URL。 如果通过反向代理设备更改了内部 URL,它可能与公用 URL 不同。

注意

[!注意] 以主机命名的网站集不能使用备用访问映射。 默认区域中自动考虑以主机命名的网站集,不得在用户和服务器之间更改请求的 URL。

多个内部 URL 可与单个公用 URL 关联。 映射集可包含多达五个身份验证区域。 但每个区域仅可以有一个公用 URL。 映射集与下列身份验证区域对应:

  • 默认

  • Intranet

  • Internet

  • 自定义

  • Extranet

反向代理发布

反向代理是位于用户和 Web 服务器之间的设备。 对您 Web 服务器的所有请求最初都由反向代理设备接收,而且,如果这些请求通过代理的安全筛选,代理会将请求转发到您的 Web 服务器。

与身份验证提供程序的备用访问映射集成

备用访问映射允许您在多达五个不同区域中公开 Web 应用程序,每一个不同的 IIS 网站支持一个区域。

注意

[!注意] 有些人错误地称它为有五个不同的 Web 应用程序,共享相同的内容数据库。 在实际情况下,都只是一个 Web 应用程序。

这些区域不仅允许您使用多个 URL 访问同一个 Web 应用程序,而且允许您使用多个身份验证提供程序访问同一个 Web 应用程序。

将 Web 应用程序扩展到区域中时,您需要使用 IIS 提供的 Windows 身份验证。 Web 应用程序已扩展到区域中后,您可以将该区域更改为使用不同类型的身份验证。

使用以下过程更改某个区域的身份验证配置。

更改区域的身份验证类型的具体步骤

  1. 从“管理工具”,打开“管理中心”。

  2. On the Central Administration home page, click Application Management.

  3. 在"应用程序管理"页上的"应用程序安全"部分,单击"身份验证提供程序"。

  4. 在"身份验证提供程序" 页上,选择"Web 应用程序"框中列出的 Web 应用程序。

  5. 单击要更改其身份验证配置的区域的名称。

    注意

    [!注意] 您将能够仅从具有支持 IIS 网站的各区域中进行选择。 在"扩展现有 Web 应用程序"过程中为这些区域分配了一个 IIS 网站。

  6. 在"编辑验证"页上的"声明身份验证类型"部分,选择您希望为此区域使用的身份验证类型:

    • Windows 身份验证(默认值)

    • 基本身份验证

    • 基于表单的身份验证 (FBA)

    • 受信任的身份提供程序

  7. 更改您希望更改的任何其他身份验证配置设置,然后单击"保存"。

在这种情况下,您可以更改任何其他区域的身份验证配置设置。 您可以为访问相同内容的不同区域配置完全独立的身份验证设置。 例如,您可能在其他内容需要凭据时将某些内容配置为匿名可用。 您可将一个区域配置为启用匿名访问,并禁用所有其他形式的身份验证,这确保仅匿名内容可用。 同时,其他区域可在启用 NTLM 身份验证时禁用匿名访问,这确保将仅启用经过身份验证的访问。 此外,您可以具有访问相同内容的不同帐户类型:一个区域可配置为在 Windows 中使用 Active Directory 帐户,而另一个区域可配置为使用非 Active Directory 帐户,该帐户使用了基于 ASP.NET 表单的身份验证。

与 Web 应用程序策略的备用访问映射集成

Web 应用程序策略允许管理员针对通过一个区域公开的所有网站授予或拒绝对帐户和安全组的访问。 这对许多方案而言都非常有用。

例如,SharePoint Server 搜索爬网程序必须接受与任何其他用户相同的授权基础结构:它只能对有权访问的内容进行爬网。 但是用户仍喜欢搜索爬网限制的内容,因此授权用户可以在搜索结果中找到该内容。 搜索服务使用 Web 应用程序上的完全读取策略提供读取该 Web 应用程序上所有内容的爬网程序权限。 这样它可以爬网和索引所有现有的和未来的内容,甚至是网站管理员未明确给出访问权限的内容。

另一个示例是需要对 SharePoint Server 网站的管理访问权限以便帮助用户的支持人员。 为此,您可以创建授予技术支持人员完全控制权限的 Web 应用程序策略,以便他们对 Web 应用程序上的所有现有和未来网站都具有完全管理权限。

由于策略关联到 Web 应用程序及其区域,您可以保证您已应用于一个区域的策略不会影响其他区域。 如果您在公司网络和 Internet 都有公开的内容,这会非常有用。 例如,假设您已在为公司网络分配的 Web 应用程序的区域上为技术支持人员帐户提供了完全控制权限。 如果有人尝试使用该帐户通过 Internet 访问网站,那么完全控制策略无法应用,因为它将认为 URL 处于另一个不同的区域。 因此,不会向该帐户自动提供访问网站的管理员权限。

备用访问映射和外部资源映射

SharePoint Server 允许您将备用访问映射功能扩展到不在 SharePoint Server 场中承载的内容。 To configure this functionality, browse to the Alternate Access Mappings page, and then click Map to External Resource. You'll then be asked to create an entry for an external resource, which you can think of as another web application. After you have an external resource, you can assign different URLs and zones to it in the same manner that you do for web applications. SharePoint Server 中未使用此功能,但构建在 SharePoint Server 上的第三方产品可以使用此功能。

例如,SharePoint Server 中的搜索技术可以对场外部的内容(例如文件共享和网站)进行爬网。 如果不同网络上的不同 URL 中提供该内容,您可能希望搜索通过使用用户当前网络的相应 URL 返回结果。 通过使用备用访问映射的外部资源映射技术,搜索可以重新映射结果中的外部 URL 以匹配用户的区域。

另请参阅

概念

配置 SharePoint Server 的备用访问映射