Создание веб-приложений, использующих классический режим проверки подлинности в SharePoint Server
ОБЛАСТЬ ПРИМЕНЕНИЯ:
2013 2016 2019 Subscription Edition 
SharePoint в Microsoft 365
Проверка подлинности на основе утверждений является обязательным условием для включения расширенных функций SharePoint Server. В этой статье объясняется, как использовать центр администрирования или PowerShell для создания веб-приложения SharePoint Server, использующего проверку подлинности на основе утверждений. Проверка подлинности на основе утверждений требуется для веб-приложений, развернутых в сценариях с поддержкой проверки подлинности между серверами и проверки подлинности приложений. Однако в этой статье также содержатся рекомендации по использованию PowerShell для создания веб-приложений в классическом режиме, если у вас есть определенный сценарий, который не поддерживает проверку подлинности на основе утверждений. Обратите внимание, что использование классического режима проверки подлинности не рекомендуется в этом выпуске и будет недоступно в следующей версии. Дополнительные сведения см. в статье Планирование проверки подлинности между серверами в SharePoint Server.
Важно!
Использование протокола SSL требуется для веб-приложений, развернутых в сценариях с поддержкой проверки подлинности между серверами и проверки подлинности приложений.
Вы можете создать веб-приложение с помощью веб-сайта центра администрирования SharePoint или PowerShell. Как правило, для создания веб-приложения используется PowerShell. Если вы хотите автоматизировать задачу создания веб-приложения, которая распространена на предприятиях, используйте PowerShell. После выполнения этой процедуры можно создать одно или несколько семейств веб-сайтов.
Создание веб-приложения на основе утверждений с помощью центра администрирования
Используйте процедуру, описанную в этом разделе, чтобы создать новое веб-приложение SharePoint Server на основе утверждений с помощью центра администрирования.
Создание веб-приложения на основе утверждений с помощью центра администрирования
Проверьте наличие следующих административных учетных данных.
- Для создания веб-приложения необходимо быть участником группы администраторов фермы SharePoint.
Запустите центр администрирования SharePoint.
На домашней странице центра Центр администрирования щелкните Управление приложениями.
На странице Управление приложениями в разделе Веб-приложения щелкните Управление веб-приложениями.
В группе Участие на ленте щелкните элемент Создать.
На странице Создание нового веб-приложения в разделе Веб-сайт IIS можно настроить параметры для нового веб-приложения, выбрав один из следующих двух параметров:
Выберите Использовать существующий веб-сайт IIS и выберите веб-сайт, на котором нужно установить новое веб-приложение.
Щелкните Создать веб-сайт IIS, а затем введите имя веб-сайта в поле Имя.
В поле Порт введите номер порта, который будет использоваться для доступа к веб-приложению. При использовании существующего веб-сайта это поле содержит текущий номер порта.
Примечание.
Номер порта по умолчанию для доступа по протоколу HTTP 80, а номер порта по умолчанию для доступа по протоколу HTTPS 443.
Необязательно. В разделе Веб-сайт IIS в поле Заголовок узла введите имя узла (например, www.contoso.com), которое необходимо использовать для доступа к веб-приложению.
Примечание.
Это поле заполняется только при необходимости настройки двух и более сайтов IIS, использующих один номер порта на одном сервере, если DNS настроен так, что запросы передаются на один сервер.
В поле Путь введите путь к домашнему каталогу веб-сайта IIS на сервере. При создании нового веб-сайта в этом поле отображается предлагаемый путь. При использовании существующего веб-сайта это поле содержит текущий путь к веб-сайту.
В разделе Настройка безопасности укажите значения для параметров Разрешить анонимный доступ и Использовать протокол SSL.
Важно!
Использование протокола SSL требуется для веб-приложений, развернутых в сценариях с поддержкой проверки подлинности между серверами и проверки подлинности приложений. В общем случае настоятельно рекомендуется использовать для веб-приложений протокол SSL.
В разделе Настройка безопасности выберите значение Да или Нет для параметра Разрешить анонимный доступ. Если выбрать значение Да, посетители смогут использовать для доступа к веб-сайту учетную запись анонимного доступа, зависящую от компьютера (то есть IIS_IUSRS).
Примечание.
Если вы хотите, чтобы пользователи могли получать анонимный доступ к любому содержимому сайта, необходимо включить анонимный доступ для всей зоны веб-приложения, прежде чем включать анонимный доступ на уровне сайта SharePoint Server. Позднее владельцы сайтов смогут настроить использование анонимного доступа на своих сайтах. Если анонимный доступ не был включен на уровне веб-приложения, то его нельзя включить на уровне сайта.
В разделе Настройка безопасности выберите Да или Нет для параметров Использовать SSL. Если вы выберите Да, необходимо запросить и установить SSL-сертификат для настройки протокола SSL.
В разделе Типы проверки подлинности на основе утверждений выберите способ проверки подлинности, который необходимо использовать для веб-приложения.
Чтобы включить проверку подлинности Windows, выберите Включить проверку подлинности Windows и в раскрывающемся меню выберите NTLM или Согласование (Kerberos). Рекомендуется использовать вариант "Согласование (Kerberos)".
Если использовать встроенную проверку подлинности Windows не требуется, снимите флажок Встроенная проверка подлинности Windows.
Примечание.
Если не выбрать проверку подлинности Windows хотя бы для одной зоны веб-приложения, обход этого веб-приложения будет отключен.
Если требуется передавать учетные данные пользователей по сети в незашифрованном виде, выберите Простая проверка подлинности (учетные данные отправляются без шифрования).
Примечание.
Можно выбрать обычную проверку подлинности, встроенную проверку подлинности Windows или оба варианта. Если выбрать оба варианта, SharePoint Server предлагает оба типа проверки подлинности для клиентского веб-браузера. Затем клиентский веб-браузер определяет, какой тип проверки подлинности следует использовать. Если выбран только обычная проверка подлинности, убедитесь, что включен протокол SSL. В противном случае злоумышленник может перехватить учетные данные.
Чтобы включить проверку подлинности на основе форм, выберите Разрешить проверку подлинности на основе форм (FBA), и введите значения в полях Имя поставщика контроля членства в ASP.NET и Имя диспетчера ролей ASP.NET.
Примечание.
Если выбран этот параметр, убедитесь, что включен протокол SSL. В противном случае злоумышленник может перехватить учетные данные.
Если вы настроили проверку подлинности поставщика доверенных удостоверений с помощью PowerShell, установлен флажок Надежный поставщик удостоверений .
В разделе URL-адрес страницы входа выберите один из следующих параметров для входа в SharePoint Server:
Чтобы пользователи автоматически перенаправлялись на страницу проверки подлинности на основе утверждений, заданную по умолчанию, установите флажок Использовать URL-адрес страницы входа по умолчанию.
Чтобы пользователи автоматически перенаправлялись на настраиваемую страницу проверки подлинности на основе утверждений, установите флажок Использовать настраиваемый URL-адрес страницы входа и введите URL-адрес страницы входа.
В разделе Общедоступный URL-адрес введите URL-адрес, соответствующий имени домена всех сайтов, доступ к которым пользователи будут осуществлять в этом веб-приложении. Этот URL-адрес используется в качестве основного URL-адреса в ссылках, отображаемых на страницах в веб-приложении. URL-адрес по умолчанию представляет собой текущее имя и порт сервера и автоматически обновляется для соответствия текущим параметрам SSL, заголовка узла и номера порта на странице. Если вы развертываете SharePoint Server за подсистемой балансировки нагрузки или прокси-сервером, этот URL-адрес может отличаться от параметров SSL, заголовка узла и порта на этой странице.
Поле Зона автоматически принимает значение По умолчанию для нового веб-приложения. При расширении веб-приложения можно изменить зону.
В разделе Пул приложений выполните одно из следующих действий.
Щелкните элемент Использовать существующий пул приложений и выберите в раскрывающемся меню пул приложений, который будет использоваться.
Щелкните элемент Создать новую группу приложений и введите имя нового пула приложений или сохраните имя по умолчанию.
Щелкните элемент Встроенная, чтобы использовать предварительно определенную учетную запись безопасности для этого пула приложений, а затем выберите учетную запись безопасности в раскрывающемся меню.
Щелкните Настраиваемую, чтобы указать новую учетную запись безопасности, которую необходимо использовать для существующего пула приложений.
Примечание.
Чтобы создать новую учетную запись, щелкните Зарегистрировать новую управляемую учетную запись.
В разделе Имя базы данных и режим проверки подлинности выберите сервер базы данных, имя базы данных и метод проверки подлинности для нового веб-приложения, как описано в следующей таблице.
Элемент Действие Сервер базы данных Введите имя сервера базы данных и экземпляра SQL Server, который требуется использовать в формате <экземпляра>SERVERNAME\ . Либо можно использовать запись по умолчанию. Имя базы данных Введите имя базы данных или воспользуйтесь записью по умолчанию. Проверка подлинности для базы данных Выберите метод проверки подлинности для базы данных, выполнив одну из описанных процедур. - Для использования проверки подлинности Windows выберите этот параметр. Этот вариант является рекомендованным, поскольку при проверке подлинности Windows пароль автоматически шифруется при подключении к SQL Server.
- Для использования проверки подлинности SQL выберите Проверка подлинности SQL. В поле Учетная запись введите имя учетной записи, которую веб-приложение будет использовать для проверки подлинности при подключении к базе данных SQL Server, а затем введите пароль в поле Пароль.
Примечание Проверка подлинности SQL отправляет пароль проверки подлинности SQL SQL Server в незашифрованном формате. Проверку подлинности SQL рекомендуется использовать только при шифровании протокола сетевого трафика SQL Server с помощью IPsec.
Если используется зеркальное отображение базы данных, в разделе Сервер для отработки отказа в поле Сервер базы данных для отработки отказа введите имя определенного сервера базы данных для отработки отказа, который требуется сопоставить с базой данных контента.
В разделе Подключения к приложениям-службам выберите подключения к приложениям-службам, которые будут доступны веб-приложению. В раскрывающемся меню выберите пункт по умолчанию или [настройка]. Параметр [настройка] позволяет выбрать подключения к приложениям-службам, которые требуется использовать совместно с веб-приложением.
В разделе Программа улучшения качества ПО выберите Да или Нет.
Нажмите кнопку ОК, чтобы создать новое веб-приложение.
Создание веб-приложения на основе утверждений с помощью PowerShell
Используйте процедуру, описанную в этом разделе, чтобы создать новое веб-приложение SharePoint Server на основе утверждений с помощью PowerShell.
Создание веб-приложения на основе утверждений с помощью PowerShell
Убедитесь, что вы являетесь участником следующих групп:
Предопределенная роль сервера securityadmin для экземпляра SQL Server.
Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
Обязательно прочитайте статью о политиках выполнения.
Администратор может использовать командлет Add-SPShellAdmin для предоставления разрешений на использование командлетов SharePoint 15 Products.
Примечание.
При отсутствии разрешений обратитесь к своему администратору программы установки или администратору SQL Server за разрешениями. Дополнительные сведения о разрешениях PowerShell см. в разделах Разрешения и Add-SPShellAdmin.
Чтобы создать поставщик проверки подлинности на основе утверждений, в командной строке PowerShell введите следующее:
$ap = New-SPAuthenticationProviderЧтобы создать веб-приложение на основе утверждений, в командной строке PowerShell введите следующее:
New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -ApplicationPoolAccount <ApplicationPoolAccount> -URL <URL> -Port <Port> -AuthenticationProvider $apГде:
<Name> имя нового веб-приложения, использующего проверку подлинности на основе утверждений.
<ApplicationPool> имя пула приложений.
<ApplicationPoolAccount> учетная запись пользователя, от имени которого будет выполняться данный пул приложений.
<URL> общедоступный URL-адрес для веб-приложения.
<Port> номер порта, на котором в IIS будет создано веб-приложение.
Примечание.
Дополнительные сведения см. в статье New-SPWebApplication.
В следующем примере создается основанное на утверждениях веб-приложение HTTPS, использующее учетные данные текущего пользователя и имя текущего компьютера.
$ap = New-SPAuthenticationProvider New-SPWebApplication -Name "Contoso Internet Site" -URL "https://www.contoso.com" -Port 80 -ApplicationPool "ContosoAppPool" -ApplicationPoolAccount (Get-SPManagedAccount "DOMAIN\wa") -AuthenticationProvider $ap -SecureSocketsLayerПримечание.
После создания веб-сайта для него необходимо настроить SSL в IIS.
Создание классического веб-приложения с помощью PowerShell
Используйте процедуру, описанную в этом разделе, чтобы создать новое веб-приложение SharePoint Server в классическом режиме с помощью PowerShell.
Примечание.
Классический режим проверки подлинности Windows не поддерживается в подписке. Дополнительные сведения см. в статье Новые и улучшенные функции в SharePoint Server по подписке.
Создание классического веб-приложения с помощью PowerShell
Убедитесь, что вы являетесь участником следующих групп:
Предопределенная роль сервера securityadmin для экземпляра SQL Server.
Предопределенная роль базы данных db_owner во всех базах данных, которые должны обновляться.
Группа администраторов для сервера, на котором выполняются командлеты PowerShell.
Обязательно прочитайте статью о политиках выполнения.
В командной строке PowerShell введите следующую команду:
New-SPWebApplication -Name <Name> -ApplicationPool <ApplicationPool> -AuthenticationMethod <WindowsAuthType> -ApplicationPoolAccount <ApplicationPoolAccount> -Port <Port> -URL <URL>Где:
<Name> имя нового веб-приложения, использующего классический режим проверки подлинности.
<ApplicationPool> имя пула приложений.
<WindowsAuthType> имеет значение NTLM или Kerberos. Рекомендуется использовать Kerberos.
<ApplicationPoolAccount> учетная запись пользователя, от имени которого будет выполняться данный пул приложений.
<Port> номер порта, на котором в IIS будет создано веб-приложение.
<URL> общедоступный URL-адрес для веб-приложения.
Примечание.
Дополнительные сведения см. в статье New-SPWebApplication.
Примечание.
После успешного создания веб-приложения при открытии страницы центра администрирования отображается предупреждение правила анализатора работоспособности, указывающее на то, что в одном или нескольких веб-приложениях включен классический режим проверки подлинности. Это предупреждение согласовано с рекомендацией использовать проверку подлинности на основе утверждений вместо классического режима проверки подлинности.
См. также
Концепции
Создание веб-приложения, использующего классическую проверку подлинности в SharePoint Server