So wird's gemacht: Konfigurieren des Servers, damit er für die Delegierung als vertrauenswürdig gilt
Letzte Aktualisierung: Oktober 2009
Betrifft: Application Virtualization 4.5 SP1
Bei Installation der Microsoft Application Virtualization (App-V) Management Server-Software haben Sie die Möglichkeit, diese über eine verteilte Systemarchitektur zu installieren. Wenn Sie die Konsole, den Management Web Service und die Datenbank auf verschiedenen Computern installieren, müssen Sie den IIS-Server (Internetinformationsdienste) so konfigurieren, dass er für die Delegierung als vertrauenswürdig gilt. Dies ist erforderlich, weil der Management Web Service beim Herstellen der Verbindung mit dem App-V-Datenspeicher auf die Anmeldeinformationen des App-V-Administrators zurückgreift, der die Konsole verwendet. Der Datenbankserver, auf dem der Datenspeicher installiert ist, akzeptiert die Anmeldeinformationen des Administrators vom IIS-Server nur dann, wenn der IIS-Server für die Delegierung als vertrauenswürdig gilt. Nur dann kann der Management Web Service eine Verbindung mit dem App-V-Datenspeicher herstellen.
Hinweis
Wenn Sie die App-V Management Server-Software auf einem einzelnen Server und den Datenspeicher auf einem weiteren Server installieren, muss der Server unter bestimmten Umständen trotzdem so konfiguriert werden, dass er für die Delegierung als vertrauenswürdig gilt, obwohl sich Management Web Service und Management Console auf dem gleichen Server befinden. Dies ist der Fall, wenn Sie über die Option Alternative Anmeldeinformationen verwenden eine Verbindung in der Konsole mit dem Management Web Service herstellen müssen.
Der verwendbare Delegierungstyp hängt von der Domänenfunktionsebene ab, die Sie in Ihrer AD DS-Infrastruktur (Active Directory-Domänendienste) konfiguriert haben. In der folgenden Tabelle sind die verschiedenen Delegierungstypen aufgeführt, die für die einzelnen Domänenfunktionsebenen für App-V konfiguriert werden können. Detaillierte Informationen sind im Anschluss an die Tabelle zu finden.
Domänenfunktionsebene | Verfügbare Delegierungsebenen |
---|---|
Windows 2000 pur |
|
Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 |
|
1 Nicht empfohlen.
So konfigurieren Sie die uneingeschränkte Delegierung für die Domänenfunktionsebene Windows 2000 pur
Führen Sie folgende Schritte auf dem Domänencontroller der Domäne Ihres Webservers durch:
Klicken Sie auf Start, Verwaltung und dann auf Active Directory-Benutzer und -Computer.
Erweitern Sie den Domänenbereich und dann den Ordner "Computer".
Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen des Webservers, und klicken Sie dann auf Eigenschaften.
Stellen Sie sicher, dass das Kontrollkästchen Computer für Delegierungszwecke vertrauen auf der Registerkarte Allgemein aktiviert ist.
Klicken Sie auf OK.
So konfigurieren Sie die uneingeschränkte Delegierung für die Domänenfunktionsebene Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2
Führen Sie folgende Schritte auf dem Domänencontroller der Domäne Ihres Webservers durch:
Klicken Sie auf Start, Verwaltung und dann auf Active Directory-Benutzer und -Computer.
Erweitern Sie den Domänenbereich und dann den Ordner "Computer".
Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen des Webservers, wählen Sie Eigenschaften aus, und klicken Sie dann auf die Registerkarte Delegierung.
Aktivieren Sie Computer bei Delegierungen aller Dienste vertrauen (nur Kerberos).
Klicken Sie auf OK.
So konfigurieren Sie die eingeschränkte Delegierung für die Domänenfunktionsebene Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2
Führen Sie folgende Schritte auf dem Domänencontroller der Domäne Ihres Webservers durch:
Klicken Sie auf Start, Verwaltung und dann auf Active Directory-Benutzer und -Computer.
Erweitern Sie den Domänenbereich und dann den Ordner "Computer".
Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Computernamen des Webservers, wählen Sie Eigenschaften aus, und klicken Sie dann auf die Registerkarte Delegierung.
Aktivieren Sie Computer bei Delegierungen angegebener Dienste vertrauen.
Stellen Sie sicher, dass Nur Kerberos verwenden ausgewählt ist, und klicken Sie auf OK.
Klicken Sie auf die Schaltfläche Hinzufügen. Klicken Sie im Dialogfeld Dienste hinzufügen auf Benutzer oder Computer, und navigieren Sie zum Microsoft SQL-Server mit dem App-V-Datenspeicher, der die Benutzeranmeldeinformationen vom IIS-Server empfangen soll, bzw. geben Sie den Namen des Microsoft SQL-Servers direkt ein. Klicken Sie auf OK.
Wählen Sie in der Liste Verfügbare Dienste den MSSQLSvc-Dienst aus, der die Portnummer auflistet, über die der Microsoft SQL-Server Verbindungen für die App-V-Datenbank annimmt (der Standardport ist 1433). Klicken Sie auf OK.
Weitere Schritte zur Konfiguration von IIS 7 für eine eingeschränkte Delegierung
Wenn Sie den Management Web Service auf einem IIS 7-Server ausführen, müssen Sie die folgenden Schritte durchführen, um die IIS 7-Variable useAppPoolCredentials auf "True" einzustellen.
Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten. Klicken Sie zum Öffnen eines Eingabeaufforderungsfensters mit erhöhten Rechten auf Start / Programme / Zubehör. Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.
Navigieren Sie zu "%windir%\system32\inetsrv".
Geben Sie appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true ein, und drücken Sie die EINGABETASTE.
-----
Sie können mehr über MDOP in der TechNet-Bibliothek erfahren, im TechNet Wiki nach Problemlösungen suchen oder uns auf Facebook oder Twitter folgen. Senden Sie Vorschläge und Kommentare zur MDOP-Dokumentation an MDOPdocs@microsoft.com.