Compartir a través de


Configuración de la autenticación Kerberos (SharePoint Foundation 2010)

 

Se aplica a: SharePoint Foundation 2010

Última modificación del tema: 2016-11-30

En este artículo:

  • Acerca de la autenticación Kerberos

  • Antes de comenzar

  • Configuración de la autenticación Kerberos para las comunicaciones de SQL

  • Creación de nombres principales de servicio para las aplicaciones web con la autenticación Kerberos

  • Implementación de la granja de servidores

  • Configuración de servicios en servidores de la granja de servidores

  • Creación de aplicaciones web con autenticación Kerberos

  • Creación de una colección de sitios mediante la plantilla de portal de colaboración en la aplicación web del sitio de portal

  • Confirmación del acceso correcto a las aplicaciones web con autenticación Kerberos

  • Confirmación de la funcionalidad de indización de búsqueda correcta

  • Confirmación de la funcionalidad de consultas de búsqueda correcta

  • Limitaciones de la configuración

  • Recursos adicionales y orientación para la solución de problemas

Acerca de la autenticación Kerberos

Kerberos es un protocolo seguro que admite la autenticación mediante vales. Un servidor de autenticación Kerberos concede un vale en respuesta a una solicitud de autenticación de un equipo cliente si la solicitud contiene credenciales de usuario válidas y un nombre principal de servicio (SPN) válido. A continuación, el equipo cliente usa el vale para tener acceso a los recursos de la red. Para habilitar la autenticación Kerberos, los equipos cliente y servidor deben tener una conexión de confianza con el centro de distribución de claves (KDC) del dominio. El KDC distribuye claves secretas compartidas para habilitar el cifrado. Los equipos cliente y servidor también deben tener acceso a los Servicios de dominio de Active Directory (AD DS). Para AD DS, el dominio raíz del bosque es el centro de las referencias de la autenticación Kerberos.

Para implementar un conjunto o granja de servidores que ejecute Microsoft SharePoint Foundation 2010 y use la autenticación Kerberos, debe instalar y configurar varias aplicaciones en los equipos. En este artículo se describe un ejemplo de granja de servidores que ejecuta SharePoint Foundation 2010 y se proporcionan instrucciones para implementar y configurar la granja de servidores de modo que use la autenticación Kerberos para admitir la funcionalidad siguiente:

  • Comunicación entre SharePoint Foundation 2010 y el software de base de datos Microsoft SQL Server.

  • Acceso a la aplicación web de Administración central de SharePoint.

  • Acceso a otras aplicaciones web, incluidas una aplicación web de sitio de portal y una aplicación web de Mi sitio.

Antes de comenzar

Este artículo está dirigido a personal de nivel administrativo con conocimientos de:

  • Windows Server 2008

  • Active Directory

  • Internet Information Services (IIS) 6.0 (o IIS 7.0)

  • SharePoint Foundation 2010

  • Windows Internet Explorer

  • Autenticación Kerberos (implementada en Servicios de dominio de Active Directory (AD DS) para Windows Server 2008)

  • Equilibrio de carga de red (NLB) en Windows Server 2008

  • Cuentas de equipo en un dominio de Active Directory

  • Cuentas de usuario en un dominio de Active Directory

  • Sitios web de IIS y sus enlaces y configuración de autenticación

  • Identidades del grupo de aplicaciones de IIS para sitios web de IIS

  •  Asistente para la configuración de productos de SharePoint

  • Aplicaciones web de SharePoint Foundation 2010

  • Páginas de Administración central

  • Nombres principales de servicio (SPN) y su configuración en un dominio de Active Directory

Importante

Para crear SPN en un dominio de Active Directory, debe tener permisos de nivel administrativo en el dominio.

En este artículo no se describe en profundidad la autenticación Kerberos. Kerberos es un método de autenticación estándar del sector que se implementa en AD DS.

En este artículo no se proporcionan instrucciones detalladas paso a paso para instalar SharePoint Foundation 2010 o usar el Asistente para la configuración de productos de SharePoint.

Tampoco se proporcionan instrucciones detalladas paso a paso sobre cómo usar Administración central para crear aplicaciones web de SharePoint Foundation 2010.

Requisitos de la versión de software

La información que se proporciona en este artículo a modo de guía y las pruebas realizadas para confirmar dicha información se basan en resultados obtenidos con sistemas que ejecutan Windows Server 2008 e Internet Explorer con las últimas actualizaciones aplicadas del sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A). Se instalaron las siguientes versiones de software:

Debe asegurarse también de que los controladores de dominio de Active Directory ejecuten Windows Server 2008 con las últimas actualizaciones aplicadas del sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

Problemas conocidos

SharePoint Foundation 2010 puede rastrear aplicaciones web configuradas para usar la autenticación Kerberos si dichas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a los puertos predeterminados, que son el puerto TCP 80 y el puerto SSL (Capa de sockets seguros) 443. Sin embargo, la búsqueda de SharePoint Foundation 2010 no puede rastrear las aplicaciones web de SharePoint Foundation 2010 configuradas para usar la autenticación Kerberos si dichas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a puertos no predeterminados (puertos distintos de los puertos TCP 80 y SSL 443). Actualmente, la búsqueda de SharePoint Foundation 2010 solo puede rastrear aplicaciones web de SharePoint Foundation 2010 hospedadas en servidores virtuales de IIS enlazados a puertos no predeterminados que están configurados para usar la autenticación NTLM o la autenticación básica.

Para que los usuarios finales obtengan acceso mediante la autenticación Kerberos, si necesita implementar aplicaciones web que solo se pueden hospedar en servidores virtuales de IIS enlazados a puertos no predeterminados y si desea que los usuarios finales obtengan resultados en las consultas de búsqueda:

  • Las mismas aplicaciones web deben hospedarse en otros servidores virtuales de IIS en puertos no predeterminados.

  • Las aplicaciones web deben configurarse para usar la autenticación NTLM o básica.

  • La indización de búsqueda debe rastrear las aplicaciones web mediante la autenticación NTLM o básica.

En este artículo se proporcionan instrucciones para:

  • Configurar la aplicación web de Administración central que usa la autenticación Kerberos y está hospedada en un servidor virtual de IIS enlazado a puertos no predeterminados.

  • Configurar las aplicaciones del portal y de Mi sitio que usan la autenticación Kerberos, están hospedadas en servidores virtuales de IIS enlazados a puertos predeterminados y tienen un enlace de encabezado host de IIS.

  • Garantizar que la indización de búsqueda rastrea correctamente las aplicaciones web de SharePoint Foundation 2010 que usen la autenticación Kerberos.

  • Garantizar que los usuarios que tengan acceso a aplicaciones web con autenticación Kerberos obtengan resultados de las consultas de búsqueda en esas aplicaciones web.

Información adicional

Es importante comprender que, cuando se usa la autenticación Kerberos, la funcionalidad de la autenticación en sí depende en parte del comportamiento del cliente que intenta autenticarse mediante Kerberos. En una implementación de una granja de servidores de SharePoint Foundation 2010 en la que se usa la autenticación Kerberos, SharePoint Foundation 2010 no es el cliente. Antes de implementar una granja de servidores que ejecuta SharePoint Foundation 2010 mediante la autenticación Kerberos, debe comprender el comportamiento de los siguientes clientes:

  • El explorador (en el contexto de este artículo, el explorador es siempre Internet Explorer)

  • Microsoft .NET Framework

El explorador es el cliente que se usa al examinar una página web en una aplicación web de SharePoint Foundation 2010. Cuando SharePoint Foundation 2010 realiza tareas como rastrear los orígenes de contenido locales de SharePoint Foundation 2010, .NET Framework actúa como cliente.

Para que la autenticación Kerberos funcione correctamente, se deben crear SPN en AD DS. Si los servicios a los que corresponden estos SPN están a la escucha en puertos no predeterminados, los SPN deben incluir los números de puerto. De este modo, se garantiza que los SPN sean significativos. Además, esto es necesario para evitar la creación de SPN duplicados.

Cuando un cliente intenta obtener acceso a un recurso que usa la autenticación Kerberos, el cliente debe crear un SPN para usarlo como parte del proceso de autenticación Kerberos. Si el cliente no crea ningún SPN que coincida con el SPN configurado en AD DS, se producirá un error en la autenticación Kerberos (normalmente, un error del tipo "Acceso denegado").

Hay versiones de Internet Explorer que no crean SPN con números de puerto. Si usa aplicaciones web de SharePoint Foundation 2010 enlazadas a números de puertos no predeterminados en IIS, es posible que deba indicar a Internet Explorer que incluya los números de puerto en los SPN creados. En una granja de servidores que ejecute SharePoint Foundation 2010, la aplicación web de Administración central se hospeda de forma predeterminada en un servidor virtual de IIS enlazado a un puerto no predeterminado. Por lo tanto, en este artículo se describen los sitios web de IIS enlazados a puertos y los sitios web de IIS enlazados a encabezados host.

De forma predeterminada, en una granja de servidores que ejecuta SharePoint Foundation 2010, .NET Framework no crea de forma predeterminada SPN que contengan números de puerto. Por este motivo, la búsqueda no puede rastrear aplicaciones web que usen la autenticación Kerberos si estas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a puertos no predeterminados.

Topología de granja de servidores

En este artículo se analiza la siguiente topología de granja de servidores de SharePoint Foundation 2010:

  • Dos equipos que ejecutan Windows Server 2008 y actúan como servidores front-end web, con NLB de Windows configurado.

  • Tres equipos que ejecutan Windows Server 2008 y actúan como servidores de aplicaciones. Uno de los servidores de aplicaciones hospeda la aplicación web de Administración central, otro ejecuta la consulta de búsqueda y el tercero ejecuta la indización de búsqueda.

  • Un equipo que ejecuta Windows Server 2008 y se usa como el host de SQL para la granja de servidores que ejecuta SharePoint Foundation 2010. Para el escenario descrito en este artículo, se puede usar Microsoft SQL Server 2008.

Convenciones de Servicios de dominio de Active Directory, nomenclatura de equipos y NLB

En el escenario descrito en este artículo se usan las siguientes convenciones para Active Directory, la nomenclatura de los equipos y NLB:

Rol del servidor Nombre de dominio

Servicios de dominio de Active Directory

mydomain.net

Un servidor front-end web que ejecuta SharePoint Foundation 2010

wssfe1.mydomain.net

Un servidor front-end web que ejecuta SharePoint Foundation 2010

wssfe2.mydomain.net

Administración central de SharePoint Foundation 2010

wssadmin.mydomain.net

Indización de búsqueda que ejecuta SharePoint Foundation 2010

wsscrawl.mydomain.net

Consulta de búsqueda que ejecuta SharePoint Foundation 2010

wssquery.mydomain.net

Host de SQL Server que ejecuta SharePoint Foundation 2010

wsssql.mydomain.net

Se asigna una dirección IP virtual (VIP) de NLB a wssfe1.mydomain.net y wssfe2.mydomain.net como resultado de la configuración de NLB en estos sistemas. Un conjunto de nombres de host DNS que apuntan a esta dirección se registra en el sistema DNS. Por ejemplo, si la dirección VIP de NLB es 192.168.100.200, tiene un conjunto de registros DNS que resuelven los siguientes nombres DNS en esta dirección IP (192.168.100.200):

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

Convenciones de las cuentas de dominio de Active Directory

En el ejemplo de este artículo se usan las convenciones de nomenclatura que aparecen en la tabla siguiente para las cuentas de servicio y las identidades de grupo de aplicaciones en la granja de servidores que ejecuta SharePoint Foundation 2010.

Cuenta de dominio o identidad de grupo de aplicaciones Nombre

Cuenta de administrador local

  • En todos los servidores que ejecutan SharePoint Foundation 2010 (pero no en el equipo host que ejecuta SQL Server)

  • Para la instalación de SharePoint Foundation 2010 y para la ejecución del Asistente para la configuración de productos de SharePoint como usuario

mydomain\pscexec

Cuenta de administrador local en el equipo host de SQL Server

mydomain\sqladmin

Cuenta de servicio de SQL Server usada para ejecutar el servicio de SQL Server

mydomain\wsssqlsvc

Cuenta de administrador de la granja de servidores de SharePoint Foundation 2010

mydomain\wssfarmadmin

Se usa como la identidad del grupo de aplicaciones para Administración central y como la cuenta de servicio para el servicio de temporizador de SharePoint.

Identidad del grupo de aplicaciones de SharePoint Foundation 2010 para la aplicación web del sitio de portal

mydomain\portalpool

Identidad del grupo de aplicaciones de SharePoint Foundation 2010 para la aplicación web de Mi sitio

mydomain\mysitepool

Cuenta del servicio de búsqueda de SharePoint Foundation 2010

mydomain\wsssearch

Cuenta de acceso al contenido de búsqueda de SharePoint Foundation 2010

mydomain\wsscrawl

Cuenta del servicio de búsqueda de SharePoint Foundation 2010

mydomain\wsssearch

Cuenta de acceso al contenido de SharePoint Foundation 2010

mydomain\wsscrawl

Requisitos de configuración preliminares

Antes de instalar SharePoint Foundation 2010 en los equipos de la granja de servidores, asegúrese de haber realizado los procedimientos siguientes:

  • Todos los servidores usados en la granja de servidores, incluido el host de SQL, tienen instalado Windows Server 2008, incluidas las últimas actualizaciones aplicadas del sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

  • Todos los servidores de la granja de servidores tienen instalado Internet Explorer (y sus últimas actualizaciones) del sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

  • SQL Server 2008 está instalado y en ejecución en el equipo host de SQL, y el servicio de SQL Server se ejecuta como la cuenta mydomain\sqlsvc. Hay una versión predeterminada de SQL Server instalada y a la escucha en el puerto TCP 1433.

  • Se ha agregado el usuario de ejecución de Asistente para la configuración de productos de SharePoint:

    • Como un inicio de sesión de SQL en el host de SQL.

    • Para el rol DBCreators de SQL Server en el host de SQL.

    • Para el rol Administrador de seguridad de SQL Server en el host de SQL.

Configuración de la autenticación Kerberos para las comunicaciones de SQL

Configure la autenticación Kerberos para las comunicaciones de SQL antes de instalar y configurar SharePoint Foundation 2010 en los servidores que ejecutan SharePoint Foundation 2010. Esto es necesario porque la autenticación Kerberos para las comunicaciones de SQL se debe configurar y su funcionamiento debe comprobarse para que los equipos que ejecutan SharePoint Foundation 2010 puedan conectarse a SQL Server.

El proceso de configuración de la autenticación Kerberos para cualquier servicio instalado en un equipo host que ejecuta Windows Server 2008 incluye la creación de un SPN para la cuenta de dominio que se usa para ejecutar el servicio en el host. Los SPN constan de las siguientes partes:

  • Un nombre de servicio (por ejemplo, MSSQLSvc o HTTP)

  • Un nombre de host (ya sea real o virtual)

  • Un número de puerto

La lista siguiente contiene ejemplos de SPN para una sesión predeterminada de SQL Server en ejecución en un equipo llamado wsssql y que escucha en el puerto 1433:

  • MSSQLSvc/wsssql:1433

  • MSSQLSvc/wsssql.mydomain.com:1433

Estos son los SPN que va a crear para la sesión de SQL Server en el host de SQL que usará la granja de servidores descrita en este artículo. Siempre se deben crear SPN que tengan tanto un nombre NetBIOS como un nombre DNS completo para un host de la red.

Existen diferentes métodos que se pueden usar para establecer un SPN para una cuenta de un dominio de Active Directory. Un método consiste en usar la utilidad SETSPN.exe, que forma parte de las herramientas del kit de recursos para Windows Server 2008. Otro método es usar el complemento ADSIEDIT.MSC en el controlador de dominio de Active Directory. En este artículo se explica el uso del complemento ADSIEDIT.MSC.

Hay dos pasos básicos para configurar la autenticación Kerberos para SQL Server:

  • Crear los SPN para la cuenta de servicio de SQL Server.

  • Confirmar que se usa la autenticación Kerberos para conectar los servidores que ejecutan SharePoint Foundation 2010 con los servidores que ejecutan SQL Server.

Creación de los SPN para la cuenta de servicio de SQL Server

  1. Inicie sesión en el controlador de dominio de Active Directory con las credenciales de un usuario que tenga permisos administrativos de dominio.

  2. En el cuadro de diálogo Ejecutar, escriba ADSIEDIT.MSC.

  3. En el cuadro de diálogo de la consola de administración, expanda la carpeta del contenedor de dominio.

  4. Expanda la carpeta contenedora en la que se encuentran las cuentas de usuario (por ejemplo, CN=Users).

  5. Busque el contenedor de la cuenta de servicio de SQL Server, por ejemplo, CN=wsssqlsvc.

  6. Haga clic con el botón secundario en esta cuenta y, a continuación, haga clic en Propiedades.

  7. Desplácese hacia abajo por la lista de propiedades del cuadro de diálogo Cuenta de servicio de SQL Server hasta encontrar servicePrincipalName.

  8. Seleccione la propiedad servicePrincipalName y haga clic en Editar.

  9. En el campo Valor para agregar, en el cuadro de diálogo Editor de cadena multivalor, escriba el SPN MSSQLSvc/wsssql:1433 y haga clic en Agregar. A continuación, escriba el SPN MSSQLSvc/wsssql.mydomain.com:1433 en este campo y haga clic en Agregar.

  10. Haga clic en Aceptar en el cuadro de diálogo Editor de cadena multivalor y, a continuación, haga clic en Aceptar en el cuadro de diálogo de propiedades de la cuenta de servicio de SQL Server.

Confirmación del uso de la autenticación Kerberos para conectar los servidores que ejecutan SharePoint Foundation 2010 para SQL Server

Instale las herramientas de cliente de SQL en uno de los servidores que ejecutan SharePoint Foundation 2010 y use las herramientas para conectarse desde el servidor que ejecuta SharePoint Foundation 2010 a los servidores que ejecutan SQL Server. En este artículo no se describen los pasos necesarios para instalar las herramientas de cliente de SQL en uno de los servidores que ejecutan SharePoint Foundation 2010. Los procedimientos de confirmación se basan en los siguientes supuestos:

  • Está usando SQL Server 2008 en el host de SQL.

  • Ha iniciado sesión en uno de los servidores que ejecutan SharePoint Foundation 2010, está usando la cuenta mydomain\pscexec y ha instalado las herramientas de cliente de SQL 2005 en el servidor que ejecuta SharePoint Foundation 2010.

  1. Ejecute SQL Server 2005 Management Studio.

  2. Cuando aparezca el cuadro de diálogo Conectar con el servidor, escriba el nombre del equipo host de SQL (en este ejemplo, el equipo host de SQL es wsssql) y haga clic en Conectar para conectar con el equipo host de SQL.

  3. Para confirmar que se usó la autenticación Kerberos para esta conexión, ejecute el Visor de eventos en el equipo host de SQL y examine el registro de eventos de seguridad. Debería ver un registro de auditoría de aciertos para un evento de categoría Inicio de sesión/cierre de sesión similar a los datos mostrados en las tablas siguientes:

    Tipo de evento

    Auditoría de aciertos

    Origen del evento

    Seguridad

    Categoría del evento

    Inicio/cierre de sesión

    Identificador de evento

    540

    Fecha

    31/10/2007

    Hora

    4:12:24 p. m.

    Usuario

    MYDOMAIN\pscexec

    Equipo

    WSSQL

    Descripción

    En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

    Nombre de usuario

    pscexec

    Dominio

    MYDOMAIN

    Identificador de inicio de sesión

    (0x0,0x6F1AC9)

    Tipo de inicio de sesión

    3

    Proceso de inicio de sesión

    Kerberos

    Nombre de la estación de trabajo

    GUID de inicio de sesión

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    Nombre de usuario del llamador

    Dominio del llamador

    Identificador de inicio de sesión del llamador

    Identificador de proceso del llamador

    Servicios transitados

    Dirección de red de origen

    192.168.100.100

    Puerto de origen

    2465

Examine la entrada del registro para confirmar que:

  1. El nombre de usuario es correcto. La cuenta mydomain\pscexec inició una sesión a través de la red en el host de SQL.

  2. El tipo de inicio de sesión es 3. Un inicio de sesión de tipo 3 es un inicio de sesión de red.

  3. Tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. Esto confirma que el servidor que ejecuta SharePoint Foundation 2010 usa la autenticación Kerberos para comunicarse con el host de SQL.

  4. La dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si se produce un error en la conexión con el host de SQL y aparece un mensaje de error similar a No se puede generar el contexto SSPI, es probable que haya un problema con el SPN que se está usando para la sesión de SQL Server. Para solucionar y corregir este problema, vea el artículo sobre cómo solucionar el mensaje de error "No se puede generar el contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0xC0A) de Microsoft Knowledge Base.

Creación de nombres principales de servicio para las aplicaciones web con la autenticación Kerberos

Por lo que respecta a la autenticación Kerberos, no hay ninguna consideración especial para las aplicaciones web de SharePoint Foundation 2010 basadas en IIS. La autenticación Kerberos las trata como cualquier otro sitio web de IIS.

Este proceso requiere conocimientos de los siguientes elementos:

  • La clase de servicio del SPN (en el contexto de este artículo, para las aplicaciones web de SharePoint Foundation 2010, siempre es HTTP).

  • La dirección URL de todas las aplicaciones web de SharePoint Foundation 2010 que usen la autenticación Kerberos.

  • La parte correspondiente al nombre de host del SPN (ya sea real o virtual; en este artículo se contemplan ambos casos).

  • La parte correspondiente al número de puerto del SPN (en el escenario descrito en este artículo, se usan aplicaciones web de SharePoint Foundation 2010 de IIS basadas tanto en puertos como en encabezados host).

  • Las cuentas de Windows Active Directory para las que se deben crear los SPN.

En la siguiente tabla se incluye información acerca del escenario descrito en este artículo:

Dirección URL Cuenta de Active Directory SPN

http://wssadmin.mydomain.net:10000

wssfarmadmin

  • HTTP/wssadmin.mydomain.net:10000

  • HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

Notas sobre esta tabla:

  • La primera dirección URL que aparece en la tabla corresponde a Administración central y usa un número de puerto. No es necesario usar el puerto 10000, que en este artículo se usa a modo de ejemplo.

  • Las dos direcciones URL siguientes son para el sitio de portal y para Mi sitio respectivamente.

Siga las instrucciones anteriores para crear los SPN necesarios en AD DS para admitir la autenticación Kerberos en las aplicaciones web de SharePoint Foundation 2010. Debe iniciar sesión en un controlador de dominio del entorno con una cuenta que tenga permisos administrativos en el dominio. Para crear los SPN, puede usar la herramienta SETSPN.exe o el complemento ADSIEDIT.MSC mencionados anteriormente. Si usa el complemento ADSIEDIT.MSC, lea las instrucciones proporcionadas en este artículo para crear los SPN. Asegúrese de crear los SPN adecuados para las cuentas de AD DS correspondientes.

Implementación de la granja de servidores

La implementación de la granja de servidores incluye los pasos siguientes:

  1. Configure SharePoint Foundation 2010 en todos los servidores que ejecuten SharePoint Foundation 2010.

  2. Ejecute el Asistente para la configuración de productos de SharePoint y cree una granja de servidores. Este paso incluye la creación de una aplicación web de Administración central de SharePoint Foundation 2010 que se hospedará en un servidor virtual de IIS enlazado a un puerto no predeterminado y usará la autenticación Kerberos.

  3. Ejecute el Asistente para la configuración de productos de SharePoint y únase a los demás servidores de la granja.

  4. Configure los siguientes servicios en los servidores de la granja:

    • Servicio de búsqueda de SharePoint Foundation 2010

    • Indización de búsqueda de SharePoint Foundation 2010

    • Consulta de búsqueda de SharePoint Foundation 2010

  5. Cree las aplicaciones web que se van a usar para el sitio de portal y para Mi sitio con la autenticación Kerberos.

  6. Cree una colección de sitios mediante la plantilla de portal de colaboración en la aplicación web del sitio de portal.

  7. Confirme el acceso correcto a las aplicaciones web con la autenticación Kerberos.

  8. Confirme la funcionalidad correcta de la indización de búsqueda.

  9. Confirme la funcionalidad correcta de las consultas de búsqueda.

Instalación de SharePoint Foundation 2010 en todos los servidores

Se trata de un sencillo proceso que consiste en ejecutar el programa de instalación de SharePoint Foundation 2010 para instalar los archivos binarios de SharePoint Foundation 2010 en los servidores que ejecuten SharePoint Foundation 2010. Inicie sesión en cada uno de los equipos que ejecuten SharePoint Foundation 2010 con la cuenta mydomain\pscexec. No se proporcionan instrucciones detalladas de este proceso. Para el escenario descrito en este artículo, realice una instalación Completa de SharePoint Foundation 2010 en todos los servidores que requieran SharePoint Foundation 2010.

Creación de una granja de servidores nueva

Para el escenario descrito en este artículo, ejecute en primer lugar el Asistente para la configuración de productos de SharePoint desde el servidor de indización de búsqueda WSSADMIN de modo que WSSADMIN hospede la aplicación web de Administración central de SharePoint Foundation 2010.

En el servidor denominado WSSCRAWL, cuando se complete el programa de instalación, aparecerá un cuadro de diálogo Instalación completada con una casilla de verificación activada para ejecutar el Asistente para la configuración de productos de SharePoint. Deje activada esta casilla de verificación y cierre el cuadro de diálogo de instalación para ejecutar el Asistente para la configuración de productos de SharePoint.

Cuando ejecute el Asistente para la configuración de productos de SharePoint en este equipo, cree una granja de servidores con la siguiente configuración:

  • Proporcione el nombre del servidor de bases de datos (en este artículo, es el servidor denominado WSSSQL).

  • Proporcione un nombre para la base de datos de configuración (puede usar el valor predeterminado o especificar el nombre que desee).

  • Proporcione la información de la cuenta de acceso (administrador de la granja de servidores) a la base de datos. En el escenario de este artículo, esa cuenta es mydomain\wssfarmadmin.

  • Proporcione la información necesaria para la aplicación web de Administración central de SharePoint Foundation 2010. En el escenario de este artículo, esa información es:

    • Número de puerto de la aplicación web de Administración central: 10000

    • Método de autenticación: Negociar

Cuando haya proporcionado toda la información necesaria, el Asistente para la configuración de productos de SharePoint finalizará correctamente. Si es así, compruebe si tiene acceso a la página principal de la aplicación web de Administración central de SharePoint Foundation 2010 mediante la autenticación Kerberos. Para hacerlo, siga estos pasos:

  1. Inicie sesión en un servidor diferente que ejecute SharePoint Foundation 2010 o en otro equipo del dominio mydomain, como mydomain\pscexec. No debe comprobar el correcto comportamiento de la autenticación Kerberos directamente en el equipo que hospeda la aplicación web de Administración central de SharePoint Foundation 2010, pues tal comprobación se realiza desde un equipo independiente del dominio.

  2. Inicie Internet Explorer en este servidor e intente ir a la siguiente dirección URL: http://wssadmin.mydomain.net:10000. Se debería mostrar la página principal de Administración central.

  3. Para confirmar que se ha usado la autenticación Kerberos para tener acceso a Administración central, vuelva al equipo denominado WSSADMIN, ejecute el Visor de eventos y vea el registro de seguridad. Debería ver un registro de auditoría de aciertos con una apariencia similar a la tabla siguiente:

    Tipo de evento

    Auditoría de aciertos

    Origen del evento

    Seguridad

    Categoría del evento

    Inicio/cierre de sesión

    Identificador de evento

    540

    Fecha

    01/112007

    Hora

    2:22:20 p. m.

    Usuario

    MYDOMAIN\pscexec

    Equipo

    WSSADMIN

    Descripción

    En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

    Nombre de usuario

    pscexec

    Dominio

    MYDOMAIN

    Identificador de inicio de sesión

    (0x0,0x1D339D3)

    Tipo de inicio de sesión

    3

    Proceso de inicio de sesión

    Kerberos

    Paquete de autenticación

    Kerberos

    Nombre de la estación de trabajo

    GUID de inicio de sesión

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    Nombre de usuario del llamador

    Dominio del llamador

    Identificador de inicio de sesión del llamador

    Identificador de proceso del llamador

    Servicios transitados

    Dirección de red de origen

    192.168.100.100

    Puerto de origen

    2505

Al examinar este registro, se encuentra el mismo tipo de información que en la entrada de registro anterior:

  • Confirme que el nombre de usuario es correcto. Se trata de la cuenta mydomain\pscexec que inició sesión a través de la red en el servidor que ejecuta SharePoint Foundation 2010 y hospeda Administración central.

  • Confirme que el tipo de inicio de sesión es 3. Un tipo de inicio de sesión 3 es un inicio de sesión de red.

  • Confirme que tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. De esta forma se confirma que la autenticación Kerberos se usa para tener acceso a la aplicación web de Administración central.

  • Confirme que la dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si la página principal de Administración central no aparece y en su lugar se muestra un mensaje de error no autorizado, la autenticación Kerberos no se está realizando correctamente. Normalmente, este error se produce solo por dos causas:

  • El SPN de AD DS no se registró para la cuenta correcta. Se debería haber registrado para mydomain\wssfarmadmin.

  • El SPN de AD DS no coincide con el SPN que crea Internet Explorer o no es válido. Es posible que haya omitido el número de puerto en el SPN que registró en AD DS. Asegúrese de corregirlo y de que Administración central funcione mediante la autenticación Kerberos antes de continuar.

Nota

Una ayuda de diagnóstico que se puede usar para ver lo que ocurre en la red es un analizador de redes, como el Monitor de red de Microsoft, para realizar un seguimiento durante la navegación a Administración central. Tras el error, examine el seguimiento y busque los paquetes de protocolo KerberosV5. Debe encontrar un paquete con un SPN creado por Internet Explorer. Si el SPN del seguimiento es correcto, el SPN de AS DS no es válido o se ha registrado para la cuenta errónea.

Unión del resto de los servidores a la granja

Ahora que ha creado la granja de servidores y puede tener acceso a Administración central mediante la autenticación Kerberos sin problemas, debe ejecutar el Asistente para la configuración de productos de SharePoint y unir el resto de los servidores a la granja de servidores.

En cada uno de los otros cuatro servidores que ejecutan SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery y wsscrawl), la instalación de SharePoint Foundation 2010 debe haber finalizado y debe aparecer el cuadro de diálogo de instalación completada con la casilla de verificación del Asistente para la configuración de productos de SharePoint activada. Deje activada esta casilla de verificación y cierre el cuadro de diálogo de instalación completada para ejecutar el Asistente para la configuración de productos de SharePoint. Realice el procedimiento para unir cada uno de estos servidores a la granja de servidores.

Al finalizar el Asistente para la configuración de productos de SharePoint en cada servidor que agregue a la granja de servidores, compruebe que cada uno de estos servidores puede representar Administración central, que se ejecuta en el servidor WSSADMIN. Si alguno de estos servidores no puede representar Administración central, siga los pasos correspondientes para solucionar el problema antes de continuar.

Configuración de servicios en servidores de la granja de servidores

Configure servicios específicos de SharePoint Foundation 2010 para que se ejecuten en servidores específicos que ejecutan SharePoint Foundation 2010 en la granja de servidores con las cuentas que se indican en las secciones siguientes.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

Vaya a Administración central y realice los pasos siguientes para configurar los servicios en los servidores especificados con las cuentas que se indican.

Búsqueda de Windows SharePoint Services

En la página Servicios del servidor de Administración central:

  1. Seleccione el servidor WSSQUERY.

  2. En la lista de servicios que aparece hacia la mitad de la página, busque el servicio de búsqueda de SharePoint Foundation 2010 y, a continuación, haga clic en Iniciar en la columna Acción.

  3. En la siguiente página, proporcione las credenciales para la cuenta del servicio de búsqueda de SharePoint Foundation 2010 y para la cuenta de acceso al contenido de SharePoint Foundation 2010. En el escenario de este artículo, la cuenta del servicio de búsqueda de SharePoint Foundation 2010 es mydomain\wsssearch y la cuenta de acceso al contenido de SharePoint Foundation 2010 es mydomain\wsscrawl. Escriba los nombres y las contraseñas de las cuentas en las ubicaciones correspondientes de la página y, a continuación, haga clic en Iniciar.

Servidor de índice

En la página Servicios del servidor de Administración central:

  1. Seleccione el servidor WSSCRAWL.

  2. En la lista de servicios que aparece hacia la mitad de la página, busque el servicio de búsqueda de SharePoint Foundation 2010 y, a continuación, haga clic en Iniciar en la columna Acción.

En la siguiente página, active la casilla de verificación Usar este servidor para indizar contenido y proporcione las credenciales para la cuenta del servicio de búsqueda de SharePoint Foundation 2010. En el escenario de este artículo, la cuenta del servicio de búsqueda de SharePoint Foundation 2010 es mydomain\wsssearch. Escriba los nombres y contraseñas de las cuentas en las ubicaciones correspondientes de la página y, a continuación, haga clic en Iniciar.

Servidor de consultas

En la página Servicios del servidor de Administración central:

  1. Seleccione el servidor WSSQUERY.

  2. En la lista de servicios que aparece hacia la mitad de la página, busque el servicio de búsqueda de SharePoint Foundation 2010 y, a continuación, haga clic en el nombre de servicio en la columna Servicio.

En la página siguiente, active la casilla de verificación Usar este servidor para atender consultas de búsqueda y haga clic en Aceptar.

Creación de aplicaciones web con autenticación Kerberos

En esta sección, cree las aplicaciones web que se usan para el sitio de portal y Mi sitio en la granja de servidores.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

Creación de la aplicación web del sitio de portal

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

  2. En la página siguiente, haga clic en Crear una nueva aplicación web.

  3. En la página siguiente, asegúrese de que la casilla de verificación Crear un nuevo sitio web de IIS está activada.

    • En el campo Descripción, escriba PortalSite.

    • En el campo Puerto, escriba 80.

    • En el campo Encabezado de host, escriba kerbportal.mydomain.net.

  4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

  5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

  6. Asegúrese de que la casilla de verificación Crear nuevo grupo de aplicaciones está activada.

    • En el campo Nombre del grupo de aplicaciones, escriba PortalAppPool.

    • Asegúrese de que la casilla de verificación Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\portalpool.

  7. Haga clic en Aceptar.

  8. Confirme que la aplicación web se ha creado correctamente.

Nota

Si desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Usar SSL en la página Crear una nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a un encabezado host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información acerca de los encabezados host de SSL en IIS, vea el artículo sobre la configuración de encabezados host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

Creación de la aplicación web de Mi sitio

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

  2. En la página siguiente, haga clic en Crear una nueva aplicación web.

  3. En la página siguiente, asegúrese de que la casilla de verificación Crear un nuevo sitio web de IIS está activada.

    • En el campo Descripción, escriba MySite.

    • En el campo Puerto, escriba 80.

    • En el campo Encabezado de host, escriba kerbmysite.mydomain.net.

  4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

  5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

  6. Asegúrese de que la casilla de verificación Crear nuevo grupo de aplicaciones está activada.

    • En el campo Nombre del grupo de aplicaciones, escriba MySiteAppPool.

    • Asegúrese de que la casilla de verificación Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\mysitepool.

  7. Haga clic en Aceptar.

  8. Confirme que la aplicación web se ha creado correctamente.

Nota

Si desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Usar SSL en la página Crear una nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a un encabezado host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información acerca de los encabezados host de SSL en IIS, vea el artículo sobre la configuración de encabezados host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

Creación de una colección de sitios mediante la plantilla del portal de colaboración en la aplicación web del sitio de portal

En esta sección, creará una colección de sitios en el sitio de portal en la aplicación web que creó con este fin.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear colección de sitios.

  2. En la página siguiente, asegúrese de seleccionar la aplicación web correcta. Para continuar con el ejemplo de este artículo, seleccione http://kerbportal.mydomain.net.

  3. Escriba el título y la descripción que desee usar para esta colección de sitios.

  4. No modifique la dirección del sitio web.

  5. En la sección Selección de plantilla, en Seleccione una plantilla, haga clic en la pestaña Publicación y seleccione la plantilla Portal de colaboración.

  6. En la sección Administrador de la colección de sitios primaria, escriba mydomain\pscexec.

  7. Especifique el administrador de la colección de sitios secundaria que desee usar.

  8. Haga clic en Aceptar.

  9. Confirme que la colección de sitios de portal se ha creado correctamente.

Confirmación del acceso correcto a las aplicaciones web con autenticación Kerberos

Confirme que la autenticación Kerberos funciona con las aplicaciones web que acaba de crear. Comience con el sitio del portal.

Para hacerlo, siga estos pasos:

  1. Inicie sesión en un servidor que ejecute SharePoint Foundation 2010 en vez de en uno de los dos servidores front-end web configurados para NLB como mydomain\pscexec. No debe comprobar el correcto comportamiento de la autenticación Kerberos directamente en uno de los equipos que hospedan los sitios web de carga equilibrada que usan la autenticación Kerberos, ya que tal comprobación debe realizarse desde un equipo independiente en el dominio.

  2. Inicie Internet Explorer en ese sistema e intente ir a la siguiente dirección URL: http://kerbportal.mydomain.net.

Se debería mostrar la página principal del sitio de portal autenticado con Kerberos.

Para confirmar que la autenticación Kerberos se ha usado para tener acceso al sitio del portal, vaya a uno de los servidores front-end web de carga equilibrada, ejecute el Visor de eventos y busque en el registro de seguridad. Debe ver un registro de auditoría de aciertos similar a la tabla siguiente en uno de los servidores front-end web. Tenga en cuenta que quizá deba buscar en ambos servidores front-end web antes de encontrar esta información en función del sistema que haya procesado la solicitud de carga equilibrada.

Tipo de evento

Auditoría de aciertos

Origen del evento

Seguridad

Categoría del evento

Inicio/cierre de sesión

Identificador de evento

540

Fecha

01/112007

Hora

5:08:20 p. m.

Usuario

MYDOMAIN\pscexec

Equipo

wssfe1

Descripción

En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

Nombre de usuario

pscexec

Dominio

MYDOMAIN

Identificador de inicio de sesión

(0x0,0x1D339D3)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Autenticación Kerberos

Nombre de la estación de trabajo

GUID de inicio de sesión

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Nombre de usuario del llamador

Dominio del llamador

Identificador de inicio de sesión del llamador

Identificador de proceso del llamador

Servicios transitados

Dirección de red de origen

192.168.100.100

Puerto de origen

2505

Al examinar este registro, se encuentra el mismo tipo de información que en la entrada de registro anterior:

  • Confirme que el nombre de usuario es correcto. Se trata de la cuenta mydomain\pscexec que inició sesión a través de la red en el servidor front-end web que ejecuta SharePoint Foundation 2010 y hospeda el sitio de portal.

  • Confirme que el tipo de inicio de sesión es 3. Un tipo de inicio de sesión 3 es un inicio de sesión de red.

  • Confirme que tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. De esta forma se confirma que la autenticación Kerberos se usa para tener acceso al sitio del portal.

  • Confirme que la dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si la página principal del sitio del portal no aparece y en su lugar se muestra un mensaje de error "no autorizado", la autenticación Kerberos no se está realizando correctamente. Normalmente, este error se produce solo por dos causas:

  • El SPN de AD DS no se registró para la cuenta correcta. Debería haberse registrado para mydomain\portalpool para la aplicación web del sitio del portal.

  • El SPN de AD DS no coincide con el SPN que crea Internet Explorer o no es válido por otro motivo. En este caso, dado que está usando encabezados host de IIS sin números de puerto explícitos, el SPN registrado en AD DS difiere del encabezado host de IIS especificado al extender la aplicación web. Debe corregirlo para que la autenticación Kerberos funcione.

Nota

Una ayuda de diagnóstico que se puede usar para ver lo que ocurre en la red es un analizador de redes, como el Monitor de red de Microsoft, para realizar un seguimiento durante la navegación a Administración central. Tras el error, examine el seguimiento y busque los paquetes de protocolo KerberosV5. Debe encontrar un paquete con un SPN creado por Internet Explorer. Si el SPN del seguimiento es correcto, el SPN de AS DS no es válido o se ha registrado para la cuenta errónea.

Una vez que la autenticación Kerberos funcione correctamente para el sitio de portal, use la siguiente dirección URL para ir a Mi sitio con la autenticación Kerberos:

Nota

La primera vez que tenga acceso a la dirección URL de Mi sitio, SharePoint Foundation 2010 tardará algún tiempo en crear un sitio Mi sitio para el usuario conectado. No obstante, debería realizarse correctamente y la página Mi sitio de ese usuario debería representarse correctamente.

En ambos casos, todo debe funcionar correctamente. De lo contrario, vea los pasos anteriores para solucionar los problemas.

Confirmación de la funcionalidad de indización de búsqueda correcta

Confirme que la indización de búsqueda rastrea correctamente el contenido hospedado en esta granja de servidores. Este paso se debe realizar antes de confirmar los resultados de las consultas de búsqueda de los usuarios que tienen acceso a los sitios con autenticación Kerberos.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.
Para confirmar la funcionalidad de indización de búsqueda, obtenga acceso a una aplicación web e inicie un rastreo completo. Espere a que se complete el rastreo. Si se produce un error en el rastreo, debe investigar y corregir los errores y, a continuación, ejecutar un rastreo completo. Si se produce un error de "acceso denegado" en el rastreo, se debe a que la cuenta de rastreo no tiene acceso a los orígenes de contenido o a que se ha producido un error en la autenticación Kerberos. Con independencia de la causa, este error se debe corregir antes de continuar con los pasos siguientes.

Debe completar un rastreo completo de las aplicaciones web autenticadas con Kerberos antes de continuar.

Confirmación de la funcionalidad de consultas de búsqueda correcta

Para confirmar que la consulta de búsqueda devuelve resultados a los usuarios que tienen acceso al sitio de portal con autenticación Kerberos:

  1. Inicie Internet Explorer en un sistema de mydomain.net y vaya a http://kerbportal.mydomain.net.

  2. Cuando se presente la página principal del sitio de portal, escriba una palabra clave de búsqueda en el campo Buscar y presione ENTRAR.

  3. Confirme que se devuelven resultados de la consulta de búsqueda. De lo contrario, confirme que la palabra clave que ha escrito es válida en la implementación, que la indización de búsqueda se ejecuta correctamente, que el servicio de búsqueda se ejecuta en los servidores de índice y consulta de búsqueda, y que no hay problemas con la propagación de la búsqueda del servidor de índice de búsqueda al servidor de consultas de búsqueda.

Limitaciones de la configuración

La parte correspondiente al nombre de host de los SPN con nuevo formato que se crean será el nombre NetBIOS del host que ejecuta el servicio, por ejemplo, MSSP/kerbtest4:56738/SSP1. Esto se debe a que los nombres de host se capturan de la base de datos de configuración de SharePoint Foundation 2010 y solo los nombres de equipos NetBIOS se almacenan en las bases de datos de configuración de SharePoint Foundation 2010. Esto puede resultar ambiguo en ciertos casos.

Recursos adicionales y orientación para la solución de problemas

Producto/Tecnología Recurso

SQL Server

Cómo asegurarse de que se está usando la autenticación Kerberos al crear una conexión remota a una sesión de SQL Server 2005 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0xC0A)

SQL Server

Cómo solucionar el mensaje de error "No se puede generar el contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0xC0A)

.NET Framework

Propiedad AuthenticationManager.CustomTargetNameDictionary (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0xC0A)

Internet Explorer

Mensaje de error en Internet Explorer al intentar obtener acceso a un sitio web que requiere la autenticación Kerberos en un equipo basado en Windows XP: "HTTP Error 401 - No autorizado: acceso denegado debido a credenciales no válidas" (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0xC0A)

Autenticación Kerberos

Referencia técnica de la autenticación Kerberos (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0xC0A)

Autenticación Kerberos

Solución de errores de Kerberos (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0xC0A)

Autenticación Kerberos

Transición al protocolo Kerberos y delegación restringida (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0xC0A)

IIS

Configuración de encabezados host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0xC0A)