Planification pour Office Online Server

Résumé: Décrit Office Online Server conditions requises et les prérequis, notamment HTTPS, les certificats, la virtualisation, l’équilibrage de charge, les topologies et la sécurité.

Public concerné: professionnels de l'informatique

Office Online Server offre des versions des applications Office basées sur le navigateur dans un environnement local, fournissant ainsi aux utilisateurs plus de flexibilité et des possibilités de collaboration. Cet article décrit la configuration requise et les étapes à suivre pour installer Office Online Server dans votre organisation.

Il est important de planifier soigneusement afin que tous les hôtes, tels que SharePoint Server et Exchange Server puissent communiquer avec Office Online Server.

Consultez la liste de compatibilité des versions d’Office Online Server pour vous assurer que vos hôtes sont compatibles.

Configuration logicielle et matérielle requise pour Office Online Server

Vous pouvez installer Office Online Server en tant que batterie à serveur unique ou en tant que batterie multiserveur à charge équilibrée. Vous pouvez utiliser des serveurs physiques ou des machines virtuelles.

Dans les environnements qui contiennent des données utilisateur réelles, nous vous conseillons toujours d’utiliser le protocole HTTPS, pour lequel vous devez obtenir un certificat. Si vous utilisez plusieurs serveurs dans votre batterie de serveurs, vous devez configurer une solution d’équilibrage de charge matérielle ou logicielle. Pour en savoir plus sur ces scénarios, consultez les sections suivantes.

Configuration matérielle requise pour Office Online Server

Office Online Server utilise la même configuration matérielle minimale que SharePoint Server 2016.

Systèmes d’exploitation pris en charge pour Office Online Server

Vous pouvez exécuter Office Online Server sur les systèmes d'exploitation suivants :

  • L’édition 64 bits de Windows Server 2012 R2

  • Édition 64 bits de Windows Server 2016 (Office Online Server novembre 2018 ou version ultérieure requise).

  • L’édition 64 bits de Windows Server 2019 (Office Online Server correctif de juillet 2021 ou version ultérieure requise).

  • L’édition 64 bits de Windows Server 2022 (Office Online Server correctif de novembre 2021 ou version ultérieure requise).

Remarque

Office Online Server prend uniquement en charge l’option d’installation « Serveur avec expérience utilisateur » de Windows Server 2016, Windows Server 2019 et Windows Server 2022. Pour plus d’informations sur les offres Windows Server, consultez Vue d’ensemble du canal semi-annuel Windows Server.

Conditions requises en matière de domaine pour Office Online Server

Tous les serveurs de la batterie Office Online Server doivent être membres d'un domaine. Ils peuvent faire partie d'un même domaine (recommandé) ou de plusieurs domaines dans la même forêt.

Si vous envisagez d’utiliser des fonctionnalités d’Excel Online qui utilisent l’accès aux données externes (telles que les modèles de données, Power Pivot ou Power View), Office Online Server doit résider dans la même forêt Active Directory que ses utilisateurs, ainsi que dans toutes les sources de données externes auxquelles vous envisagez d’accéder à l’aide de l’authentification Windows.

Exigences de planification et de mise à niveau de support

Microsoft publie une nouvelle build de Office Online Server tous les six mois environ. Une fois qu’une nouvelle build a été publiée, les mises à jour critiques ne sont plus produites pour la build précédente. Nous vous recommandons vivement de mettre à jour votre batterie de Office Online Server à mesure que de nouvelles builds sont publiées. Pour plus d’informations, consultez Office Online Server calendrier de publication.

Compatibilité avec d’autres charges de travail et services

Voici quelques points à prendre en compte lorsque vous installez Office Online Server.

  • N'installez aucune autre application serveur sur le serveur qui exécute Office Online Server. Ceci inclut Exchange Server, SharePoint Server, Skype Entreprise Server et SQL Server. Si vous avez une pénurie de serveurs, envisagez d’exécuter Office Online Server dans une machine virtuelle sur l’un des serveurs dont vous disposez.

  • N'installez aucun service ou rôle dépendant du rôle Serveur web (IIS) sur le port 80, 443 ou 809, car Office Online Server supprime régulièrement les applications web sur ces ports.

  • N'installez aucune version d'Office. Si Office est déjà installé, vous devez le désinstaller pour installer Office Online Server.

  • N'installez pas Office Online Server sur un contrôleur de domaine. Il ne s'exécute pas sur un serveur avec les services de domaine Active Directory (AD DS).

Prise en charge de la virtualisation d’Office Online Server

Office Online Server est pris en charge lorsque vous le déployez à l’aide de Windows Server Hyper-V ou d’une autre technologie de virtualisation dans votre centre de données local. Si vous prévoyez de virtualiser Office Online Server, procédez comme suit :

  • Installez Office Online Server sur sa propre machine virtuelle. N’installez pas d’autres applications serveur, telles que SharePoint Server, sur cette machine virtuelle.

  • Lorsque vous utilisez Hyper-V pour les batteries de serveurs Office Online Server multiserveur, chaque machine virtuelle doit se trouver sur un hôte de machine virtuelle distinct. De cette façon, la batterie de Office Online Server est toujours disponible si l’un des hôtes échoue.

Configuration de pare-feu requise pour Office Online Server

Les pare-feu peuvent entraîner des problèmes en bloquant la communication entre le navigateur web, les serveurs qui exécutent Office Online Server et les serveurs qui exécutent SharePoint Server. Ce blocage des communications peut être encore plus gênant si les serveurs se trouvent dans différentes parties d'un réseau.

Assurez-vous que les ports suivants ne sont pas bloqués par des pare-feu sur le serveur qui exécute Office Online Server ou sur le programme d'équilibrage de la charge :

  • Port 443 pour le trafic HTTPS

  • Port 80 pour le trafic HTTP

  • Port 809 pour le trafic privé entre les serveurs exécutant Office Online Server (si vous configurez une batterie multiserveur)

Configuration requise en matière d’équilibrage de charge pour Office Online Server

Nous vous recommandons d’utiliser une solution d’équilibrage de charge lorsque vous exécutez Office Online Server sur deux serveurs ou plus. Pratiquement n’importe quelle solution d’équilibrage de charge fonctionne, y compris un serveur qui exécute le rôle serveur web (IIS) exécutant le routage des demandes d’application (ARR). En fait, vous pouvez exécuter ARR sur l’un des serveurs qui s’exécute Office Online Server.

Idéalement, la solution d'équilibrage de la charge que vous choisissez doit prendre en charge les fonctionnalités suivantes :

  • Routage de la couche 7

  • Activation de l'affinité du client ou de l'affinité frontale

Si vous utilisez un équilibreur de charge, vous devez installer le certificat sur l’équilibreur de charge comme décrit sous Sécurisation des communications Office Online Server à l’aide de HTTPS .

Configuration DNS requise pour Office Online Server

Dans les environnements qui utilisent le protocole HTTPS et l'équilibrage de la charge, vous devez mettre à jour DNS de sorte à résoudre le nom de domaine complet (FQDN) du certificat en l'adresse IP du serveur exécutant Office Online Server ou en l'adresse IP attribuée au programme d'équilibrage de la charge pour la batterie Office Online Server.

Considérations préalables pour l’installation de modules linguistiques pour Office Online Server

les modules linguistiques Office Online Server permettent aux utilisateurs d’afficher des fichiers Office web dans plusieurs langues à partir de bibliothèques de documents SharePoint Server, d’Outlook Web App (sous forme d’aperçus de pièces jointes) et de Skype Entreprise Server (en tant que diffusions PowerPoint). Toutefois, cela dépend des langues configurées sur l'hôte. Pour afficher des fichiers Office web en plusieurs langues à partir des hôtes, les éléments suivants doivent se vérifier :

  • L’hôte (tel que SharePoint Server ou Exchange Server) est configuré pour exécuter des applications dans d’autres langues. Le processus d'installation et de configuration des modules linguistiques sur l'hôte est indépendant de l'installation d'un module linguistique sur la batterie Office Online Server.

  • Les langues sont installées et disponibles sur tous les serveurs de la batterie Office Online Server.

Voici où télécharger les modules linguistiques pour Office Web Apps Server.

Considérations préalables pour la configuration de la topologie d’Office Online Server

Au minimum, une topologie de Office Online Server inclut une machine physique ou virtuelle exécutant Office Online Server et au moins un hôte (par exemple, un serveur exécutant Exchange Server ou SharePoint Server). Et bien sûr, vous aurez besoin d’un PC ou d’un appareil client pour vous connecter à l’un des hôtes et utiliser la fonctionnalité. À partir de cette topologie minimale, vous pouvez ajouter des hôtes et des serveurs à votre batterie Office Online Server, selon les besoins de votre organisation.

Voici une liste de recommandations que vous devez garder à l'esprit lorsque votre topologie Office Online Server gagne en complexité.

  • Planifiez la redondance. Si vous utilisez des ordinateurs virtuels, placez-les sur des hôtes différents pour assurer la redondance.

  • Tenez-vous en à un centre de données. Les serveurs d'une batterie Office Online Server doivent se trouver dans le même centre de données. Ne les dispersez pas géographiquement. En règle générale, vous n'avez besoin que d'une batterie de serveurs, sauf si vos besoins en sécurité exigent un réseau isolé disposant de sa propre batterie Office Online Server.

  • Plus les hôtes sont proches, mieux c’est. La batterie de Office Online Server n’a pas besoin d’être dans le même centre de données que les hôtes qu’elle sert, mais pour une utilisation intensive de la modification, nous vous recommandons de placer la batterie de Office Online Server aussi près que possible des hôtes. Cela est moins important pour les organisations qui utilisent Office Online principalement pour afficher des fichiers Office.

  • Planifiez vos connexions. Connectez tous les serveurs dans la batterie Office Online Server uniquement les uns aux autres. Pour les connecter à un réseau plus vaste, utilisez un pare-feu d'équilibrage de la charge de proxy inverse.

  • Configurez le pare-feu pour les demandes HTTP ou HTTPS. Assurez-vous que le pare-feu autorise les serveurs exécutant Office Online Server à lancer des demandes HTTP ou HTTPS vers les hôtes.

  • Planifiez les communications entrantes et sortantes. Dans un déploiement connecté à Internet, effectuez un routage de toutes les communications sortantes via un périphérique NAT. Dans une batterie de serveurs multiples, gérez toutes les communications entrantes avec un équilibrage de charge.

  • Assurez-vous que tous les serveurs de la batterie Office Online Server sont joints à un domaine et font partie de la même unité d'organisation. Utilisez le paramètre FarmOU dans la cmdlet New-OfficeWebAppsFarm pour empêcher d'autres serveurs qui ne font pas partie de cette unité d'organisation de rejoindre la batterie de serveurs.

  • Utilisez le protocole HTTPS pour toutes les demandes entrantes.

  • Si vous avez déployé IPsec dans le réseau, utilisez-le pour chiffrer le trafic entre les serveurs.

  • Planifiez les fonctionnalités Office qui utilisent Internet. Si des fonctionnalités telles que les images clipart et les services de traduction sont nécessaires, et si les serveurs de la batterie ne peuvent pas envoyer de demandes vers Internet, un serveur proxy doit être configuré pour la batterie de serveurs Office Online Server. Ainsi, les demandes HTTP vers des sites externes seront autorisées.

Configuration requise pour la connexion aux données externes à partir d’Excel Online

Excel Online inclut des fonctionnalités de connectivité des données externes et d’actualisation des données similaires à celles disponibles dans Excel Services dans SharePoint Server 2013. Excel Services a été supprimé de SharePoint dans SharePoint Server 2016 : vous utilisez Excel Online à la place.

L’actualisation des données pour les connexions de données incorporées fonctionne avec une installation Office Online Server standard. Toutefois, certaines fonctionnalités plus avancées, notamment la prise en charge des fichiers de connexion de données Office (ODC) et le tableau de bord de gestion informatique (composant de SQL Server Power Pivot pour SharePoint) requièrent la configuration de l’authentification de serveur à serveur entre Office Online Server et SharePoint Server 2016.

Considérations préalables pour la configuration de la sécurité pour Office Online Server

Les informations suivantes présentent des instructions de sécurité pour Office Online Server.

Sécurisation des communications Office Online Server à l’aide du protocole HTTPS

Office Online Server pouvez communiquer avec SharePoint Server, Skype Entreprise Server et Exchange Server à l’aide du protocole HTTPS. Dans des environnements de production, nous vous conseillons fortement d'utiliser HTTPS. Vous devrez installer un certificat de serveur Internet qui peut être attribué au serveur exécutant Office Online Server (si vous utilisez un serveur unique) ou au programme d'équilibrage de la charge (si vous utilisez plusieurs serveurs exécutant Office Online Server).

Dans les environnements de test qui ne contiennent pas de données utilisateur, vous pouvez utiliser HTTP pour SharePoint Server et Exchange Server et ignorer l’exigence de certificat. Skype Entreprise Server prend uniquement en charge HTTPS.

Les certificats utilisés par Office Online Server doivent satisfaire aux exigences suivantes :

  • Le certificat doit provenir d'une autorité de certification approuvée et inclure le nom de domaine complet (FQDN) de votre batterie Office Online Server dans le champ SAN (Autre nom de l'objet). (Si le nom de domaine complet ne figure pas dans le SAN, le navigateur affichera des avertissements de sécurité ou ne traitera pas la réponse quand vous tenterez d'utiliser le certificat.)

  • Le certificat doit posséder une clé privée exportable. Dans les batteries à un seul serveur, cette option est sélectionnée par défaut quand vous utilisez le composant logiciel enfichable Gestionnaire des Internet Information Services (IIS) pour importer le certificat.

  • Le champ Nom convivial doit être unique au sein du magasin des autorités de certification racine approuvées. Si vous possédez plusieurs certificats qui partagent un champ Nom convivial, la création de la batterie échoue car la cmdlet New-OfficeWebAppsFarm ne saura pas lequel de ces certificats utiliser.

  • Office Online Server ne nécessite aucune extension ou propriété de certificat particulière. Par exemple, les extensions d'utilisation améliorée de la clé (EKU) du client ou du serveur ne sont pas obligatoires.

  • Vous devez installer la fonctionnalité « Autoriser l’activation HTTP » Windows Communication Foundation (WCF) sur Windows Server.

Le certificat doit être importé comme suit :

  • Pour les batteries à un seul serveur: vous devez importer le certificat directement sur le serveur qui exécute Office Online Server. Ne liez pas le certificat manuellement. La cmdlet New-OfficeWebAppsFarm que vous exécuterez plus tard le fera pour vous. Si vous liez le certificat manuellement, il sera supprimé à chaque redémarrage du serveur.

  • Pour les batteries de serveurs à charge équilibrée: si vous déchargez SSL, vous devez importer le certificat sur le programme d'équilibrage de la charge matérielle. Dans le cas contraire, vous devez installer le certificat sur chaque serveur de la batterie Office Online Server.

Remarque

N'utilisez pas de certificats auto-signés, sauf dans les environnements de test non critiques.

Utilisation du déchargement SSL pour les programmes d'équilibrage de la charge matérielle

Lorsque vous configurez une nouvelle batterie de serveurs Office Online Server, le déchargement SSL est désactivé par défaut. Si vous utilisez un programme d'équilibrage de la charge matérielle, nous vous recommandons d'activer le déchargement SSL afin que chaque serveur Office Online Server de la batterie puisse communiquer avec le programme d'équilibrage de la charge via HTTP. L'activation du déchargement SSL offre également les avantages suivants :

  • Gestion simplifiée des certificats

  • Affinité logicielle améliorée

  • Performances accrues

Remarque

Lorsque vous utilisez HTTP, le trafic de l’équilibreur de charge vers les serveurs qui exécutent Office Online Server n’est pas chiffré. Vous devez donc vous assurer que le réseau lui-même est sécurisé. L’utilisation d’un sous-réseau privé peut aider à protéger le trafic.

Restriction des serveurs qui peuvent rejoindre une batterie Office Online Server selon leur appartenance à une unité d’organisation

Vous pouvez empêcher l'accès des serveurs non autorisés à une batterie Office Online Server en créant une unité d'organisation pour ces serveurs, puis en spécifiant le paramètre FarmOU au moment de la création de la batterie. Pour plus d’informations sur le paramètre FarmOU, voir New-OfficeWebAppsFarm.

Restriction de l’accès des hôtes à Office Online Server à l’aide de la liste verte

La liste autorisée est une fonctionnalité de sécurité qui empêche les hôtes indésirables de se connecter à une batterie Office Online Server et de l'utiliser pour effectuer des opérations sur les fichiers sans votre consentement. En ajoutant les domaines approuvés à la liste autorisée, vous pouvez limiter les hôtes pour lesquels Office Online Server autorise les demandes d'opérations sur les fichiers, comme l'extraction de fichiers, l'extraction de métadonnées et les modifications de fichiers.

Vous pouvez ajouter des domaines à la liste autorisée après la création de la batterie Office Online Server. Pour savoir comment ajouter des domaines à la liste verte, voir New-OfficeWebAppsHost.

Importante

Si vous n'ajoutez pas de domaine à la liste autorisée, Office Online Server autorise les demandes de fichiers aux hôtes de n'importe quel domaine. Ne laissez pas cette liste vide si votre batterie Office Online Server est accessible sur Internet. Sinon, tout le monde pourra utiliser votre batterie Office Online Server pour afficher et modifier du contenu.

Considérations préalables pour la configuration de visionneuses en ligne avec Office Online Server

Par défaut, la fonctionnalité de visionneuse en ligne est activée après l'installation d'Office Online Server. Consultez les instructions suivantes si vous prévoyez d'utiliser des visionneuses en ligne dans votre organisation. Dans certains cas, vous pouvez préférer désactiver certaines fonctionnalités des visionneuses en ligne. Ces instructions font référence aux paramètres définis à l’aide des applets de commande Microsoft PowerShell New-OfficeWebAppsFarm et Set-OfficeWebAppsFarm.

Considérations relatives à la sécurité des visionneuses en ligne

Les fichiers destinés à être consultés via des visionneuses en ligne dans un navigateur web ne doivent pas demander d'authentification. En d'autres termes, les fichiers doivent être disponibles publiquement, car les visionneuses en ligne ne peuvent pas effectuer d'authentification au moment de l'extraction des fichiers. Nous vous recommandons fortement de limiter l'accès de la batterie Office Online Server utilisée pour les visionneuses en ligne à un intranet ou à Internet, et non aux deux à la fois. En effet, Office Online Server ne fait pas de distinction entre les demandes d'URL intranet et Internet. Si une demande provient d'Internet pour une URL intranet, par exemple, une faille de sécurité peut se produire si un document interne est visualisé.

Pour la même raison, si vous avez configuré Office Online Server pour qu'il ne se connecte qu'à Internet, nous vous conseillons fortement de désactiver la prise en charge UNC dans les visionneuses en ligne. Pour désactiver la prise en charge d’UNC, définissez le paramètre OpenFromUncEnabled sur False à l’aide des applets de commande Microsoft PowerShell New-OfficeWebAppsFarm (pour les nouvelles batteries de serveurs) ou Set-OfficeWebAppsFarm (pour les batteries de serveurs existantes).

Par mesure de sécurité supplémentaire, les visionneuses en ligne sont limitées à l'affichage de fichiers Office dont la taille est inférieure ou égale à 10 Mo.

Options de configuration des visionneuses en ligne

Vous pouvez configurer les visionneuses en ligne à l’aide des paramètres Microsoft PowerShell suivants dans New-OfficeWebAppsFarm (pour les nouvelles batteries de serveurs) ou Set-OfficeWebAppsFarm (pour les batteries de serveurs existantes).

  • OpenFromUrlEnabled: active ou désactive les visionneuses en ligne. Ce paramètre contrôle les visionneuses en ligne pour les fichiers qui disposent de chemins d'accès URL et UNC. Par défaut, ce paramètre est défini sur False (désactivé) quand vous créez une batterie Office Online Server.

  • OpenFromUncEnabled: lorsque les visionneuses en ligne sont activées (définies sur True par la cmdlet OpenFromUrlEnabled), ce paramètre active ou désactive la capacité des visionneuses en ligne à afficher des fichiers dans des chemins d'accès UNC. Par défaut, ce paramètre est défini sur True, mais vérifiez que la cmdlet OpenFromUrlEnabled est également définie sur True avant d'autoriser l'ouverture des fichiers à partir de chemins d'accès UNC. Comme décrit plus haut, nous vous conseillons de définir ce paramètre sur False si vous avez configuré Office Online Server pour se connecter à Internet.

  • OpenFromUrlThrottlingEnabled: limite le nombre de demandes ouvertes à partir d'URL provenant d'un serveur donné dans une période de temps. Les valeurs de limitation par défaut, qui ne sont pas configurables, assurent qu'une batterie Office Online Server ne sature pas un serveur unique en envoyant des demandes selon lesquelles du contenu doit être affiché dans les visionneuses en ligne.

Considérations préalables pour les mises à jour d’Office Online Server

Avant de déployer Office Online Server, vous devez décider de la manière dont votre organisation va gérer les mises à jour logicielles dans votre batterie Office Online Server. Bien que ces mises à jour contribuent à accroître la sécurité, les performances et la fiabilité d'un serveur, l'installation incorrecte de mises à jour peut entraîner des problèmes au niveau d'Office Online Server.

L'application de mises à jour Office Online Server à l'aide du processus de mise à jour automatique de Microsoft n'est pas prise en charge avec Office Online Server. Mises à jour à un Office Online Server doivent être appliqués d’une manière spécifique, comme décrit dans Appliquer des mises à jour logicielles à Office Online Server. Si des mises à jour Office Online Server sont appliquées automatiquement, les utilisateurs risquent de ne pas pouvoir afficher ou modifier de documents dans Office Online. le cas échéant, vous devrez reconstruire votre batterie Office Online Server.

Nous vous recommandons de gérer les mises à jour à l’aide de Windows Server Update Services (WSUS) ou de Microsoft Endpoint Configuration Manager, qui utilise WSUS. WSUS vous permet de gérer entièrement la distribution de mises à jour publiées via Microsoft Update pour chaque serveur de la batterie Office Online Server. Grâce à WSUS, vous pouvez choisir les mises à jour à appliquer automatiquement à la batterie de serveurs et les mises à jour à appliquer manuellement, par exemple, celles destinées à Office Online Server. Pour plus d’informations sur WSUS, consultez Windows Server Update Services.

Si vous n’utilisez pas WSUS ou Microsoft Endpoint Configuration Manager, définissez mises à jour automatiques Microsoft sur chaque serveur de la batterie de Office Online Server sur Télécharger automatiquement, mais avertir l’utilisateur pour l’installation. Lorsque vous êtes informé d’une mise à jour Office Online Server, suivez les étapes décrites dans Appliquer des mises à jour logicielles à Office Online Server. Pour appliquer les mises à jour Windows et garder vos serveurs sécurisés, acceptez les mises à jour Windows dès que vous recevez des notifications concernant leur disponibilité.

Modifications des journaux ULS depuis la mise à jour 2018

La mise à jour 2018 de Office Online Server verra quelques modifications sur le format des journaux ULS, détaillées ci-dessous :

Colonne Modifications
TimestampUtc
  • Format de date modifié pour MM/jj/aaaa en aaaa-MM-jj pour rendre le tri plus naturel
  • L’heure est désormais toujours écrite au format UTC
  • Le nom de colonne est passé de Timestamp à TimestampUtc
  • Les horodatages n’ont plus de « » ou « * » de fin indiquant des continuations (voir la colonne Message ci-dessous)
Processus
  • Le nom du processus n’est plus tronqué à 32 caractères
  • ProxyTraceTag n’ajoute plus l’ID de processus qui a envoyé la trace par proxy
  • Les processus W3WP IIS obtiennent l’ID AppPool ajouté. Par exemple : w3wp.exe#StatusViewer-status-MSOSP80 (0x631C)
ThreadId
  • Le nom de colonne est passé de TID à ThreadId
Zone
  • La zone n’est plus tronquée à 32 caractères
Catégorie
  • La catégorie n’est plus tronquée à 32 caractères
EventId
  • Le nom de colonne est passé de EventID à EventId
Niveau (aucune modification)
Message
  • La longueur du message est passée de 800 à 31 000 caractères
  • Les messages de plus de 31 000 caractères sont tronqués et non continus dans un deuxième message
  • Étant donné que les messages ne continuent pas, il n’y a pas de
Correlation
  • Les corrélations utilisent une nouvelle pile qui envoie/pops/peeks de manière appropriée
  • La pile de corrélation n’a plus une profondeur maximale de 32
  • Les corrélations peuvent suivre les tâches entre les threads et franchir les limites d’AppDomain

Voir aussi

Présentation d’Office Online Server

Déployer Office Online Server