Partager via


Configurer l’authentification Kerberos (SharePoint Foundation 2010)

 

S’applique à : SharePoint Foundation 2010

Dernière rubrique modifiée : 2016-11-30

Dans cet article :

  • À propos de l'authentification Kerberos

  • Avant de commencer

  • Configurer l’authentification Kerberos pour les communications SQL

  • Créer des noms principaux de service pour vos applications Web utilisant l'authentification Kerberos

  • Déployer la batterie de serveurs

  • Configurer les services sur les serveurs de la batterie

  • Créer des applications Web utilisant l'authentification Kerberos

  • Créer une collection de sites à l'aide du modèle Portail de collaboration sur le site portail de l'application Web

  • Vérifier l'accès aux applications Web utilisant l'authentification Kerberos

  • Vérifier les fonctionnalités d'indexation de la recherche

  • Vérifier les fonctionnalités des requêtes de recherche

  • Limites de configuration

  • Ressources supplémentaires et conseils de résolution des problèmes

À propos de l’authentification Kerberos

Kerberos est un protocole sécurisé qui prend en charge l’authentification par ticket. Un serveur d’authentification Kerberos accorde un ticket en réponse à une requête d’authentification d’un ordinateur client, si la requête contient des informations d’identification utilisateur et un nom principal de service valides. L’ordinateur client utilise ensuite ce ticket pour accéder aux ressources du réseau. Pour activer l’authentification Kerberos, les ordinateurs client et serveur doivent disposer d’une connexion approuvée au centre de distribution de clés du domaine. Ce centre distribue les clés secrètes partagées pour permettre le chiffrement. Les ordinateurs client et serveur doivent également pouvoir accéder aux services de domaine Active Directory (AD DS, Active Directory Domain Services). Pour AD DS, le domaine racine de la forêt est le centre des références d’authentification Kerberos.

Pour déployer une batterie de serveurs exécutant Microsoft SharePoint Foundation 2010 et utilisant l’authentification Kerberos, vous devez installer et configurer plusieurs applications différentes sur vos ordinateurs. Cet article décrit un exemple de batterie de serveurs exécutant SharePoint Foundation 2010 et fournit des conseils pour le déploiement et la configuration de la batterie afin d’utiliser l’authentification Kerberos pour prendre en charge les fonctionnalités suivantes :

  • Communication entre SharePoint Foundation 2010 et le logiciel de gestion de bases de données Microsoft SQL Server

  • Accès à l’application Web Administration centrale de SharePoint

  • Accès à d’autres applications Web, y compris une application Web de site portail et une application Web Mon site

Avant de commencer

Cet article est destiné au personnel administratif qui possède des connaissances dans les technologies suivantes :

  • Windows Server 2008

  • Active Directory

  • Internet Information Services (IIS) 6.0 (ou IIS 7.0)

  • SharePoint Foundation 2010

  • Windows Internet Explorer

  • Authentification Kerberos, telle qu’implémentée dans Active Directory Domain Services (AD DS) pour Windows Server 2008

  • Équilibrage de la charge réseau dans Windows Server 2008

  • Comptes d’ordinateur dans un domaine Active Directory

  • Comptes d’utilisateurs dans un domaine Active Directory

  • Sites Web IIS, leurs liaisons et leurs paramètres d’authentification

  • Identités des pools d’applications IIS pour les sites Web IIS

  • Assistant Configuration des produits SharePoint 

  • Applications Web SharePoint Foundation 2010

  • Pages de l’Administration centrale

  • Noms principaux de service et leur configuration dans un domaine Active Directory

Important

Pour créer des noms principaux de service dans un domaine Active Directory, vous devez disposer d’autorisations d’administration sur le domaine.

Cet article n’est pas une étude approfondie de l’authentification Kerberos. Kerberos est une méthode d’authentification standard du marché qui est implémentée dans AD DS.

Cet article ne fournit pas d’instructions pas à pas pour installer SharePoint Foundation 2010 ou utiliser l’Assistant Configuration des produits SharePoint.

Cet article ne fournit pas d’instructions pas à pas pour utiliser l’Administration centrale afin de créer des applications Web SharePoint Foundation 2010.

Versions de logiciels requises

Les instructions fournies dans cet article et les tests de vérification reposent sur des systèmes exécutant Windows Server 2008 et Internet Explorer avec les mises à jour les plus récentes appliquées à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C). Les versions suivantes de logiciels ont été installées :

Vous devez également vérifier que les contrôleurs de domaine Active Directory exécutent Windows Server 2008 avec les mises à jour les plus récentes appliquées à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C).

Problèmes connus

SharePoint Foundation 2010 peut analyser les applications Web configurées de manière à utiliser l’authentification Kerberos si celles-ci sont hébergées sur des serveurs virtuels IIS qui sont liés à des ports par défaut (le port TCP 80 et le port SSL 443). Toutefois, SharePoint Foundation 2010 Search ne peut pas analyser les applications Web SharePoint Foundation 2010 qui sont configurées pour utiliser l’authentification Kerberos si celles-ci sont hébergées sur des serveurs virtuels IIS qui sont liés à des ports non définis par défaut (autres que le port TCP 80 ou SSL 443). Actuellement, SharePoint Foundation 2010 Search peut analyser uniquement les applications Web SharePoint Foundation 2010 hébergées sur des serveurs virtuels IIS liés à des ports non définis par défaut et qui sont configurées pour utiliser l’authentification NTLM ou l’authentification de base.

Pour l’accès des utilisateurs finaux à l’aide de l’authentification Kerberos, si vous devez déployer des applications Web qui ne peuvent être hébergées que sur des serveurs virtuels IIS qui sont liés à des ports non définis par défaut et si vous souhaitez que ces utilisateurs puissent obtenir des résultats aux requêtes de recherche, alors :

  • Les mêmes applications Web doivent être hébergées sur d’autres serveurs virtuels IIS sur des ports non définis par défaut.

  • Les applications Web doivent être configurées pour utiliser l’authentification NTLM ou l’authentification de base.

  • L’indexation de la recherche doit analyser les applications Web en utilisant l’authentification NTLM ou l’authentification de base.

Cet article fournit des instructions pour :

  • configurer l’application Web Administration centrale en utilisant l’authentification Kerberos hébergée sur un serveur virtuel IIS lié à des ports non définis par défaut ;

  • configurer les applications Portail et Mon site en utilisant l’authentification Kerberos hébergée sur des serveurs virtuels IIS liés à des ports par défaut, avec une liaison d’en-tête d’hôte IIS ;

  • vérifier que l’indexation de recherche analyse correctement les applications Web SharePoint Foundation 2010 utilisant l’authentification Kerberos ;

  • vérifier que les utilisateurs qui accèdent à des applications Web utilisant l’authentification Kerberos peuvent obtenir des résultats aux requêtes de recherche pour ces applications.

Contexte supplémentaire

Il est important de comprendre que lorsque vous utilisez l’authentification Kerberos, la précision de la fonctionnalité d’authentification dépend en partie du comportement du client qui essaie de s’authentifier à l’aide de Kerberos. Dans un déploiement de batterie de serveurs SharePoint Foundation 2010 utilisant l’authentification Kerberos, SharePoint Foundation 2010 n’est pas le client. Avant de déployer une batterie de serveurs qui exécute SharePoint Foundation 2010 avec l’authentification Kerberos, vous devez comprendre le comportement des clients suivants :

  • Navigateur (dans cet article, le navigateur est toujours Internet Explorer)

  • Microsoft .NET Framework

Le navigateur est le client utilisé pour accéder à une page Web dans une application Web SharePoint Foundation 2010. Lorsque SharePoint Foundation 2010 effectue des tâches telles que l’analyse des sources de contenu SharePoint Foundation 2010 locales, le .NET Framework fait office de client.

Pour que l’authentification Kerberos fonctionne correctement, vous devez créer des noms principaux de service dans AD DS. Si les services auxquels ces noms correspondent sont à l’écoute de ports non définis par défaut, les noms doivent inclure les numéros de port afin de garantir leur signification et d’empêcher la création de noms principaux dupliqués.

Lorsqu’un client tente d’accéder à une ressource à l’aide de l’authentification Kerberos, le client doit construire un nom principal de service pour le processus d’authentification Kerberos. Si le client ne construit pas de nom qui corresponde au nom principal de service configuré dans AD DS, l’authentification Kerberos échoue, généralement avec une erreur « Accès refusé ».

Certaines versions d’Internet Explorer ne construisent pas les noms principaux de service avec les numéros de port. Si vous utilisez des applications Web SharePoint Foundation 2010 qui sont liées à des numéros de port non définis par défaut dans IIS, il est possible que vous deviez configurer Internet Explorer afin d’inclure les numéros de port dans les noms principaux de service qu’il construit. Dans une batterie de serveurs exécutant SharePoint Foundation 2010, l’application Web Administration centrale est hébergée, par défaut, sur un serveur virtuel IIS qui est lié à un port non défini par défaut. Par conséquent, cet article aborde aussi bien les sites Web IIS liés à des ports que ceux liés à des en-têtes d’hôte.

Par défaut, dans une batterie de serveurs exécutant SharePoint Foundation 2010, le .NET Framework ne construit pas de noms principaux de service qui contiennent des numéros de port. C’est la raison pour laquelle Search ne peut pas analyser les applications Web utilisant l’authentification Kerberos si elles sont hébergées sur des serveurs virtuels IIS liés à des ports non définis par défaut.

Topologie d’une batterie de serveurs

Cet article traite de la topologie de batterie de serveurs SharePoint Foundation 2010 suivante :

  • Deux ordinateurs exécutant Windows Server 2008 qui agissent comme des serveurs Web frontaux, avec l’équilibrage de la charge réseau Windows configuré.

  • Trois ordinateurs exécutant Windows Server 2008 qui jouent le rôle de serveurs d’applications. L’un des serveurs d’applications héberge l’application Web Administration centrale. Le deuxième exécute les requêtes de recherche et le troisième exécute l’indexation de la recherche.

  • Un ordinateur exécutant Windows Server 2008 qui fait office d’hôte SQL pour la batterie de serveurs exécutant SharePoint Foundation 2010. Dans le cadre du scénario décrit dans cet article, vous pouvez utiliser Microsoft SQL Server 2008.

Services de domaine Active Directory, attribution des noms d’ordinateurs et équilibrage de la charge réseau

Le scénario décrit dans cet article utilise les conventions Active Directory et les conventions d’attribution de noms d’ordinateurs et d’équilibrage de la charge réseau suivantes :

Rôle de serveur Nom de domaine

Services de domaine Active Directory

mydomain.net

Serveur Web frontal exécutant SharePoint Foundation 2010

wssfe1.mydomain.net

Serveur Web frontal exécutant SharePoint Foundation 2010

wssfe2.mydomain.net

Administration centrale de SharePoint Foundation 2010

wssadmin.mydomain.net

Indexation de recherche exécutant SharePoint Foundation 2010

wsscrawl.mydomain.net

Requêtes de recherche exécutant SharePoint Foundation 2010

wssquery.mydomain.net

Hôte SQL Server exécutant SharePoint Foundation 2010

wsssql.mydomain.net

Une adresse IP virtuelle d’équilibrage de la charge réseau est affectée à wssfe1.mydomain.net et à wssfe2.mydomain.net, suite à la configuration de l’équilibrage de la charge réseau sur ces systèmes. Un ensemble de noms d’hôtes DNS qui pointent vers cette adresse est inscrit dans votre système DNS. Par exemple, si votre adresse IP virtuelle d’équilibrage de la charge réseau est 192.168.100.200, vous disposez d’un jeu d’enregistrements DNS qui résout les noms DNS suivants avec cette adresse (192.168.100.200) :

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

Conventions des comptes de domaine Active Directory

L’exemple de cet article utilise les conventions d’affectation de noms répertoriées dans le tableau ci-après pour les comptes de service et les identités de pools d’applications utilisés dans la batterie de serveurs exécutant SharePoint Foundation 2010.

Compte de domaine ou identité du pool d’applications Nom

Compte d’administrateur local

  • Sur tous les serveurs exécutant SharePoint Foundation 2010 (mais pas sur l’ordinateur hôte exécutant SQL Server)

  • Pour la configuration de SharePoint Foundation 2010 et pour l’utilisateur sous le nom duquel est exécuté l’Assistant Configuration des produits SharePoint

mydomain\pscexec

Compte d’administrateur local sur l’ordinateur hôte SQL Server

mydomain\sqladmin

Compte de service SQL Server utilisé pour exécuter le service SQL Server

mydomain\wsssqlsvc

Compte d’administrateur de la batterie de serveurs SharePoint Foundation 2010

mydomain\wssfarmadmin

Utilisé en tant qu’identité du pool d’applications pour l’Administration centrale et en tant que compte de service pour le service du minuteur SharePoint.

Identité du pool d’applications SharePoint Foundation 2010 pour l’application Web du site portail

mydomain\portalpool

Identité du pool d’applications SharePoint Foundation 2010 pour l’application Web Mon site

mydomain\mysitepool

Compte de service de recherche SharePoint Foundation 2010

mydomain\wsssearch

Compte d’accès au contenu de recherche SharePoint Foundation 2010

mydomain\wsscrawl

Compte de service de recherche SharePoint Foundation 2010

mydomain\wsssearch

Compte d’accès au contenu SharePoint Foundation 2010

mydomain\wsscrawl

Configuration préliminaire requise

Avant d’installer SharePoint Foundation 2010 sur les ordinateurs de votre batterie de serveurs, vérifiez que les procédures suivantes ont été effectuées :

  • Tous les serveurs utilisés dans la batterie, notamment l’hôte SQL, sont configurés avec Windows Server 2008, y compris les mises à jour les plus récentes appliquées à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C).

  • Tous les serveurs de la batterie ont Internet Explorer (avec ses mises à jour les plus récentes) installé à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C).

  • SQL Server 2008 est installé et s’exécute sur l’ordinateur hôte SQL. Le service SQL Server s’exécute en tant que compte mydomain\sqlsvc. Une instance par défaut de SQL Server est installée et à l’écoute sur le port TCP 1433.

  • L’utilisateur sous le nom duquel est exécuté l’Assistant Configuration des produits SharePoint a été ajouté :

    • en tant que connexion SQL sur votre hôte SQL ;

    • au rôle SQL Server DBCreators sur votre hôte SQL ;

    • au rôle Administrateurs de sécurité SQL Server sur votre hôte SQL.

Configurer l’authentification Kerberos pour les communications SQL

Configurez l’authentification Kerberos pour les communications SQL avant d’installer et de configurer SharePoint Foundation 2010 sur vos serveurs exécutant SharePoint Foundation 2010. Cette configuration est nécessaire, car l’authentification Kerberos pour les communications SQL doit être configurée et vérifiée pour que les ordinateurs exécutant SharePoint Foundation 2010 puissent se connecter à votre serveur SQL.

Le processus de configuration de l’authentification Kerberos pour tout service installé sur un ordinateur hôte exécutant Windows Server 2008 comprend la création d’un nom principal de service pour le compte de domaine utilisé pour exécuter le service sur l’hôte. Les noms principaux de service sont constitués des parties suivantes :

  • un nom de service (par exemple, MSSQLSvc ou HTTP) ;

  • un nom d’hôte (réel ou virtuel) ;

  • un numéro de port.

La liste suivante contient des exemples de noms principaux de service pour une instance par défaut de SQL Server s’exécutant sur un ordinateur nommé wsssql, à l’écoute sur le port 1433 :

  • MSSQLSvc/wsssql:1433

  • MSSQLSvc/wsssql.mydomain.com:1433

Ce sont les noms principaux de service que vous allez créer pour l’instance de SQL Server sur l’hôte SQL qui sera utilisé par la batterie de serveurs décrite dans cet article. Vous devez toujours créer des noms principaux de service qui ont à la fois un nom NetBIOS et un nom DNS complet pour un hôte de votre réseau.

Il existe différentes méthodes pour définir un nom principal de service pour un compte dans un domaine Active Directory. Une méthode consiste à utiliser l’utilitaire SETSPN.EXE qui fait partie des outils du Kit de ressources pour Windows Server 2008. Une autre méthode consiste à utiliser le composant logiciel enfichable ADSIEDIT.MSC sur votre contrôleur de domaine Active Directory. Cet article décrit l’utilisation du composant ADSIEDIT.MSC.

Vous devez effectuer deux étapes principales pour configurer l’authentification Kerberos pour SQL Server :

  • Créer des noms principaux de service pour votre compte de service SQL Server

  • Vérifier que l’authentification Kerberos est utilisée pour connecter des serveurs exécutant SharePoint Foundation 2010 à des serveurs exécutant SQL Server

Créer des noms principaux de service pour votre compte de service SQL Server

  1. Ouvrez une session sur votre contrôleur de domaine Active Directory à l’aide des informations d’identification d’un utilisateur ayant des autorisations d’administration sur le domaine.

  2. Dans la boîte de dialogue Exécuter, tapez ADSIEDIT.MSC.

  3. Dans la boîte de dialogue de la console de gestion, développez le dossier conteneur de domaine.

  4. Développez le dossier contenant les comptes d’utilisateurs, par exemple CN=Users.

  5. Recherchez le conteneur du compte de service SQL Server, par exemple CN=wsssqlsvc.

  6. Cliquez avec le bouton droit sur ce compte, puis cliquez sur Propriétés.

  7. Faites défiler la liste des propriétés dans la boîte de dialogue compte de service SQL Server jusqu’à servicePrincipalName.

  8. Sélectionnez la propriété servicePrincipalName et cliquez sur Modifier.

  9. Dans le champ Valeur à ajouter de la boîte de dialogue Éditeur de chaînes à valeurs multiples, tapez le nom principal de service MSSQLSvc/wsssql:1433, puis cliquez sur Ajouter. Ensuite, tapez le nom principal de service MSSQLSvc/wsssql.mydomain.com:1433 dans ce champ et cliquez sur Ajouter.

  10. Cliquez sur OK dans la boîte de dialogue Éditeur de chaînes à valeurs multiples, puis cliquez sur OK dans la boîte de dialogue Propriétés du compte de service SQL Server.

Vérifier que l’authentification Kerberos est utilisée pour connecter des serveurs exécutant SharePoint Foundation 2010 à SQL Server

Installez les outils clients SQL sur l’un de vos serveurs exécutant SharePoint Foundation 2010 et utilisez-les pour vous connecter depuis le serveur exécutant SharePoint Foundation 2010 aux serveurs exécutant SQL Server. Cet article n’aborde pas la procédure à suivre pour installer les outils clients SQL sur un serveur exécutant SharePoint Foundation 2010. Les procédures de vérification reposent sur les hypothèses suivantes :

  • Vous utilisez SQL Server 2008 sur votre hôte SQL.

  • Vous avez ouvert une session sur l’un de vos serveurs exécutant SharePoint Foundation 2010, à l’aide du compte mydomain\pscexec, et vous avez installé les outils clients SQL 2005 sur ce serveur SharePoint Foundation 2010.

  1. Exécutez SQL Server 2005 Management Studio.

  2. Lorsque la boîte de dialogue Connexion au serveur s’affiche, tapez le nom de l’ordinateur hôte SQL (dans cet exemple, cet ordinateur est wsssql), puis cliquez sur Connexion pour vous connecter à ce dernier.

  3. Pour vérifier que l’authentification Kerberos a été utilisée pour cette connexion, exécutez l’Observateur d’événements sur l’ordinateur hôte SQL et examinez le journal des événements de sécurité. Le journal doit contenir un enregistrement Audit des succès pour un événement de la catégorie Ouverture/Fermeture de session dont les données sont similaires à celles des tableaux suivants :

    Type d’événement

    Audit des succès

    Source de l’événement

    Sécurité

    Catégorie de l’événement

    Ouverture/Fermeture de session

    ID d’événement

    540

    Date

    31/10/2007

    Heure

    16:12:24

    Utilisateur

    MYDOMAIN\pscexec

    Ordinateur

    WSSQL

    Description

    Un exemple d’ouverture de session réseau réussie est illustré dans le tableau suivant.

    Nom de l’utilisateur

    pscexec

    Domaine

    MYDOMAIN

    ID d’ouv. de session

    (0x0,0x6F1AC9)

    Type d’ouv. de session

    3

    Processus d’ouv. de session

    Kerberos

    Nom de la station de travail

    GUID d’ouv. de session

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    Nom d’utilisateur de l’appelant

    Domaine de l’appelant

    ID d’ouv. de session de l’appelant

    ID du processus de l’appelant

    Services en transit

    Adresse réseau source

    192.168.100.100

    Port source

    2465

Examinez l’entrée du journal pour vérifier les points suivants :

  1. Le nom de l’utilisateur est correct. Le compte mydomain\pscexec a ouvert une session via le réseau sur l’hôte SQL.

  2. Le type d’ouverture de session est 3, ce qui correspond à une ouverture de session réseau.

  3. Le processus d’ouverture de session et le package d’authentification utilisent tous deux l’authentification Kerberos. Cela confirme que votre serveur exécutant SharePoint Foundation 2010 utilise l’authentification Kerberos pour communiquer avec l’hôte SQL.

  4. L’adresse réseau source correspond à l’adresse IP de l’ordinateur à partir duquel la connexion a été établie.

Si la connexion à l’hôte SQL échoue avec un message d’erreur du type Impossible de générer le contexte SSPI, cela signifie qu’il existe probablement un problème avec le nom principal de service utilisé pour votre instance de SQL Server. Pour diagnostiquer et corriger le problème, consultez l’article COMMENT FAIRE : Résoudre le message d’erreur « Impossible de générer un contexte SSPI » (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x40C) de la Base de connaissances Microsoft.

Créer des noms principaux de service pour vos applications Web utilisant l’authentification Kerberos

En ce qui concerne l’authentification Kerberos, il n’existe aucune particularité quant aux applications Web SharePoint Foundation 2010 basées sur IIS ; l’authentification Kerberos les traite simplement comme tout autre site Web IIS.

Ce processus nécessite une connaissance des éléments suivants :

  • Classe de service pour le nom principal de service (dans le contexte de cet article, pour les applications Web SharePoint Foundation 2010, il s’agit toujours de HTTP)

  • URL de toutes vos applications Web SharePoint Foundation 2010 qui utilisent l’authentification Kerberos

  • Partie nom d’hôte du nom principal de service (réel ou virtuel ; cet article aborde les deux)

  • Partie numéro de port du nom principal de service (le scénario décrit dans cet article utilise des applications Web SharePoint Foundation 2010 basées sur des ports IIS ou sur des en-têtes d’hôte IIS).

  • Comptes Windows Active Directory pour lesquels des noms principaux de service doivent être créés

Le tableau suivant répertorie les informations pour le scénario décrit dans cet article :

URL Compte Active Directory Nom principal de service

http://wssadmin.mydomain.net:10000

wssfarmadmin

  • HTTP/wssadmin.mydomain.net:10000

  • HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

Remarques à propos de ce tableau :

  • La première URL répertoriée ci-dessus est pour l’administration centrale : elle utilise un numéro de port. Vous n’êtes pas obligé d’utiliser le port 10000. Il s’agit juste d’un exemple utilisé tout au long de cet article pour assurer la cohérence.

  • Les deux URL suivantes concernent respectivement le site portail et le site Mon site.

Suivez les conseils ci-dessus pour créer les noms principaux de service dont vous avez besoin dans AD DS afin de prendre en charge l’authentification Kerberos pour vos applications Web SharePoint Foundation 2010. Vous devez ouvrir une session sur un contrôleur de domaine de votre environnement à l’aide d’un compte disposant d’autorisations d’administration sur le domaine. Pour créer les noms principaux de service, vous pouvez utiliser soit l’utilitaire SETSPN.EXE, soit le composant logiciel enfichable ADSIEDIT.MSC, précédemment mentionnés. Si vous utilisez ADSIEDIT.MSC, reportez-vous aux instructions fournies plus haut dans cet article pour créer les noms principaux de service. Veillez à créer des noms principaux de service corrects pour les comptes adéquats dans AD DS.

Déployer la batterie de serveurs

Le déploiement de la batterie de serveurs comprend les étapes suivantes :

  1. Configurez SharePoint Foundation 2010 sur tous les serveurs exécutant SharePoint Foundation 2010.

  2. Exécutez l’Assistant Configuration des produits SharePoint et créez une batterie de serveurs. Cette étape comprend la création d’une application Web Administration centrale SharePoint Foundation 2010 qui sera hébergée sur un serveur virtuel IIS lié à un port non défini par défaut et utilisera l’authentification Kerberos.

  3. Exécutez l’Assistant Configuration des produits SharePoint et joignez les autres serveurs à la batterie de serveurs.

  4. Configurez les services suivants sur les serveurs de votre batterie :

    • service de recherche SharePoint Foundation 2010 ;

    • indexation de recherche de SharePoint Foundation 2010 ;

    • requête de recherche de SharePoint Foundation 2010.

  5. Créez des applications Web utilisées pour le site portail et le site Mon site, utilisant l’authentification Kerberos.

  6. Créez une collection de sites à l’aide du modèle Portail de collaboration sur l’application Web du site portail.

  7. Vérifiez l’accès aux applications Web utilisant l’authentification Kerberos.

  8. Vérifiez les fonctionnalités d’indexation de recherche.

  9. Vérifiez les fonctionnalités de requête de recherche.

Installer SharePoint Foundation 2010 sur tous vos serveurs

Ce processus simple consiste à exécuter le programme d’installation de SharePoint Foundation 2010 pour installer les fichiers binaires de SharePoint Foundation 2010 sur vos serveurs exécutant SharePoint Foundation 2010. Ouvrez une session sur chacun de vos ordinateurs exécutant SharePoint Foundation 2010 à l’aide du compte mydomain\pscexec. Aucune instruction détaillée n’est fournie pour cette étape. Pour le scénario décrit dans cet article, effectuez une installation Complète de SharePoint Foundation 2010 sur tous les serveurs qui nécessitent SharePoint Foundation 2010.

Créer une batterie

Dans le cadre du scénario décrit dans cet article, commencez par exécuter l’Assistant Configuration des produits SharePoint à partir du serveur d’indexation de recherche WSSADMIN, afin que WSSADMIN héberge l’application Web Administration centrale de SharePoint Foundation 2010.

Sur le serveur nommé WSSCRAWL, une fois l’installation effectuée, une boîte de dialogue Installation terminée apparaît, dans laquelle est activée une case à cocher permettant d’exécuter l’Assistant Configuration des produits SharePoint. Laissez cette case à cocher activée et fermez cette boîte de dialogue pour exécuter l’Assistant Configuration des produits SharePoint.

Lors de l’exécution de l’Assistant Configuration des produits SharePoint sur cet ordinateur, créez une batterie de serveurs en utilisant les paramètres suivants :

  • Spécifiez le nom du serveur de bases de données (dans cet article, il s’agit du serveur appelé WSSSQL).

  • Spécifiez le nom de la base de données de configuration (vous pouvez utiliser la valeur par défaut ou attribuer le nom de votre choix).

  • Fournissez les informations du compte d’accès à la base de données (administrateur de la batterie de serveurs). Dans le scénario de cet article, il s’agit du compte mydomain\wssfarmadmin.

  • Fournissez les informations requises pour l’application Web Administration centrale de SharePoint Foundation 2010. Dans le scénario de cet article, ces informations sont les suivantes :

    • Numéro de port de l’application Web Administration centrale : 10000

    • Méthode d’authentification : Négocier

Si vous avez spécifié toutes les informations requises, l’exécution de l’Assistant Configuration des produits SharePoint doit correctement se terminer. Si c’est le cas, vérifiez que vous pouvez accéder à la page d’accueil de l’application Web Administration centrale de SharePoint Foundation 2010 en utilisant l’authentification Kerberos. Pour ce faire, procédez comme suit :

  1. Ouvrez une session sur un autre serveur qui exécute SharePoint Foundation 2010 ou sur un autre ordinateur du domaine mydomain en tant que mydomain\pscexec. Ne vérifiez pas si le comportement d’authentification Kerberos est correct directement sur l’ordinateur qui héberge l’application Web Administration centrale de SharePoint Foundation 2010. Cette opération doit être effectuée à partir d’un autre ordinateur du domaine.

  2. Démarrez Internet Explorer sur ce serveur et essayez d’accéder à l’URL suivante : http://wssadmin.mydomain.net:10000. La page d’accueil de l’Administration centrale doit s’afficher.

  3. Pour vérifier que l’authentification Kerberos a été utilisée pour accéder à l’Administration centrale, retournez sur l’ordinateur nommé WSSADMIN, lancez l’Observateur d’événements et consultez le journal de sécurité. Le journal doit contenir un enregistrement Audit des succès comportant des informations similaires à celles du tableau suivant :

    Type d’événement

    Audit des succès

    Source de l’événement

    Sécurité

    Catégorie de l’événement

    Ouverture/Fermeture de session

    ID d’événement

    540

    Date

    01/11/2007

    Heure

    14:22:20

    Utilisateur

    MYDOMAIN\pscexec

    Ordinateur

    WSSADMIN

    Description

    Un exemple d’ouverture de session réseau réussie est illustré dans le tableau suivant.

    Nom de l’utilisateur

    pscexec

    Domaine

    MYDOMAIN

    ID d’ouv. de session

    (0x0,0x1D339D3)

    Type d’ouv. de session

    3

    Processus d’ouv. de session

    Kerberos

    Package d’authentification

    Kerberos

    Nom de la station de travail

    GUID d’ouv. de session

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    Nom d’utilisateur de l’appelant

    Domaine de l’appelant

    ID d’ouv. de session de l’appelant

    ID du processus de l’appelant

    Services en transit

    Adresse réseau source

    192.168.100.100

    Port source

    2505

Cet enregistrement du journal affiche le même type d’informations que l’entrée de journal précédente :

  • Vérifiez que le nom de l’utilisateur est correct ; il s’agit du compte mydomain\pscexec qui a ouvert une session via le réseau sur le serveur exécutant SharePoint Foundation 2010 qui héberge l’Administration centrale.

  • Vérifiez que le type d’ouverture de session est 3, c’est-à-dire une ouverture de session réseau.

  • Vérifiez que le processus d’ouverture de session et le package d’authentification utilisent tous deux l’authentification Kerberos. Cela confirme que l’authentification Kerberos est utilisée pour accéder à votre application Web Administration centrale.

  • Vérifiez que l’adresse réseau source correspond à l’adresse IP de l’ordinateur à partir duquel la connexion a été établie.

Si la page d’accueil Administration centrale ne s’affiche pas et qu’un message d’erreur non autorisé apparaît, cela signifie que l’authentification Kerberos a échoué. En règle générale, deux causes seulement peuvent provoquer cet échec :

  • Le nom principal de service dans AD DS n’a pas été inscrit pour le compte approprié, c’est-à-dire pour mydomain\wssfarmadmin.

  • Le nom principal de service dans AD DS ne correspond pas au nom construit par Internet Explorer ou n’est pas valide. Vous pouvez avoir omis le numéro de port dans le nom principal de service que vous avez inscrit dans AD DS. Avant de continuer, assurez-vous que ce problème est résolu et que l’Administration centrale fonctionne en utilisant l’authentification Kerberos.

Notes

Comme outil de diagnostic, vous pouvez utiliser un espion réseau, tel que le Moniteur réseau Microsoft, pour examiner ce qui se passe sur le réseau grâce au suivi généré durant l’accès à l’Administration centrale. Après l’échec, examinez le suivi et recherchez les paquets du protocole KerberosV5. Trouvez un paquet avec un nom principal de service construit par Internet Explorer. Si ce nom semble correct, soit le nom principal de service dans AD DS n’est pas valide, soit il a été inscrit pour un compte incorrect.

Joindre les autres serveurs à la batterie de serveurs

Maintenant que votre batterie de serveurs est créée et que vous pouvez accéder à l’Administration centrale en utilisant l’authentification Kerberos, vous devez exécuter l’Assistant Configuration des produits SharePoint et joindre les autres serveurs à la batterie.

Sur chacun des quatre autres serveurs exécutant SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery et wsscrawl), l’installation de SharePoint Foundation 2010 doit être terminée et la boîte de dialogue de fin d’installation doit s’afficher avec la case à cocher Assistant Configuration des produits SharePoint activée. Laissez cette case à cocher activée et fermez la boîte de dialogue pour exécuter l’Assistant Configuration des produits SharePoint. Effectuez la procédure pour joindre chacun de ces serveurs à la batterie.

À la fin de l’exécution de l’Assistant Configuration des produits SharePoint sur chaque serveur que vous ajoutez à la batterie, vérifiez que chacun d’entre eux peut afficher l’Administration centrale qui s’exécute sur le serveur WSSADMIN. Si l’un des serveurs ne parvient pas à afficher l’Administration centrale, prenez les mesures adéquates pour résoudre le problème avant de poursuivre.

Configurer les services sur les serveurs de la batterie

Configurez les services propres à SharePoint Foundation 2010 pour qu’ils s’exécutent sur des serveurs spécifiques de la batterie exécutant SharePoint Foundation 2010, en utilisant les comptes indiqués dans les sections suivantes.

Notes

Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.

Accédez à l’Administration centrale, puis effectuez la procédure ci-après pour configurer les services sur les serveurs indiqués, en utilisant les comptes indiqués.

Recherche Windows SharePoint Services

Dans la page Services sur le serveur de l’Administration centrale :

  1. Sélectionnez le serveur WSSQUERY.

  2. Dans la liste des services qui s’affiche, près du milieu de la page, localisez le service de recherche SharePoint Foundation 2010, puis cliquez sur Démarrer dans la colonne Action.

  3. Dans la page suivante, indiquez les informations d’identification pour le compte du service de recherche SharePoint Foundation 2010 et pour le compte d’accès au contenu SharePoint Foundation 2010. Dans le scénario de cet article, le compte du service de recherche SharePoint Foundation 2010 est mydomain\wsssearch et le compte d’accès au contenu SharePoint Foundation 2010, mydomain\wsscrawl. Tapez les noms et les mots de passe des comptes dans les champs réservés à cet effet, puis cliquez sur Démarrer.

Serveur d’index

Dans la page Services sur le serveur de l’Administration centrale :

  1. Sélectionnez le serveur WSSCRAWL.

  2. Dans la liste des services qui s’affiche, près du milieu de la page, localisez le service de recherche SharePoint Foundation 2010, puis cliquez sur Démarrer dans la colonne Action.

Dans la page suivante, activez la case à cocher Utiliser ce serveur pour l’indexation de contenu et fournissez les informations d’identification pour le compte du service de recherche SharePoint Foundation 2010. Dans le scénario de cet article, le compte du service de recherche SharePoint Foundation 2010 est mydomain\wsssearch. Tapez les noms et les mots de passe des comptes dans les champs réservés à cet effet, puis cliquez sur Démarrer.

Serveur de requêtes

Dans la page Services sur le serveur de l’Administration centrale :

  1. Sélectionnez le serveur WSSQUERY.

  2. Dans la liste des services qui s’affiche, près du milieu de la page, localisez le service de recherche SharePoint Foundation 2010, puis cliquez sur le nom du service dans la colonne Service.

Dans la page suivante, activez la case à cocher Utiliser ce serveur pour traiter les requêtes de recherche, puis cliquez sur OK.

Créer des applications Web utilisant l’authentification Kerberos

Dans cette section, vous allez créer des applications Web utilisées pour le site portail et un site Mon site dans votre batterie de serveurs.

Notes

Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.

Créer l’application Web du site portail

  1. Dans la page Gestion des applications de l’Administration centrale, cliquez sur Créer ou étendre une application Web.

  2. Dans la page suivante, cliquez sur Créer une application Web.

  3. Dans la page suivante, vérifiez que Créer un nouveau site Web IIS est sélectionné.

    • Dans le champ Description, tapez SitePortail.

    • Dans le champ Port, tapez 80.

    • Dans le champ En-tête de l’hôte, tapez kerbportal.mydomain.net.

  4. Vérifiez que Négocier est sélectionné comme fournisseur d’authentification pour cette application Web.

  5. Créez cette application Web dans la zone par défaut. Ne modifiez pas la zone pour cette application Web.

  6. Vérifiez que l’option Créer un nouveau pool d’applications est activée.

    • Dans le champ Nom du pool d’applications, tapez PoolAppPortail.

    • Vérifiez que l’option Configurable est activée. Dans le champ Nom d’utilisateur, tapez le compte mydomain\portalpool.

  7. Cliquez sur OK.

  8. Vérifiez que l’application Web a été créée.

Notes

Si vous souhaitez utiliser une connexion SSL et lier l’application Web au port 443, tapez 443 dans le champ Port et sélectionnez Utiliser SSL dans la page Créer une application Web. Vous devez en outre installer un certificat générique SSL. Si vous utilisez une liaison d’en-tête d’hôte IIS sur un site Web IIS configuré pour SSL, vous devez utiliser un certificat générique SSL. Pour plus d’informations sur les en-têtes d’hôte SSL dans IIS, voir Configuration des en-têtes d’hôte SSL (IIS 6.0) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x40C) (éventuellement en anglais).

Créer l’application Web Mon site

  1. Dans la page Gestion des applications de l’Administration centrale, cliquez sur Créer ou étendre une application Web.

  2. Dans la page suivante, cliquez sur Créer une application Web.

  3. Dans la page suivante, vérifiez que Créer un nouveau site Web IIS est sélectionné.

    • Dans le champ Description, tapez MonSite.

    • Dans le champ Port, tapez 80.

    • Dans le champ En-tête de l’hôte, tapez kerbmysite.mydomain.net.

  4. Vérifiez que Négocier est sélectionné comme fournisseur d’authentification pour cette application Web.

  5. Créez cette application Web dans la zone par défaut. Ne modifiez pas la zone pour cette application Web.

  6. Vérifiez que l’option Créer un nouveau pool d’applications est activée.

    • Dans le champ Nom du pool d’applications, tapez PoolAppMonSite.

    • Vérifiez que l’option Configurable est activée. Dans le champ Nom d’utilisateur, tapez le compte mydomain\mysitepool.

  7. Cliquez sur OK.

  8. Vérifiez que l’application Web a été créée.

Notes

Si vous souhaitez utiliser une connexion SSL et lier l’application Web au port 443, tapez 443 dans le champ Port et sélectionnez Utiliser SSL dans la page Créer une application Web. Vous devez en outre installer un certificat générique SSL. Si vous utilisez une liaison d’en-tête d’hôte IIS sur un site Web IIS configuré pour SSL, vous devez utiliser un certificat générique SSL. Pour plus d’informations sur les en-têtes d’hôte SSL dans IIS, voir Configuration des en-têtes d’hôte SSL (IIS 6.0) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x40C) (éventuellement en anglais).

Créer une collection de sites à l’aide du modèle Portail de collaboration sur l’application Web du site portail

Dans cette section, vous allez créer une collection de sites sur le site portail dans l’application Web que vous avez créée à cet effet.

Notes

Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.

  1. Dans la page Gestion des applications de l’Administration centrale, cliquez sur Créer une collection de sites.

  2. Dans la page suivante, vérifiez que vous avez sélectionné l’application Web correcte. Pour l’exemple de cet article, sélectionnez http://kerbportal.mydomain.net.

  3. Indiquez le titre et la description que vous souhaitez utiliser pour cette collection de sites.

  4. Conservez l’adresse du site Web telle quelle.

  5. Dans la section Sélection du modèle, sous Sélectionner un modèle, cliquez sur l’onglet Publication et sélectionnez le modèle Portail de collaboration.

  6. Dans la section Administrateur principal de la collection de sites, tapez mydomain\pscexec.

  7. Spécifiez l’administrateur secondaire de la collection de sites que vous souhaitez utiliser.

  8. Cliquez sur OK.

  9. Vérifiez que la collection de sites du portail a été créée.

Vérifier l’accès aux applications Web utilisant l’authentification Kerberos

Vérifiez que l’authentification Kerberos fonctionne pour les applications Web récemment créées. Commencez par le site portail.

Pour ce faire, procédez comme suit :

  1. Ouvrez une session sur un serveur exécutant SharePoint Foundation 2010, plutôt que sur l’un des deux serveurs Web frontaux qui sont configurés pour l’équilibrage de la charge réseau, en tant que mydomain\pscexec. Ne vérifiez pas si le comportement de l’authentification Kerberos est correct directement sur l’un des ordinateurs qui hébergent les sites Web à charge équilibrée utilisant l’authentification Kerberos. Cette opération doit être effectuée à partir d’un ordinateur distinct du domaine.

  2. Démarrez Internet Explorer sur cet autre système et essayez d’accéder à l’URL suivante : http://www.mydomain.com/

La page d’accueil du site portail authentifié avec Kerberos doit s’afficher.

Pour vérifier que l’authentification Kerberos a été utilisée pour accéder au site portail, passez sur l’un des serveurs Web frontaux à charge équilibrée, lancez l’Observateur d’événements et consultez le journal de sécurité. Le journal doit contenir un enregistrement Audit des succès comportant des informations similaires à celles du tableau ci-après, sur l’un des serveurs Web frontaux. Notez que vous devrez peut-être le rechercher sur les deux serveurs Web frontaux pour le trouver, selon le système ayant traité la requête à charge équilibrée.

Type d’événement

Audit des succès

Source de l’événement

Sécurité

Catégorie de l’événement

Ouverture/Fermeture de session

ID d’événement

540

Date

01/11/2007

Heure

17:08:20

Utilisateur

MYDOMAIN\pscexec

Ordinateur

wssfe1

Description

Un exemple d’ouverture de session réseau réussie est illustré dans le tableau suivant.

Nom de l’utilisateur

pscexec

Domaine

MYDOMAIN

ID d’ouv. de session

(0x0,0x1D339D3)

Type d’ouv. de session

3

Processus d’ouv. de session

Authentification Kerberos

Nom de la station de travail

GUID d’ouv. de session

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Nom d’utilisateur de l’appelant

Domaine de l’appelant

ID d’ouv. de session de l’appelant

ID du processus de l’appelant

Services en transit

Adresse réseau source

192.168.100.100

Port source

2505

Cet enregistrement du journal affiche le même type d’informations que l’entrée de journal précédente :

  • Vérifiez que le nom de l’utilisateur est correct ; il s’agit du compte mydomain\pscexec qui a ouvert une session via le réseau sur le serveur Web frontal exécutant SharePoint Foundation 2010 qui héberge le site portail.

  • Vérifiez que le type d’ouverture de session est 3, c’est-à-dire une ouverture de session réseau.

  • Vérifiez que le processus d’ouverture de session et le package d’authentification utilisent tous deux l’authentification Kerberos. Cela confirme que l’authentification Kerberos est utilisée pour accéder à votre site portail.

  • Vérifiez que l’adresse réseau source correspond à l’adresse IP de l’ordinateur à partir duquel la connexion a été établie.

Si la page d’accueil du site portail ne parvient pas à s’afficher et qu’un message d’erreur « non autorisé » apparaît, cela signifie que l’authentification Kerberos a échoué. En règle générale, deux causes seulement peuvent provoquer cet échec :

  • Le nom principal de service dans AD DS n’a pas été inscrit pour le compte approprié, c’est-à-dire pour mydomain\portalpool, pour l’application Web du site portail.

  • Le nom principal de service dans AD DS ne correspond pas au nom principal de service construit par Internet Explorer ou n’est pas valide. Dans ce cas, étant donné que vous utilisez des en-têtes d’hôte IIS sans numéros de port explicites, le nom principal de service inscrit dans AD DS diffère de l’en-tête d’hôte IIS spécifié lorsque vous avez étendu l’application Web. Vous devez corriger ce problème pour que l’authentification Kerberos puisse fonctionner.

Notes

Comme outil de diagnostic, vous pouvez utiliser un espion réseau, tel que le Moniteur réseau Microsoft, pour examiner ce qui se passe sur le réseau grâce au suivi généré durant l’accès à l’Administration centrale. Après l’échec, examinez le suivi et recherchez les paquets du protocole KerberosV5. Vous devez trouver un paquet avec un nom principal de service construit par Internet Explorer. Si ce nom semble correct, soit le nom principal de service dans AD DS n’est pas valide, soit il a été inscrit pour un compte incorrect.

Une fois que l’authentification Kerberos fonctionne pour votre site portail, accédez à votre site Mon site authentifié avec Kerberos, à l’aide les URL suivantes :

Notes

La première fois que vous accédez à l’URL de Mon site, SharePoint Foundation 2010 prendra du temps pour créer un site Mon site pour l’utilisateur ayant ouvert la session. Finalement, la page Mon site s’affichera pour cet utilisateur.

Cette procédure doit fonctionner. Si tel n’est pas le cas, reportez-vous aux étapes de dépannage précédentes.

Vérifier les fonctionnalités d’indexation de la recherche

Vérifiez que l’indexation de la recherche analyse correctement le contenu hébergé sur cette batterie de serveurs. Vous devez effectuer cette étape avant de vérifier les résultats des requêtes de recherche des utilisateurs qui accèdent aux sites à l’aide de l’authentification Kerberos.

Notes

Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.
Pour vérifier les fonctionnalités d’indexation de la recherche, accédez à une application Web et démarrez une analyse complète. Attendez la fin de l’analyse. Si l’analyse échoue, vous devez diagnostiquer le problème et le corriger, puis exécuter une analyse complète. Si l’analyse échoue avec des erreurs du type « Accès refusé », cela est dû soit au compte d’analyse qui ne peut pas accéder aux sources de contenu, soit à l’authentification Kerberos qui échoue. Quelle que soit la cause, cette erreur doit être corrigée avant de passer aux étapes suivantes.

Vous devez effectuer une analyse complète des applications Web authentifiées avec Kerberos avant de continuer.

Vérifier les fonctionnalités des requêtes de recherche

Pour vérifier que les requêtes de recherche retournent des résultats aux utilisateurs qui accèdent au site portail utilisant l’authentification Kerberos :

  1. Démarrez Internet Explorer sur un système dans mydomain.net et accédez à l’adresse http://kerbportal.mydomain.net.

  2. Lorsque la page d’accueil du site portail s’affiche, tapez un mot clé de recherche dans le champ Recherche et appuyez sur Entrée.

  3. Vérifiez que la requête de recherche retourne des résultats. Si ce n’est pas le cas, vérifiez que le mot clé que vous avez entré est valide dans votre déploiement, que l’indexation de recherche fonctionne correctement, que le service de recherche est en cours d’exécution sur votre serveur d’indexation de recherche et votre serveur de requêtes de recherche, et qu’il n’y a aucun problème avec la propagation de la recherche à partir de votre serveur d’indexation de recherche vers votre serveur de requêtes de recherche.

Limites de configuration

La partie nom d’hôte des noms principaux de service au nouveau format qui sont créés représente le nom NetBIOS de l’hôte exécutant le service, par exemple : MSSP/kerbtest4:56738/SSP1. En effet, les noms d’hôtes sont extraits de la base de données de configuration de SharePoint Foundation 2010 : seuls les noms d’ordinateurs NetBIOS sont stockés dans la base de données de configuration de SharePoint Foundation 2010. Cela peut être ambigu dans certains scénarios.

Ressources supplémentaires et conseils de résolution des problèmes

Produit/Technologie Ressource

SQL Server

Comment s’assurer que vous utilisez l’authentification Kerberos lorsque vous créez une connexion à distance à une instance de SQL Server 2005 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x40C)

SQL Server

COMMENT FAIRE : Résoudre le message d’erreur « Impossible de générer un contexte SSPI » (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x40C)

.NET Framework

AuthenticationManager.CustomTargetNameDictionary, propriété (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x40C)

Internet Explorer

Message d’erreur dans Internet Explorer lorsque vous essayez d’accéder à un site Web qui requiert une authentification Kerberos sur un ordinateur basé sur Windows XP : « Erreur HTTP 401 - Non autorisé : Accès refusé en raison d’informations d’identification non valides » (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x40C)

Authentification Kerberos

Référence technique de l’authentification Kerberos (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x40C) (éventuellement en anglais)

Authentification Kerberos

Dépannage des erreurs Kerberos (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x40C) (éventuellement en anglais)

Authentification Kerberos

Transition et délégation avec contraintes du protocole Kerberos (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x40C) (éventuellement en anglais)

IIS

Configuration des en-têtes d’hôte SSL (IIS 6.0) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x40C) (éventuellement en anglais)