Condividi tramite


Pianificare Office Online Server

Sommario: Descrive i requisiti e i prerequisiti Office Online Server, tra cui HTTPS, certificati, virtualizzazione, bilanciamento del carico, topologie e sicurezza.

Destinatari: professionisti IT

Il Office Online Server fornisce versioni basate sul browser delle app di Office in un ambiente locale, offrendo agli utenti maggiori opportunità di collaborazione e flessibilità. In questo articolo vengono descritti i requisiti da soddisfare e i passaggi da eseguire per installare il Office Online Server nell'organizzazione.

È importante pianificare attentamente in modo che tutti gli host, ad esempio SharePoint Server e Exchange Server, possano comunicare con Office Online Server.

Consultare l'elenco di compatibilità della versione di Office Online Server per verificare la compatibilità degli host.

Requisiti software, hardware e di configurazione per Office Online Server

È possibile installare Office Online Server come farm a server singolo o come farm con più server con carico bilanciato. È possibile utilizzare server fisici o macchine virtuali.

Negli ambienti che contengono dati utente effettivi è sempre consigliabile utilizzare il protocollo HTTPS, per il quale sarà necessario ottenere un certificato. Se si usano più server nella farm, è necessario configurare una soluzione di bilanciamento del carico hardware o software. Ulteriori informazioni su questi scenari sono disponibili nelle sezioni successive.

Requisiti hardware per Office Online Server

Office Online Server usa gli stessi requisiti hardware minimi di SharePoint Server 2016.

Sistemi operativi supportati per Office Online Server

È possibile eseguire il Office Online Server nei sistemi operativi seguenti:

  • Edizione a 64 bit di Windows Server 2012 R2

  • Edizione a 64 bit di Windows Server 2016 (Office Online Server novembre 2018 o successiva).

  • Edizione a 64 bit di Windows Server 2019 (Office Online Server patch di luglio 2021 o successiva necessaria).

  • Edizione a 64 bit di Windows Server 2022 (Office Online Server patch di novembre 2021 o successiva necessaria).

Nota

Office Online Server supporta solo l'opzione di installazione "Server con esperienza desktop" di Windows Server 2016, Windows Server 2019 e Windows Server 2022. Per altre informazioni sulle offerte di Windows Server, vedere Panoramica del canale semestrale di Windows Server.

Requisiti di dominio per Office Online Server

Tutti i server della farm di Office Online Server devono far parte di un dominio. Possono trovarsi nello stesso dominio (configurazione consigliata) o in domini appartenenti alla stessa foresta.

Se si prevede di usare qualsiasi funzionalità di Excel Online che utilizza l'accesso ai dati esterni,ad esempio Modelli di dati, Power Pivot o Power View, Office Online Server deve risiedere nella stessa foresta di Active Directory degli utenti, nonché in tutte le origini dati esterne a cui si prevede di accedere usando l'autenticazione basata su Windows.

Requisiti di pianificazione e aggiornamento del supporto

Microsoft rilascia una nuova build di Office Online Server ogni sei mesi circa. Dopo il rilascio di una nuova compilazione, gli aggiornamenti critici non vengono più prodotti per la compilazione precedente. È consigliabile aggiornare la farm Office Online Server man mano che vengono rilasciate nuove build. Per altre informazioni, vedere Office Online Server pianificazione delle versioni.

Compatibilità con altri carichi di lavoro e servizi

Di seguito sono riportati alcuni aspetti da tenere presenti quando si installa Office Online Server.

  • Non installare altre applicazioni server nel server che esegue Office Online Server. Sono inclusi Exchange Server, SharePoint Server, Skype for Business Server e SQL Server. In caso di carenza di server, è consigliabile eseguire Office Online Server in una macchina virtuale in uno dei server in uso.

  • Non installare servizi o ruoli dipendenti dal ruolo Server Web (IIS) sulla porta 80, 443 o 809 poiché il Office Online Server rimuove periodicamente le applicazioni Web su queste porte.

  • Non installare alcuna versione di Office. Se è già installata una versione, è necessario disinstallarla prima di installare il Office Online Server.

  • Non installare Office Online Server in un controller di dominio. Non verrà eseguito in un server con Active Directory Domain Services (AD DS).

Supporto per la virtualizzazione di Office Online Server

Office Online Server è supportato quando viene distribuito usando Windows Server Hyper-V o altre tecnologie di virtualizzazione nel data center locale. Se si prevede di virtualizzare il Office Online Server, attenersi alle linee guida seguenti:

  • Installare Office Online Server nella propria macchina virtuale. Non installare altre applicazioni server, ad esempio SharePoint Server, in questa macchina virtuale.

  • Quando si usa Hyper-V per farm Office Online Server multiserver, ogni macchina virtuale deve trovarsi in un host di macchine virtuali separato. In tal modo, la farm di Office Online Server continuerà a essere disponibile in caso di errore di uno degli host.

Requisiti del firewall per Office Online Server

I firewall possono causare problemi bloccando la comunicazione tra il Web browser, i server che eseguono Office Online Server e i server che eseguono SharePoint Server. Questi problemi possono accentuarsi quando i server si trovano in parti diverse di una rete.

Verificare che le porte indicate di seguito non siano bloccate da firewall sul server che esegue il Office Online Server o il servizio di bilanciamento del carico:

  • Porta 443 per il traffico HTTPS

  • Porta 80 per il traffico HTTP

  • Porta 809 per il traffico privato tra i server che eseguono il Office Online Server (in caso di impostazione di una farm con più server)

Requisiti del servizio di bilanciamento del carico per Office Online Server

Quando si esegue il Office Online Server in due o più server, è consigliabile adottare una soluzione di bilanciamento del carico. È possibile utilizzare qualsiasi soluzione di bilanciamento del carico, incluso un server con il ruolo Server Web (IIS) che esegue Application Request Routing (ARR). È infatti possibile eseguire ARR in uno dei server che eseguono il Office Online Server.

Se possibile, scegliere una soluzione di bilanciamento del carico che supporti le caratteristiche seguenti:

  • Routing del livello 7

  • Abilitazione dell'affinità client o dell'affinità front-end

Se si usa un servizio di bilanciamento del carico, è necessario installare il certificato nel servizio di bilanciamento del carico come descritto in Protezione delle comunicazioni Office Online Server tramite HTTPS .

Requisiti di DNS per Office Online Server

Negli ambienti che utilizzano il protocollo HTTPS e il bilanciamento del carico, è necessario aggiornare il sistema DNS affinché il nome di dominio completo (FQDN) del certificato venga risolto nell'indirizzo IP del server che esegue il Office Online Server o nell'indirizzo IP assegnato al servizio di bilanciamento del carico per la farm di Office Online Server.

Pianificazione dei Language Pack per Office Online Server

Office Online Server Language Pack consentono agli utenti di visualizzare i file di Office basati sul Web in più lingue dalle raccolte documenti di SharePoint Server, Outlook Web App (come anteprime degli allegati) e Skype for Business Server (come trasmissioni di PowerPoint). Questa caratteristica dipende tuttavia dalle lingue configurate nell'host. Per visualizzare i file di Office basati sul Web da host in più lingue, è necessario che siano soddisfatte le condizioni seguenti:

  • L'host , ad esempio SharePoint Server o Exchange Server, è configurato per l'esecuzione di applicazioni in lingue aggiuntive. Il processo di installazione e configurazione dei Language Pack nell'host è indipendente dall'installazione di un Language Pack nella farm di Office Online Server.

  • Le lingue devono essere installate e disponibili in tutti i server della farm di Office Online Server.

Ecco dove scaricare i Language Pack per Office App Web Server.

Pianificazione della topologia per Office Online Server

Una topologia Office Online Server includerà almeno una macchina fisica o virtuale che esegue Office Online Server e almeno un host, ad esempio un server che esegue Exchange Server o SharePoint Server. Naturalmente, è necessario un PC client o un dispositivo per connettersi a uno degli host e usare la funzionalità. Partendo da questa topologia minima, è possibile aggiungere altri host e server alla farm di Office Online Server in base alle esigenze dell'organizzazione.

Di seguito è riportato un elenco di indicazioni da tenere presenti man mano che la topologia del Office Online Server diventa più complessa.

  • Garantire la ridondanza. Se si utilizzano macchine virtuali, verificare che si trovino su host di macchine virtuali separate per la ridondanza.

  • Attenersi a un data center. I server in una farm Office Online Server devono trovarsi nello stesso data center. Non distribuirli geograficamente. In genere è necessaria una sola farm, a meno che non si disponga di esigenze di sicurezza che richiedono una rete isolata con la propria farm Office Online Server.

  • Collocare la farm il più vicino possibile agli host. La farm di Office Online Servernon deve necessariamente trovarsi nello stesso data center degli host gestiti, ma in caso di modifiche frequenti è consigliabile posizionare la farm di Office Online Server il più vicino possibile agli host. Questo aspetto è meno importante per organizzazioni che utilizzano Office Online prevalentemente per la visualizzazione di file di Office.

  • Pianificare le connessioni. Connettere tutti i server della farm di Office Online Server solo tra loro. Per connetterli a una rete più ampia, utilizzare un firewall di bilanciamento del carico di tipo proxy inverso.

  • Configurare il firewall per richieste HTTP o HTTPS. Verificare che il firewall consenta ai server che eseguono il Office Online Server di inviare richieste HTTP o HTTPS agli host.

  • Pianificare le comunicazioni in arrivo e in uscita. In una distribuzione Internet, instradare tutte le comunicazioni in uscita tramite un dispositivo NAT. In una farm con più server, gestire tutte le comunicazioni in arrivo con un servizio di bilanciamento del carico.

  • Verificare che tutti i server nella farm di Office Online Server appartengano a un dominio e facciano parte della stessa unità organizzativa. Utilizzare il parametro FarmOU nel cmdlet New-OfficeWebAppsFarm per impedire ad altri server non appartenenti all'unità organizzativa di unirsi alla farm.

  • Utilizzare il protocollo HTTPS (Hypertext Transfer Protocol Secure) per tutte le richieste in arrivo.

  • Se nella rete è distribuito IPsec, utilizzarlo per crittografare il traffico tra i server.

  • Pianificare le caratteristiche di Office che utilizzano Internet. Se sono necessarie caratteristiche quali ClipArt e servizi di traduzione e i server della farm non sono in grado di inviare richieste su Internet, è necessario configurare un server proxy per la farm di Office Online Server. In questo modo, le richieste HTTP verso siti esterni saranno consentite.

Pianificare la connettività ai dati esterni di Excel Online

Excel Online include la connettività ai dati esterni e funzionalità di aggiornamento dei dati simili a quelle disponibili in Excel Services in SharePoint Server 2013. Excel Services è stato rimosso da SharePoint in SharePoint Server 2016. In alternativa, si usa Excel Online.

L'aggiornamento dei dati per le connessioni dati incorporate funziona con un'installazione standard Office Online Server. Tuttavia, ulteriori funzionalità avanzate, tra cui il supporto per i file Office Data Connection (ODC) e la dashboard di gestione IT (parte di SQL Server Power Pivot per SharePoint), richiedono la configurazione dell'autenticazione da server a server tra Office Online Server e SharePoint Server 2016.

Pianificazione della sicurezza per Office Online Server

Di seguito sono riportate alcune indicazioni sulla sicurezza per il Office Online Server.

Protezione delle comunicazioni di Office Online Server mediante il protocollo HTTPS

Office Online Server può comunicare con SharePoint Server, Skype for Business Server e Exchange Server usando il protocollo HTTPS. Negli ambienti di produzione è consigliabile utilizzare il protocollo HTTPS. Sarà necessario installare un certificato di server Internet da assegnare al server che esegue il Office Online Server (se si utilizza un server singolo) o al servizio di bilanciamento del carico (se si utilizzano più server che eseguono il Office Online Server).

Negli ambienti di test che non contengono dati utente, è possibile usare HTTP per SharePoint Server e Exchange Server e ignorare il requisito del certificato. Skype for Business Server supporta solo HTTPS.

I certificati utilizzati dal Office Online Server devono soddisfare i requisiti seguenti:

  • Il certificato deve provenire da un'autorità di certificazione attendibile e includere il nome di dominio completo (FQDN) della farm di Office Online Server nel campo SAN (nome alternativo del soggetto). Se quando si tenta di utilizzare il certificato il nome FQDN non è indicato nel campo SAN, nel browser saranno visualizzati avvisi di sicurezza o non verrà elaborata la risposta.

  • Il certificato deve disporre di una chiave privata esportabile. Nelle farm a server singolo questa opzione è selezionata per impostazione predefinita quando si utilizza lo snap-in Gestione Internet Information Services (IIS) per importare il certificato.

  • Il campo Nome descrittivo deve essere univoco nell'archivio delle autorità di certificazione radice attendibili. Se più certificati condividono un campo Nome descrittivo, la creazione della farm non verrà eseguita poiché il cmdlet New-OfficeWebAppsFarm non sarà in grado di stabilire quale certificato utilizzare.

  • Il Office Online Server non richiede proprietà o estensioni del certificato specifiche. Non sono ad esempio necessarie estensioni per utilizzo chiavi avanzato (EKU) nel client o nel server.

  • È necessario installare la funzionalità "Consenti attivazione HTTP" di Windows Communication Foundation (WCF) in Windows Server.

Il certificato deve essere importato come indicato di seguito:

  • Per farm a server singolo È necessario importare il certificato direttamente nel server che esegue il Office Online Server. Non associare manualmente il certificato. Tale operazione verrà effettuata dal cmdlet New-OfficeWebAppsFarm eseguito successivamente. Se il certificato viene associato manualmente, verrà eliminato a ogni riavvio del server.

  • Per farm con carico bilanciato In caso di offload di SSL, il certificato deve essere importato nel dispositivo di bilanciamento del carico hardware. In caso contrario, è necessario installare il certificato in ogni server della farm di Office Online Server.

Nota

Non utilizzare certificati autofirmati, fatta eccezione per gli ambienti di test non critici.

Utilizzo dell'offload di SSL per i dispositivi di bilanciamento del carico hardware

Quando si configura una nuova farm di Office Online Server, l'offload di SSL è disattivato per impostazione predefinita. Se si utilizza un dispositivo di bilanciamento del carico hardware, è consigliabile attivare l'offload di SSL affinché ogni Office Online Server nella farm sia in grado di comunicare con il dispositivo di bilanciamento del carico mediante il protocollo HTTP. L'attivazione dell'offload di SSL offre inoltre i vantaggi seguenti:

  • Gestione semplificata dei certificati

  • Affinità debole migliorata

  • Prestazioni migliorate

Nota

Quando si usa HTTP, il traffico dal servizio di bilanciamento del carico ai server che eseguono Office Online Server non viene crittografato, quindi è necessario assicurarsi che la rete stessa sia sicura. L'utilizzo di una subnet privata può contribuire a proteggere il traffico.

Limitare i server che possono entrare a far parte della farm di Office Online Server in base all'appartenenza all'unità organizzativa

È possibile impedire ai server non autorizzati di entrare a far parte di una farm di Office Online Server creando un'unità organizzativa per tali server e specificando il parametro FarmOU durante la creazione della farm. Per altre informazioni sul parametro FarmOU, vedere New-OfficeWebAppsFarm.

Limitare l'accesso host per Office Online Server mediante l'elenco Consenti

L'elenco Consenti è una caratteristica di sicurezza che impedisce a host indesiderati di connettersi a una farm di Office Online Server e di utilizzarla per operazioni su file senza il consenso dell'utente. Aggiungendo i domini che contengono host approvati all'elenco Consenti, è possibile limitare gli host da cui il Office Online Server accetta richieste di operazioni su file, ad esempio il recupero di file o metadati e le modifiche di file.

È possibile aggiungere domini all'elenco Consenti dopo la creazione della farm di Office Online Server. Per informazioni su come aggiungere domini all'elenco consenti, vedere New-OfficeWebAppsHost.

Importante

Se non si aggiungono domini all'elenco Consenti, il Office Online Server consentirà agli host di qualsiasi dominio di inviare richieste di file. Non lasciare vuoto questo elenco se la farm di Office Online Server è accessibile da Internet. In caso contrario, chiunque potrà utilizzare la farm di Office Online Server per visualizzare e modificare contenuto.

Pianificazione di Visualizzatori online con Office Online Server

Per impostazione predefinita, la caratteristica Visualizzatori online viene abilitata dopo l'installazione del Office Online Server. Consultare le linee guida riportate di seguito se si prevede di utilizzare Visualizzatori online nell'organizzazione. In alcuni casi è consigliabile disabilitare determinate caratteristiche di Visualizzatori online. Queste linee guida fanno riferimento ai parametri impostati usando i cmdlet di Microsoft PowerShell New-OfficeWebAppsFarm e Set-OfficeWebAppsFarm.

Considerazioni sulla sicurezza per Visualizzatori online

I file da visualizzare in un Web browser mediante Visualizzatori online non devono richiedere l'autenticazione. In altri termini, i file devono essere disponibili pubblicamente poiché la caratteristica Visualizzatori online non è in grado di eseguire l'autenticazione durante il recupero di file. È consigliabile impostare la farm di Office Online Server utilizzata per Visualizzatori online in modo che sia in grado di accedere alla rete Intranet o a Internet, ma non a entrambe. Il Office Online Server non è infatti in grado di distinguere le richieste di URL Intranet e Internet. Un utente su Internet potrebbe ad esempio richiedere un URL della rete Intranet, causando un rischio per la sicurezza se viene visualizzato un documento interno.

Per lo stesso motivo, se il Office Online Server è stato impostato per la sola connessione a Internet, è consigliabile disabilitare il supporto UNC in Visualizzatori online. Per disabilitare il supporto UNC, impostare il parametro OpenFromUncEnabled su False usando i cmdlet di Microsoft PowerShell New-OfficeWebAppsFarm (per le nuove farm) o Set-OfficeWebAppsFarm.

Come misura di sicurezza aggiuntiva, la caratteristica Visualizzatori online consente di visualizzare solo file di Office con dimensioni massime di 10 MB.

Opzioni di configurazione per Visualizzatori online

È possibile configurare visualizzatori online usando i parametri di Microsoft PowerShell seguenti in New-OfficeWebAppsFarm (per le nuove farm) o Set-OfficeWebAppsFarm (per farm esistenti).

  • OpenFromUrlEnabled Attiva o disattiva Visualizzatori online. Questo parametro controlla Visualizzatori online per i file con percorsi URL e UNC. Per impostazione predefinita, questo parametro è impostato su False (disabilitato) quando si crea una nuova farm di Office Online Server.

  • OpenFromUncEnabled Quando la caratteristica Visualizzatori online è attivata (impostata su True mediante OpenFromUrlEnabled), questo parametro attiva o disattiva la visualizzazione all'interno di Visualizzatori online di file presenti in percorsi UNC. Per impostazione predefinita, questo parametro è impostato su True, ma prima di abilitare l'apertura di file da percorsi UNC è necessario verificare che anche OpenFromUrlEnabled sia impostato su True. Come descritto in precedenza, è consigliabile impostare questo parametro su False se il Office Online Server è configurato in modo da connettersi a Internet.

  • OpenFromUrlThrottlingEnabled Limita il numero di richieste di apertura da URL di un server specifico in un determinato intervallo di tempo. I valori di limitazione predefiniti, non configurabili, evitano che una farm di Office Online Server possa sovraccaricare un singolo server inviando richieste di contenuto da visualizzare in Visualizzatori online.

Pianificazione degli aggiornamenti per Office Online Server

Prima della distribuzione del Office Online Server, è necessario stabilire come verranno gestiti gli aggiornamenti software della farm di Office Online Server nell'organizzazione. Anche se gli aggiornamenti software contribuiscono a migliorare la sicurezza, le prestazioni e l'affidabilità del server, l'installazione non corretta degli aggiornamenti può essere causa di problemi del Office Online Server.

L'applicazione degli aggiornamenti del Office Online Server mediante il processo di aggiornamento automatico Microsoft non è supportata per il Office Online Server. Aggiornamenti a un Office Online Server deve essere applicato in modo specifico, come descritto in Applicare gli aggiornamenti software a Office Online Server. Se invece gli aggiornamenti del Office Online Server vengono applicati automaticamente, gli utenti potrebbero non essere in grado di visualizzare o modificare documenti in Office Online. In tal caso, sarà necessario creare di nuovo la farm di Office Online Server.

È consigliabile gestire gli aggiornamenti usando Windows Server Update Services (WSUS) o Microsoft Endpoint Configuration Manager, che usa WSUS. WSUS consente di gestire completamente la distribuzione degli aggiornamenti rilasciati tramite Microsoft Update per ogni server nella farm Office Online Server. Usando WSUS, è possibile decidere quali aggiornamenti possono essere applicati automaticamente alla server farm e quali aggiornamenti, ad esempio gli aggiornamenti Office Online Server, devono essere applicati manualmente. Per altre informazioni su WSUS, vedere Windows Server Update Services.

Se non si usa WSUS o Microsoft Endpoint Configuration Manager, impostare Aggiornamenti automatici Microsoft in ogni server della farm Office Online Server su Download automatico ma notifica all'utente l'installazione. Quando si riceve una notifica di un aggiornamento Office Online Server, seguire la procedura descritta in Applicare gli aggiornamenti software a Office Online Server. To have Windows updates applied and keep your servers secure, accept the Windows updates when you're notified that updates are available.

Modifiche ai log ULS dall'aggiornamento 2018

L'aggiornamento 2018 di Office Online Server vedrà alcune modifiche nel formato dei log ULS, descritte di seguito:

Colonna Cambiamenti
TimestampUtc
  • Formato data modificato per MM/gg/aaaa aaaa-MM-gg per rendere l'ordinamento più naturale
  • Ora l'ora è sempre scritta in formato UTC
  • Nome colonna modificato da Timestamp a TimestampUtc
  • I timestamp non hanno più una continuazione finale ' ' o '*' che indica le continuazioni (vedere la colonna Messaggio di seguito)
Procedura
  • Il nome del processo non è più troncato a 32 caratteri
  • ProxyTraceTag non aggiunge più l'ID processo che ha inviato la traccia proxy
  • I processi W3WP iis ottengono l'ID AppPool aggiunto. Ad esempio: w3wp.exe#StatusViewer-status-MSOSP80 (0x631C)
ThreadId
  • Nome colonna modificato da TID a ThreadId
Area
  • L'area non è più troncata a 32 caratteri
Categoria
  • La categoria non è più troncata a 32 caratteri
EventId
  • Nome colonna modificato da EventID a EventId
Livello (nessuna modifica)
Messaggio
  • La lunghezza del messaggio è stata espansa da 800 a 31000 caratteri di dimensioni
  • I messaggi con più di 31000 caratteri vengono troncati, non continuati in un secondo messaggio
  • Dal momento che i messaggi non continuano, non ci sono '...'s
Correlation
  • Le correlazioni usano un nuovo stack che esegue il push/pops/peeks in modo appropriato
  • Stack di correlazione non ha più una profondità massima di 32
  • Le correlazioni possono seguire attività tra thread e superare i limiti di AppDomain

Vedere anche

Panoramica di Office Online Server

Distribuire Office Online Server