Configurare l'autenticazione Kerberos (Office SharePoint Server)
Contenuto dell'articolo:
Informazioni sull'autenticazione Kerberos
Prima di iniziare
Configurare l'autenticazione Kerberos per le comunicazioni SQL
Configurare Internet Explorer per includere i numeri di porta nei nomi delle entità servizio
Creare nomi delle entità servizio per applicazioni Web mediante l'autenticazione Kerberos
Eseguire la distribuzione in una server farm
Configurare i servizi nei server della farm
Creare applicazioni Web mediante l'autenticazione Kerberos
Creare una raccolta siti mediante il modello Portale di collaborazione nell'applicazione Web per il sito portale
Creare un provider di servizi condivisi per la farm
Verificare la corretta esecuzione dell'accesso alle applicazioni Web mediante l'autenticazione Kerberos
Verificare la corretta funzionalità del servizio di indicizzazione della ricerca
Verificare la corretta funzionalità della query di ricerca
Configurare l'infrastruttura del provider di servizi condivisi per l'autenticazione Kerberos
Registrare nuovi nomi SPN con formato personalizzato per l'account del servizio del provider di servizi condivisi in Active Directory
Impostare l'infrastruttura del provider di servizi condivisi per l'utilizzo dell'autenticazione Kerberos mediante l'esecuzione dello strumento da riga di comando Stsadm
Aggiungere una nuova chiave del Registro di sistema a tutti i server che eseguono Office SharePoint Server per attivare la generazione dei nuovi nomi SPN con formato personalizzato
Verificare l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello principale
Verificare l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello di directory virtuale
Limiti di configurazione
Risorse e informazioni aggiuntive per la risoluzione dei problemi
Informazioni sull'autenticazione Kerberos
Kerberos è un protocollo protetto che supporta l'autenticazione tramite ticket. Un server di autenticazione Kerberos concede un ticket in risposta a una richiesta di autenticazione di un computer client contenente credenziali utente valide e un nome dell'entità servizio (SPN) valido. Il computer client utilizza quindi il ticket per accedere alle risorse di rete. Per attivare l'autenticazione Kerberos, i computer client e server devono disporre di una connessione trusted al centro distribuzione chiavi del dominio, che distribuisce la chiave privata condivisa per l'attivazione della crittografia. Il computer client e server devono inoltre poter accedere ai servizi directory Active Directory. Per Active Directory, il dominio radice della foresta rappresenta il centro dei riferimenti di autenticazione Kerberos.
Per eseguire la distribuzione in una server farm che esegue Microsoft Office SharePoint Server 2007 mediante l'autenticazione Kerberos, è necessario installare e configurare varie applicazioni nei computer. In questo articolo viene descritta una server farm di esempio che esegue Microsoft Office SharePoint Server 2007 e vengono fornite informazioni aggiuntive per eseguire la relativa distribuzione e configurarla in modo che venga utilizzata l'autenticazione Kerberos al fine di supportare le funzionalità seguenti:
Comunicazione tra Microsoft Office SharePoint Server 2007 e il software del database di Microsoft SQL Server
Accesso all'applicazione Web Amministrazione centrale SharePoint
Accesso ad altre applicazioni Web, incluse un'applicazione Web per il sito portale, un'applicazione Web per il sito personale e un'applicazione Web per il sito di amministrazione del provider di servizi condivisi
Accesso ai servizi condivisi per le applicazioni Web Microsoft Office SharePoint Server 2007 nell'infrastruttura del provider di servizi condivisi di Microsoft Office SharePoint Server 2007
Prima di iniziare
Questo articolo è rivolto al personale di livello amministrativo con conoscenze di base degli argomenti seguenti:
Windows Server 2003
Active Directory
Internet Information Services (IIS) 6.0 o 7.0
Microsoft Windows SharePoint Services 3.0
Microsoft Office SharePoint Server 2007
Windows Internet Explorer
Autenticazione Kerberos implementata in Active Directory per Windows Server 2003
Bilanciamento carico di rete in Windows Server 2003
Account computer in un dominio di Active Directory
Account utente in un dominio di Active Directory
Siti Web IIS, nonché le relative associazioni e impostazioni di autenticazione
Identità del pool di applicazioni IIS per siti Web IIS
La Configurazione guidata Prodotti e tecnologie SharePoint
Applicazioni Web Microsoft Windows SharePoint Services 3.0 e Microsoft Office SharePoint Server 2007
Pagine Amministrazione centrale
Nomi delle entità servizio (SPN) e relativa configurazione in un dominio di Active Directory
Importante
Per creare nomi SPN in un dominio di Active Directory, è necessario disporre di autorizzazioni amministrative a livello di dominio.
L'autenticazione Kerberos per l'infrastruttura del provider di servizi condivisi in Microsoft Office SharePoint Server 2007 richiede l'installazione dell'Aggiornamento dell'infrastruttura per Microsoft Office Servers.
Nota
Un provider di servizi condivisi è un raggruppamento logico di un insieme comune di servizi e dati di servizi che possono essere distribuiti alle applicazioni Web e ai relativi siti Web associati. Un'infrastruttura del provider di servizi condivisi consente la condivisione dei servizi in server farm, applicazioni Web e raccolte siti. Tale infrastruttura è costituita dal sito Web Servizi Web di Office Server ed è disponibile in tutti i server che eseguono Microsoft Office SharePoint Server 2007, distribuito mediante l'opzione di installazione Completa. L'autenticazione Kerberos non è supportata dal sito Web Servizi Web di Office Server a meno che sia stato installato l'Aggiornamento dell'infrastruttura per Microsoft Office Servers.
In questo articolo non è disponibile un esame approfondito dell'autenticazione Kerberos. Kerberos è un metodo di autenticazione standard del settore implementato in Active Directory.
In questo articolo non vengono fornite istruzioni dettagliate per l'installazione di Microsoft Office SharePoint Server 2007 o l'utilizzo di Configurazione guidata Prodotti e tecnologie SharePoint.
In questo articolo non vengono fornite istruzioni dettagliate per la creazione di applicazioni Web Microsoft Office SharePoint Server 2007 mediante Amministrazione centrale.
Requisiti per le versioni di software
Le informazioni aggiuntive disponibili in questo articolo e il testing per la relativa verifica sono basati sui risultati dell'utilizzo di sistemi che eseguono Windows Server 2003 e Internet Explorer con gli aggiornamenti più recenti applicati dal sito Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410). Sono state installate le versioni di software seguenti:
Windows Server 2003 Service Pack 2 (SP2) con gli aggiornamenti più recenti disponibili nel sito Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410)
Windows Internet Explorer 7, versione 7.0.5730.11
Versione definitiva di Microsoft Office SharePoint Server 2007
È inoltre consigliabile verificare che i controller di dominio di Active Directory eseguano Windows Server 2003 SP2 con gli aggiornamenti più recenti applicati dal sito Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410).
Problemi noti
Non è possibile configurare l'autenticazione Kerberos per l'utilizzo dell'infrastruttura del provider di servizi condivisi in Microsoft Office SharePoint Server 2007 a meno sia stato installato l'Aggiornamento dell'infrastruttura per Microsoft Office Servers. Se non è stato installato l'Aggiornamento dell'infrastruttura per Microsoft Office Servers, è pertanto necessario ignorare le informazioni aggiuntive disponibili in questo articolo per la configurazione dell'autenticazione Kerberos nell'infrastruttura del provider di servizi condivisi.
Microsoft Office SharePoint Server 2007 è in grado di sottoporre a ricerca per indicizzazione le applicazioni Web configurate per l'utilizzo dell'autenticazione Kerberos se tali applicazioni sono ospitate nei server virtuali IIS associati alle porte predefinite (porta TCP 80 e porta SSL 443). Il servizio di ricerca di Microsoft Office SharePoint Server 2007 non può tuttavia sottoporre a ricerca per indicizzazione le applicazioni Web Microsoft Office SharePoint Server 2007 configurate per l'utilizzo dell'autenticazione Kerberos se tali applicazioni sono ospitate nei server virtuali IIS associati a porte non predefinite, diverse dalla porta TCP 80 e dalla porta SSL 443. Attualmente il servizio di ricerca di Microsoft Office SharePoint Server 2007 è in grado di sottoporre a ricerca per indicizzazione solo applicazioni Web Microsoft Office SharePoint Server 2007 ospitate nei server virtuali IIS associati a porte non predefinite, configurate per l'utilizzo dell'autenticazione NTLM o dell'autenticazione di base.
Per l'accesso degli utenti finali mediante l'autenticazione Kerberos, se è necessario distribuire applicazioni Web che possono essere ospitate solo nei server virtuali IIS associati a porte non predefinite e si desidera che gli utenti finali visualizzino i risultati della query di ricerca, devono essere soddisfatte le condizioni seguenti:
Le stesse applicazioni Web devono essere ospitate in altri server virtuali IIS su porte non predefinite.
Le applicazioni Web devono essere configurate per l'utilizzo dell'autenticazione NTLM o dell'autenticazione di base.
Il servizio di indicizzazione della ricerca deve sottoporre a ricerca per indicizzazione le applicazioni Web utilizzando l'autenticazione NTLM o l'autenticazione di base.
In questo articolo vengono fornite indicazioni aggiuntive per:
Configurare l'applicazione Web Amministrazione centrale ospitata in un server virtuale IIS associato a porte non predefinite utilizzando l'autenticazione Kerberos.
Configurare le applicazioni per il portale e per il sito personale e i servizi condivisi ospitati nei server virtuali IIS associati a porte predefinite e con un'associazione all'intestazione host IIS utilizzando l'autenticazione Kerberos.
Verificare che il servizio di indicizzazione della ricerca sottoponga correttamente a ricerca per indicizzazione le applicazioni Web Microsoft Office SharePoint Server 2007 utilizzando l'autenticazione Kerberos.
Verificare che gli utenti che accedono alle applicazioni Web con autenticazione Kerberos possano visualizzare correttamente i risultati della query di ricerca per tali applicazioni Web.
Configurare l'autenticazione Kerberos per l'infrastruttura del provider di servizi condivisi (se è installato l'Aggiornamento dell'infrastruttura per Microsoft Office Servers).
Ulteriori informazioni
È importante comprendere che, quando si utilizza l'autenticazione Kerberos, la corretta funzionalità dell'autenticazione dipende in parte dal comportamento del client che tenta di eseguirla mediante Kerberos. Nella distribuzione in una farm di Microsoft Office SharePoint Server 2007 basata sull'autenticazione Kerberos, il client non è Microsoft Office SharePoint Server 2007. Prima di eseguire la distribuzione in una server farm che esegue Microsoft Office SharePoint Server 2007 utilizzando l'autenticazione Kerberos, è necessario conoscere il comportamento dei client seguenti:
Il browser (nell'ambito di questo articolo, il browser è sempre Windows Internet Explorer)
Microsoft .NET Framework
Il browser è il client utilizzato durante l'esplorazione di una pagina Web in un'applicazione Web Microsoft Office SharePoint Server 2007. Quando Microsoft Office SharePoint Server 2007 esegue attività come ad esempio sottoporre a ricerca per indicizzazione le origini di contenuto locali di Microsoft Office SharePoint Server 2007 o effettuare chiamate all'infrastruttura del provider di servizi condivisi, .NET Framework svolge la funzione di client.
Per garantire il corretto funzionamento dell'autenticazione Kerberos, è necessario creare nomi SPN in Active Directory. Se i servizi a cui corrispondono tali nomi SPN sono in ascolto su porte non predefinite, i nomi SPN devono includere i numeri di porta. Questo requisito è necessario per garantire che i nomi SPN siano significativi, nonché per impedire la creazione di nomi SPN duplicati.
Quando un client (Internet Explorer o .NET Framework) tenta di accedere a una risorsa mediante l'autenticazione Kerberos, deve creare un nome SPN da utilizzare nel processo di autenticazione Kerberos. Se il client non crea un nome SPN corrispondente a quello configurato in Active Directory, l'autenticazione Kerberos avrà esito negativo, restituendo in genere un errore di accesso negato.
Alcune versioni di Internet Explorer non creano nomi SPN con numeri di porta. Se si utilizzano applicazioni Web Microsoft Office SharePoint Server 2007 associate a numeri di porte non predefinite in IIS, potrebbe essere necessario specificare a Internet Explorer di includere i numeri di porta nei nomi SPN creati automaticamente. In una farm che esegue Microsoft Office SharePoint Server 2007, l'applicazione Web Amministrazione centrale viene ospitata per impostazione predefinita in un server virtuale IIS associato a una porta non predefinita. In questo articolo vengono fornite pertanto informazioni sui siti Web associati sia a porte IIS che all'intestazione host IIS ed è disponibile un collegamento alle istruzioni necessarie per specificare a Internet Explorer di includere i numeri di porta nei nomi SPN.
Per impostazione predefinita, in una farm che esegue Microsoft Office SharePoint Server 2007, .NET Framework non crea nomi SPN che contengono numeri di porta. Per tale motivo, il servizio di ricerca non è in grado di sottoporre a ricerca per indicizzazione le applicazioni Web utilizzando l'autenticazione Kerberos se tali applicazioni Web vengono ospitate nei server virtuali IIS associati a porte non predefinite e, inoltre, non è possibile configurare e utilizzare correttamente l'autenticazione Kerberos per l'infrastruttura del provider di servizi condivisi a meno che sia stato installato l'Aggiornamento dell'infrastruttura per Microsoft Office Servers.
Topologia della server farm
Questo articolo riguarda la topologia della server farm di Microsoft Office SharePoint Server 2007 seguente:
Due computer con funzione di server Web front-end che eseguono Windows Server 2003, con Bilanciamento carico di rete di Windows configurato.
Tre computer con funzione di server applicazioni che eseguono Windows Server 2003. Uno dei server applicazioni ospita l'applicazione Web Amministrazione centrale, il secondo server applicazioni esegue la query di ricerca e il terzo server applicazioni esegue il servizio di indicizzazione della ricerca.
Un computer che esegue Windows Server 2003, utilizzato come host SQL per la farm che esegue Microsoft Office SharePoint Server 2007. Per lo scenario descritto in questo articolo, è possibile utilizzare Microsoft SQL Server 2000 SP4 o Microsoft SQL Server 2005 SP 2.
In questo articolo vengono fornite informazioni aggiuntive per la configurazione di un provider di servizi condivisi nella farm.
Convenzioni per Active Directory, la denominazione dei computer e Bilanciamento carico di rete
Nello scenario descritto in questo articolo vengono utilizzate le convenzioni seguenti relative ad Active Directory, alla denominazione dei computer e a Bilanciamento carico di rete:
Ruolo del server | Nome di dominio |
---|---|
Active Directory |
mydomain.net |
Server Web front-end che esegue Microsoft Office SharePoint Server 2007 |
mossfe1.mydomain.net |
Server Web front-end che esegue Microsoft Office SharePoint Server 2007 |
mossfe2.mydomain.net |
Amministrazione centrale Microsoft Office SharePoint Server 2007 |
mossadmin.mydomain.net |
Servizio di indicizzazione della ricerca che esegue Microsoft Office SharePoint Server 2007 |
mosscrawl.mydomain.net |
Query di ricerca che esegue Microsoft Office SharePoint Server 2007 |
mossquery.mydomain.net |
Host SQL Server che esegue Microsoft Office SharePoint Server 2007 |
mosssql.mydomain.net |
Un indirizzo IP virtuale di Bilanciamento carico di rete viene assegnato a mossfe1.mydomain.net e a mossfe2.mydomain.net in seguito alla configurazione di Bilanciamento carico di rete in questi sistemi. Un insieme di nomi host DNS che fa riferimento a questo indirizzo viene registrato nel sistema DNS in uso. Se ad esempio l'indirizzo IP virtuale di Bilanciamento carico di rete è 192.168.100.200, si disporrà di un insieme di record DNS che risolvono i nomi DNS seguenti per l'indirizzo IP 192.168.100.200:
kerbportal.mydomain.net
kerbmysite.mydomain.net
kerbsspadmin.mydomain.net
Convenzioni per gli account di dominio di Active Directory
Nell'esempio contenuto in questo articolo vengono utilizzate le convenzioni di denominazione elencate nella tabella seguente per gli account di servizio e le identità del pool di applicazioni della farm che esegue Microsoft Office SharePoint Server 2007.
Account di dominio o identità del pool di applicazioni | Nome |
---|---|
Account di amministratore locale
|
mydomain\pscexec |
Account di amministratore locale nel computer host SQL Server |
mydomain\sqladmin |
Account del servizio SQL Server utilizzato per eseguire il servizio SQL Server nell'host SQL |
mydomain\mosssqlsvc |
Account di amministratore della farm di Microsoft Office SharePoint Server 2007 |
mydomain\mossfarmadmin Questo viene utilizzato come identità del pool di applicazioni per Amministrazione centrale e come account del servizio Timer di SharePoint. |
Identità del pool di applicazioni di Microsoft Office SharePoint Server 2007 relativa all'applicazione Web per il sito portale |
mydomain\portalpool |
Identità del pool di applicazioni di Microsoft Office SharePoint Server 2007 relativa all'applicazione Web per il sito personale |
mydomain\mysitepool |
Identità del pool di applicazioni di Microsoft Office SharePoint Server 2007 relativa al sito Web Amministrazione servizi condivisi |
mydomain\sspadminpool |
Account del servizio del provider di servizi condivisi di Microsoft Office SharePoint Server 2007 |
mydomain\sspsvc |
Account del servizio di ricerca di Microsoft Windows SharePoint Services 3.0 |
mydomain\wsssearch |
Account di accesso al contenuto del servizio di ricerca di Microsoft Windows SharePoint Services 3.0 |
mydomain\wsscrawl |
Account del servizio di ricerca di Microsoft Office SharePoint Server 2007 |
mydomain\mosssearch |
Account di accesso al contenuto di Microsoft Office SharePoint Server 2007 |
mydomain\mosscrawl |
Requisiti di configurazione preliminare
Prima di installare Microsoft Office SharePoint Server 2007 nei computer della server farm, verificare che siano state eseguite le procedure seguenti:
Tutti i server utilizzati nella farm, tra cui l'host SQL, sono configurati con Windows Server 2003 SP2, inclusi gli aggiornamenti più recenti applicati dal sito Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410).
In tutti i server della farm sono stati installati Internet Explorer 7 e i relativi aggiornamenti più recenti dal sito Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410).
Nel computer host SQL è installato e in esecuzione SQL Server 2000 SP4 o SQL Server 2005 SP2 e il servizio SQL Server è in esecuzione con l'account mydomain\sqlsvc. Un'istanza predefinita di SQL Server è installata e in ascolto sulla porta TCP 1433.
L'utente Esegui come della Configurazione guidata Prodotti e tecnologie SharePoint è stato aggiunto:
Come account di accesso SQL nell'host SQL.
Al ruolo Database Creators di SQL Server nell'host SQL.
Al ruolo Security Administrators di SQL Server nell'host SQL.
Configurare l'autenticazione Kerberos per le comunicazioni SQL
Prima di installare e configurare Microsoft Office SharePoint Server 2007 nei server che eseguono Microsoft Office SharePoint Server 2007, è necessario configurare l'autenticazione Kerberos per le comunicazioni SQL e verificarne il funzionamento per consentire ai computer che eseguono Microsoft Office SharePoint Server 2007 di connettersi a SQL Server.
Il processo di configurazione dell'autenticazione Kerberos per tutti i servizi installati in un computer host che esegue Windows Server 2003 include la creazione di un nome SPN relativo all'account di dominio utilizzato per l'esecuzione del servizio nell'host. I nomi SPN sono costituiti dalle parti seguenti:
Un nome di servizio, ad esempio MSSQLSvc o HTTP
Un nome host reale o virtuale
Un numero di porta
L'elenco seguente contiene esempi di nomi SPN per un'istanza predefinita di SQL Server in esecuzione in un computer denominato mosssql e in ascolto sulla porta 1433:
MSSQLSvc/mosssql:1433
MSSQLSvc/mosssql.mydomain.com:1433
Questi sono i nomi SPN che verranno creati per l'istanza di SQL Server nell'host SQL da utilizzare per la farm descritta in questo articolo. È necessario creare sempre nomi SPN che includono sia un nome NetBIOS che un nome DNS completo per un host sulla rete.
Per l'impostazione di un nome SPN relativo a un account in un dominio di Active Directory è possibile utilizzare diversi metodi. Un metodo consiste nell'utilizzo dell'utilità SETSPN.EXE inclusa negli strumenti del Resource Kit di Windows Server 2003. Un altro metodo consiste nell'utilizzo dello snap-in ADSIEDIT.MSC nel controller di dominio di Active Directory, che verrà descritto in questo articolo.
I passaggi principali della configurazione dell'autenticazione Kerberos per SQL Server sono due:
Creare i nomi SPN per l'account del servizio SQL Server.
Verificare che venga utilizzata l'autenticazione Kerberos per connettere i server che eseguono Microsoft Office SharePoint Server 2007 ai server che eseguono SQL Server.
Creare i nomi SPN per l'account del servizio SQL Server
Eseguire l'accesso al controller di dominio di Active Directory utilizzando le credenziali di un utente con autorizzazioni amministrative a livello di dominio.
Nella finestra di dialogo Esegui digitare ADSIEDIT.MSC.
Nella finestra di dialogo della console di gestione espandere la cartella contenitore di dominio.
Espandere la cartella contenitore che contiene gli account utente, ad esempio CN=Users.
Individuare il contenitore per l'account del servizio SQL Server, ad esempio CN=mosssqlsvc.
Fare clic con il pulsante destro del mouse su tale account e quindi scegliere Proprietà.
Nella finestra di dialogo dell'account del servizio SQL Server scorrere verso il basso l'elenco delle proprietà fino alla proprietà servicePrincipalName.
Selezionare la proprietà servicePrincipalName e fare clic su Modifica.
Nel campo Valore da aggiungere della finestra di dialogo Editor stringa multivalore digitare il nome SPN MSSQLSvc/mosssql:1433 e fare clic su Aggiungi. Digitare quindi il nome SPN MSSQLSvc/mosssql.mydomain.com:1433 in questo campo e fare clic su Aggiungi.
Fare clic su OK nella finestra di dialogo Editor stringa multivalore e quindi su OK nella finestra di dialogo delle proprietà per l'account del servizio SQL Server.
Verificare che venga utilizzata l'autenticazione Kerberos per connettere i server che eseguono Office SharePoint Server 2007 a SQL Server
Installare gli strumenti client SQL in uno dei server che eseguono Microsoft Office SharePoint Server 2007 e utilizzarli per connettere il server che esegue Microsoft Office SharePoint Server 2007 a quelli che eseguono SQL Server. In questo articolo non vengono descritti i passaggi per l'installazione degli strumenti client SQL in uno dei server che eseguono Microsoft Office SharePoint Server 2007. Le procedure di verifica sono basate sui presupposti seguenti:
Nell'host SQL viene utilizzato SQL Server 2005 SP2.
È stato eseguito l'accesso a uno dei server che eseguono Microsoft Office SharePoint Server 2007 utilizzando l'account mydomain\pscexec e sono stati installati gli strumenti client SQL 2005 nel server che esegue Microsoft Office SharePoint Server 2007.
Eseguire SQL Server 2005 Management Studio.
Quando viene visualizzata la finestra di dialogo Connetti al server, digitare il nome del computer host SQL (in questo esempio, il computer host SQL è mosssql) e fare clic su Connetti per connettersi al computer host SQL.
Per verificare che sia stata utilizzata l'autenticazione Kerberos per questa connessione, eseguire il Visualizzatore eventi nel computer host SQL ed esaminare il Registro eventi protezione. Verrà visualizzato un record Controllo con esito positivo per un evento di categoria Accesso/disconnessione simile ai dati elencati nelle tabelle seguenti:
Tipo di evento
Controllo con esito positivo
Origine evento
Protezione
Categoria evento
Accesso/disconnessione
ID evento
540
Data
31.10.2007
Ora
16:12:24
Utente
MYDOMAIN\pscexec
Computer
MOSSSQL
Descrizione
Un esempio di un accesso di rete riuscito è riportato nella tabella seguente.
Nome utente
pscexec
Dominio
MYDOMAIN
ID di accesso
(0x0,0x6F1AC9)
Tipo di accesso
3
Processo di accesso
Kerberos
Nome workstation
GUID di accesso
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Nome utente chiamante
Dominio chiamante
ID di accesso chiamante
ID del processo chiamante
Servizi transitati
Indirizzo di rete di origine
192.168.100.100
Porta di origine
2465
Esaminare la voce di registro per verificare che siano soddisfatte le condizioni seguenti:
Il nome utente è corretto. L'account mydomain\pscexec è connesso in rete all'host SQL.
Il tipo di accesso è 3. Un tipo di accesso 3 corrisponde all'accesso alla rete.
Il processo di accesso e il pacchetto di autenticazione utilizzano entrambi l'autenticazione Kerberos. Questo conferma che il server che esegue Microsoft Office SharePoint Server 2007 comunica con l'host SQL utilizzando l'autenticazione Kerberos.
L'indirizzo di rete di origine corrisponde all'indirizzo IP del computer da cui è stata eseguita la connessione.
Se la connessione all'host SQL ha esito negativo restituendo il messaggio di errore Impossibile generare il contesto SSPI, è probabile che si sia verificato un problema relativo al nome SPN utilizzato per l'istanza di SQL Server. Per risolvere il problema, vedere l'articolo della Microsoft Knowledge Base Risoluzione del messaggio di errore "Impossibile generare il contesto SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x410).
Configurare Internet Explorer per includere i numeri di porta nei nomi delle entità servizio
Molte versioni di Internet Explorer non includono i numeri di porta nei nomi SPN creati automaticamente. Per determinare se la versione di Internet Explorer 6 in uso presenta questo problema e individuare la procedura necessaria per risolverlo, vedere l'articolo della Microsoft Knowledge Base Internet Explorer 6 non può utilizzare il protocollo di autenticazione Kerberos per connettersi a un sito Web che utilizza una porta non standard in Windows XP e in Windows Server 2003 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x410). È consigliabile esaminare molto attentamente il numero di versione della DLL a cui si fa riferimento in questo articolo per determinare se la versione di Internet Explorer in uso richiede l'aggiornamento descritto nell'articolo. Se la versione di Internet Explorer in uso non crea un nome SPN con numeri di porta e si utilizzano applicazioni Web Microsoft Office SharePoint Server 2007 ospitate nei server virtuali IIS associati a porte non predefinite, è necessario applicare questo aggiornamento per poter accedere alle applicazioni Web basate sulla versione di Internet Explorer utilizzata. Nell'ambito di questo articolo, è necessario verificare che la propria versione di Internet Explorer includa i numeri di porta nei nomi SPN creati automaticamente, in quanto il nome SPN che si aggiunge ad Active Directory per l'applicazione Web Amministrazione centrale conterrà un numero di porta.
Creare nomi delle entità servizio per applicazioni Web mediante l'autenticazione Kerberos
Per quanto riguarda l'autenticazione Kerberos, le applicazioni Web Microsoft Office SharePoint Server 2007 basate su IIS vengono considerate semplicemente come un altro sito Web IIS.
Questo processo richiede la conoscenza degli elementi seguenti:
La classe del servizio per il nome SPN (nell'ambito di questo articolo, per le applicazioni Web Microsoft Office SharePoint Server 2007 è sempre HTTP).
L'URL di tutte le applicazioni Web Microsoft Office SharePoint Server 2007 che utilizzano l'autenticazione Kerberos.
La parte del nome SPN relativa al nome host reale o virtuale (in questo articolo vengono descritti entrambi i casi).
La parte del nome SPN relativa al al numero di porta (nello scenario descritto in questo articolo vengono utilizzate applicazioni Web Microsoft Office SharePoint Server 2007 sia basate su porte IIS che basate sull'intestazione host IIS).
Gli account Active Directory di Windows per cui è necessario creare i nomi SPN.
Nella tabella seguente sono elencate le informazioni relative allo scenario descritto in questo articolo:
URL | Account di Active Directory | Nome SPN |
---|---|---|
http://mossadmin.mydomain.net:10000 |
mossfarmadmin |
|
http://www.mydomain.com/ |
portalpool |
|
http://www.mydomain.com/ |
mysitepool |
|
http://www.mydomain.com/ssp/admin |
sspadminpool |
|
Note per questa tabella:
Il primo URL elencato sopra è relativo ad Amministrazione centrale e utilizza un numero di porta. Non è necessario utilizzare la porta 10000, che rappresenta solo un esempio per garantire la coerenza all'interno di questo articolo.
I tre URL successivi sono relativi rispettivamente al sito portale, al sito personale e al sito Amministrazione servizi condivisi.
Utilizzare le informazioni aggiuntive elencate sopra per creare i nomi SPN necessari in Active Directory al fine di supportare l'autenticazione Kerberos per le applicazioni Web Microsoft Office SharePoint Server 2007. È necessario eseguire l'accesso a un controller di dominio nel proprio ambiente utilizzando un account con autorizzazioni amministrative a livello di dominio. È possibile creare i nomi SPN mediante l'utilità SETSPN.EXE o lo snap-in ADSIEDIT.MSC, indicati in precedenza. Se si utilizza lo snap-in ADSIEDIT.MSC, fare riferimento alle istruzioni per la creazione dei nomi SPN disponibili più indietro in questo articolo. Accertarsi di creare i nomi SPN corretti per gli account appropriati in Active Directory.
Eseguire la distribuzione in una server farm
La distribuzione in una server farm include i passaggi seguenti:
Installare Microsoft Office SharePoint Server 2007 in tutti i server che eseguono Microsoft Office SharePoint Server 2007.
Eseguire la Configurazione guidata Prodotti e tecnologie SharePoint e creare una nuova farm. Questo passaggio include la creazione di un'applicazione Web Amministrazione centrale Microsoft Office SharePoint Server 2007 che verrà ospitata in un server virtuale IIS associato a una porta non predefinita e utilizzerà l'autenticazione Kerberos.
Eseguire la Configurazione guidata Prodotti e tecnologie SharePoint e aggiungere gli altri server alla farm.
Configurare i servizi nei server della farm per:
il servizio di ricerca di Microsoft Windows SharePoint Services 3.0
il servizio indicizzazione del servizio di ricerca di Microsoft Office SharePoint Server 2007
Il servizio query del servizio di ricerca di Microsoft Office SharePoint Server 2007
Creare applicazioni Web utilizzate per il sito portale, per il sito personale e per il sito Amministrazione servizi condivisi mediante l'autenticazione Kerberos.
Creare una raccolta siti mediante il modello Portale di collaborazione nell'applicazione Web per il sito portale.
Creare un provider di servizi condivisi per la farm.
Verificare la corretta esecuzione dell'accesso alle applicazioni Web mediante l'autenticazione Kerberos.
Verificare la corretta funzionalità del servizio di indicizzazione della ricerca.
Verificare la corretta funzionalità della query di ricerca.
Configurare l'infrastruttura del provider di servizi condivisi per l'autenticazione Kerberos. Questo è un passaggio facoltativo che richiede l'installazione dell'Aggiornamento dell'infrastruttura per Microsoft Office Servers.
Verificare la funzionalità del provider di servizi condivisi mediante l'autenticazione Kerberos. Questo è un passaggio facoltativo che richiede l'installazione dell'Aggiornamento dell'infrastruttura per Microsoft Office Servers.
Installare Office SharePoint Server 2007 in tutti i server
Questo processo semplice consiste nell'eseguire l'installazione di Microsoft Office SharePoint Server 2007 per installare i file binari di Microsoft Office SharePoint Server 2007 nei server che eseguono Microsoft Office SharePoint Server 2007. Eseguire l'accesso a ogni computer che esegue Microsoft Office SharePoint Server 2007 utilizzando l'account mydomain\pscexec. Per questa operazione non sono disponibili istruzioni dettagliate. Per lo scenario descritto in questo articolo, eseguire un'installazione Completa di Microsoft Office SharePoint Server 2007 in tutti i server che richiedono Microsoft Office SharePoint Server 2007.
Eseguire la Configurazione guidata Prodotti e tecnologie SharePoint e creare una nuova farm
Per lo scenario descritto in questo articolo, eseguire innanzitutto la Configurazione guidata Prodotti e tecnologie SharePoint dal server di indicizzazione della ricerca MOSSADMIN, in modo che l'applicazione Web Amministrazione centrale Microsoft Office SharePoint Server 2007 venga ospitata in tale server.
Al termine dell'installazione, nel server denominato MOSSCRAWL verrà visualizzata la finestra di dialogo Installazione completata con una casella di controllo selezionata per eseguire la Configurazione guidata Prodotti e tecnologie SharePoint. Lasciare selezionata questa casella di controllo e chiudere la finestra di dialogo dell'installazione per seguire la Configurazione guidata Prodotti e tecnologie SharePoint.
Quando si esegue la Configurazione guidata Prodotti e tecnologie SharePoint in questo computer, specificare che deve essere creata automaticamente una nuova farm utilizzando le impostazioni seguenti:
Specificare il nome del server database (in questo articolo, è il server denominato MOSSSQL).
Specificare il nome di un database di configurazione (è possibile utilizzare l'impostazione predefinita o specificare il nome desiderato).
Specificare le informazioni relative all'account di accesso al database (amministratore della farm). Nello scenario descritto in questo articolo, tale account è mydomain\mossfarmadmin.
Specificare le informazioni necessarie per l'applicazione Web Amministrazione centrale Microsoft Office SharePoint Server 2007. Nello scenario descritto in questo articolo, tali informazioni sono:
Numero di porta dell'applicazione Web Amministrazione centrale: 10000
Metodo di autenticazione: Negozia
Dopo aver specificato tutte le informazioni necessarie, verrà completata la Configurazione guidata Prodotti e tecnologie SharePoint. Se viene completata correttamente, verificare che sia possibile accedere alla home page dell'applicazione Web Amministrazione centrale Microsoft Office SharePoint Server 2007 mediante l'autenticazione Kerberos. A tale scopo, eseguire la procedura seguente:
Eseguire l'accesso a un server diverso che esegue Microsoft Office SharePoint Server 2007 o a un altro computer nel dominio mydomain con l'account mydomain\pscexec. Non verificare il corretto comportamento dell'autenticazione Kerberos direttamente nel computer che ospita l'applicazione Web Amministrazione centrale Microsoft Office SharePoint Server 2007. È necessario eseguire questa operazione da un computer separato nel dominio.
Avviare Internet Explorer in questo server e tentare di accedere all'URL seguente: http://mossadmin.mydomain.net:10000. Verrà eseguito il rendering della home page di Amministrazione centrale.
Per verificare che sia stata utilizzata l'autenticazione Kerberos per accedere ad Amministrazione centrale, tornare al computer denominato MOSSADMIN, eseguire il Visualizzatore eventi ed esaminare il registro di protezione. Verrà visualizzato un record Controllo con esito positivo simile alla tabella seguente:
Tipo di evento
Controllo con esito positivo
Origine evento
Protezione
Categoria evento
Accesso/disconnessione
ID evento
540
Data
01.11.2007
Ora
14:22:20
Utente
MYDOMAIN\pscexec
Computer
MOSSADMIN
Descrizione
Un esempio di un accesso di rete riuscito è riportato nella tabella seguente.
Nome utente
pscexec
Dominio
MYDOMAIN
ID di accesso
(0x0,0x1D339D3)
Tipo di accesso
3
Processo di accesso
Kerberos
Pacchetto di autenticazione
Kerberos
Nome workstation
GUID di accesso
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Nome utente chiamante
Dominio chiamante
ID di accesso chiamante
ID del processo chiamante
Servizi transitati
Indirizzo di rete di origine
192.168.100.100
Porta di origine
2505
Questo record del registro contiene lo stesso tipo di informazioni della voce di registro precedente:
Verificare che il nome utente sia corretto; è l'account mydomain\pscexec connesso in rete al server che esegue Microsoft Office SharePoint Server 2007 e ospita Amministrazione centrale.
Verificare che il tipo di accesso sia impostato su 3; un tipo di accesso 3 corrisponde all'accesso alla rete.
Verificare che il processo di accesso e il pacchetto di autenticazione utilizzino entrambi l'autenticazione Kerberos. Questo conferma che l'autenticazione Kerberos viene utilizzata per accedere all'applicazione Web Amministrazione centrale.
Verificare che l'indirizzo di rete di origine corrisponda all'indirizzo IP del computer da cui è stata eseguita la connessione.
Se non è possibile eseguire il rendering della home page Amministrazione centrale e viene invece visualizzato un messaggio di errore di tipo Autorizzazione negata, si è verificato un errore durante l'autenticazione Kerberos. In genere, le uniche possibili cause di queste errore sono due:
Il nome SPN in Active Directory non è stato registrato per l'account corretto, ovvero per mydomain\mossfarmadmin.
Il nome SPN in Active Directory non corrisponde a quello creato da Internet Explorer o altrimenti non è valido. La causa più comune di questo errore è che Internet Explorer non crea un nome SPN contenente il numero di porta corretto. Per risolvere il problema, vedere la sezione precedente intitolata Configurare Internet Explorer per includere i numeri di porta nei nomi delle entità servizio. È inoltre possibile che sia stato omesso il numero di porta dal nome SPN registrato in Active Directory. In entrambi i casi, prima di procedere, utilizzare l'autenticazione Kerberos per verificare che il problema sia stato risolto e che Amministrazione centrale funzioni.
Nota
Uno strumento di diagnostica che consente di analizzare il traffico di rete è uno sniffer della rete, ad esempio Microsoft Network Monitor, per l'acquisizione di una traccia durante l'esplorazione di Amministrazione centrale. Dopo l'errore, esaminare la traccia e cercare pacchetti di protocollo Kerberos V5. Individuare un pacchetto con un nome SPN creato da Internet Explorer. Se tale nome SPN non contiene un numero di porta, è necessario applicare l'aggiornamento descritto nella sezione intitolata Configurare Internet Explorer per includere i numeri di porta nei nomi delle entità servizio. Se il nome SPN nella traccia è corretto, il nome SPN in Active Directory non è valido oppure è stato registrato per l'account errato.
Eseguire la Configurazione guidata Prodotti e tecnologie SharePoint e aggiungere gli altri server alla farm
Dopo che la farm è stata creata ed è possibile accedere correttamente ad Amministrazione centrale mediante l'autenticazione Kerberos, è necessario eseguire la Configurazione guidata Prodotti e tecnologie SharePoint e aggiungere gli altri server alla farm.
In ognuno degli altri quattro server che eseguono Microsoft Office SharePoint Server 2007 (mossfe1, mossfe2, mossquery e mosscrawl) verrà completata l'installazione di Microsoft Office SharePoint Server 2007 e verrà visualizzata la finestra di dialogo relativa al completamento dell'installazione con la casella di controllo Configurazione guidata Prodotti e tecnologie SharePoint selezionata. Lasciare selezionata questa casella di controllo e chiudere la finestra relativa al completamento dell'installazione per eseguire la Configurazione guidata Prodotti e tecnologie SharePoint. Eseguire la procedura per aggiungere ognuno di questi server alla farm.
Al termine della Configurazione guidata Prodotti e tecnologie SharePoint in ogni server aggiunto alla farm, verificare che ognuno di questi server sia in grado di eseguire il rendering di Amministrazione centrale, che è in esecuzione nel server MOSSADMIN. Se uno di questi server non riesce a eseguire il rendering di Amministrazione centrale, prima di procedere è necessario eseguire la procedura appropriata per risolvere il problema.
Configurare i servizi nei server della farm
Configurare i servizi specifici di Microsoft Windows SharePoint Services 3.0 e di Microsoft Office SharePoint Server 2007 da eseguire nei server corrispondenti che eseguono Microsoft Windows SharePoint Services 3.0 e Microsoft Office SharePoint Server 2007 nella farm, utilizzando gli account indicati nelle sezioni seguenti.
Nota
In questa sezione non è contenuta una descrizione dettagliata dell'interfaccia utente, ma vengono presentate solo istruzioni di alto livello. Per continuare è necessario avere familiarità con Amministrazione centrale e sapere come eseguire i passaggi necessari.
Accedere ad Amministrazione centrale ed eseguire la procedura seguente per configurare i servizi nei server indicati, utilizzando gli account elencati.
Servizio di ricerca di Windows SharePoint Services
Nella pagina Servizi nel server in Amministrazione centrale:
Selezionare il server MOSSQUERY.
Nell'elenco dei servizi visualizzato vicino al centro della pagina individuare il servizio di ricerca di Microsoft Windows SharePoint Services 3.0 e quindi fare su Avvia nella colonna Azione.
Nella pagina successiva specificare le credenziali per l'account del servizio di ricerca di Microsoft Windows SharePoint Services 3.0 e per l'account di accesso al contenuto di Microsoft Windows SharePoint Services 3.0. Nello scenario descritto in questo articolo, l'account del servizio di ricerca di Microsoft Windows SharePoint Services 3.0 è mydomain\wsssearch e l'account di accesso al contenuto di Microsoft Windows SharePoint Services 3.0 è mydomain\wsscrawl. Digitare i nomi e le password degli account nelle posizioni appropriate all'interno della pagina e quindi fare clic su Avvia.
Server di indicizzazione
Nella pagina Servizi nel server in Amministrazione centrale:
Selezionare il server MOSSCRAWL.
Nell'elenco dei servizi visualizzato vicino al centro della pagina individuare il servizio di ricerca di Microsoft Office SharePoint Server 2007 e quindi fare su Avvia nella colonna Azione.
Nella pagina successiva selezionare la casella di controllo Utilizza questo server per l'indicizzazione del contenuto e quindi specificare le credenziali per l'account del servizio di ricerca di Microsoft Office SharePoint Server 2007. Nello scenario descritto in questo articolo, l'account del servizio di ricerca di Microsoft Office SharePoint Server 2007 è mydomain\mosssearch. Digitare i nomi e le password degli account nelle posizioni appropriate all'interno della pagina e quindi fare clic su Avvia.
Server di query
Nella pagina Servizi nel server in Amministrazione centrale:
Selezionare il server MOSSQUERY.
Nell'elenco dei servizi visualizzato vicino al centro della pagina individuare il servizio di ricerca di Microsoft Office SharePoint Server 2007 e quindi fare clic sul nome del servizio nella colonna Servizio.
Nella pagina successiva selezionare la casella di controllo Utilizza questo server per la gestione delle query di ricerca e fare clic su OK.
Creare applicazioni Web mediante l'autenticazione Kerberos
In questa sezione vengono create applicazioni Web utilizzate per il sito portale, per un sito personale e per il sito Amministrazione servizi condivisi nella farm.
Nota
In questa sezione non è contenuta una descrizione dettagliata dell'interfaccia utente, ma vengono presentate solo istruzioni di alto livello. Per continuare è necessario avere familiarità con Amministrazione centrale e sapere come eseguire i passaggi necessari.
Creare l'applicazione Web per il sito portale
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea o estendi applicazione Web.
Nella pagina successiva fare clic su Crea nuova applicazione Web.
Nella pagina successiva verificare che l'opzione Crea un nuovo sito Web IIS sia selezionata.
Nel campo Descrizione digitare Sito portale.
Nel campo Porta digitare 80.
Nel campo Intestazione host digitare kerbportal.mydomain.net.
Verificare che l'opzione Negozia sia selezionata per il provider di autenticazione per l'applicazione Web.
Creare l'applicazione Web nell'area Predefinita. Non modificare l'area per l'applicazione Web.
Verificare che l'opzione Crea nuovo pool di applicazioni sia selezionata.
Nel campo Nome pool di applicazioni digitare Pool applicazioni sito portale.
Verificare che l'opzione Configurabile sia selezionata. Nel campo Nome utente digitare l'account mydomain\portalpool.
Fare clic su OK.
Verificare che l'applicazione Web sia stata creata.
Nota
Se si desidera utilizzare una connessione SSL e associare l'applicazione Web alla porta 443, digitare 443 nel campo Porta e selezionare Usa SSL nella pagina Crea nuova applicazione Web. È inoltre necessario installare un certificato SSL con caratteri jolly. Se si utilizza un'intestazione host IIS con associazione a un sito Web IIS configurato per SSL, è necessario utilizzare un certificato SSL con caratteri jolly. Per ulteriori informazioni sulle intestazioni host SSL in IIS, vedere Configurazione di intestazioni host SSL (IIS 6.0) (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x410) (informazioni in lingua inglese) .
Creare l'applicazione Web per il sito personale
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea o estendi applicazione Web.
Nella pagina successiva fare clic su Crea nuova applicazione Web.
Nella pagina successiva verificare che l'opzione Crea un nuovo sito Web IIS sia selezionata.
Nel campo Descrizione digitare Sito personale.
Nel campo Porta digitare 80.
Nel campo Intestazione host digitare kerbmysite.mydomain.net.
Verificare che l'opzione Negozia sia selezionata per il provider di autenticazione per l'applicazione Web.
Creare l'applicazione Web nell'area Predefinita. Non modificare l'area per l'applicazione Web.
Verificare che l'opzione Crea nuovo pool di applicazioni sia selezionata.
Nel campo Nome pool di applicazioni digitare Pool applicazioni sito personale.
Verificare che l'opzione Configurabile sia selezionata. Nel campo Nome utente digitare l'account mydomain\mysitepool.
Fare clic su OK.
Verificare che l'applicazione Web sia stata creata.
Nota
Se si desidera utilizzare una connessione SSL e associare l'applicazione Web alla porta 443, digitare 443 nel campo Porta e selezionare Usa SSL nella pagina Crea nuova applicazione Web. È inoltre necessario installare un certificato SSL con caratteri jolly. Se si utilizza un'intestazione host IIS con associazione a un sito Web IIS configurato per SSL, è necessario utilizzare un certificato SSL con caratteri jolly. Per ulteriori informazioni sulle intestazioni host SSL in IIS, vedere Configurazione di intestazioni host SSL (IIS 6.0) (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x410) (informazioni in lingua inglese) .
Creare l'applicazione Web per il sito Amministrazione servizi condivisi
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea o estendi applicazione Web.
Nella pagina successiva fare clic su Crea nuova applicazione Web.
Nella pagina successiva verificare che l'opzione Crea un nuovo sito Web IIS sia selezionata.
Nel campo Descrizione digitare Sito amministrazione provider servizi condivisi.
Nel campo Porta digitare 80.
Nel campo Intestazione host digitare kerbsspadminsite.mydomain.net.
Verificare che l'opzione Negozia sia selezionata per il provider di autenticazione per l'applicazione Web.
Creare l'applicazione Web nell'area Predefinita. Non modificare l'area per l'applicazione Web.
Verificare che l'opzione Crea nuovo pool di applicazioni sia selezionata.
Nel campo Nome pool di applicazioni digitare Pool applicazioni sito amministrazione provider servizi condivisi.
Verificare che l'opzione Configurabile sia selezionata. Nel campo Nome utente digitare l'account mydomain\sspadminpool.
Fare clic su OK.
Verificare che l'applicazione Web sia stata creata.
Nota
Se si desidera utilizzare una connessione SSL e associare l'applicazione Web alla porta 443, digitare 443 nel campo Porta e selezionare Usa SSL nella pagina Crea nuova applicazione Web. È inoltre necessario installare un certificato SSL con caratteri jolly. Se si utilizza un'intestazione host IIS con associazione a un sito Web IIS configurato per SSL, è necessario utilizzare un certificato SSL con caratteri jolly. Per ulteriori informazioni sulle intestazioni host SSL in IIS, vedere Configurazione di intestazioni host SSL (IIS 6.0) (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x410) (informazioni in lingua inglese) .
Creare una raccolta siti mediante il modello Portale di collaborazione nell'applicazione Web per il sito portale
In questa sezione viene creata una raccolta siti all'interno del sito portale nell'applicazione Web creata per questo scopo.
Nota
In questa sezione non è contenuta una descrizione dettagliata dell'interfaccia utente, ma vengono presentate solo istruzioni di alto livello. Per continuare è necessario avere familiarità con Amministrazione centrale e sapere come eseguire i passaggi necessari.
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea raccolta siti.
Nella pagina successiva accertarsi di selezionare l'applicazione Web corretta. Per l'esempio contenuto in questo articolo, selezionare http://www.mydomain.com/.
Specificare il titolo e la descrizione che si desidera utilizzare per la raccolta siti.
Lasciare invariato l'indirizzo del sito Web.
Nell'elenco Selezionare un modello della sezione Selezione modello fare clic sulla scheda Pubblicazione e selezionare il modello Portale di collaborazione.
Nella sezione Amministratore principale raccolta siti digitare mydomain\pscexec.
Specificare l'amministratore secondario della raccolta siti che si desidera utilizzare.
Fare clic su OK.
Verificare che la raccolta siti portale sia stata creata.
Creare un provider di servizi condivisi per la farm
Creare un provider di servizi condivisi per la farm.
Nota
In questa sezione non è contenuta una descrizione dettagliata dell'interfaccia utente, ma vengono presentate solo istruzioni di alto livello. Per continuare è necessario avere familiarità con Amministrazione centrale e sapere come eseguire i passaggi necessari.
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea o configura servizi condivisi della farm.
Nella pagina successiva fare clic su Nuovo provider di servizi condivisi.
Nella pagina successiva, nella sezione Nome provider di servizi condivisi, digitare SSP1 nel campo Nome provider di servizi condivisi. Nel campo Applicazione Web selezionare quindi l'applicazione Web creata per l'applicazione Web relativa al sito Amministrazione servizi condivisi. Per l'esempio contenuto in questo articolo, selezionare l'applicazione Web denominata Sito amministrazione provider servizi condivisi.
Nel campo Applicazione Web della sezione Percorso sito personale selezionare l'applicazione Web creata per il sito Web Sito personale. Per l'esempio contenuto in questo articolo, selezionare l'applicazione Web denominata Sito personale.
Nel campo Nome utente della sezione Credenziali servizio provider di servizi condivisi digitare mydomain\sspsvc.
Fare clic su OK.
Verificare che il provider di servizi condivisi della farm sia stato creato.
Verificare la corretta esecuzione dell'accesso alle applicazioni Web mediante l'autenticazione Kerberos
Verificare che l'autenticazione Kerberos funzioni per le applicazioni Web create di recente. Iniziare dal sito portale.
A tale scopo, eseguire la procedura seguente:
Eseguire l'accesso a un server che esegue Microsoft Office SharePoint Server 2007 anziché a uno dei due server Web front-end configurati per Bilanciamento carico di rete con l'account mydomain\pscexec. Non verificare il corretto comportamento dell'autenticazione Kerberos direttamente in uno dei computer che ospitano i siti Web con carico bilanciato utilizzando l'autenticazione Kerberos. È necessario eseguire questa operazione da un computer separato nel dominio.
Avviare Internet Explorer nell'altro sistema e provare ad accedere all'URL seguente: http://www.mydomain.com/.
Verrà eseguito il rendering della home page del sito portale con autenticazione Kerberos.
Per verificare che l'autenticazione Kerberos sia stata utilizzata per accedere al sito portale, accedere a uno dei server Web front-end con carico bilanciato, eseguire il Visualizzatore eventi ed esaminare il registro di protezione. Verrà visualizzato un record Controllo con esito positivo, simile alla tabella seguente, in uno dei server Web front-end. Si noti che potrebbe essere necessario cercare questo record in entrambi i server Web front-end, in base al sistema che ha gestito la richiesta con carico bilanciato.
Tipo di evento |
Controllo con esito positivo |
Origine evento |
Protezione |
Categoria evento |
Accesso/disconnessione |
ID evento |
540 |
Data |
01.11.2007 |
Ora |
17:08:20 |
Utente |
MYDOMAIN\pscexec |
Computer |
mossfe1 |
Descrizione |
Un esempio di un accesso di rete riuscito è riportato nella tabella seguente.
Nome utente |
pscexec |
Dominio |
MYDOMAIN |
ID di accesso |
(0x0,0x1D339D3) |
Tipo di accesso |
3 |
Processo di accesso |
Autenticazione Kerberos |
Nome workstation |
|
GUID di accesso |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Nome utente chiamante |
|
Dominio chiamante |
|
ID di accesso chiamante |
|
ID del processo chiamante |
|
Servizi transitati |
|
Indirizzo di rete di origine |
192.168.100.100 |
Porta di origine |
2505 |
Questo record del registro contiene lo stesso tipo di informazioni della voce di registro precedente:
Verificare che il nome utente sia corretto; è l'account mydomain\pscexec connesso in rete al server Web front-end che esegue Microsoft Office SharePoint Server 2007 e ospita il sito portale.
Verificare che il tipo di accesso sia impostato su 3; un tipo di accesso 3 corrisponde all'accesso alla rete.
Verificare che il processo di accesso e il pacchetto di autenticazione utilizzino entrambi l'autenticazione Kerberos. Questo conferma che l'autenticazione Kerberos viene utilizzata per accedere al sito portale.
Verificare che l'indirizzo di rete di origine corrisponda all'indirizzo IP del computer da cui è stata eseguita la connessione.
Se non è possibile eseguire il rendering della home page del sito portale e viene visualizzato un messaggio di errore di tipo "Autorizzazione negata", si è verificato un errore durante l'autenticazione Kerberos. In genere, le uniche possibili cause di queste errore sono due:
Il nome SPN in Active Directory non è stato registrato per l'account corretto mydomain\portalpool, relativo all'applicazione Web per il sito portale.
Il nome SPN in Active Directory non corrisponde a quello creato da Internet Explorer o non è valido per un altro motivo. In questo caso, poiché si utilizzano intestazioni host IIS senza numeri di porta espliciti, il nome SPN registrato in Active Directory è diverso dall'intestazione host IIS specificata durante l'estensione dell'applicazione Web. Per garantire il funzionamento dell'autenticazione Kerberos, è necessario risolvere questo problema.
Nota
Uno strumento di diagnostica che consente di analizzare il traffico di rete è uno sniffer della rete, ad esempio Microsoft Network Monitor, per l'acquisizione di una traccia durante l'esplorazione di Amministrazione centrale. Dopo l'errore, esaminare la traccia e cercare pacchetti di protocollo Kerberos V5. È necessario individuare un pacchetto con un nome SPN creato da Internet Explorer. Se tale nome SPN non contiene un numero di porta, è necessario applicare l'aggiornamento descritto nella sezione intitolata Configurare Internet Explorer per includere i numeri di porta nei nomi delle entità servizio. Se il nome SPN nella traccia è corretto, il nome SPN in Active Directory non è valido oppure è stato registrato per l'account errato.
Quando l'autenticazione Kerberos per il sito portale funziona, accedere al sito personale e al sito Amministrazione servizi condivisi con autenticazione Kerberos utilizzando gli URL seguenti:
Nota
La prima volta che si accede all'URL Sito personale, la creazione automatica di un sito personale per l'utente connesso mediante Microsoft Office SharePoint Server 2007 potrebbe richiedere diverso tempo. L'operazione verrà comunque completata e verrà eseguito il rendering della pagina Sito personale per tale utente.
È necessario che entrambi gli URL funzionino correttamente. In caso contrario, fare riferimento alla procedura precedente per la risoluzione dei problemi.
Verificare la corretta funzionalità del servizio di indicizzazione della ricerca
Verificare che il servizio di indicizzazione della ricerca sottoponga a ricerca per indicizzazione il contenuto ospitato nella farm. È necessario eseguire questo passaggio prima di verificare i risultati della query di ricerca per gli utenti che accedono ai siti utilizzando l'autenticazione Kerberos.
Nota
In questa sezione non è contenuta una descrizione dettagliata dell'interfaccia utente, ma vengono presentate solo istruzioni di alto livello. Per continuare è necessario avere familiarità con Amministrazione centrale e sapere come eseguire i passaggi necessari.
Accedere all'applicazione Web per il sito Amministrazione servizi condivisi all'indirizzo http://www.mydomain.com/ssp/admin.
In questa pagina fare clic su Impostazioni di ricerca.
Nella pagina successiva fare clic su Origini di contenuto e pianificazioni ricerca per indicizzazione.
Nella pagina successiva accedere all'ECB per le origini di contenuto di tipo Office SharePoint Server e selezionare Avvia ricerca per indicizzazione completa dall'elenco a discesa.
Attendere il completamento della ricerca per indicizzazione. In caso di esito negativo della ricerca, è necessario individuare l'errore e risolverlo e quindi eseguire una ricerca per indicizzazione completa. In caso di esito negativo della ricerca con errori di accesso negato, la causa del problema è che l'account non dispone dell'accesso alle origini di contenuto o che si è verificato un errore durante l'autenticazione Kerberos. Indipendentemente dalla causa, è necessario correggere l'errore prima di procedere ai passaggi successivi.
Prima di procedere, è necessario sottoporre a una ricerca per indicizzazione completa le applicazioni Web con autenticazione Kerberos.
Verificare la corretta funzionalità della query di ricerca
Per verificare che la query di ricerca restituisca i risultati per gli utenti che accedono al sito portale basato sull'autenticazione Kerberos:
Avviare Internet Explorer in un sistema incluso in mydomain.net e accedere all'indirizzo http://www.mydomain.com/.
Quando viene eseguito il rendering della home page del sito portale, digitare una parola chiave per la ricerca nel campo Cerca e premere INVIO.
Verificare che vengano restituiti i risultati della query di ricerca. In caso contrario, verificare che la parola chiave immessa sia valida nella propria distribuzione, che il servizio di indicizzazione della ricerca funzioni correttamente, che il servizio di ricerca sia in esecuzione nei server di indicizzazione della ricerca e di query di ricerca e che non si verifichino problemi relativi alla propagazione della ricerca dal server di indicizzazione della ricerca al server di query di ricerca.
Configurare l'infrastruttura del provider di servizi condivisi per l'autenticazione Kerberos
Nota
Questa è una procedura facoltativa che richiede l'installazione dell'Aggiornamento dell'infrastruttura per Microsoft Office Servers. Senza l'installazione dell'Aggiornamento dell'infrastruttura per Microsoft Office Servers non è possibile configurare correttamente l'autenticazione Kerberos per Microsoft Office SharePoint Server 2007.
L'Aggiornamento dell'infrastruttura per Microsoft Office Servers include un nuovo nome SPN con formato personalizzato per l'autenticazione Kerberos dell'infrastruttura del provider di servizi condivisi. Questo nome SPN con formato personalizzato introduce la nuova classe del servizio MSSP e il relativo formato è il seguente: MSSP/<host:porta>/<nome provider di servizi condivisi>.
Il nuovo nome SPN con formato personalizzato imposta una proprietà di .NET Framework per indicare a quest'ultimo di utilizzare un nome SPN specifico per un determinato URI. Per effettuare chiamate tra server ai servizi Web dell'infrastruttura del provider di servizi condivisi di Microsoft Office SharePoint Server 2007 viene utilizzato .NET Framework.
Se si esamina l'infrastruttura del provider di servizi condivisi in un server applicazioni di Microsoft Office SharePoint Server 2007, si noterà che è disponibile un servizio condiviso di ricerca sia a livello principale che a livello di directory virtuale in IIS. È inoltre disponibile un servizio condiviso Servizi di calcolo Excel a livello di directory virtuale in IIS. Dopo la configurazione dell'infrastruttura del provider di servizi condivisi per l'autenticazione Kerberos, Kerberos verrà utilizzato per l'accesso ai servizi condivisi sia a livello principale che a livello di directory virtuale.
Non è necessario registrare i nomi SPN per i servizi Web a livello principale. È necessario registrare solo i nomi SPN per i servizi Web a livello di directory virtuale poiché, quando si aggiunge un computer a un dominio, viene registrato automaticamente un nome SPN della classe HOST per l'account computer nel dominio e il nome SPN verrà utilizzato per il servizio Web a livello principale. Non è invece necessario registrare i nomi SPN corrispondenti alle directory virtuali effettivamente correlate ai provider di servizi condivisi nella farm.
Per configurare l'infrastruttura del provider di servizi condivisi per l'autenticazione Kerberos, è necessario eseguire la procedura seguente:
Registrare nuovi nomi SPN con formato personalizzato per l'account del servizio del provider di servizi condivisi in Active Directory.
Impostare l'infrastruttura del provider di servizi condivisi per l'utilizzo dell'autenticazione Kerberos mediante l'esecuzione dello strumento da riga di comando Stsadm.
Aggiungere una nuova chiave del Registro di sistema a tutti i server che eseguono Microsoft Office SharePoint Server 2007 per attivare la generazione di nuovi nomi SPN con formato personalizzato.
Verificare l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello principale.
Verificare l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello di directory virtuale.
Nota
I passaggi 4 e 5 della procedura precedente riguardano il servizio Web condiviso searchadmin.asmx. Questo servizio Web condiviso correlato al servizio di ricerca si trova sia al livello principale dell'infrastruttura del provider di servizi condivisi che a livello di directory virtuale di tale infrastruttura. Il servizio condiviso del servizio di ricerca a livello principale può essere considerato come un servizio Web globale relativo alla configurazione delle impostazioni del servizio di ricerca di Microsoft Office SharePoint Server 2007 al livello Servizi nel server di Amministrazione centrale Microsoft Office SharePoint Server 2007. Il servizio condiviso del servizio di ricerca a livello di directory virtuale corrisponde a un nome di provider di servizi condivisi specifico nella farm e viene utilizzato durante la configurazione delle impostazioni del servizio di ricerca specifiche di tale nome nel sito Amministrazione servizi condivisi. Quando si esegue la procedura per verificare l'autenticazione Kerberos relativa all'accesso ai servizi condivisi a livello principale, non si noterà la generazione o l'utilizzo dei nomi SPN con il nuovo formato ma tali nomi verranno visualizzati solo quando si accede al servizio Web a livello di directory. È tuttavia necessario verificare che l'accesso al servizio condiviso funzioni a entrambi i livelli.
Registrare nuovi nomi SPN con formato personalizzato per l'account del servizio del provider di servizi condivisi in Active Directory
In questo articolo, l'account del servizio del provider di servizi condivisi è mydomain\sspsvc e il nome del provider di servizi condivisi creato è SSP1. L'infrastruttura del provider di servizi condivisi è presente in tutti i server della farm. È pertanto necessario creare nomi SPN che fanno riferimento a tutti i server che eseguono Microsoft Office SharePoint Server 2007. Poiché l'infrastruttura del provider di servizi condivisi è associata alla porta TCP 56737 e alla porta SSL 56738, sono necessari nomi SPN che includono entrambi i numeri di porta. Per tale motivo, sono necessari due nomi SPN per ogni server applicazioni. Per gli esempi utilizzati in questo articolo, è necessario creare dieci nomi SPN.
Per creare i nomi SPN relativi all'infrastruttura del provider di servizi condivisi, eseguire la procedura seguente:
Eseguire l'accesso al controller di dominio di Active Directory utilizzando le credenziali di un utente con autorizzazioni amministrative a livello di dominio.
Nella finestra di dialogo Esegui digitare ADSIEDIT.MSC.
Nella finestra di dialogo della console di gestione espandere la cartella contenitore di dominio.
Espandere la cartella contenitore che contiene gli account utente, ad esempio CN=Users.
Individuare il contenitore per l'account del servizio del provider di servizi condivisi, ad esempio CN=sspsvc.
Fare clic con il pulsante destro del mouse sull'account del servizio del provider di servizi condivisi e quindi scegliere Proprietà.
Nella finestra di dialogo dell'account del servizio del provider di servizi condivisi scorrere verso il basso l'elenco delle proprietà fino alla proprietà servicePrincipalName.
Selezionare la proprietà servicePrincipalName e fare clic su Modifica.
Nel campo Valore da aggiungere della finestra di dialogo Editor stringa multivalore aggiungere i nomi SPN seguenti:
MSSP/mossfe1:56737/SSP1
MSSP/mossfe1:56738/SSP1
MSSP/mossfe2:56737/SSP1
MSSP/mossfe2:56738/SSP1
MSSP/mossadmin:56737/SSP1
MSSP/mossadmin:56738/SSP1
MSSP/mosscrawl:56737/SSP1
MSSP/mosscrawl:56738/SSP1
MSSP/mossquery:56737/SSP1
MSSP/mossquery:56738/SSP1
Impostare l'infrastruttura del provider di servizi condivisi per l'utilizzo dell'autenticazione Kerberos mediante l'esecuzione dello strumento da riga di comando Stsadm
Per configurare l'infrastruttura del provider di servizi condivisi per l'utilizzo dell'autenticazione Kerberos, eseguire la procedura seguente:
Eseguire l'accesso al controller di dominio di Active Directory utilizzando le credenziali di un utente con autorizzazioni amministrative a livello di dominio.
In uno dei server che eseguono Microsoft Office SharePoint Server 2007 aprire una finestra del prompt dei comandi.
Passare alla directory %COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin.
Digitare il comando stsadm –o setsharedwebserviceauthn –negotiate e quindi premere INVIO.
Verificare che questo comando venga eseguito prima di procedere.
Al termine della procedura, il comando verrà applicato a tutti i provider di servizi condivisi creati nella farm, inclusi quelli creati dopo l'esecuzione del comando.
Aggiungere una nuova chiave del Registro di sistema a tutti i server che eseguono Office SharePoint Server per attivare la generazione dei nuovi nomi SPN con formato personalizzato
La generazione dei nuovi nomi SPN con formato personalizzato viene controllata mediante l'impostazione di una nuova chiave del Registro di sistema introdotta con l'Aggiornamento dell'infrastruttura per Microsoft Office Servers. Per attivare la generazione di tali nomi, è necessario aggiungere la chiave del Registro di sistema a tutti i server della farm e riavviarli.
Per attivare il nuovo comportamento, eseguire la procedura seguente. In ogni server della farm:
Eseguire l'accesso come amministratore locale.
Eseguire l'Editor del Registro di sistema e aggiungere la nuova chiave del Registro di sistema seguente:HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat” (REG_DWORD) = 1
Riavviare il server. È importante tenere presente che tale operazione è necessaria per rendere effettiva la nuova chiave del Registro di sistema.
Avviso
La modifica incorretta del Registro di sistema potrebbe danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile effettuare il backup dei dati importanti sul computer.
Verificare l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello principale
Per verificare l'autenticazione Kerberos per i servizi condivisi a livello principale, eseguire la procedura seguente:
Eseguire l'accesso al computer che ospita l'applicazione Web Amministrazione centrale. Se si utilizza l'esempio descritto in questo articolo, eseguire l'accesso a MOSSADMIN.
Accedere ad Amministrazione centrale (all'indirizzo http://mossadmin.mydomain.net:10000).
Nella home page Amministrazione centrale fare clic su Operazioni.
Nella pagina Operazioni fare clic su Servizi nel server.
Nella sezione Server fare clic sulla freccia in giù per visualizzare l'elenco dei server della farm e quindi selezionare il server di query di ricerca. Se si utilizza l'esempio contenuto in questo articolo, selezionare MOSSQUERY.
Dopo l'aggiornamento della pagina, verificare che venga fatto riferimento al server di query corretto e fare clic su Servizio di ricerca di Office SharePoint Server nella sezione Servizio.
Verificare che venga visualizzata la pagina Configurazione impostazioni servizio di ricerca di Office SharePoint Server sul server mossquery.
Per verificare che sia stata utilizzata l'autenticazione Kerberos per il rendering della pagina, eseguire la procedura seguente:
Eseguire l'accesso al server di query di ricerca (se si utilizza l'esempio contenuto in questo articolo, eseguire l'accesso al computer MOSS denominato MOSSQUERY).
Eseguire il Visualizzatore eventi di Windows.
Esaminare il Registro eventi protezione.
Verrà visualizzato un record del registro simile ai dati elencati nella tabella seguente:
Tipo di evento
Controllo con esito positivo
Origine evento
Protezione
Categoria evento
Accesso/disconnessione
ID evento
540
Data
06/05/2008
Ora
12:12:17
Utente
MYDOMAIN\pscexec
Computer
MOSSQUERY
Descrizione
Un esempio di un accesso di rete riuscito è riportato nella tabella seguente.
Nome utente |
pscexec |
Dominio |
MYDOMAIN |
ID di accesso |
(0x0,0x7252B10) |
Tipo di accesso |
3 |
Processo di accesso |
Kerberos |
Pacchetto di autenticazione |
Kerberos |
Nome workstation |
|
GUID di accesso |
{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49} |
Nome utente chiamante |
|
Dominio chiamante |
|
ID di accesso chiamante |
|
ID del processo chiamante |
|
Servizi transitati |
|
Indirizzo di rete di origine |
192.168.100.100 |
Porta di origine |
1964 |
Importante
Ripetere questa procedura per il server di indicizzazione della ricerca al fine di verificare che venga eseguito il rendering della pagina e che sia disponibile un record del registro di protezione del Visualizzatore eventi in cui viene indicato che è stato utilizzato il pacchetto di autenticazione Kerberos per accedere alla pagina.
Verificare l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello di directory virtuale
Questo è il passaggio finale della configurazione e della distribuzione in una server farm che esegue Microsoft Office SharePoint Server 2007 utilizzando l'autenticazione Kerberos.
Per verificare che venga utilizzata l'autenticazione Kerberos per l'accesso ai servizi condivisi a livello di directory virtuale, eseguire la procedura seguente:
Accedere alla home page Amministrazione servizi condivisi.
Determinare il server Web front-end con carico bilanciato che risponde alla richiesta.
Nel server Web front-end che risponde alla richiesta eseguire Network Monitor e applicare un filtro di acquisizione per acquisire i pacchetti di protocollo Kerberos V5. Se si utilizza Network Monitor 3.2, il filtro di acquisizione è protocol.KerberosV5.
Avviare un'analisi in Network Monitor.
Nella home page del sito Amministrazione servizi condivisi fare clic su Impostazioni di ricerca.
Verificare che venga visualizzata la pagina Impostazioni di ricerca.
Interrompere l'analisi ed esaminare i pacchetti acquisiti. Verranno visualizzati i pacchetti di protocollo Kerberos con descrizioni simili a quelle indicate nell'esempio seguente:
KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET
KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET
KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1
KerberosV5:TGS Response Cname: sspadminpool
Il valore SName nell'esempio precedente (MSSP/mosscrawl:56738/SSP1) è il nome SPN con il nuovo formato, generato e inviato al centro distribuzione chiavi Kerberos in seguito alle modifiche incluse nell'Aggiornamento dell'infrastruttura per Microsoft Office Servers.
Eseguire l'accesso al server di indicizzazione (nell'esempio contenuto in questo articolo, il server di indicizzazione è MOSSCRAWL). Eseguire il Visualizzatore eventi ed esaminare il registro di protezione. Verrà visualizzata una voce simile ai dati elencati nella tabella seguente:
Tipo di evento |
Controllo con esito positivo |
Origine evento |
Protezione |
Categoria evento |
Accesso/disconnessione |
ID evento |
540 |
Data |
06/05/2008 |
Ora |
13:21:04 |
Utente |
MYDOMAIN\sspadminpool |
Computer |
MOSSCRAWL |
Descrizione |
Un esempio di un accesso di rete riuscito è riportato nella tabella seguente.
Nome utente |
sspadminpool |
Dominio |
MOSSCRAWL |
ID di accesso |
(0x0,0xD84A6) |
Tipo di accesso |
3 |
Processo di accesso |
Kerberos |
Pacchetto di autenticazione |
Kerberos |
Nome workstation |
|
GUID di accesso |
{2f1cccb3-c10d-27e5-9896-0f918e8ad796} |
Nome utente chiamante |
|
Dominio chiamante |
|
ID di accesso chiamante |
|
ID del processo chiamante |
|
Servizi transitati |
|
Indirizzo di rete di origine |
192.168.150.100 |
Porta di origine |
1513 |
Limiti di configurazione
I limiti di configurazione relativi all'utilizzo dell'autenticazione Kerberos per l'infrastruttura del provider di servizi condivisi mediante l'Aggiornamento dell'infrastruttura per Microsoft Office Servers sono i seguenti:
Nei nomi SPN creati con il nuovo formato, la parte relativa al nome host corrisponderà al nome NetBIOS dell'host che esegue il servizio (ad esempio, MSSP/kerbtest4:56738/SSP1) in quanto i nomi host vengono recuperati dal database di configurazione di Microsoft Office SharePoint Server 2007 e solo i nomi di computer NetBIOS vengono archiviati nel database di configurazione di Microsoft Office SharePoint Server 2007. Questo comportamento potrebbe causare situazioni ambigue in determinati scenari. Lo strumento da riga di comando Stsadm per la ridenominazione dei server che eseguono Microsoft Office SharePoint Server 2007 non può essere attualmente utilizzato per rinominare un server in cui è in esecuzione Microsoft Office SharePoint Server 2007 e, pertanto, non esiste alcuna soluzione alternativa per questo problema.
Non utilizzare nomi dei provider di servizi condivisi contenenti caratteri estesi. Un nome SPN con il nome di un provider di servizi condivisi contenente caratteri estesi non può essere selezionato come destinazione per la delega. È pertanto necessario evitare di utilizzare caratteri estesi nei nomi dei provider di servizi condivisi.
Risorse e informazioni aggiuntive per la risoluzione dei problemi
Informazioni sull'autore
Mark Grossbard è responsabile tecnico di MOSS Core Test per Office SharePoint Server presso Microsoft.
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Per un elenco completo dei manuali disponibili, vedere la Raccolta di documentazione tecnica su Office SharePoint Server (informazioni in lingua inglese).