Compartilhar via

Como configurar o servidor para ser confiável para delegação

  • Artigo

Aplica-se a: Application Virtualization 4.5 SP1

Quando você instala o software Microsoft Application Virtualization (App-V) Management Server, pode optar por instalá-lo usando uma arquitetura de sistema distribuído. Se você instalar o console, o Serviço Web de Gerenciamento e o banco de dados em computadores diferentes, deverá configurar o servidor dos Serviços de Informações da Internet (IIS) para ser confiável para delegação. Isso é necessário porque o Serviço Web de Gerenciamento tentará se conectar ao armazenamento de dados do App-V usando as credenciais do administrador do App-V que está utilizando o console. O servidor de banco de dados no qual o armazenamento de dados está instalado não aceitará as credenciais do administrador pelo servidor do IIS, a menos que esse servidor esteja configurado para ser confiável para delegação e, portanto, o Serviço Web de Gerenciamento não poderá se conectar ao armazenamento de dados do App-V.

Dica

Se você instalar o software App-V Management Server em um único servidor e colocar o armazenamento de dados em um servidor separado, há uma situação na qual ainda poderá configurar o servidor para ser confiável para delegação, mesmo que o Management Web Service e o Management Console estejam no mesmo servidor. Essa situação ocorrerá se você precisar se conectar ao Serviço Web de Gerenciamento no console usando a opção Usar Credenciais Alternativas.

O tipo de delegação que você pode usar depende do Nível Funcional de Domínio configurado na sua infra-estrutura do AD DS (Serviços de Domínio Active Directory). A tabela a seguir lista os tipos de delegação que podem ser configurados para cada Nível Funcional de Domínio para o App-V. Você encontrará instruções detalhadas depois da tabela.

Nível Funcional de Domínio Níveis de delegação disponíveis

Windows 2000 nativo
  • Sem delegação (padrão)

  • Delegação sem restrições

Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2
  • Sem delegação (padrão)

  • Delegação sem restrições1

  • Delegação restrita (usar somente protocolos Kerberos)

  • Delegação restrita (usar qualquer protocolo de autenticação) 1

1 Não recomendável.

Para configurar a delegação sem restrições quando o Nível de Domínio Funcional for Windows 2000 nativo

No controlador de domínio para o domínio de servidor Web, siga estas etapas:

  1. Clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory.

  2. Expanda o domínio e a pasta Computadores.

  3. No painel direito, clique com o botão direito do mouse no nome do computador para o servidor Web e clique em Propriedades.

  4. Na guia Geral, verifique se a caixa de seleção Confiar no computador para delegação está marcada.

  5. Clique em OK.

Para configurar a delegação sem restrições quando o Nível Funcional de Domínio for Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2

No controlador de domínio para o domínio de servidor Web, siga estas etapas:

  1. Clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory.

  2. Expanda o domínio e a pasta Computadores.

  3. No painel direito, clique com o botão direito do mouse no nome do computador para o servidor Web, selecione Propriedades e clique em Delegação.

  4. Clique para selecionar Confiar no computador para delegação a qualquer serviço (só Kerberos).

  5. Clique em OK.

Para configurar a delegação restrita quando o Nível Funcional de Domínio for Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2

No controlador de domínio para o domínio de servidor Web, siga estas etapas:

  1. Clique em Iniciar, Ferramentas Administrativas e em Usuários e Computadores do Active Directory.

  2. Expanda o domínio e a pasta Computadores.

  3. No painel direito, clique com o botão direito do mouse no nome do computador para o servidor Web, selecione Propriedades e clique em Delegação.

  4. Clique para selecionar Confiar no computador para delegação apenas a serviços especificados.

  5. Verifique se a opção Usar Kerberos somente está selecionada e clique em OK.

  6. Clique no botão Adicionar. Na caixa de diálogo Adicionar Serviços, clique em Usuários ou Computadores e procure ou digite o nome do Microsoft SQL Server que tem o armazenamento de dados do App-V e deve receber as credenciais de usuário do IIS. Clique em OK.

  7. Na lista Serviços Disponíveis, selecione o serviço MSSQLSvc que lista o número da porta em que o Microsoft SQL Server está aceitando conexões para o banco de dados do App-V (a porta padrão é 1433). Clique em OK.

Etapas adicionais para configurar o IIS 7 para delegação restrita

Se você estiver executando o Serviço Web de Gerenciamento em um servidor do IIS 7, será necessário executar as seguintes etapas para definir a variável useAppPoolCredentials do IIS 7 como True.

  1. Abra uma janela de Prompt de Comando elevada. Para abrir uma janela de Prompt de Comando elevada, clique em Iniciar, Todos os Programas, Acessórios, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.

  2. Navegue para %windir%\system32\inetsrv.

  3. Digite appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true e pressione ENTER.

-----
Para saber mais sobre o MDOP na Biblioteca do TechNet, procure soluções de problemas no TechNet Wiki ou siga-nos no Facebook ou no Twitter. Envie suas sugestões e comentários sobre a documentação do MDOP para MDOPdocs@microsoft.com.