Configurar a autenticação Kerberos (SharePoint Foundation 2010)
Aplica-se a: SharePoint Foundation 2010
Tópico modificado em: 2016-11-30
Neste artigo:
Sobre a autenticação Kerberos
Antes de começar
Configurar a autenticação Kerberos para comunicações SQL
Criar nomes de entidades de serviço para seus aplicativos Web usando a autenticação Kerberos
Implantar o farm de servidores
Configurar serviços em servidores do seu farm
Criar aplicativos Web usando a autenticação Kerberos
Criar um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site de portal
Confirmar o acesso bem-sucedido aos aplicativos Web usando a autenticação Kerberos
Confirmar a funcionalidade de Indexação de Pesquisa correta
Confirmar a funcionalidade de Consulta de Pesquisa correta
Limitações de configuração
Recursos adicionais e orientação para solução de problemas
Sobre a autenticação Kerberos
O Kerberos é um protocolo seguro que dá suporte à autenticação com tíquetes. Um servidor de autenticação Kerberos concede um tíquete em resposta a uma solicitação de autenticação de um computador cliente, caso essa solicitação contenha credenciais do usuário válidas e um SPN (nome da entidade de serviço). Em seguida, o computador cliente usa o tíquete para acessar recursos da rede. Para habilitar a autenticação Kerberos, os computadores cliente e servidor devem ter uma conexão confiável com o KDC (centro de distribuição de chaves) do domínio. O KDC distribui chaves secretas compartilhadas para habilitar a criptografia. Os computadores cliente e servidor também devem ser capazes de acessar o AD DS (Serviços de Domínio Active Directory). No AD DS, o domínio raiz da floresta é o centro de referências da autenticação Kerberos.
Para implantar um farm de servidores que execute o Microsoft SharePoint Foundation 2010 usando a autenticação Kerberos, instale e configure vários aplicativos nos seus computadores. Este artigo descreve um exemplo de farm de servidores que executa o SharePoint Foundation 2010 e oferece orientações para implantar e configurar o farm de forma a utilizar a autenticação Kerberos para oferecer suporte à seguinte funcionalidade:
Comunicação entre o SharePoint Foundation 2010 e o software de banco de dados Microsoft SQL Server.
Acesso ao aplicativo Web da Administração Central do SharePoint.
Acesso a outros aplicativos Web, incluindo um aplicativo Web de site de portal e um aplicativo Web de Meu Site.
Antes de começar
Este artigo está direcionado ao pessoal de nível administrativo com os seguintes conhecimentos:
Windows Server 2008
Active Directory
IIS (Serviços de Informações da Internet) 6.0 (ou IIS 7.0)
SharePoint Foundation 2010
Windows Internet Explorer
Autenticação Kerberos, implementada no AD DS (Serviços de Domínio Active Directory) para o Windows Server 2008
NLB (Balanceamento de Carga de Rede) no Windows Server 2008
Contas de computador em um domínio do Active Directory
Contas de usuário em um domínio do Active Directory
Sites do IIS e suas associações e configurações de autenticação
Identidades de pool de aplicativos do IIS para sites do IIS
O Assistente de Configuração de Produtos do SharePoint
Aplicativos Web do SharePoint Foundation 2010
Páginas da Administração Central
SPNs (nomes de entidade de serviço) e como configurá-los em um domínio do Active Directory
Importante
Para criar SPNs em um domínio do Active Directory, você precisa ter permissões administrativas nesse domínio.
Este artigo não proporciona um exame detalhado da autenticação Kerberos. O Kerberos é um método de autenticação padrão do setor implementado no AD DS.
Este artigo não oferece instruções detalhadas e passo a passo para a instalação do SharePoint Foundation 2010 ou para o uso do Assistente de Configuração de Produtos do SharePoint.
Este artigo não oferece instruções detalhadas e passo a passo para o uso da Administração Central com o objetivo de criar aplicativos Web do SharePoint Foundation 2010.
Requisitos de versão de software
A orientação oferecida neste artigo e os testes executados para confirmar essa orientação se baseiam nos resultados do uso de sistemas que estejam executando o Windows Server 2008 e o Internet Explorer com as atualizações mais recentes aplicadas a partir do site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416). As seguintes versões de software foram instaladas:
Windows Server 2008, com as atualizações mais recentes no site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416)
Internet Explorer
A última versão do SharePoint Foundation 2010
Verifique também se os seus controladores de domínio do Active Directory estão executando o Windows Server 2008 com as atualizações mais recentes aplicadas a partir do site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416).
Problemas conhecidos
O SharePoint Foundation 2010 pode rastrear aplicativos Web configurados para usar a autenticação Kerberos se estes estiverem hospedados em servidores virtuais do IIS associados a portas padrão (porta TCP 80 e porta SSL 443). No entanto, a Pesquisa do SharePoint Foundation 2010 não conseguirá rastrear aplicativos Web do SharePoint Foundation 2010 configurados para usar a autenticação Kerberos se esses aplicativos Web estiverem hospedados em servidores virtuais do IIS associados a portas não padrão (portas diferentes da porta TCP 80 e da porta SSL 443). Atualmente, a Pesquisa do SharePoint Foundation 2010 só pode rastrear aplicativos Web do SharePoint Foundation 2010 hospedados em servidores virtuais do IIS associados a portas não padrão que estejam configuradas para usar a autenticação NTLM ou a autenticação Básica.
Para acesso de usuários finais usando a autenticação Kerberos, se você precisar implantar aplicativos Web que só possam ser hospedados em servidores virtuais do IIS que estejam associados a portas não padrão e se você quiser que os usuários finais obtenham resultados da consulta de pesquisa:
Os mesmos aplicativos Web devem ser hospedados em outros servidores virtuais do IIS em portas não padrão.
Os aplicativos Web devem ser configurados para usar a autenticação NTLM ou Básica.
A Indexação de Pesquisa deve rastrear os aplicativos Web usando a autenticação NTLM ou Básica.
Este artigo oferece orientação para:
Como configurar o aplicativo Web da Administração Central usando a autenticação Kerberos hospedada em um servidor virtual do IIS associado a portas não padrão.
Como configurar aplicativos de portal e Meu Site usando a autenticação Kerberos hospedada em servidores virtuais do IIS associados a portas padrão e com uma associação de cabeçalho de host do IIS.
Como verificar se a Indexação de Pesquisa rastreia com sucesso aplicativos Web do SharePoint Foundation 2010 usando a autenticação Kerberos.
Como verificar se os usuários que estão acessando aplicativos Web autenticados por Kerberos conseguem obter resultados da consulta de pesquisa para esses aplicativos Web.
Histórico adicional
É importante compreender que, quando você usa a autenticação Kerberos, a funcionalidade de autenticação precisa dependerá em parte do comportamento do cliente que esteja tentando autenticar-se usando Kerberos. Em uma implantação de farm do SharePoint Foundation 2010 usando a autenticação Kerberos, o SharePoint Foundation 2010 não é o cliente. Antes de implantar um farm de servidores que esteja executando o SharePoint Foundation 2010 usando a autenticação Kerberos, é preciso compreender o comportamento dos seguintes clientes:
O navegador (no contexto deste artigo, o navegador sempre será o Internet Explorer)
O Microsoft .NET Framework
O navegador é o cliente usado para navegação até uma página da Web em um aplicativo Web do SharePoint Foundation 2010. Quando o SharePoint Foundation 2010 executa tarefas como o rastreamento das fontes de conteúdo locais do SharePoint Foundation 2010, o .NET Framework funciona como o cliente.
Para que a autenticação Kerberos funcione corretamente, é necessário criar SPNs no AD DS. Se os serviços aos quais esses SPNs correspondem estiverem escutando em portas não padrão, os SPNs deverão incluir números de porta. Isso serve para garantir que os SPNs sejam significativos e também é necessário para impedir a criação de SPNs duplicados.
Quando um cliente tenta acessar um recurso usando a autenticação Kerberos, ele deve criar um SPN a ser usado como parte do processo da autenticação Kerberos. Se o cliente não criar um SPN que corresponda ao SPN configurado no AD DS, a autenticação Kerberos falhará, normalmente com um erro de "Acesso negado".
Existem versões do Internet Explorer que não criam SPNs com números de porta. Se você estiver usando aplicativos Web do SharePoint Foundation 2010 associados a números de porta não padrão no IIS, talvez seja necessário direcionar o Internet Explorer de forma a incluir números de porta nos SPNs criados por ele. Em um farm que esteja executando o SharePoint Foundation 2010, o aplicativo Web da Administração Central é hospedado, por padrão, em um servidor virtual do IIS associado a uma porta não padrão. Portanto, este artigo trata dos sites do IIS associados por porta e dos sites do IIS associados a cabeçalhos de host.
Por padrão, em um farm que esteja executando o SharePoint Foundation 2010, o .NET Framework não cria SPNs com números de porta. É por isso que a Pesquisa não consegue rastrear aplicativos Web usando a autenticação Kerberos caso esses aplicativos Web estejam hospedados em servidores virtuais do IIS associados a portas não padrão.
Topologia do farm de servidores
Este artigo refere-se à seguinte topologia de farm de servidores do SharePoint Foundation 2010:
Dois computadores executando o Windows Server 2008 que estejam atuando como servidores Web front-end com o Windows NLB configurado.
Três computadores executando o Windows Server 2008 que estejam atuando como servidores de aplicativos. Um dos servidores de aplicativos hospeda o aplicativo Web da Administração Central. O segundo servidor de aplicativos está executando a Consulta de Pesquisa, enquanto o terceiro está executando a Indexação de Pesquisa.
Um computador executando o Windows Server 2008 usado como o host SQL para o farm executando o SharePoint Foundation 2010. Para o cenário descrito neste artigo, você pode usar qualquer Microsoft SQL Server 2008.
Serviços de Domínio Active Directory, nomenclatura de computador e convenções NLB
O cenário descrito neste artigo usa o Active Directory, a nomenclatura de computador e as convenções NLB a seguir:
| Função de servidor | Nome do domínio |
|---|---|
Serviços de Domínio Active Directory |
mydomain.net |
Um servidor Web front-end executando o SharePoint Foundation 2010 |
wssfe1.mydomain.net |
Um servidor Web front-end executando o SharePoint Foundation 2010 |
wssfe2.mydomain.net |
Administração Central do SharePoint Foundation 2010 |
wssadmin.mydomain.net |
Indexação de Pesquisa executando o SharePoint Foundation 2010 |
wsscrawl.mydomain.net |
Consulta de Pesquisa executando o SharePoint Foundation 2010 |
wssquery.mydomain.net |
Host do SQL Server que executa o SharePoint Foundation 2010 |
wsssql.mydomain.net |
Um NLB VIP é atribuído a wssfe1.mydomain.net e a wssfe2.mydomain.net como resultado da configuração do NLB nesses sistemas. Um conjunto de nomes de host DNS apontando para esse endereço é registrado no seu sistema DNS. Por exemplo, se o NLB VIP for 192.168.100.200, você terá um conjunto de registros DNS que resolverá os seguintes nomes de DNS para esse endereço IP (192.168.100.200):
kerbportal.mydomain.net
kerbmysite.mydomain.net
Convenções de conta de domínio do Active Directory
O exemplo neste artigo usa as convenções de nomenclatura listadas na tabela a seguir para contas de serviço e identidades de pool de aplicativos usadas no farm que executa o SharePoint Foundation 2010.
| Conta de domínio ou identidade do pool de aplicativos | Nome |
|---|---|
Conta de administrador local
|
mydomain\pscexec |
Conta de administrador local no computador host do SQL Server |
mydomain\sqladmin |
A conta de serviço do SQL Server usada para executar o serviço SQL Server |
mydomain\wsssqlsvc |
Conta de administrador do farm do SharePoint Foundation 2010 |
mydomain\wssfarmadmin Usada como a identidade do pool de aplicativos da Administração Central e como a conta de serviço do Serviço de Timer do SharePoint. |
A identidade do pool de aplicativos do SharePoint Foundation 2010 para o aplicativo Web do site de portal |
mydomain\portalpool |
A identidade do pool de aplicativos do SharePoint Foundation 2010 para o aplicativo Web Meu Site |
mydomain\mysitepool |
Conta do serviço de pesquisa do SharePoint Foundation 2010 |
mydomain\wsssearch |
Conta de acesso ao conteúdo de pesquisa do SharePoint Foundation 2010 |
mydomain\wsscrawl |
Conta do serviço de pesquisa do SharePoint Foundation 2010 |
mydomain\wsssearch |
Conta de acesso ao conteúdo do SharePoint Foundation 2010 |
mydomain\wsscrawl |
Requisitos de configuração preliminar
Antes de instalar o SharePoint Foundation 2010 nos computadores do farm de servidores, verifique se você executou os seguintes procedimentos:
Todos os servidores usados no farm, incluindo o host SQL, estão configurados com o Windows Server 2008, incluindo as últimas atualizações aplicadas a partir do site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416).
Todos os servidores no farm têm o Internet Explorer (e as últimas atualizações para esse programa) instaladas no site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416).
O SQL Server 2008 está instalado e em execução no computador host SQL, e o serviço SQL Server está sendo executado como a conta mydomain\sqlsvc. Uma instância padrão do SQL Server está instalada e escutando na porta TCP 1433.
O usuário Executar como do Assistente de Configuração de Produtos do SharePoint foi adicionado:
Como Logon do SQL no host SQL.
À função DBCreators do SQL Server no host SQL.
À função Administradores de Segurança do SQL Server no host SQL.
Configurar a autenticação Kerberos para comunicações SQL
Configure a autenticação Kerberos para comunicações SQL antes de instalar e configurar o SharePoint Foundation 2010 nos servidores em executam o SharePoint Foundation 2010. Isso é necessário porque a autenticação Kerberos para comunicações SQL precisa ser configurada e ter o seu funcionamento confirmado para que os computadores que executam o SharePoint Foundation 2010 possam se conectar ao SQL Server.
O processo de configurar a autenticação Kerberos para qualquer serviço instalado em um computador host que execute o Windows Server 2008 inclui a criação de um SPN para a conta de domínio usada para executar o serviço no host. SPNs são formados pelas seguintes partes:
Um Nome de Serviço (por exemplo, MSSQLSvc ou HTTP)
Um nome de host (real ou virtual)
Um número de porta
A lista a seguir contém exemplos de SPNs para uma instância padrão do SQL Server em execução em um computador chamado wsssql e que escuta na porta 1433:
MSSQLSvc/wsssql:1433
MSSQLSvc/wsssql.mydomain.com:1433
Esses são os SPNs que você criará para a instância do SQL Server no host SQL que será usado pelo farm descrito neste artigo. Você sempre deve criar SPNs que tenham um nome NetBIOS e um nome DNS completo para um host na rede.
Há métodos diferentes que você pode usar para definir um SPN para uma conta no domínio do Active Directory. Um deles é usar o utilitário SETSPN.EXE, que faz parte das ferramentas do kit de recursos para o Windows Server 2008. Outro método é usar o snap-in ADSIEDIT.MSC no controlador de domínio do Active Directory. Este artigo aborda o uso do snap-in ADSIEDIT.MSC.
Há duas etapas principais para a configuração da autenticação Kerberos para o SQL Server:
Crie SPNs para a sua conta de serviço do SQL Server.
Confirme se a autenticação Kerberos é usada para conectar servidores que executam o SharePoint Foundation 2010 a servidores que executam o SQL Server.
Criar os SPNs para a sua conta de serviço do SQL Server
Faça logon no controlador de domínio do Active Directory usando as credenciais de um usuário que tenha permissões administrativas de domínio.
Na caixa de diálogo Executar, digite ADSIEDIT.MSC.
Na caixa de diálogo Console de Gerenciamento, expanda a pasta Contêiner de Domínio.
Expanda a pasta Contêiner que contém as contas dos usuários, por exemplo, CN=Users.
Localize o contêiner da conta Serviço SQL Server; por exemplo, CN=wsssqlsvc.
Clique com o botão direito do mouse nessa conta e clique em Propriedades.
Percorra a lista de propriedades na caixa de diálogo Conta de serviço do SQL Server até encontrar servicePrincipalName.
Selecione a propriedade servicePrincipalName e clique em Editar.
No campo Valor a Adicionar, na caixa de diálogo Editor de Cadeia de Caracteres com Valores Múltiplos, digite o SPN MSSQLSvc/wsssql:1433 e clique em Adicionar. Em seguida, digite o SPN MSSQLSvc/wsssql.mydomain.com:1433 nesse campo e clique em Adicionar.
Clique em OK na caixa de diálogo Editor de Cadeia de Caracteres com Valores Múltiplos e clique em OK na caixa de diálogo Propriedades da conta de serviço do SQL Server.
Confirme se a autenticação Kerberos é usada para conectar servidores que executam o SharePoint Foundation 2010 ao SQL Server
Instale as Ferramentas de Cliente SQL em um dos servidores que executam o SharePoint Foundation 2010 e use as ferramentas para se conectar a partir do servidor que executa o SharePoint Foundation 2010 aos servidores que executam o SQL Server. Esse artigo não aborda as etapas de instalação das Ferramentas de Cliente SQL em um dos servidores que executam o SharePoint Foundation 2010. Os procedimentos de confirmação se baseiam nas seguintes suposições:
Você está usando o SQL Server 2008 no host SQL.
Você se conectou a um dos servidores que executam o SharePoint Foundation 2010 usando a conta mydomain\pscexec e instalou as Ferramentas de Cliente SQL 2005 no servidor que executa o SharePoint Foundation 2010.
Execute o SQL Server 2005 Management Studio.
Quando a caixa de diálogo Conectar ao Servidor for exibida, digite o nome do computador host do SQL (neste exemplo, esse computador é wsssql) e clique em Conectar para se conectar ao computador host do SQL.
Para confirmar se a autenticação Kerberos foi usada para essa conexão, execute o visualizador de eventos no computador host SQL e examine o log de eventos de Segurança. Você deve ver um registro de Auditoria com Êxito para um evento de categoria de Logon/Logoff semelhante aos dados mostrados nas seguintes tabelas:
Tipo de Evento
Auditoria com Êxito
Origem do Evento
Segurança
Categoria do Evento
Logon/Logoff
ID do Evento
540
Data
31.10.07
Hora
16:12:24
Usuário
MYDOMAIN\pscexec
Computador
WSSQL
Descrição
Um exemplo de um logon de rede bem-sucedido está descrito na tabela a seguir.
Nome do Usuário
pscexec
Domínio
MYDOMAIN
ID de Logon
(0x0,0x6F1AC9)
Tipo de Logon
3
Processo de Logon
Kerberos
Nome da Estação de Trabalho
GUID de Logon
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Nome do Usuário Chamador
Domínio do Chamador
ID de Logon do Chamador
ID de Processo do Chamador
Serviços Transitados
Endereço de Rede de Origem
192.168.100.100
Porta de Origem
2465
Examine a entrada de log para confirmar se:
O nome do usuário está correto. A conta mydomain\pscexec foi conectada pela rede ao host SQL.
O tipo de logon é 3. Um logon do tipo 3 é um logon de rede.
O processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma se o servidor que executa o SharePoint Foundation 2010 está usando a autenticação Kerberos para se comunicar com o host SQL.
O Endereço de Rede de Origem corresponde ao endereço IP do computador a partir do qual a conexão foi feita.
Se a sua conexão com o host SQL falhar com uma mensagem de erro semelhante a Não é possível gerar contexto SSPI, é provável que haja um problema com o SPN usado para a sua instância do SQL Server. Para solucionar o problema e corrigir isso, consulte o artigo sobre como solucionar a mensagem de erro "Não é possível gerar contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x416), na Base de Dados de Conhecimento Microsoft.
Criar nomes da entidade de serviço para os aplicativos Web usando a autenticação Kerberos
No que diz respeito à autenticação Kerberos, não há nada de especial em relação aos aplicativos Web do SharePoint Foundation 2010 baseados no IIS: a autenticação Kerberos trata esses aplicativos como qualquer outro site do IIS.
Esse processo requer conhecimento dos seguintes itens:
A Classe de Serviço do SPN (no contexto desse artigo, para aplicativos Web do SharePoint Foundation 2010, essa classe é sempre HTTP).
A URL de todos os aplicativos Web do SharePoint Foundation 2010 que usam a autenticação Kerberos.
A parte do nome de host do SPN (real ou virtual; este artigo aborda as duas opções).
A parte do número de porta do SPN (no cenário descrito neste artigo, são usados aplicativos Web do SharePoint Foundation 2010 baseados na porta do IIS e no cabeçalho de host).
As contas do Windows Active Directory para as quais é necessário criar SPNs.
A tabela a seguir lista as informações do cenário descrito neste artigo:
| URL | Conta do Active Directory | SPN |
|---|---|---|
http://wssadmin.mydomain.net:10000 |
wssfarmadmin |
|
http://kerbportal.mydomain.net |
portalpool |
|
http://kerbmysite.mydomain.net |
mysitepool |
|
Observações sobre esta tabela:
A primeira URL listada acima é da Administração Central e usa um número de porta. Você não precisa usar a porta 10000. Este é apenas um exemplo utilizado para manter a consistência neste artigo.
As duas URLs seguintes destinam-se ao site do portal e ao Meu Site, respectivamente.
Use as diretrizes fornecidas acima para criar os SPNs necessários no AD DS para dar suporte à autenticação Kerberos para seus aplicativos Web do SharePoint Foundation 2010. Você precisa fazer logon em um controlador de domínio no seu ambiente usando uma conta que tenha permissões administrativas de domínio. Para criar os SPNs, use o utilitário SETSPN.EXE ou o snap-in ADSIEDIT.MSC mencionados antes. Se estiver usando o snap-in ADSIEDIT.MSC, consulte as instruções fornecidas anteriormente neste artigo sobre a criação de SPNs. Certifique-se de criar os SPNs corretos para as contas certas no AD DS.
Implantar o farm de servidores
A implantação do farm de servidores inclui as seguintes etapas:
Instale o SharePoint Foundation 2010 em todos os servidores que executam o SharePoint Foundation 2010.
Execute o Assistente de Configuração de Produtos do SharePoint e crie um novo farm. Essa etapa inclui a criação de um aplicativo Web da Administração Central do SharePoint Foundation 2010 que será hospedado em um servidor virtual do IIS associado a uma porta não padrão e que usará a autenticação Kerberos.
Execute o Assistente de Configuração de Produtos do SharePoint e ingresse os outros servidores no farm.
Configure Serviços nos Servidores do farm para:
Serviço de Pesquisa do SharePoint Foundation 2010
Indexação de Pesquisa do SharePoint Foundation 2010
Consulta de Pesquisa do SharePoint Foundation 2010
Crie aplicativos Web que sejam usados para o site de portal e Meu Site, usando a autenticação Kerberos.
Crie um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site de portal.
Confirme o acesso bem-sucedido aos aplicativos Web usando a autenticação Kerberos.
Confirme a funcionalidade de Indexação de Pesquisa correta.
Confirme a funcionalidade de Consulta de Pesquisa correta.
Instalar o SharePoint Foundation 2010 em todos os servidores
Este é o processo direto de execução da configuração do SharePoint Foundation 2010 para instalar os binários do SharePoint Foundation 2010 nos servidores que executam o SharePoint Foundation 2010. Faça logon em todos os computadores que executam o SharePoint Foundation 2010 usando a conta mydomain\pscexec. Nenhuma instrução passo a passo é fornecida para isso. Para o cenário descrito neste artigo, execute uma instalação Completa do SharePoint Foundation 2010 em todos os servidores que exijam o SharePoint Foundation 2010.
Criar um novo farm
Para o cenário descrito neste artigo, primeiro execute o Assistente de Configuração de Produtos do SharePoint no servidor de Indexação de Pesquisa, WSSADMIN, para que o WSSADMIN hospede o aplicativo Web da Administração Central no SharePoint Foundation 2010.
No servidor chamado WSSCRAWL, quando a instalação estiver concluída, uma caixa de diálogo Instalação Concluída será apresentada, contendo uma caixa de seleção marcada para executar o Assistente de Configuração de Produtos do SharePoint. Mantenha a caixa de seleção marcada e feche a caixa de diálogo de instalação para poder executar o Assistente de Configuração de Produtos do SharePoint.
Ao executar o Assistente de Configuração de Produtos do SharePoint neste computador, siga estas etapas para criar um novo farm:
Forneça o nome do servidor de banco de dados (neste artigo, este é o servidor chamado WSSSQL).
Forneça um nome de banco de dados de configuração (você pode usar o padrão ou estipular um nome de sua escolha).
Forneça as informações da conta (administrador de farm) de acesso ao banco de dados. Usando o cenário deste artigo, essa conta é a mydomain\wssfarmadmin.
Forneça as informações necessárias para o aplicativo Web da Administração Central do SharePoint Foundation 2010. Usando o cenário neste artigo, essas informações são as seguintes:
Número de porta do aplicativo Web da Administração Central: 10000
Método de autenticação: Negociar
Depois que você fornecer todas as informações necessárias, o Assistente de Configuração de Produtos do SharePoint será concluído com êxito. Se esse for o caso, confirme se você pode acessar a home page do aplicativo Web da Administração Central do SharePoint Foundation 2010 usando a autenticação Kerberos. Para fazer isso, siga estas etapas:
Faça logon em um servidor diferente que execute o SharePoint Foundation 2010 ou em outro computador do domínio mydomain como mydomain\pscexec. Você não deve verificar o comportamento de autenticação Kerberos correto diretamente no computador que hospeda o aplicativo Web da Administração Central do SharePoint Foundation 2010. Isso deve ser feito em outro computador do domínio.
Inicie o Internet Explorer nesse servidor e tente ir até a URL: http://wssadmin.mydomain.net:10000. A home page da Administração Central será renderizada.
Para confirmar se a autenticação Kerberos foi usada para acessar a Administração Central, volte ao computador chamado WSSADMIN, execute o visualizador de eventos e examine o log de segurança. Você verá um registro Auditoria de Êxitos, cuja aparência é similar à seguinte tabela:
Tipo de Evento
Auditoria com Êxito
Origem do Evento
Segurança
Categoria do Evento
Logon/Logoff
ID do Evento
540
Data
01.11.07
Hora
14:22:20
Usuário
MYDOMAIN\pscexec
Computador
WSSADMIN
Descrição
Um exemplo de um logon de rede bem-sucedido está descrito na tabela a seguir.
Nome do Usuário
pscexec
Domínio
MYDOMAIN
ID de Logon
(0x0,0x1D339D3)
Tipo de Logon
3
Processo de Logon
Kerberos
Pacote de Autenticação
Kerberos
Nome da Estação de Trabalho
GUID de Logon
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Nome do Usuário Chamador
Domínio do Chamador
ID de Logon do Chamador
ID de Processo do Chamador
Serviços Transitados
Endereço de Rede de Origem
192.168.100.100
Porta de Origem
2505
O exame desse registro de log mostra o mesmo tipo de informação da entrada de log anterior:
Confirme se o nome do usuário está correto; trata-se da conta mydomain\pscexec conectada pela rede ao servidor que executa o SharePoint Foundation 2010 e que está hospedando a Administração Central.
Confirme se o tipo de logon é 3; um tipo de logon 3 é um logon de rede.
Confirme se o processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma se a autenticação Kerberos está sendo usada para acessar o aplicativo Web da Administração Central.
Confirme se o Endereço de Rede de Origem corresponde ao endereço IP do computador a partir do qual a conexão foi feita.
Se a home page da Administração Central não for renderizada e uma mensagem de erro não autorizado for exibida, significa que a autenticação Kerberos está falhando. Em geral, há apenas duas causas para essa falha:
O SPN do AD DS não foi registrado para a conta correta. Ele deveria ter sido registrado para mydomain\wssfarmadmin.
O SPN no AD DS não corresponde ao SPN que está sendo criado pelo Internet Explorer ou é inválido de alguma forma. Talvez você tenha omitido o número de porta do SPN registrado no AD DS. Verifique se essa informação está correta e se a Administração Central está funcionando, usando a autenticação Kerberos, antes de continuar.
Observação
Um auxiliar de diagnóstico que você pode usar para verificar o que está acontecendo na rede é um sniffer (farejador) de rede, como o Microsoft Network Monitor, para criar um rastreamento durante a navegação para a Administração Central. Após a falha, examine o rastreamento e procure pacotes do Protocolo KerberosV5. Encontre um pacote com um SPN criado pelo Internet Explorer. Se o SPN no rastreamento parecer correto, significa que o SPN no AD DS é inválido ou foi registrado para a conta errada.
Ingresse os outros servidores no farm
Agora que o farm foi criado e você pode acessar com êxito a Administração Central usando a autenticação Kerberos, é necessário executar o Assistente de Configuração de Produtos do SharePoint e ingressar os outros servidores no farm.
Em cada um dos quatro servidores que executam o SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery e wsscrawl), a instalação do SharePoint Foundation 2010 deve estar concluída, e a caixa de diálogo de conclusão da instalação deve ser apresentada com a caixa de seleção Assistente de Configuração de Produtos do SharePoint marcada. Mantenha a caixa de seleção marcada e feche a caixa de diálogo de conclusão da instalação para poder executar o Assistente de Configuração de Produtos do SharePoint. Execute o procedimento para ingressar cada um desses servidores no farm.
Depois de concluir o Assistente de Configuração de Produtos do SharePoint em cada servidor adicionado ao farm, verifique se cada um deles pode renderizar a Administração Central que está em execução no servidor WSSADMIN. Se algum deles não conseguir renderizar a Administração Central, tome as providências necessárias para resolver o problema antes de continuar.
Configurar serviços nos servidores do farm
Configure serviços específicos do SharePoint Foundation 2010 para execução em servidores específicos que executem o SharePoint Foundation 2010 no farm, usando as contas indicadas nas próximas seções.
Observação
Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.
Acesse a Administração Central e execute as seguintes etapas para configurar os serviços nos servidores indicados, usando as contas especificadas.
Pesquisa do Windows SharePoint Services
Na página Serviços no Servidor da Administração Central:
Selecione o servidor WSSQUERY.
Na lista de serviços exibida, próximo ao meio da página, localize o serviço de Pesquisa do SharePoint Foundation 2010 e clique em Iniciar na coluna Ação.
Na página seguinte, forneça as credenciais da conta do serviço de pesquisa do SharePoint Foundation 2010 e da conta de Acesso ao Conteúdo do SharePoint Foundation 2010. No cenário deste artigo, a conta do serviço de pesquisa do SharePoint Foundation 2010 é mydomain\wsssearch, e a conta de acesso ao conteúdo do SharePoint Foundation 2010 é mydomain\wsscrawl. Digite os nomes das contas e as senhas nos locais apropriados na página e clique em Iniciar.
Servidor de indexação
Na página Serviços no Servidor da Administração Central:
Selecione o servidor WSSCRAWL.
Na lista de serviços exibida, próximo ao meio da página, localize o serviço de Pesquisa do SharePoint Foundation 2010 e clique em Iniciar na coluna Ação.
Na página subsequente, marque a caixa de seleção Use este servidor para indexação de conteúdo e depois forneça as credenciais da conta de serviço de pesquisa do SharePoint Foundation 2010. No cenário deste artigo, a conta de serviço de pesquisa do SharePoint Foundation 2010 é mydomain\wsssearch. Digite os nomes das contas e as senhas nos locais apropriados na página e clique em Iniciar.
Servidor de consulta
Na página Serviços no Servidor da Administração Central:
Selecione o servidor WSSQUERY.
Na lista de serviços exibida, próximo ao meio da página, localize o serviço de Pesquisa do SharePoint Foundation 2010 e clique no nome do serviço na coluna Serviço.
Na página seguinte, marque a caixa de seleção Usar este servidor para fazer consultas de pesquisa e clique em OK.
Criar aplicativos Web usando a autenticação Kerberos
Nesta seção, crie aplicativos Web usados para o site de portal e um Meu Site no farm.
Observação
Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.
Criar o aplicativo Web do site de portal
Na página Gerenciamento de Aplicativos na Administração Central, clique em Criar ou estender aplicativo Web.
Na página seguinte, clique em Criar um novo aplicativo Web.
Na página seguinte, verifique se a opção Criar um novo site do IIS está selecionada.
No campo Descrição, digite PortalSite.
No campo Porta, digite 80.
No campo Cabeçalho de Host, digite kerbportal.mydomain.net.
Verifique se a opção Negociar está selecionada como o provedor de autenticação desse aplicativo Web.
Crie esse aplicativo Web na zona Padrão. Não modifique a zona desse aplicativo Web.
Verifique se a opção Criar novo pool de aplicativos está selecionada.
No campo Nome do Pool de Aplicativos, digite PortalAppPool.
Verifique se a opção Configurável está selecionada. No campo Nome de usuário, digite a conta mydomain\portalpool.
Clique em OK.
Confirme se o aplicativo Web foi criado com êxito.
Observação
Se você quiser usar uma conexão SSL e associar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você deve instalar um certificado SSL curinga. Ao usar uma associação de cabeçalho de host do IIS em um site do IIS configurado para SSL, você deve usar um certificado SSL curinga. Para obter mais informações sobre cabeçalhos de host SSL no IIS, consulte o artigo sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416).
Criar o aplicativo Web Meu Site
Na página Gerenciamento de Aplicativos na Administração Central, clique em Criar ou estender aplicativo Web.
Na página seguinte, clique em Criar um novo aplicativo Web.
Na página seguinte, verifique se a opção Criar um novo site do IIS está selecionada.
No campo Descrição, digite MySite.
No campo Porta, digite 80.
No campo Cabeçalho de Host, digite kerbmysite.mydomain.net.
Verifique se a opção Negociar está selecionada como o provedor de autenticação desse aplicativo Web.
Crie esse aplicativo Web na zona Padrão. Não modifique a zona desse aplicativo Web.
Verifique se a opção Criar novo pool de aplicativos está selecionada.
No campo Nome do Pool de Aplicativos, digite MySiteAppPool.
Verifique se a opção Configurável está selecionada. No campo Nome de usuário, digite a conta mydomain\mysitepool.
Clique em OK.
Confirme se o aplicativo Web foi criado com êxito.
Observação
Se você quiser usar uma conexão SSL e associar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você deve instalar um certificado SSL curinga. Ao usar uma associação de cabeçalho de host do IIS em um site do IIS configurado para SSL, você deve usar um certificado SSL curinga. Para obter mais informações sobre cabeçalhos de host SSL no IIS, consulte o artigo sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416).
Criar um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site de portal
Nesta seção, você cria um conjunto de sites no site de portal do aplicativo Web que criou para esse propósito.
Observação
Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.
Na página Gerenciamento de Aplicativos da Administração Central, clique em Criar conjunto de sites.
Na página seguinte, selecione o aplicativo Web correto. Para o exemplo neste artigo, selecione http://kerbportal.mydomain.net.
Forneça o título e a descrição que você deseja usar para esse conjunto de sites.
Deixe o endereço do site inalterado.
Na seção Seleção de Modelo, em Selecionar um Modelo, clique na guia Publicação e selecione o modelo Portal de Colaboração.
Na seção Administrador Principal do Conjunto de Sites, digite mydomain\pscexec.
Especifique o Administrador do Conjunto de Sites Secundário que você deseja usar.
Clique em OK.
Confirme se o conjunto de sites do portal foi criado com êxito.
Confirmar o acesso bem-sucedido aos aplicativos Web usando a autenticação Kerberos
Confirme se a autenticação Kerberos está funcionando para os aplicativos Web recém-criados. Comece com o site de portal.
Para fazer isso, siga estas etapas:
Faça logon em um servidor que executa o SharePoint Foundation 2010, em vez de em um dos dois servidores Web front-end configurados para NLB como mydomain\pscexec. Você não deve verificar o comportamento da autenticação Kerberos correto diretamente em um dos computadores que hospedam sites com balanceamento de carga usando a autenticação Kerberos. Isso deve ser feito em outro computador do domínio.
Inicie o Internet Explorer nesse outro sistema e tente acessar a seguinte URL: http://kerbportal.mydomain.net.
A home page do site do portal com autenticação Kerberos deve ser renderizada.
Para confirmar se a autenticação Kerberos foi usada para acessar o site de portal, acesse um dos servidores Web front-end com balanceamento de carga, execute o visualizador de eventos e examine o log de segurança. Você deverá ver um registro de Auditoria com Êxito, semelhante à tabela a seguir, em um dos servidores Web front-end. Observe que talvez seja necessário examinar os dois servidores Web front-end antes de encontrar essas informações, dependendo do sistema que administrou a solicitação de balanceamento de carga.
Tipo de Evento |
Auditoria com Êxito |
Origem do Evento |
Segurança |
Categoria do Evento |
Logon/Logoff |
ID do Evento |
540 |
Data |
01.11.07 |
Hora |
17:08:20 |
Usuário |
MYDOMAIN\pscexec |
Computador |
wssfe1 |
Descrição |
Um exemplo de um logon de rede bem-sucedido está descrito na tabela a seguir.
Nome do Usuário |
pscexec |
Domínio |
MYDOMAIN |
ID de Logon |
(0x0,0x1D339D3) |
Tipo de Logon |
3 |
Processo de Logon |
Autenticação Kerberos |
Nome da Estação de Trabalho |
|
GUID de Logon |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Nome do Usuário Chamador |
|
Domínio do Chamador |
|
ID de Logon do Chamador |
|
ID de Processo do Chamador |
|
Serviços Transitados |
|
Endereço de Rede de Origem |
192.168.100.100 |
Porta de Origem |
2505 |
O exame desse registro de log mostra o mesmo tipo de informação da entrada de log anterior:
Confirme se o nome do usuário está correto; trata-se da conta mydomain\pscexec conectada pela rede ao servidor Web front-end que executa o SharePoint Foundation 2010 e que está hospedando o site de portal.
Confirme se o tipo de logon é 3; um tipo de logon 3 é um logon de rede.
Confirme se o processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma se a autenticação Kerberos está sendo usada para acessar o site de portal.
Confirme se o Endereço de Rede de Origem corresponde ao endereço IP do computador a partir do qual a conexão foi feita.
Se a home page do site de portal não for renderizada e exibir uma mensagem de erro “não autorizado”, significa que a autenticação Kerberos está falhando. Em geral, há apenas algumas causas para isso:
O SPN no AD DS não foi registrado para a conta correta. Ele deveria ter sido registrado para mydomain\portalpool, para o aplicativo Web do site de portal.
O SPN no AD DS não corresponde ao SPN que está sendo criado pelo Internet Explorer ou é inválido por outro motivo. Nesse caso, como você está usando cabeçalhos de host do IIS sem explicitar números de porta, o SPN registrado no AD DS é diferente do cabeçalho de host do IIS especificado quando você estendeu o aplicativo Web. É necessário corrigir isso para fazer a autenticação Kerberos funcionar.
Observação
Um auxiliar de diagnóstico que você pode usar para verificar o que está acontecendo na rede é um sniffer (farejador) de rede, como o Microsoft Network Monitor, para criar um rastreamento durante a navegação para a Administração Central. Após a falha, examine o rastreamento e procure pacotes do Protocolo KerberosV5. Você deverá encontrar um pacote com um SPN criado pelo Internet Explorer. Se o SPN no rastreamento parecer correto, significa que o SPN no AD DS é inválido ou foi registrado para a conta errada.
Quando a autenticação Kerberos estiver funcionando no site de portal, acesse Meu Site com autenticação Kerberos, usando a seguinte URL:
Observação
Na primeira vez que você acessar a URL de Meu Site, será necessário algum tempo para que o SharePoint Foundation 2010 crie um Meu Site para o usuário conectado. No entanto, essa operação será bem-sucedida, e a página Meu Site do usuário será renderizada.
Isso deve funcionar corretamente. Se isso não acontecer, consulte as etapas de solução de problemas anterior.
Confirmar a funcionalidade de Indexação de Pesquisa correta
Confirme se a Indexação de Pesquisa está rastreando com êxito o conteúdo hospedado nesse farm. Essa é a etapa que você deve executar antes de confirmar os resultados da consulta de Pesquisa para os usuários que acessam os sites usando a autenticação Kerberos.
Observação
Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.
Para confirmar a funcionalidade de Índice de Pesquisa, acesse um aplicativo Web e inicie um rastreamento completo. Aguarde a conclusão do rastreamento. Se essa operação falhar, investigue e corrija a falha e execute um rastreamento completo. Se o rastreamento falhar com erros do tipo "acesso negado", significa que a conta de rastreamento não tem acesso às fontes de conteúdo ou que a autenticação Kerberos falhou. Qualquer que seja a causa, esse erro deve ser corrigido antes de se prosseguir para as etapas seguintes.
Você deve concluir um rastreamento completo dos aplicativos Web com autenticação Kerberos antes de continuar.
Confirmar a funcionalidade de Consulta de Pesquisa correta
Para confirmar se a Consulta de Pesquisa retorna resultados para os usuários que acessam o site de portal que utiliza a autenticação Kerberos:
Inicie o Internet Explorer em um sistema em mydomain.net e acesse http://kerbportal.mydomain.net.
Quando a home page do site de portal for renderizada, digite uma palavra-chave de pesquisa no campo Pesquisar e pressione ENTER.
Confirme se os resultados da Consulta de Pesquisa são retornados. Se não forem, confirme se a palavra-chave inserida é válida na sua implantação, se a Indexação de Pesquisa está sendo executada corretamente, se o serviço de Pesquisa está sendo executado nos servidores de Indexação de Pesquisa e de Consulta de Pesquisa e se não há problemas com a propagação de pesquisa do seu servidor de Indexação de Pesquisa para o servidor de Consulta de Pesquisa.
Limitações de configuração
A parte do nome de host dos SPNs com novo formato (que são criados) corresponde ao nome do NetBIOS do host que executa o serviço; por exemplo: MSSP/kerbtest4:56738/SSP1. Isso ocorre porque os nomes de host são buscados no banco de dados de configuração do SharePoint Foundation 2010 e somente os nomes de computador do NetBIOS são armazenados nesse banco de dados do SharePoint Foundation 2010. Em alguns cenários, isso pode ser ambíguo.
Recursos adicionais e diretrizes para a solução de problemas
| Produto/tecnologia | Recurso |
|---|---|
SQL Server |
Artigo sobre como assegurar que você esteja usando a autenticação Kerberos ao criar uma conexão remota com uma instância do SQL Server 2005 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x416) |
SQL Server |
Artigo sobre como solucionar a mensagem de erro "Não é possível gerar contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x416) |
.NET Framework |
Artigo sobre a propriedade AuthenticationManager.CustomTargetNameDictionary (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x416) |
Internet Explorer |
Artigo sobre a Mensagem de erro no Internet Explorer quando você tenta acessar um site que requer a autenticação Kerberos em um computador com Windows XP: "Erro HTTP 401 - Não autorizado: acesso negado devido a credenciais inválidas" (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x416) |
Autenticação Kerberos |
Artigo de referência técnica da autenticação Kerberos (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x416) |
Autenticação Kerberos |
Artigo sobre solução de problemas para erros Kerberos (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x416) |
Autenticação Kerberos |
Artigo sobre a transição do protocolo Kerberos e delegação restrita (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x416) |
IIS |
Artigo sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x416) |