Планирование Office Online Server

Сводка. В этой статье рассматриваются требования, предъявляемые сервером Office Online Server, такие как протокол HTTPS, сертификаты, виртуализация, балансировка нагрузки, топологии и безопасность.

Аудитория: ИТ-специалисты

Office Online Server предоставляет браузерные версии приложений Office в локальной среде, обеспечивая пользователям большую гибкость и возможности для совместной работы. В статье описываются требования и действия, необходимые для установки Office Online Server в организации.

Очень важно тщательно разработать план, чтобы все узлы, такие как SharePoint Server и Exchange Server, могли взаимодействовать с Office Online Server.

Ознакомьтесь со Список сведений о совместимости версий Office Online Server, чтобы убедиться в совместимости узлов.

Требования сервера Office Online Server к программному обеспечению, оборудованию и конфигурации

Office Online Server можно установить в качестве фермы с одним сервером или фермы из нескольких серверов с балансировкой нагрузки. Можно использовать физические серверы или виртуальные машины.

В средах, содержащих фактические данные пользователей, мы настоятельно советуем использовать протокол HTTPS, для которого необходимо получить сертификат. Если в вашей ферме несколько серверов, нужно настроить аппаратное или программное решение для балансировки нагрузки. В разделах ниже описываются предварительные требования для этих сценариев.

Требования сервера Office Online Server к оборудованию

Office Online Server использует те же минимальные требования к оборудованию, что и SharePoint Server 2016.

Операционные системы, поддерживаемые сервером Office Online Server

Office Online Server может работать в следующих операционных системах:

  • 64-разрядный выпуск Windows Server 2012 R2

  • 64-разрядный выпуск Windows Server 2016 (требуется Office Online Server ноября 2018 г. или более поздней версии).

  • 64-разрядный выпуск Windows Server 2019 (требуется исправление Office Online Server июля 2021 г. или более поздней версии).

  • 64-разрядный выпуск Windows Server 2022 (требуется исправление Office Online Server ноября 2021 г. или более поздней версии).

Примечание

Office Online Server поддерживает только параметр установки "Сервер с рабочим столом" Windows Server 2016, Windows Server 2019 и Windows Server 2022. Дополнительную информацию о предложениях Windows Server см. в статье Обзор Semi-Annual Channel для Windows Server.

Требования сервера Office Online Server к домену

Все серверы в ферме Office Online Server должны быть частью домена. Они могут находиться в одном домене (рекомендуется) или в доменах одного леса.

Если вы планируете использовать какие-либо функции Excel Online, использующие доступ к внешним данным (например, модели данных, Power Pivot или Power View), Office Online Server должен находиться в одном лесу Active Directory с его пользователями, а также любыми источниками внешних данных, к которым вы планируете получить доступ с использованием проверки подлинности Windows.

Требования к расписанию поддержки и обновлению

Корпорация Майкрософт выпускает новую сборку Office Online Server примерно каждые шесть месяцев. После выхода новой сборки прекращается выпуск критических обновлений для предыдущей сборки. Настоятельно рекомендуем обновлять ферму Office Online Server по мере выпуска новых сборок. Дополнительные сведения см. в статье План выпуска Office Online Server.

Совместимость с другими рабочими нагрузками и службами

Ниже приведены некоторые замечания, которые следует учитывать при установке Office Online Server.

  • На серверах с Office Online Server не должны быть установлены другие серверные приложения. К ним относятся Exchange Server, SharePoint Server, Skype для бизнеса Server и SQL Server. Если у вас не хватает серверов, Office Online Server можно выполнять на виртуальной машине на одном из имеющихся серверов.

  • Не устанавливайте службы или роли, зависящие от роли веб-сервера IIS, в порт 80, 443 или 809, так как Office Online Server регулярно удаляет веб-приложения, расположенные в этих портах.

  • Не устанавливайте какие-либо версии Office. Все существующие версии этого набора необходимо удалить до установки Office Online Server.

  • Не устанавливайте Office Online Server на контроллер домена. Этот продукт не будет работать на сервере, на котором работают доменные службы Active Directory.

Поддержка виртуализации на сервере Office Online Server

Office Online Server поддерживается при развертывании с помощью Windows Server Hyper-V или другой технологии виртуализации в локальном центре обработки данных. Если вы планируете виртуализировать Office Online Server, следуйте приведенным ниже рекомендациям.

  • Устанавливайте Office Online Server на отдельной виртуальной машине. Не устанавливайте на нее другие серверные приложения, например SharePoint Server.

  • Если Hyper-V используется в фермах Office Online Server с несколькими серверами, каждая виртуальная машина должна размещаться на отдельном узле. Это обеспечит доступность фермы Office Online Server даже в случае отказа одного из узлов.

Требования сервера Office Online Server к брандмауэру

Брандмауэры могут блокировать обмен данными между браузером, серверами с Office Online Server и серверами SharePoint Server. Это доставляет особые проблемы, когда данные серверы размещены в разных сегментах сети.

Убедитесь, что брандмауэр не блокирует следующие порты на сервере с Office Online Server или в подсистеме балансировки нагрузки:

  • порт 443 для трафика HTTPS;

  • порт 80 для трафика HTTP;

  • порт 809 для закрытого трафика между серверами с Office Online Server в ферме с несколькими серверами.

Требования сервера Office Online Server к подсистеме балансировки нагрузки

Если Office Online Server работает на нескольких серверах, мы советуем использовать подсистему балансировки нагрузки. Выбор решения балансировки определяющей роли не играет. Вы можете использовать, например, сервер с ролью веб-сервера IIS и модулем маршрутизации запросов приложений (ARR). Фактически вы можете запускать модуль ARR на одном из серверов с Office Online Server.

В идеальном случае выбранное вами решение для балансировки нагрузки должно поддерживать следующие функции:

  • маршрутизация уровня 7;

  • поддержка сходства клиентов и интерфейсных компонентов.

Если вы используете подсистему балансировки нагрузки, вам необходимо установить в нее соответствующий сертификат (см. раздел Защита данных, передаваемых сервером Office Online Server, с помощью протокола HTTPS этой статьи).

Требования сервера Office Online Server к службе доменных имен

В средах с протоколом HTTPS и балансировкой нагрузки вам необходимо настроить службу доменных имен на сопоставление полного доменного имени сертификата с IP-адресом сервера с Office Online Server или IP-адресом, назначенным подсистеме балансировки нагрузки в ферме Office Online Server.

Планирование языковых пакетов для сервера Office Online Server

Языковые пакеты Office Online Server позволяют пользователям с помощью веб-браузера просматривать многоязычные файлы Office из библиотек документов SharePoint Server, Outlook Web App (в виде предварительного просмотра вложений) и Skype для бизнеса Server (в виде широковещательных презентаций PowerPoint). Обратите внимание, что эти возможности зависят от настроенных на узле языков. Чтобы просматривать с помощью браузера файлы Office с узлов на нескольких языках, необходимо соблюдать указанные ниже условия.

  • Узел (например, SharePoint Server или Exchange Server) должен быть настроен для выполнения приложений на дополнительных языках. Установка и настройка языковых пакетов в узле осуществляется независимо от остальной фермы Office Online Server.

  • Языки должны быть установлены и доступны на всех серверах в ферме Office Online Server.

Здесь можно скачать языковые пакеты для сервера Office Web Apps Server.

Планирование топологии для сервера Office Online Server

Топология Office Online Server должна включать как минимум одну физическую или виртуальную машину с Office Online Server и не меньше одного узла (например, сервер с Exchange Server или SharePoint Server). Кроме того, вам потребуется клиентский компьютер или устройство для подключения к одному из узлов и использования функций. К минимальной топологии фермы Office Online Server можно добавлять узлы и серверы в зависимости от потребностей организации.

Ниже приведен список рекомендаций на случай, если топология Office Online Server становится более сложной.

  • Планируйте резервирование. Если вы используете виртуальные машины, для эффективного резервирования их необходимо размещать на отдельных компьютерах виртуальных машин.

  • Используйте один центр обработки данных. Серверы фермы Office Online Server должны находиться в одном центре обработки данных. Не распространяйте их географически. В целом, вам нужна только одна ферма, если только требования безопасности не предвидят изолированную сеть с собственной фермой Office Online Server.

  • Чем ближе узлы друг к другу, тем лучше. Ферма Office Online Server не должна находиться в том же центре обработки данных, что и обслуживаемые ею узлы, но при большом объеме операций редактирования мы советуем размещать ферму Office Online Server как можно ближе к узлам. Эта рекомендация в меньшей степени относится к организациям, в которых Office Online используется преимущественно для просмотра файлов Office.

  • Спланируйте подключения. Подключите все серверы в ферме Office Online Server друг к другу. Чтобы подключить их к расширенной сети, используйте брандмауэр подсистемы балансировки нагрузки обратного прокси-сервера.

  • Настройте брандмауэр для запросов HTTP или HTTPS. Убедитесь, что брандмауэр разрешает серверам Office Online Server инициировать HTTP- и HTTPS-запросы к узлам.

  • Спланируйте потоки входящих и исходящих данных. В развертывании для Интернета маршрутизируйте все исходящие данные через устройство NAT. В ферме с несколькими серверами включите обработку всех входящих данных с подсистемой балансировки нагрузки.

  • Убедитесь, что все серверы в ферме Office Online Server присоединены к домену и являются частью одного и того же подразделения. Используйте параметр FarmOU в командлете New-OfficeWebAppsFarm, чтобы запретить другим серверам, не входящим в это подразделение, присоединяться к ферме.

  • Используйте HTTPS для всех входящих запросов.

  • Если в вашей сети развернут протокол IPsec, используйте его для шифрования трафика, передаваемого между серверами.

  • Спланируйте функции Office, для работы которых необходимо подключение к Интернету. Если необходимы такие функции, как коллекция картинок и службы машинного перевода, а серверы в ферме не могут отправлять запросы в Интернет, необходимо настроить прокси-сервер для фермы Office Online Server. Это позволит отправлять запросы внешним сайтам по протоколу HTTP.

Планирование подключения Excel Online к внешним данным

Excel Online включает функции подключения к внешним данным и обновления данных, которые похожи на функции Службы Excel в SharePoint Server 2013. Службы Excel удалены из SharePoint в SharePoint Server 2016 вместо них используется Excel Online.

Обновление данных для внедренных подключений к данным возможно при стандартной установке Office Online Server. Однако более продвинутые функции, в том числе поддержка файла подключения к данным Office (ODC) и панель мониторинга и управления для ИТ-специалистов (часть SQL Server PowerPivot для SharePoint), требуют настройки межсерверной проверки подлинности между Office Online Server и SharePoint Server 2016.

Планирование системы безопасности для сервера Office Online Server

Следующие сведения представляют собой руководство по безопасности для Office Online Server.

Защита данных, передаваемых сервером Office Online Server, с помощью протокола HTTPS

Office Online Server может обмениваться данными с SharePoint Server, Skype для бизнеса Server и Exchange Server по протоколу HTTPS. Мы настоятельно советуем использовать именно этот протокол в рабочих средах. Обратите внимание, что вам необходимо установить сертификат интернет-сервера, который можно назначить серверу с Office Online Server (ферма с одним сервером) или подсистеме балансировки нагрузки (ферма с несколькими серверами Office Online Server).

В тестовых средах, которые не содержат пользовательских данных, вы можете использовать протокол HTTP для SharePoint Server и Exchange Server, не устанавливая сертификат. Skype для бизнеса Server поддерживает только протокол HTTPS.

Сертификаты, используемые Office Online Server, должны удовлетворять перечисленным ниже требованиям.

  • Сертификат должен быть выдан доверенным центром сертификации и должен содержать полное доменное имя фермы серверов Office Online Server в поле альтернативного имени субъекта (SAN). Если полное доменное имя указано в другом поле, при попытке использовать сертификат браузер отображает предупреждение системы безопасности или не обрабатывает ответ.

  • Сертификат должен содержать экспортируемый закрытый ключ. В фермах, состоящих из одного сервера, этот параметр будет выбран по умолчанию, если для импорта сертификата используется оснастка диспетчера IIS.

  • Поле "Понятное имя" должно содержать значение, уникальное на уровне хранилища доверенных корневых центров сертификации. При наличии нескольких сертификатов с одинаковым понятным именем не удастся создать ферму, так как командлету New-OfficeWebAppsFarm не удастся выбрать используемый сертификат.

  • Для Office Online Server не требуется никаких особых свойств и расширений сертификата, например расширения EKU или серверного EKU.

  • В Windows Server необходимо установить функцию "Разрешить HTTP-активацию" для Windows Communication Foundation (WCF).

Вот как необходимо импортировать сертификат.

  • Для ферм, состоящих из одного сервера. Необходимо импортировать сертификат непосредственно на сервер с Office Online Server. Не выполняйте привязку сертификата вручную. Используйте для этой цели командлет New-OfficeWebAppsFarm. Если вы привяжете сертификат вручную, он будет удаляться при каждой перезагрузке сервера.

  • Для ферм с балансировкой нагрузки. Если вы разгружаете SSL, необходимо импортировать сертификат на устройство балансировки нагрузки. Если вы не разгружаете SSL, установите сертификат на каждый сервер в ферме серверов Office Online Server.

Примечание

Не используйте самозаверяющие сертификаты. Их можно использовать только в некритических тестовых средах.

Использование разгрузки SSL для устройств балансировки нагрузки

При настройке новой фермы Office Online Server разгрузка SSL выключена по умолчанию. Если вы используете подсистему балансировки нагрузки, советуем включить разгрузку SSL. Это позволяет каждому Office Online Server в ферме обмениваться данными с подсистемой балансировки нагрузки, используя протокол HTTP. Кроме того, включение разгрузки SSL дает следующие преимущества:

  • Упрощенное управление сертификатами

  • Усовершенствованное мягкое сходство

  • Повышенная производительность

Примечание

При использовании HTTP трафик, передаваемый из подсистемы балансировки нагрузки на серверы Office Online Server, не шифруется, поэтому убедитесь, что сеть защищена. Чтобы защитить трафик, используйте частную подсеть.

Запрет на присоединение серверов к ферме Office Online Server на основании их принадлежности к подразделениям

Чтобы запретить нежелательным серверам присоединяться к ферме Office Online Server, вы можете создать для них отдельное подразделение и соответствующим образом настроить параметр FarmOU при создании фермы. Дополнительные сведения о параметре FarmOU см. в статье New-OfficeWebAppsFarm.

Ограничение доступа узлов к серверу Office Online Server с помощью списка разрешений

С помощью списка разрешений вы можете запретить подключение нежелательных узлов к ферме Office Online Server, что могло бы повлечь за собой операции с файлами без вашего согласия. Чтобы ограничить список узлов, которые смогут выполнять операции запроса файлов (например, извлечение и изменение файлов или извлечение метаданных) к Office Online Server, добавьте нужные домены в список разрешенных.

Вы можете добавлять домены в список разрешенных уже после создания фермы Office Online Server. Дополнительные сведения о добавлении доменов в список разрешенных см. в статье New-OfficeWebAppsHost.

Важно!

Если в списке разрешенных отсутствуют домены, Office Online Server принимает запросы файлов от узлов любого домена. Если ваша ферма Office Online Server доступна через Интернет, не оставляйте этот список пустым. В противном случае просматривать и редактировать контент смогут любые пользователи с доступом к вашей ферме Office Online Server.

Планирование Online Viewers с использованием сервера Office Online Server

По умолчанию функция Online Viewers включается после установки Office Online Server. Если вы планируете использовать Online Viewers в организации, ознакомьтесь со следующими рекомендациями. В некоторых случаях может потребоваться отключить некоторые возможности Online Viewers. Приведенные ниже рекомендации относятся к параметрам, заданным с помощью командлетов Microsoft PowerShell New-OfficeWebAppsFarm и Set-OfficeWebAppsFarm.

Рекомендации по обеспечению безопасности для Online Viewers

Файлы, которые предназначены для просмотра в веб-браузере с помощью Online Viewers, не должны требовать проверки подлинности. Другими словами, они должны находиться в открытом доступе, так как Online Viewers не поддерживает проверку подлинности при извлечении файлов. Мы настоятельно рекомендуем реализовать доступ к ферме Office Online Server с Online Viewers либо только из интрасети, либо только из Интернета, но не из обеих сетей одновременно. Это связано с тем, что Office Online Server не различает запросы URL-адресов в интрасети и Интернете. Соответственно, при поступлении из Интернета запроса к URL-адресу в интрасети возможна утечка данных в результате передачи документа для внутреннего пользования сторонним лицам.

По той же причине, если сервер Office Online Server должен подключаться только к Интернету, мы настоятельно советуем отключить поддержку UNC в Online Viewers. Чтобы сделать это, присвойте параметру OpenFromUncEnabled значение False с помощью командлетов Microsoft PowerShell New-OfficeWebAppsFarm (для новых ферм) или Set-OfficeWebAppsFarm (для существующих ферм).

В качестве дополнительных мер безопасности с помощью Online Viewers можно просматривать файлы Office размером не более 10 МБ.

Настройка параметров Online Viewers

Вы можете настроить средства просмотра в Интернете с помощью следующих параметров Microsoft PowerShell в New-OfficeWebAppsFarm (для новых ферм) или Set-OfficeWebAppsFarm (для существующих ферм).

  • OpenFromUrlEnabled. Включает или отключает Online Viewers. Этот параметр управляет функцией Online Viewers для файлов с URL-адресами и UNC-путями. По умолчанию при создании новой фермы Office Online Server ему присвоено значение False (отключено).

  • OpenFromUncEnabled. Если функция Online Viewers включена (параметр OpenFromUrlEnabled имеет значение True), этот параметр включает или отключает функцию просмотра файлов по UNC-путям в Online Viewers. По умолчанию этому параметру присвоено значение True. Прежде чем разрешать открытие файлов по UNC-путям, убедитесь, что параметру OpenFromUrlEnabled также присвоено значение True. Как упоминалось выше, если Office Online Server настроен на подключение к Интернету, мы советуем присвоить этому параметру значение False.

  • OpenFromUrlThrottlingEnabled. Ограничивает количество открытых запросов URL-адресов с одного сервера за указанный период. Ограничения по умолчанию недоступны для настройки. Это позволяет защитить ферму Office Online Server от избыточного количества запросов на просмотр контента в Online Viewers с одного сервера.

Планирование обновлений сервера Office Online Server

Перед развертыванием Office Online Server необходимо решить, как в организации будет осуществляться управление обновлениями программного обеспечения для фермы Office Online Server. Хотя обновления программного обеспечения помогают повысить безопасность, производительность и надежность сервера, неправильная установка обновлений может привести к проблемам с Office Online Server.

Применение обновлений Office Online Server с помощью процесса автоматического обновления Майкрософт не поддерживается в Office Online Server. Обновления для Office Online Server необходимо применять определенным способом, как это описано в разделе Применение обновлений программного обеспечения к серверу Office Online Server. Если применять обновления Office Online Server автоматически, может получиться так, что пользователи не смогут просматривать и изменять документы в Office Online. В этом случае необходимо перестроить ферму Office Online Server.

Мы рекомендуем управлять обновлениями с помощью Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager, которая использует WSUS. WSUS позволяет полностью управлять распространением обновлений, выпущенных с помощью Центра обновления Майкрософт для каждого сервера в ферме Office Online Server. С помощью служб WSUS можно решить, какие обновления можно автоматически применять к ферме серверов, а какие обновления, например Office Online Server обновления, необходимо применять вручную. Дополнительные сведения о WSUS см. в Windows Server Update Services.

Если вы не используете службы WSUS или Microsoft Endpoint Configuration Manager, установите автоматическое обновление Майкрософт на каждом сервере в ферме Office Online Server автоматический скачивание, но уведомите пользователя об установке. Когда вы будете уведомлены об обновлении Office Online Server, выполните действия, описанные в разделе "Применение обновлений программного обеспечения для Office Online Server.". Чтобы применить Windows и обеспечить безопасность серверов, примите Windows обновления, когда вы будете уведомлены о доступности обновлений.

Изменения журналов ULS после обновления 2018 г.

В 2018 г. обновление Office Online Server увидит следующие изменения формата журналов ULS:

Столбец Изменения
TimestampUtc
  • Замена формата даты мм/дд/гггг на гггг-мм-дд для более естественной сортировки
  • Время теперь всегда в формате UTC
  • Замена имени столбца Timestamp на TimestampUtc
  • Отсутствие у меток времени конечных " " и "*", указывающих на продолжение (см. столбец "Message" ниже)
Process
  • Имя процесса больше не усекается до 32 символов
  • ProxyTraceTag больше не добавляет идентификатор процесса, отправляющего данные проксированной трассировки
  • Процессы IIS W3WP получили идентификатор AppPool. Пример: w3wp.exe#StatusViewer-status-MSOSP80 (0x631C)
ThreadId
  • Замена имени столбца TID на ThreadId
Area
  • Область больше не усекается до 32 символов
Category
  • Категория больше не усекается до 32 символов
EventId
  • Замена имени столбца EventID на EventId
Level Без изменений
Message
  • Длина сообщений составляет не 800, а 31 000 символов
  • Сообщения длиной более 31 000 символов усекаются, не продолжаясь во втором сообщении
  • Так как сообщения не продолжаются, отсутствуют "..."
Correlation
  • В случае корреляции используется новый стек для отправки, извлечения или просмотра
  • Максимальная глубина стека корреляции больше не составляет 32
  • Корреляции могут следовать за задачами в потоках и выходить за пределы AppDomain

См. также

Обзор Office Online Server

Развертывание Office Online Server