Настройка сервера для разрешения делегирования

  • Статья

Назначение: Application Virtualization 4.5 SP1

ПО Microsoft Application Virtualization (App-V) Management Server можно установить с помощью архитектуры распределенной системы. При установке консоли, службы Management Web Service и базы данных на разных компьютерах необходимо настроить сервер IIS на разрешение делегирования. Это требуется, т. к. служба Management Web Service будет пытаться подключиться к хранилищу данных App-V с помощью учетных данных администратора App-V, который использует консоль. Если сервер IIS не является доверенным для делегирования, то сервер базы данных, на котором установлено хранилище данных, не сможет принять учетные данные администратора от сервера IIS, и поэтому службе Management Web Service не удастся подключиться к хранилищу данных App-V.

Примечание

При установке ПО App-V Management Server и хранилища данных на разных серверах существует одна ситуация, которая требует сделать сервер доверенным для делегирования, даже если служба Management Web Service и консоль Management Console находятся на одном компьютере. Она возникает при попытке подключения к службе Management Web Service через консоль с параметром Использовать дополнительные учетные данные.

Тип делегирования, который необходимо использовать, зависит от режима работы домена, настроенного в инфраструктуре доменных служб Active Directory. В следующей таблице перечислены типы делегирования, которые можно настроить для каждого режима работы домена App-V. Подробные инструкции приведены после таблицы.

Режим работы домена Доступные уровни делегирования

Windows 2000 (основной режим)
  • Делегирование отсутствует (по умолчанию)

  • Неограниченное делегирование

Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2
  • Делегирование отсутствует (по умолчанию)

  • Неограниченное делегирование1

  • Ограниченное делегирование (только протоколы Kerberos)

  • Ограниченное делегирование (любые протоколы проверки подлинности) 1

1 Не рекомендуется.

Настройка неограниченного делегирования при режиме работы домена: Windows 2000 (основной режим)

На контроллере домена веб-сервера выполните описанные ниже действия.

  1. Нажмите кнопку Пуск и выберите команды Администрирование и Пользователи и компьютеры Active Directory.

  2. Разверните домен и папку «Компьютеры».

  3. В правой области щелкните правой кнопкой мыши имя компьютера веб-сервера и выберите пункт Свойства.

  4. Откройте вкладку Общие и установите флажок Доверять компьютеру делегирование.

  5. Нажмите кнопку ОК.

Настройка неограниченного делегирования при режиме работы домена Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2

В контроллере домена веб-сервера выполните описанные ниже действия.

  1. Нажмите кнопку Пуск и выберите команды Администрирование и Пользователи и компьютеры Active Directory.

  2. Разверните домен и затем разверните папку «Компьютеры».

  3. В правой области щелкните правой кнопкой мыши имя компьютера веб-сервера, выберите пункт Свойства и откройте вкладку Делегирование.

  4. Установите флажок Доверять компьютеру делегирование любых служб (только Kerberos).

  5. Нажмите кнопку ОК.

Настройка ограниченного делегирования при режиме работы домена Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2

В контроллере домена веб-сервера выполните описанные ниже действия.

  1. Нажмите кнопку Пуск и последовательно выберите элементы Администрирование и Active Directory — пользователи и компьютеры.

  2. Разверните домен и папку «Компьютеры».

  3. В правой области щелкните правой кнопкой мыши имя компьютера веб-сервера, выберите пункт Свойства и откройте вкладку Делегирование.

  4. Установите флажок Доверять этому компьютеру делегирование только указанных служб.

  5. Также установите флажок Использовать только Kerberos и нажмите кнопку .

  6. Нажмите кнопку Добавить. В диалоговом окне Добавление служб выберите элемент Пользователи или компьютеры, затем найдите или введите имя сервера Microsoft SQL Server, на котором установлено хранилище данных App-V и который будет получать учетные данные от IIS-сервера. Нажмите кнопку ОК.

  7. В списке Доступные службы выберите службу MSSQLSvc, перечисляющую номера портов, через которые сервер Microsoft SQL Server принимает подключения к базе данных App-V (по умолчанию используется порт 1433). Нажмите кнопку ОК.

Дополнительные действия по настройке сервера IIS 7 для ограниченного делегирования

Если служба Management Web Service запускается на сервере IIS 7, выполните описанные ниже действия, чтобы задать его переменной useAppPoolCredentials значение True.

  1. Откройте окно командной строки с повышенными правами. Чтобы открыть командную строку с повышенными правами, нажмите кнопку Пуск, выберите пункт Все программы, щелкните элемент Стандартные, щелкните правой кнопкой мыши элемент Командная строка и выберите команду Запуск от имени администратора.

  2. Откройте папку %windir%\system32\inetsrv.

  3. Введите команду appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true и нажмите клавишу ВВОД.

-----
Чтобы получить дополнительные сведения о пакете MDOP, воспользуйтесь библиотекой TechNet Library: выполните поиск статей по устранению неполадок на вики-сайте TechNet или подпишитесь на наши страницы в Facebook или Twitter. Отправляйте свои предложения и комментарии относительно документации MDOP по адресу MDOPdocs@microsoft.com.