Настройка проверки подлинности Kerberos (SharePoint Foundation 2010)
Применимо к: SharePoint Foundation 2010
Последнее изменение раздела: 2016-11-30
Содержание статьи
Проверка подлинности Kerberos
Перед началом работы
Настройка проверки подлинности Kerberos для SQL-взаимодействий
Создание имен участников-служб для веб-приложений на основе проверки подлинности Kerberos
Развертывание фермы серверов
Настройка служб на серверах фермы
Создание веб-приложений на основе проверки подлинности Kerberos
Создание семейства сайтов на основе шаблона портала для совместной работы в веб-приложении сайта портала
Подтверждение успешного доступа к веб-приложениям с помощью проверки подлинности Kerberos
Подтверждение работоспособности индексирования поиска
Подтверждение работоспособности поискового запроса
Ограничения конфигурации
Дополнительные ресурсы и устранение неполадок
Проверка подлинности Kerberos
Kerberos — это безопасный протокол, поддерживающий проверку подлинности на основе билетов. Сервер проверки подлинности Kerberos выдает билет в ответ на запрос проверки подлинности с клиентского компьютера, если запрос содержит действительные учетные данные пользователя и действительное имя участника-службы (SPN). Этот билет затем используется клиентским компьютером для доступа к сетевым ресурсам. Чтобы включить проверку подлинности Kerberos, клиентский компьютер и сервер должны иметь доверенное подключение к Центру распространения ключей (KDC). Центр распространения ключей распространяет общие секретные ключи для шифрования. Клиентский компьютер и сервер также должны иметь доступ к доменным службам Active Directory (AD DS). Для доменных служб Active Directory корневой домен леса является центром для ссылок проверки подлинности Kerberos.
Чтобы развернуть ферму серверов с Microsoft SharePoint Foundation 2010 и использованием проверки подлинности Kerberos, на компьютерах необходимо установить и настроить ряд приложений. В данной статье приведен пример фермы серверов с SharePoint Foundation 2010 и руководство по развертыванию и настройке фермы на использование проверки подлинности Kerberos для поддержки указанных ниже функций.
Взаимодействие между SharePoint Foundation 2010 и СУБД Microsoft SQL Server.
Получение доступа к веб-приложению центра администрирования SharePoint.
Получение доступа к другим веб-приложениям, включая веб-приложение веб-сайта портала и веб-приложение "Мой сайт".
Перед началом работы
Эта статья предназначена для администраторов, владеющих указанными ниже технологиями.
Windows Server 2008
Active Directory
Службы IIS 6.0 (или IIS 7.0)
SharePoint Foundation 2010
Windows Internet Explorer
Проверка подлинности Kerberos, реализованная в доменных службах Active Directory (AD DS) для Windows Server 2008
Балансировка сетевой нагрузки (NLB) в Windows Server 2008
Учетные данные компьютеров в домене Active Directory
Учетные данные пользователей в домене Active Directory
Веб-сайты IIS, их-привязки и параметры проверки подлинности
Удостоверения пула приложений IIS для веб-сайтов IIS
Мастер Мастер настройки продуктов SharePoint
Веб-приложения SharePoint Foundation 2010
Страницы центра администрирования
Имена участников-служб (SPN) и их настройка в домене Active Directory
Важно!
Для создания имен участников-служб в домене Active Directory необходимы права администратора домена.
В данной статье проверка подлинности Kerberos подробно не рассматривается. Kerberos — это отраслевой стандарт, реализованный в доменных службах Active Directory.
В данной статье отсутствуют подробные пошаговые инструкции по установке SharePoint Foundation 2010 или использованию Мастер настройки продуктов SharePoint.
В данной статье отсутствуют подробные пошаговые инструкции по созданию веб-приложений SharePoint Foundation 2010 с помощью центра администрирования.
Требования к версиям программного обеспечения
Приведенные в данной статье руководство и методика тестирования основаны на результатах эксплуатации систем с Windows Server 2008 и Internet Explorer с последними обновлениями, загруженными с сайта Центра обновления Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419). Были установлены следующие версии программного обеспечения:
Windows Server 2008 с последними обновлениями, загруженными с сайта Центра обновления Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419)
Internet Explorer
Выпущенная версия SharePoint Foundation 2010
Также убедитесь, что на контроллерах домена Active Directory установлена ОС Windows Server 2008 с последними обновлениями, загруженными с сайта Центра обновления Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).
Известные проблемы
SharePoint Foundation 2010 позволяет выполнять обход веб-приложений, настроенных на использование проверки подлинности Kerberos, если эти веб-приложения размещены на виртуальных серверах IIS, которые привязаны к портам по умолчанию (TCP-порт 80 и SSL-порт 443). Однако SharePoint Foundation 2010 Search не позволяет выполнять обход веб-приложений SharePoint Foundation 2010, настроенных на использование проверки подлинности Kerberos, если эти веб-приложения размещены на виртуальных серверах IIS, которые привязаны к альтернативным портам (портам, отличным от TCP-порта 80 и SSL-порта 443). В настоящее время SharePoint Foundation 2010 Search позволяет выполнять обход только веб-приложений SharePoint Foundation 2010, размещенных на виртуальных серверах IIS, которые привязаны к портам, отличных от портов по умолчанию, и настроены на использование проверки подлинности NTLM или обычной проверки подлинности.
Чтобы конечные пользователи, получающие доступ к веб-приложениям на основе проверки подлинности Kerberos, могли получать результаты поисковых запросов в тех случаях, когда веб-приложения можно разместить только на виртуальных серверах IIS, привязанных к портам, отличным от портов по умолчанию, необходимо выполнить указанные ниже требования.
Эти же веб-приложения должны быть размещены на других виртуальных серверах IIS, привязанных к портам, отличным от портов по умолчанию.
Веб-приложения должны быть настроены на использование проверки подлинности NTLM или обычной проверки подлинности.
Служба индексирования поиска должна выполнять обход веб-приложений с использованием проверки подлинности NTLM или обычной проверки подлинности.
В данной статье приведены рекомендации по указанным ниже вопросам.
Настройка веб-приложения центра администрирования, использующего проверку подлинности Kerberos и размещенного на виртуальном сервере IIS, который привязан к портам, отличным от портов по умолчанию.
Настройка приложений портала и моего сайта, использующих проверку подлинности Kerberos и размещенных на виртуальных серверах IIS, которые привязаны к портам по умолчанию и к заголовку узла IIS.
Проверка того, что служба индексирования поиска правильно выполняет обход веб-приложений SharePoint Foundation 2010 с использованием проверки подлинности Kerberos.
Проверка того, что пользователи, получающие доступ к веб-приложениям на основе проверки подлинности Kerberos, могут получать результаты поисковых запросов для этих веб-приложений.
Дополнительные сведения
Важно понимать, что при использовании проверки подлинности Kerberos работоспособность функции проверки подлинности частично зависит от поведения клиента, проходящего проверку подлинности. В развернутой ферме SharePoint Foundation 2010 с использованием проверки подлинности Kerberos SharePoint Foundation 2010 не является клиентом. Перед развертыванием фермы серверов с SharePoint Foundation 2010 на основе проверки подлинности Kerberos необходимо изучить поведение указанных ниже клиентов.
Браузер (в контексте данной статьи под браузером всегда подразумевается Internet Explorer)
Microsoft .NET Framework
Браузер — это клиент, используемый при просмотре веб-страницы в веб-приложении SharePoint Foundation 2010. Когда SharePoint Foundation 2010 выполняет такие задачи, как обход локальных источников контента SharePoint Foundation 2010, в качестве клиента используется .NET Framework.
Для правильной работы проверки подлинности Kerberos необходимо создать в доменных службах Active Directory имена участников-служб. Если службы, которым соответствуют эти имена, выполняют прослушивание на портах, отличных от портов по умолчанию, в имена участников-служб необходимо включить номера портов. Это требуется для того, чтобы имена участников-служб гарантированно были осмысленными, а также для того, чтобы предотвратить создание дубликатов имен.
Когда клиент пытается получить доступ к ресурсу с помощью проверки подлинности Kerberos, он должен создать имя участника-службы, которое будет использоваться при проверке подлинности Kerberos. Если клиент не предоставит имя участника-службы, соответствующее имени, настроенному в доменных службах Active Directory, произойдет сбой проверки подлинности Kerberos, обычно с выдачей сообщения об ошибке "Доступ запрещен".
Некоторые версии Internet Explorer не позволяют создавать имена участников-служб с номерами портов. При использовании веб-приложений SharePoint Foundation 2010, привязанных в IIS к портам, отличным от портов по умолчанию, может потребоваться указать браузеру Internet Explorer включить номера портов в создаваемые имена участников-служб. В ферме с SharePoint Foundation 2010 веб-приложение центра администрирования размещено по умолчанию на виртуальном сервере IIS, который привязан к порту, отличному от порта по умолчанию. Таким образом, эта статья в равной степени применима к веб-сайтам IIS, привязанным к портам, и к веб-сайтам IIS, привязанным к заголовкам узла.
По умолчанию в ферме с SharePoint Foundation 2010 .NET Framework не создает имена участников служб с номерами портов, поэтому служба поиска не может выполнить обход веб-приложений с использованием проверки подлинности Kerberos, если эти веб-приложения размещены на виртуальных серверах IIS, которые привязаны к портам, отличным от портов по умолчанию.
Топология фермы серверов
В данной статье рассматривается указанная ниже топология фермы серверов SharePoint Foundation 2010.
Два компьютера с ОС Windows Server 2008, выполняющие функции интерфейсных веб-серверов, для которых настроена балансировка сетевой нагрузки Windows.
Три компьютера с ОС Windows Server 2008, выполняющие функции серверов приложений. На одном из серверов приложений размещено веб-приложение центра администрирования. На втором сервере запущена служба поисковых запросов, а на третьем — служба индексирования поиска.
Один компьютер с ОС Windows Server 2008, используемый в качестве узла SQL для фермы с SharePoint Foundation 2010. Для описанного в данной статье сценария можно использовать любую версию Microsoft SQL Server 2008.
Соглашения по доменным службам Active Directory, именам компьютеров и балансировке сетевой нагрузки
Ниже приведены соглашения по Active Directory, именам компьютеров и балансировке сетевой нагрузки, используемые в данной статье.
| Роль сервера | Имя домена |
|---|---|
Доменные службы Active Directory |
mydomain.net |
Интерфейсный веб-сервер с SharePoint Foundation 2010 |
wssfe1.mydomain.net |
Интерфейсный веб-сервер с SharePoint Foundation 2010 |
wssfe2.mydomain.net |
Центр администрирования SharePoint Foundation 2010 |
wssadmin.mydomain.net |
Сервер индексирования поиска с SharePoint Foundation 2010 |
wsscrawl.mydomain.net |
Сервер поисковых запросов с SharePoint Foundation 2010 |
wssquery.mydomain.net |
Узел SQL Server с SharePoint Foundation 2010 |
wsssql.mydomain.net |
VIP-адрес балансировки сетевой нагрузки назначается на wssfe1.mydomain.net и wssfe2.mydomain.net в результате настройки балансировки сетевой нагрузки для этих систем. Набор DNS-имен узлов, указывающих на этот адрес, регистрируется в используемой системе DNS. Например, если VIP-адрес балансировки сетевой нагрузки равен 192.168.100.200, появляется набор записей DNS, разрешающих следующие DNS-имена в этот IP-адрес (192.168.100.200):
kerbportal.mydomain.net
kerbmysite.mydomain.net
Соглашения по учетным записям домена Active Directory
В примере, приведенном в данной статье, применяются соглашения о наименовании, указанные в приведенной ниже таблице для учетных записей служб, и удостоверения пула приложений, используемые в ферме с SharePoint Foundation 2010.
| Учетная запись домена или удостоверение пула приложений | Имя |
|---|---|
Учетная запись локального администратора
|
mydomain\pscexec |
Учетная запись локального администратора на компьютере с SQL Server |
mydomain\sqladmin |
Учетная запись службы SQL Server, используемая для запуска службы SQL Server |
mydomain\wsssqlsvc |
Учетная запись администратора фермы SharePoint Foundation 2010 |
mydomain\wssfarmadmin Используется в качестве удостоверения пула приложений для центра администрирования и в качестве учетной записи службы таймера SharePoint. |
Удостоверение пула приложений SharePoint Foundation 2010 для веб-приложения сайта портала |
mydomain\portalpool |
Удостоверение пула приложений SharePoint Foundation 2010 для веб-приложения "Мой сайт" |
mydomain\mysitepool |
Учетная запись службы поиска SharePoint Foundation 2010 |
mydomain\wsssearch |
Учетная запись поиска SharePoint Foundation 2010 для доступа к контенту |
mydomain\wsscrawl |
Учетная запись службы поиска SharePoint Foundation 2010 |
mydomain\wsssearch |
Учетная запись SharePoint Foundation 2010 для доступа к контенту |
mydomain\wsscrawl |
Предварительные требования к конфигурации
Перед установкой SharePoint Foundation 2010 на компьютеры фермы серверов убедитесь, что выполнены приведенные ниже процедуры.
На всех серверах фермы, включая узел SQL Server, должна быть установлена ОС Windows Server 2008 с последними обновлениями, загруженными с сайта Центра обновления Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).
На всех серверах фермы должен быть установлен Internet Explorer с последними обновлениями, загруженными из Центра обновления Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).
На главном компьютере с SQL Server должен быть установлен и запущен SQL Server 2008, а служба SQL Server должна быть запущена с учетной записью mydomain\sqlsvc. Установленный по умолчанию экземпляр SQL Server должен прослушивать TCP-порт 1433.
Пользователь, от имени которого выполняется Мастер настройки продуктов SharePoint, добавлен:
в качестве имени входа SQL на узле SQL;
в роль SQL Server DBCreators на узле SQL;
в роль "Администраторы безопасности" SQL Server на узле SQL.
Настройка проверки подлинности Kerberos для SQL-взаимодействий
Перед установкой и настройкой SharePoint Foundation 2010 на серверах с SharePoint Foundation 2010 необходимо настроить проверку подлинности Kerberos для SQL-взаимодействий. Проверка подлинности необходима для подключения компьютеров с SharePoint Foundation 2010 к SQL Server.
Настройка проверки подлинности Kerberos для всех служб, установленных на главном компьютере с Windows Server 2008, включает создание имени участника-службы для учетной записи домена, используемой для запуска службы на узле. Имя участника-службы состоит из указанных ниже компонентов.
Имя службы (например MSSQLSvc или HTTP)
Имя узла (реальное или виртуальное)
Номер порта
Следующий список содержит примеры имен участников-служб для экземпляра SQL Server по умолчанию, работающего на компьютере с именем wsssql и прослушивающего порт 1433:
MSSQLSvc/wsssql:1433
MSSQLSvc/wsssql.mydomain.com:1433
Ниже приведены имена участников-служб, которые будут созданы для экземпляра SQL Server на узле SQL фермы, описанной в данной статье. Всегда следует создавать имена участников-служб, включающие одновременно имя NetBIOS и полное DNS-имя узла в сети.
Задать имя участника-службы для учетной записи в домене Active Directory можно несколькими способами. Один из способов заключается в использовании служебной программы SETSPN.EXE из комплекта ресурсов для Windows Server 2008. Другой способ заключается в использовании оснастки ADSIEDIT.MSC на контроллере домена Active Directory. В данной статье рассматривается оснастка ADSIEDIT.MSC.
Настройка проверки подлинности Kerberos для SQL Server выполняется в два этапа.
Создайте имена участников-служб для учетной записи службы SQL Server.
Убедитесь, что проверка подлинности Kerberos используется при подключении серверов с SharePoint Foundation 2010 к серверам с SQL Server.
Создание имен участников-служб для учетной записи службы SQL Server
Войдите в систему на контроллере домена Active Directory с учетными данными пользователя, обладающего правами администратора домена.
В диалоговом окне Выполнить введите команду ADSIEDIT.MSC.
В диалоговом окне консоли управления разверните папку контейнера домена.
Разверните папку контейнера с учетными записями пользователей, например CN=Users.
Найдите контейнер для учетной записи службы SQL Server, например CN=wsssqlsvc.
Щелкните эту учетную запись правой кнопкой мыши и выберите пункт Свойства.
Прокрутите список свойств в диалоговом окне Учетная запись службы SQL Server вниз до пункта servicePrincipalName.
Выберите свойство servicePrincipalName и нажмите кнопку Изменить.
В поле Добавляемое значение диалогового окна Редактор многозначных строк введите имя участника-службы MSSQLSvc/wsssql:1433 и нажмите кнопку Добавить. Затем введите в этом поле имя участника-службы MSSQLSvc/wsssql.mydomain.com:1433 и нажмите кнопку Добавить.
Нажмите кнопку ОК в диалоговом окне Редактор многозначных строк, после чего нажмите кнопку ОК в диалоговом окне свойств учетной записи службы SQL Server.
Убедитесь, что проверка подлинности Kerberos используется для подключения серверов SharePoint Foundation 2010 к серверу SQL Server
Установите клиентские средства SQL на одном из серверов с SharePoint Foundation 2010 и воспользуйтесь этими средствами для подключения сервера с SharePoint Foundation 2010 к серверам с SQL Server. В данной статье не приводятся инструкции по установке клиентских средств SQL на сервер с SharePoint Foundation 2010. Процедуры проверки основаны на указанных ниже предположениях.
На узле SQL установлен SQL Server 2008.
Вход в систему на одном из серверов с SharePoint Foundation 2010 выполняется с использованием учетной записи mydomain\pscexec, а на сервере с SharePoint Foundation 2010 установлены клиентские средства SQL 2005.
Запустите SQL Server 2005 Management Studio.
При появлении диалогового окна Подключиться к серверу введите имя компьютера узла SQL (в данном примере компьютером узла SQL является wsssql) и щелкните Подключиться, чтобы подключиться к компьютеру узла SQL.
Чтобы убедиться в том, что для данного подключения использовалась проверка подлинности Kerberos, запустите на главном компьютере с SQL Server средство просмотра событий и откройте журнал событий безопасности. Для события категории "Вход/выход" в журнале должна быть запись аудита успешных операций, аналогичная приведенной в таблицах ниже.
Тип события
Аудит успешных операций
Источник события
Безопасность
Категория события
Вход/выход
Код события
540
Дата
31.10.2007
Время
4:12:24
Пользователь
MYDOMAIN\pscexec
Компьютер
WSSQL
Описание
Пример успешного входа в сеть приведен в таблице ниже.
Имя пользователя
pscexec
Домен
MYDOMAIN
ИД входа
(0x0,0x6F1AC9)
Тип входа
3
Процесс входа
Kerberos
Имя рабочей станции
GUID входа
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Имя запрашивающего пользователя
Домен вызывающего
ИД входа вызывающего
Код процесса вызывающего
Промежуточные службы
Адрес сети источника
192.168.100.100
Порт источника
2465
Изучите запись журнала и убедитесь, что указанные ниже условия выполнены.
Имя пользователя правильно. Вход на узел SQL выполнен по сети с учетной записью mydomain\pscexec.
Тип входа — 3. Тип 3 означает сетевой вход.
И при входе в систему, и в пакете проверки подлинности используется проверка подлинности Kerberos. Это подтверждает, что на сервере с SharePoint Foundation 2010 для взаимодействия с узлом SQL используется проверка подлинности Kerberos.
Адрес сети источника совпадает с IP-адресом компьютера, с которого было выполнено подключение.
Если при подключении к узлу SQL появляется сообщение об ошибке, аналогичное сообщению Невозможно создать контекст SSPI, проблема, скорее всего, связана с именем участника-службы, используемым для экземпляра SQL Server. Сведения об устранении этой проблемы см. в статье Устранение неполадок при появлении сообщения об ошибке "Cannot generate SSPI context" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x419) базы знаний Майкрософт.
Создание имен участников-служб для веб-приложений, использующих проверку подлинности Kerberos
После включения проверки подлинности Kerberos работа с веб-приложениями SharePoint Foundation 2010 на базе служб ISS проходит точно так же, как и с любыми другими веб-сайтами IIS.
Для данной процедуры требуются указанные ниже сведения.
Класс службы для имени участника-службы (в контексте данной статьи для веб-приложений SharePoint Foundation 2010 всегда используется HTTP).
URL-адреса всех веб-приложений SharePoint Foundation 2010, в которых используется проверка подлинности Kerberos.
Входящее в имя участника-службы имя узла (реального или виртуального, в данной статье рассматриваются оба варианта).
Входящий в имя участника-службы номер порта (в данной статье рассматриваются веб-приложения SharePoint Foundation 2010 на основе портов IIS и на основе заголовков узлов IIS).
Учетные записи Windows Active Directory, для которых необходимо создать имена участников-служб.
В таблице ниже приведены все сведения для описанного в данной статье сценария.
| URL-адрес | Учетная запись Active Directory | Имя участника-службы |
|---|---|---|
http://wssadmin.mydomain.net:10000 |
wssfarmadmin |
|
http://kerbportal.mydomain.net |
portalpool |
|
http://kerbmysite.mydomain.net |
mysitepool |
|
Примечания к таблице.
Первый URL-адрес в списке — это URL-адрес центра администрирования с номером порта. Номер порта 10000 использовать необязательно, этот номер взят в качестве примера для обеспечения единообразия во всем тексте статьи.
Следующие два URL-адреса — это URL-адреса сайта портала и сайта "Мой сайт", соответственно.
С помощью приведенного выше руководства создайте в доменных службах Active Directory имена участников-служб, необходимые для поддержки проверки подлинности Kerberos в веб-приложениях SharePoint Foundation 2010. Войдите в систему на контроллере домена с учетной записью, обладающей правами администратора домена. Создать имена участников-служб можно либо с помощью упомянутой выше служебной программы SETSPN.EXE, либо с помощью упомянутой выше оснастки ADSIEDIT.MSC. При использовании оснастки ADSIEDIT.MSC обратитесь к приведенным выше инструкциям по созданию имен участников-служб. Убедитесь, что для учетных записей в доменных службах Active Directory созданы правильные имена участников-служб.
Развертывание фермы серверов
Для развертывания фермы серверов выполните указанные ниже действия.
Установите SharePoint Foundation 2010 на все серверы с SharePoint Foundation 2010.
Запустите Мастер настройки продуктов SharePoint и создайте новую ферму. На этом этапе создается веб-приложение центра администрирования SharePoint Foundation 2010, которое будет размещено на виртуальном сервере IIS, привязанном к порту, отличному от порта по умолчанию. В этом веб-приложении будет использоваться проверка подлинности Kerberos.
Запустите Мастер настройки продуктов SharePoint и включите в ферму остальные серверы.
Настройте страницу "Службы на серверах" для указанных ниже компонентов фермы
Служба поиска SharePoint Foundation 2010
Сервер индексирования поиска SharePoint Foundation 2010
Сервер поисковых запросов SharePoint Foundation 2010
Создайте веб-приложения для сайта портала и веб-сайта "Мой сайт", в которых будет использоваться проверка подлинности Kerberos.
Создайте в веб-приложении сайта портала семейство веб-сайтов на основе шаблона портала для совместной работы.
Убедитесь в доступности веб-приложений при использовании проверки подлинности Kerberos.
Убедитесь в работоспособности сервера индексирования поиска.
Убедитесь в работоспособности сервера поисковых запросов.
Установка SharePoint Foundation 2010 на все используемые серверы
Установка двоичных файлов SharePoint Foundation 2010 на серверы с SharePoint Foundation 2010 довольно проста и выполняется с помощью программы установки SharePoint Foundation 2010. Войдите в систему на каждом компьютере с SharePoint Foundation 2010 с учетной записью mydomain\pscexec. Пошаговые инструкции по выполнению этой процедуры приведены не будут. Для описанного в статье сценария выполните Полную установку SharePoint Foundation 2010 на всех серверах, где требуется SharePoint Foundation 2010.
Создание новой фермы
Для сценария, описанного в этой статье, сначала выполните Мастер настройки продуктов SharePoint с сервера индексирования поиска WSSADMIN, чтобы на WSSADMIN было установлено веб-приложение центра администрирования SharePoint Foundation 2010.
После завершения установки на сервере с именем WSSCRAWL появляется диалоговое окно Установка завершена с установленным флажком запуска Мастер настройки продуктов SharePoint. Оставьте этот флажок установленным и закройте диалоговое окно установки, чтобы запустить Мастер настройки продуктов SharePoint.
Запустив на компьютере Мастер настройки продуктов SharePoint, создайте новую ферму с указанными ниже параметрами.
Введите имя сервера базы данных (в этой статье это сервер с именем WSSSQL).
Введите имя базы данных конфигурации (можно оставить значение по умолчанию или задать собственное значение).
Введите данные учетной записи для доступа к базе данных (администратор фермы). В сценарии этой статьи этой учетной записью является mydomain\wssfarmadmin.
Введите необходимые данные для веб-приложения центра администрирования SharePoint Foundation 2010. В данной статье используются указанные ниже данные.
Номер порта для веб-приложения центра администрирования: 10000
Метод проверки подлинности: согласование
После ввода всех необходимых данных Мастер настройки продуктов SharePoint завершит работу. В случае успешного завершения работы убедитесь в доступности домашней страницы веб-приложения центра администрирования SharePoint Foundation 2010 при использовании проверки подлинности Kerberos. Для этого выполните указанные ниже действия.
Войдите в систему на другом сервере с SharePoint Foundation 2010 или на другом компьютере в домене mydomain с учетной записью mydomain\pscexec. Не следует проверять работоспособность проверки подлинности Kerberos непосредственно на компьютере, на котором размещено веб-приложение центра администрирования SharePoint Foundation 2010. Проверку необходимо выполнить на отдельном компьютере в домене.
Запустите на этом сервере браузер Internet Explorer и попытайтесь перейти по следующему URL-адресу: http://wssadmin.mydomain.net:10000. Должна появиться домашняя страница центра администрирования.
Чтобы убедиться, что для доступа к центру администрирования была использована проверка подлинности, вернитесь на компьютер с именем WSSADMIN, запустите средство просмотра событий и откройте журнал событий безопасности. Должна появиться запись аудита успешных операций, похожая на показанную в следующей таблице:
Тип события
Аудит успешных операций
Источник события
Безопасность
Категория события
Вход/выход
Код события
540
Дата
11/1/2007
Время
2:22:20
Пользователь
MYDOMAIN\pscexec
Компьютер
WSSADMIN
Описание
Пример успешного входа в сеть приведен в таблице ниже.
Имя пользователя
pscexec
Домен
MYDOMAIN
ИД входа
(0x0,0x1D339D3)
Тип входа
3
Процесс входа
Kerberos
Пакет проверки подлинности
Kerberos
Имя рабочей станции
GUID входа
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Имя запрашивающего пользователя
Домен вызывающего
ИД входа вызывающего
Код процесса вызывающего
Промежуточные службы
Адрес сети источника
192.168.100.100
Порт источника
2505
В этой записи журнала отображается тот же тип данных, что и в предыдущей:
Убедитесь, что имя пользователя введено правильно; это должна быть учетная запись mydomain\pscexec, с которой был выполнен сетевой вход в систему на сервере с SharePoint Foundation 2010, где размещен центр администрирования.
Убедитесь, что в качестве типа входа указано значение 3; тип 3 означает сетевой вход.
Убедитесь, что и при входе в систему, и в пакете проверки подлинности используется проверка подлинности Kerberos. Это гарантирует, что для доступа к веб-приложению центра администрирования используется проверка подлинности Kerberos.
Убедитесь, что адрес сети источника совпадает с IP-адресом компьютера, с которого было выполнено подключение.
Если домашняя страница центра администрирования не отображается и выводится сообщение об ошибке Недостаточно прав, значит, происходит сбой проверки подлинности Kerberos. Сбой может быть вызван двумя причинами.
Имя участника-службы в доменных службах Active Directory для необходимой учетной записи не зарегистрировано. Его нужно было зарегистрировать для mydomain\wssfarmadmin.
Имя участника-службы в доменных службах Active Directory не совпадает с именем участника-службы, созданным Internet Explorer, или является недопустимым. Возможно, для имени участника-службы, зарегистрированного в доменных службах Active Directory, опущен номер порта. Перед тем как продолжить, убедитесь, что эта ошибка исправлена, а центр администрирования работает с использованием проверки подлинности Kerberos.
Примечание
Чтобы узнать, что происходит в сети, и выполнить трассировку трафика при работе с центром администрирования, можно воспользоваться диагностическим средством — анализатором сетевых пакетов, например сетевым монитором Microsoft. После сбоя изучите данные трассировки и пакеты протокола KerberosV5. Найдите пакет с именем участника-службы, созданным Internet Explorer. Если имя участника-службы в данных трассировки правильно, это означает, что имя участника-службы в доменных службах Active Directory либо недопустимо, либо зарегистрировано для другой учетной записи.
Включение в ферму остальных серверов
Теперь, когда ферма создана, а доступ к центру администрирования осуществляется с помощью проверки подлинности Kerberos, необходимо запустить Мастер настройки продуктов SharePoint и включить в ферму остальные серверы.
На каждом из других четырех серверов с SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery и wsscrawl), SharePoint Foundation 2010 установка должна была завершиться и должно было появиться диалоговое окно завершения установки с установленным флажком Мастер настройки продуктов SharePoint. Оставьте этот флажок установленным и закройте диалоговое окно завершения установки, чтобы запустить Мастер настройки продуктов SharePoint. Выполните процедуры присоединения каждого из этих серверов к ферме.
После завершения работы Мастер настройки продуктов SharePoint на каждом сервере, добавляемом в ферму, убедитесь, что на каждом из этих серверов может открываться центр администрирования, выполняемый на сервере WSSADMIN. Если на каком-либо из этих серверов центр администрирования не открывается, перед продолжением выполните соответствующие действия для решения этой проблемы.
Настройка служб на серверах фермы
Настройте запуск конкретных служб SharePoint Foundation 2010 на конкретных серверах, запуская в ферме SharePoint Foundation 2010 и используя учетные записи, указанные в следующих разделах.
Примечание
В данном разделе отсутствует подробное описание пользовательского интерфейса — приведены только общие инструкции. Предполагается, что пользователь знаком с центром администрирования и умеет выполнять необходимые процедуры.
Откройте центр администрирования и выполните указанные ниже действия, чтобы настроить службы на указанных серверах с помощью указанных учетных записей.
Поиск с помощью Windows SharePoint Services
Выполните на странице "Службы на сервере" центра администрирования указанные ниже действия.
Выберите сервер WSSQUERY.
В открывшемся списке служб найдите службу поиска SharePoint Foundation 2010 (ближе к середине страницы) и выберите в столбце Действие команду Пуск.
На следующей странице введите учетные данные для учетной записи службы поиска SharePoint Foundation 2010 и учетной записи для доступа к контенту SharePoint Foundation 2010. В данной статье в качестве учетной записи службы поиска SharePoint Foundation 2010 используется mydomain\wsssearch, а в качестве учетной записи для доступа к контенту SharePoint Foundation 2010 — mydomain\wsscrawl. Введите в соответствующие поля имена учетных записей и пароли и нажмите кнопку Пуск.
Сервер индексирования
Выполните на странице "Службы на сервере" центра администрирования указанные ниже действия.
Выберите сервер WSSCRAWL.
В открывшемся списке служб найдите службу поиска SharePoint Foundation 2010 (ближе к середине страницы) и выберите в столбце Действие команду Пуск.
На следующей странице установите флажок Использовать этот сервер для индексации содержимого, а затем введите учетные данные учетной записи службы поиска SharePoint Foundation 2010. В сценарии этой статьи учетной записью службы поиска SharePoint Foundation 2010 является mydomain\wsssearch. Введите в соответствующие поля имена учетных записей и пароли и нажмите кнопку Пуск.
Сервер запросов
Выполните на странице "Службы на сервере" центра администрирования указанные ниже действия.
Выберите сервер WSSQUERY.
В открывшемся списке служб найдите службу поиска SharePoint Foundation 2010 (ближе к середине страницы) и выберите имя службы в столбце "Служба".
На следующей странице установите флажок Использовать этот сервер для обслуживания запросов поиска и нажмите кнопку ОК.
Создание веб-приложений, в которых используется проверка подлинности Kerberos
В данном разделе будут созданы веб-приложения для сайта портала и сайта "Мой сайт" в ферме.
Примечание
В данном разделе отсутствует подробное описание пользовательского интерфейса — приведены только общие инструкции. Предполагается, что пользователь знаком с центром администрирования и умеет выполнять необходимые процедуры.
Создание веб-приложения сайта портала
На странице "Управление приложениями" центра администрирования выберите команду Создание или расширение веб-приложения.
На следующей странице нажмите кнопку Создать веб-приложение.
На следующей странице установите флажок Создать веб-сайт IIS.
В поле Описание введите PortalSite.
В поле Порт введите 80.
В поле Заголовок узла введите kerbportal.mydomain.net.
Убедитесь, что в качестве поставшика проверки подлинности для данного веб-приложения выбрано Согласование.
Создайте веб-приложение в зоне по умолчанию. Не изменяйте зону для веб-приложения.
Установите флажок Создать пул приложений.
В поле Имя пула приложений введите PortalAppPool.
Установите флажок Настраиваемый. В поле Имя пользователя введите mydomain\portalpool.
Нажмите кнопку ОК.
Убедитесь, что веб-приложение создано.
Примечание
Если необходимо использовать SSL-подключение и привязать веб-приложение к порту 443, на странице "Создание веб-приложения" введите в поле Порт значение 443 и установите флажок Использовать SSL. Кроме того, необходимо установить SSL-сертификат шаблона имени. При привязке к заголовку узла IIS на веб-сайте IIS, настроенном на использование SSL, необходим SSL-сертификат шаблона имени. Дополнительные сведения о заголовках узла SSL в службах IIS см. в статье Настройка заголовков узла SSL (IIS 6.0) (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419) (Возможно, на английском языке).
Создание веб-приложения "Мой сайт"
На странице "Управление приложениями" центра администрирования выберите Создать или расширить веб-приложение.
На следующей странице нажмите кнопку Создать веб-приложение.
На следующей странице установите флажок Создать веб-сайт IIS.
В поле Описание введите MySite.
В поле Порт введите 80.
В поле Заголовок узла введите kerbmysite.mydomain.net .
Убедитесь, что в качестве службы проверки подлинности для данного веб-приложения выбрано Согласование.
Создайте веб-приложение в зоне по умолчанию. Не изменяйте зону для веб-приложения.
Установите флажок Создать пул приложений.
В поле Имя пула приложений введите MySiteAppPool.
Установите флажок Настраиваемый. В поле Имя пользователя введите mydomain\mysitepool.
Нажмите кнопку ОК.
Убедитесь, что веб-приложение создано.
Примечание
Если необходимо использовать SSL-подключение и привязать веб-приложение к порту 443, на странице "Создание веб-приложения" введите в поле Порт значение 443 и установите флажок Использовать SSL. Кроме того, необходимо установить SSL-сертификат шаблона имени. При привязке к заголовку узла IIS на веб-сайте IIS, настроенном на использование SSL, необходим SSL-сертификат шаблона имени. Дополнительные сведения о заголовках узла SSL в службах IIS см. в статье Настройка заголовков узла SSL (IIS 6.0) (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419) (Возможно, на английском языке).
Создание в веб-приложении сайта портала семейства сайтов на основе шаблона портала для совместной работы
В данном разделе создается семейство сайтов на сайте портала в веб-приложении, созданном специально для этой цели.
Примечание
В данном разделе отсутствует подробное описание пользовательского интерфейса — приведены только общие инструкции. Предполагается, что пользователь знаком с центром администрирования и умеет выполнять необходимые процедуры.
На странице "Управление приложениями" центра администрирования выберите команду Создание семейства веб-сайтов.
На следующей странице выберите необходимо веб-приложение. В данном примере выберите http://kerbportal.mydomain.net.
Введите заголовок и описание семейства сайтов.
Адрес веб-сайта оставьте без изменений.
В разделе Выбор шаблона под заголовком Выберите шаблон откройте вкладку Публикация и выберите шаблон Портал для совместной работы.
В разделе Главный администратор семейства веб-сайтов введите mydomain\pscexec.
Укажите дополнительного администратора семейства веб-сайтов.
Нажмите кнопку ОК.
Убедитесь, что семейство сайтов портала создано.
Проверка доступности веб-приложений при использовании проверки подлинности Kerberos
Убедитесь, что проверка подлинности Kerberos работает для созданных ранее веб-приложений. Начните с сайта портала.
Для этого выполните указанные ниже действия.
Войдите в систему на сервере с SharePoint Foundation 2010 (а не на одном из двух интерфейсных веб-серверов, настроенных для балансировки сетевой нагрузки) с учетной записью mydomain\pscexec. Не следует проверять работоспособность проверки подлинности Kerberos непосредственно на одном из компьютеров, на которых размещены веб-сайты с балансировкой нагрузки, использующие проверку подлинности Kerberos. Проверку необходимо выполнить на отдельном компьютере в домене.
Запустите на этом компьютере браузер Internet Explorer и попытайтесь перейти по следующему URL-адресу: http://kerbportal.mydomain.net.
Должна открыться домашняя страница сайта портала с проверкой подлинности Kerberos.
Чтобы убедиться, что для доступа к сайту портала используется проверка подлинности Kerberos, перейдите на один из интерфейсных веб-серверов с балансировкой нагрузки, откройте средство просмотра событий и просмотрите журнал событий безопасности. В журнале событий безопасности на одном из интерфейсных веб-серверов должна быть запись аудита успешных операций, аналогичная приведенной в таблице ниже. Обратите внимание, что эта запись может быть на любом из интерфейсных веб-серверов в зависимости от того, какой из компьютеров обработал запрос балансировки нагрузки.
Тип события |
Аудит успешных операций |
Источник события |
Безопасность |
Категория события |
Вход/выход |
Код события |
540 |
Дата |
11/1/2007 |
Время |
5:08:20 |
Пользователь |
MYDOMAIN\pscexec |
Компьютер |
wssfe1 |
Описание |
Пример успешного входа в сеть приведен в таблице ниже.
Имя пользователя |
pscexec |
Домен |
MYDOMAIN |
ИД входа |
(0x0,0x1D339D3) |
Тип входа |
3 |
Процесс входа |
Проверка подлинности Kerberos |
Имя рабочей станции |
|
GUID входа |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Имя запрашивающего пользователя |
|
Домен вызывающего |
|
ИД входа вызывающего |
|
Код процесса вызывающего |
|
Промежуточные службы |
|
Адрес сети источника |
192.168.100.100 |
Порт источника |
2505 |
В этой записи журнала отображается тот же тип данных, что и в предыдущей:
Убедитесь, что имя пользователя введено правильно; это должна быть учетная запись mydomain\pscexec, с которой был выполнен сетевой вход в систему на интерфейсном веб-сервере с SharePoint Foundation 2010, где размещен сайт портала.
Убедитесь, что в качестве типа входа указано значение 3; тип 3 означает сетевой вход.
Убедитесь, что и при входе в систему, и в пакете проверки подлинности используется проверка подлинности Kerberos. Это гарантирует, что для доступа к сайту портала используется проверка подлинности Kerberos.
Убедитесь, что адрес сети источника совпадает с IP-адресом компьютера, с которого было выполнено подключение.
Если домашняя страница сайта портала не отображается и выводится сообщение об ошибке, значит, происходит сбой проверки подлинности Kerberos. Сбой может быть вызван двумя причинами.
Имя участника-службы в доменных службах Active Directory для необходимой учетной записи не зарегистрировано. Для веб-приложения сайта портала необходимо зарегистрировать имя участника-службы для учетной записи mydomain\portalpool.
Имя участника-службы в доменных службах Active Directory не совпадает с именем участника-службы, созданным Internet Explorer, или является недопустимым. В этом случае имя участника-службы, зарегистрированное в доменных службах Active Directory, отличается от заголовка узла IIS, указанного при расширении веб-приложения, поскольку в заголовках узла IIS номер порта не указан. Чтобы проверка подлинности Kerberos заработала, эту ошибку необходимо исправить.
Примечание
Чтобы узнать, что происходит в сети, и выполнить трассировку трафика при работе с центром администрирования, можно воспользоваться диагностическим средством — анализатором сетевых пакетов, например сетевым монитором Microsoft. После сбоя изучите данные трассировки и пакеты протокола KerberosV5. Найдите пакет с именем участника-службы, созданным Internet Explorer. Если имя участника-службы в данных трассировки правильно, это означает, что имя участника-службы в доменных службах Active Directory либо недопустимо, либо зарегистрировано для другой учетной записи.
После того как проверка подлинности Kerberos для сайта портала заработает, перейдите на сайт "Мой сайт" по следующему URL-адресу:
Примечание
При первом переходе по URL-адресу сайта "Мой сайт" SharePoint Foundation 2010 потребуется некоторое время для создания сайта "Мой сайт" для вошедшего в систему пользователя. Эта операция должна завершиться без сбоев, после чего должна открыться страница "Мой сайт".
Все должно работать правильно. В случае проблем см. приведенные выше инструкции по устранению неполадок.
Проверка работоспособности сервера индексирования поиска
Убедитесь, что сервер индексирования поиска выполняет обход размещенного на ферме контента. Это необходимо выполнить перед проверкой результатов поисковых запросов для пользователей, получающих доступ к сайтам с помощью проверки подлинности Kerberos.
Примечание
В данном разделе отсутствует подробное описание пользовательского интерфейса — приведены только общие инструкции. Предполагается, что пользователь знаком с центром администрирования и умеет выполнять необходимые процедуры.
Чтобы проверить работоспособность сервера индексирования поиска, откройте веб-приложение и запустите полный обход. Дождитесь завершения обхода. В случае сбоя обхода выясните причину ошибки, устраните ее и запустите полный обход снова. Если при обходе появляются сообщения об ошибке "Доступ запрещен", это означает, что либо учетная запись для обхода не имеет доступа к источникам контента, либо проверка подлинности Kerberos не работает. В чем бы не заключалась причина ошибки, устраните ее, прежде чем переходить к последующим действиям.
Перед тем как продолжить, необходимо выполнить полный обход веб-приложений, в которых используется проверка подлинности Kerberos.
Проверка работоспособности сервера поисковых запросов
Чтобы убедиться, что сервер поисковых запросов возвращает результаты для пользователей, получающих доступ к сайту портала с помощью проверки подлинности Kerberos, выполните указанные ниже действия.
Запустите Internet Explorer на компьютере в домене mydomain.net и перейдите по адресу http://kerbportal.mydomain.net.
Когда откроется домашняя страница сайта портала, введите в поле Поиск ключевое слово и нажмите клавишу ВВОД.
Убедитесь, что результаты поисковых запросов возвращаются. Если результаты не возвращаются, убедитесь, что ключевое слово является допустимым, сервер индексирования поиска работает, на серверах индексирования поиска и поисковых запросов запущена служба поиска и отсутствуют проблемы с распространением поиска с сервера индексирования поиска на сервер поисковых запросов.
Ограничения конфигурации
Частью имени узла для созданных имен участников-служб в новом формате будет NetBIOS-имя узла, на котором работает служба, например: MSSP/kerbtest4:56738/SSP1. Это обусловлено тем, что имена узлов заполняются из базы данных конфигурации SharePoint Foundation 2010 и в базе данных конфигурации SharePoint Foundation 2010 хранятся только NetBIOS-имена компьютеров. В определенных сценариях это может привести к путанице.