通过

如何将服务器配置为受信任可以进行委派

  • 项目

应用到: Application Virtualization 4.5 SP1

安装 Microsoft Application Virtualization (App-V) Management Server 软件时,您可以选择使用分布式系统体系结构来安装该软件。如果在不同计算机上安装控制台、管理 Web 服务和数据库,则必须将 Internet Information Services (IIS) 服务器配置为受信任可以进行委派。必需执行此操作,因为管理 Web 服务将尝试使用正在使用控制台的 App-V 管理员的凭据连接到 App-V 数据存储。安装数据存储的数据库服务器将不接受 IIS 服务器提供的管理员凭据,除非将此 IIS 服务器配置为受信任可以进行委派,因此管理 Web 服务将无法连接到 App-V 数据存储。

备注

如果在一台服务器上安装 App-V Management Server 软件,并将数据存储放在另一台服务器上,则在某一种情况下,您仍然必须将服务器配置为受信任可以进行委派,即使管理 Web 服务和 Management Console 在同一台服务器上也是如此。如果需要使用“使用备用凭据”选项在控制台中连接到管理 Web 服务,则会出现这种情况。

能够使用的委派的类型取决于在 Active Directory 域服务 (AD DS) 基础结构中已经配置的域功能级别。下表列出了可针对 App-V 的每个域功能级别配置的委派的类型。表后面有详细说明。

域功能级别 可用的委派级别

Windows 2000 纯模式
  • 无委派(默认值)

  • 非约束委派

Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2
  • 无委派(默认值)

  • 非约束委派1

  • 约束委派(仅使用 Kerberos 协议)

  • 约束委派(使用任何身份验证协议)1

1 不建议。

在域功能级别为 Windows 2000 纯模式时配置非约束委派

在 Web 服务器域的域控制器上,完成以下步骤。

  1. 依次单击**“开始”“管理工具”“Active Directory 用户和计算机”**。

  2. 展开域,然后展开“计算机”文件夹。

  3. 在右窗格中,右键单击 Web 服务器的计算机名称,然后单击**“属性”**。

  4. 在**“常规”选项卡上,确保选中“信任计算机作为委派”**复选框。

  5. 单击**“确定”**。

在域功能级别为 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 时配置非约束委派

在 Web 服务器域的域控制器上,完成以下步骤。

  1. 依次单击**“开始”“管理工具”“Active Directory 用户和计算机”**。

  2. 展开域,然后展开“计算机”文件夹。

  3. 在右窗格中,右键单击 Web 服务器的计算机名称,选择**“属性”,然后单击“委派”**选项卡。

  4. 单击以选择**“信任此计算机来委派任何服务(仅 Kerberos)”**。

  5. 单击**“确定”**。

在域功能级别为 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 时配置约束委派

在 Web 服务器域的域控制器上,完成以下步骤。

  1. 依次单击**“开始”“管理工具”“Active Directory 用户和计算机”**。

  2. 展开域,然后展开“计算机”文件夹。

  3. 在右窗格中,右键单击 Web 服务器的计算机名称,选择**“属性”,然后单击“委派”**选项卡。

  4. 单击以选择**“仅信任此计算机来委派指定的服务”**。

  5. 确保**“仅使用 Kerberos”处于选中状态,然后单击“确定”**。

  6. 单击**“添加”按钮。在“添加服务”对话框中,单击“用户或计算机”,然后浏览到或键入具有 App-V 数据存储并且要从 IIS 接收用户凭据的 Microsoft SQL Server 的名称。单击“确定”**。

  7. 在**“可用服务”列表中,选择 MSSQLSvc 服务,该服务将列出 Microsoft SQL Server 接受 App-V 数据库连接所用的端口号(默认端口为 1433)。单击“确定”**。

为约束委派配置 IIS 7 的附加步骤

如果在 IIS 7 服务器上运行的是管理 Web 服务,则必须完成以下步骤才能将 IIS 7 useAppPoolCredentials 变量设置为 True。

  1. 打开提升的命令提示符窗口。若要打开提升的命令提示符窗口,请依次单击**“开始”“所有程序”“附件”,再右键单击“命令提示符”,然后单击“以管理员身份运行”**。

  2. 导航到 %windir%\system32\inetsrv。

  3. 键入 appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true,然后按 Enter。

-----
你可以在 TechNet 库中了解有关 MDOP 的详细信息,在 TechNet Wiki 上搜索疑难解答,或者在 FacebookTwitter 上与我们联系。 请将关于 MDOP 文档的建议和意见发送到 MDOPdocs@microsoft.com。