规划 Office Web Apps Server

 

适用于: Office Web Apps Server

上一次修改主题: 2017-10-10

摘要: 介绍 Office Web Apps Server 要求和先决条件,包括 HTTPS、证书、虚拟化、负载平衡、拓扑和安全性。

目标用户: IT 专业人员

Office Web Apps Server 提供了本地环境中的 Office 应用程序的基于浏览器的版本,给用户带来更多灵活性和协作机会。本文介绍了在组织中安装 Office Web Apps Server 的要求和所需步骤。

请务必仔细规划,这样可确保所有主机(如 SharePoint 2013 和 Lync Server 2013)能够与 Office Web Apps Server 通信。有关配置主机的其他指南,请参阅以下资源:

备注

SharePoint 2010 产品 不能作为 Office Web Apps Server 的主机。Office Web Apps Server 不受 SharePoint Foundation 2010 或 SharePoint Server 2010 支持。Office Web Apps Server 也不受 Exchange Server 2013 支持。

本文内容:

  • Office Web Apps Server 的软件、硬件和配置要求

  • 对虚拟化 Office Web Apps Server 的支持

  • Office Web Apps Server 的防火墙要求

  • Office Web Apps Server 的负载平衡器要求

  • Office Web Apps Server 的 DNS 要求

  • 规划 Office Web Apps Server 的语言包

  • Office Web Apps Server 的拓扑规划

  • Office Web Apps Server 的安全性规划

  • 规划 Office Web Apps Server 的联机查看器

  • 规划 Office Web Apps Server 的更新

Office Web Apps Server 的软件、硬件和配置要求

您可以安装 Office Web Apps Server 作为单服务器 Office Web Apps Server 场,或者作为多服务器、负载平衡 Office Web Apps Server 场。您可以使用物理服务器或虚拟机实例,但是您不能在与 Office Web Apps Server 相同的服务器上安装其他服务器应用程序(例如 SharePoint 2013 或 SQL Server)。

在包含实际用户数据的环境中,我们始终建议您使用 HTTPS,您必须获取 HTTPS 证书。 如果在服务器场中使用多台服务器,您将必须配置硬件或软件负载平衡解决方案。 您可以在以下各节中了解有关这些方案的详细信息。

Office Web Apps Server 的硬件要求

Office Web Apps Server 具有与 SharePoint Server 2013 相同的最低硬件要求。您可以在硬件要求 - Web 服务器、应用程序服务器和单一服务器安装中找到一组完整 SharePoint 2013 要求。

Office Web Apps Server 支持的操作系统

您可以在以下操作系统上运行 Office Web Apps Server:

  • 安装了 Windows Server 2008 R2 x64 版本更新的 64 位版本 Windows Server 2008 R2 Service Pack 1 (SP1) Standard、Enterprise 或 Datacenter

  • Windows Server 2012 Standard 或 Datacenter 的 64 位版本

  • 64 位版本的 Windows Server 2012 R2。若要使用此操作系统,则必须使用 Office Web Apps Server Service Pack 1 (SP1)。

Office Web Apps Server 的域要求

Office Web Apps Server 场中的服务器都必须是域的一部分。它们可以在同一个域 (推荐) 中或位于同一个林中的不同域中。但是,如果您尝试在域控制器上安装它,Office Web Apps Server 将不起作用。

Office Web Apps Server 需要的服务器角色、服务及其他软件

首先,以下是部署 Office Web Apps Server 时不应执行的一些操作。

  • 请勿在运行 Office Web Apps Server 的服务器上安装任何其他服务器应用程序。包括 Exchange Server、SharePoint Server、Lync Server 和 SQL Server。如果您的服务器不足,则可以在这些服务器的其中一台上的虚拟机实例中运行 Office Web Apps Server。

  • 不要在端口 80、443 或 809 上安装依赖 Web 服务器 (IIS) 角色的任何服务或角色,因为 Office Web Apps Server 会定期删除这些端口上的 Web 应用程序。

  • 不要安装任何版本的 Office。如果已经安装,在安装 Office Web Apps Server 之前必须将其卸载。

  • 不要在域控制器上安装 Office Web Apps Server。它不会在包含 Active Directory 域服务 (AD DS) 的服务器上运行。

下面是您需要安装的项。有关详细信息,请参阅下表。

重要

只能从批量许可服务中心 (VLSC) 下载 Office Web Apps Server。必须拥有符合批量许可协议的 Office Professional Plus 2013、Office Standard 2013 或 Office for Mac 2011 许可证,才能下载 Office Web Apps Server。下载位置在 VLSC 门户上的这些 Office 产品下方。

Office Web Apps Server 需要的下载、服务器角色和功能

下载、服务器角色或功能 如果在 Windows Server 2008 R2 上安装 如果在 Windows Server 2012 上安装 如果在 Windows Server 2012 R2 上安装

下载:Office Web Apps Server

Office Web Apps Server

Office Web Apps Server

Office Web Apps Server

下载:Office Web Apps Server SP1

建议

建议

Office Web Apps Server SP1

下载:.NET Framework 的正确版本

.NET Framework 4.5

已安装 .NET framework 4.5

.NET Framework 4.5.2

下载:Windows Server 2008 R2 x64 Edition 更新程序

Windows Server 2008 R2 x64 版本更新

不适用

不适用

下载:Windows PowerShell 3.0

Windows PowerShell 3.0

已安装

已安装

服务器角色:Web 服务器 (IIS)

以下是 Web 服务器 (IIS) 服务器角色所需的最少角色服务。

常见的 HTTP 功能

  • 静态内容

  • 默认文档

应用程序开发

  • ASP.NET

  • .NET 扩展性

  • ISAPI 扩展

  • ISAPI 筛选器

  • 服务器端包括

安全性

  • Windows 身份验证

  • 请求筛选

管理工具

  • IIS 管理控制台

推荐以下选项,但它们不是必需的:

性能

  • 静态内容压缩

  • 动态内容压缩

以下是 Web 服务器 (IIS) 服务器角色所需的最少角色服务。

管理工具

  • IIS 管理控制台

Web 服务器

  • 常见的 HTTP 功能

  • 默认文档

  • 静态内容

安全性

  • 请求筛选

  • Windows 身份验证

应用程序开发

  • .NET Extensibility 4.5

  • ASP.NET 4.5

  • ISAPI 扩展

  • ISAPI 筛选器

  • 服务器端包括

推荐以下服务,但它们不是必需的:

性能

  • 静态内容压缩

  • 动态内容压缩

以下是 Web 服务器 (IIS) 服务器角色所需的最少角色服务。

管理工具

  • IIS 管理控制台

Web 服务器

  • 常见的 HTTP 功能

  • 默认文档

  • 静态内容

安全性

  • 请求筛选

  • Windows 身份验证

应用程序开发

  • .NET Extensibility 4.5

  • ASP.NET 4.5

  • ISAPI 扩展

  • ISAPI 筛选器

  • 服务器端包括

推荐以下服务,但它们不是必需的:

性能

  • 静态内容压缩

  • 动态内容压缩

功能:墨迹和手写服务

墨迹和手写服务

  • 墨迹支持

墨迹和手写服务

  • 墨迹支持不是必需的。

墨迹和手写服务

  • 墨迹支持不是必需的。

对虚拟化 Office Web Apps Server 的支持

在使用 Windows ServerHyper-V 技术部署 Office Web Apps Server 时,它完全受支持。如果您计划虚拟化 Office Web Apps Server,请按照以下指南操作:

  • 在它自己的虚拟机实例中安装 Office Web Apps Server。不要在此实例中安装任何其他服务器应用程序,例如 SharePoint 2013。

  • 可以在由运行 SharePoint 2013 的服务器托管的虚拟机实例中安装 Office Web Apps Server。

  • 对于包含多台服务器的 Office Web Apps Server 场,每个实例均应位于单独的虚拟机主机上。这样 Office Web Apps Server 场在其中一台主机出现故障时仍可用。

Office Web Apps Server 的防火墙要求

防火墙可能会通过阻止 Web 浏览器、运行 Office Web Apps Server 的服务器和运行 SharePoint 2013 的服务器之间的通信而导致出现问题。当服务器在网络的不同部分时,这些问题可能会变得更复杂。

确保运行 Office Web Apps Server 的服务器或负载平衡器上的防火墙没有阻止以下端口:

  • 用于 HTTPS 流量的端口 443

  • 用于 HTTP 流量的端口 80

  • 运行 Office Web Apps Server 的服务器之间的专用流量的端口 809(如果您设置了包含多台服务器的服务器场)

Office Web Apps Server 的负载平衡器要求

在两台或更多台服务器上运行 Office Web Apps Server 时,建议使用负载平衡解决方案。几乎可以使用任何负载平衡解决方案,包括运行 Web 服务器 (IIS) 角色(用于运行应用程序请求路由 (ARR))的服务器。事实上,可以在运行 Office Web Apps Server 的服务器之一上运行 ARR。如果没有负载平衡解决方案,请参考以下有关将 IIS 与 ARR 一起使用的一些资源:

理想情况下,尝试查找支持以下功能的负载平衡解决方案:

  • 第 7 层路由

  • 启用客户端相关性或前端相关性

  • 启用 SSL 分流

如果您使用负载平衡器,则需要在负载平衡器上安装证书,如本文的使用 HTTPS 保护 Office Web Apps Server 通信一节所述。

Office Web Apps Server 的 DNS 要求

在使用 HTTPS 和负载平衡的环境中,需要更新 DNS,以便证书的完全限定域名 (FQDN) 解析为运行 Office Web Apps Server 的服务器的 IP 地址或分配给 Office Web Apps Server 服务器场的负载平衡器的 IP 地址。

规划 Office Web Apps Server 的语言包

Office Web Apps Server 2013 语言包使用户能够从 SharePoint 2013 文档库、Outlook Web App(作为附件预览)和 Lync 2013(作为 PowerPoint 广播)中以多种语言查看基于 Web 的 Office 文件。不过,这取决于主机上配置的语言。若要从主机中以多种语言查看基于 Web 的 Office 文件,必须符合以下条件:

  • 主机(如 SharePoint Server 2013 或 Lync Server 2013)配置为以其他语言运行应用程序。在主机上安装和配置语言包的过程与在 Office Web Apps Server 场上安装语言包无关。

  • 安装了语言并且可在 Office Web Apps Server 服务器场中的所有服务器上使用这些语言。

Office Web Apps Server 语言包下载位置如下。

Office Web Apps Server 的拓扑规划

Office Web Apps Server 拓扑至少包含一个运行 Office Web Apps Server 的物理计算机或虚拟机,以及至少一个主机(例如,运行 Lync Server 2013 或 SharePoint 2013 的服务器)。当然,需要有客户端 PC 或设备,才能连接其中一个主机并使用 Office Web Apps 功能。在最小拓扑的基础上,可以根据组织的需求向 Office Web Apps Server 场中添加更多主机和服务器。

以下是 Office Web Apps Server 拓扑变得更为复杂时您应该考虑的建议。

  • 规划冗余。 如果您使用虚拟机实例,请确保将它们置于不同的虚拟机主机上以实现冗余。主机上的其他实例可以运行服务器应用程序—只是不要在运行 Office Web Apps Server 的同一实例上运行其他服务器应用程序。

  • 坚持使用一个数据中心。 Office Web Apps Server 场中的服务器必须在同一个数据中心。不要异地分布它们。通常,您只需要一个服务器场,除非您的安全需求要求具有自己的 Office Web Apps Server 场的隔离网络。

  • 主机越靠近越好。 Office Web Apps Server 场并不一定要像其服务的主机一样必须在同一个数据中心,但是对于繁重的编辑使用,我们建议您将 Office Web Apps Server 场尽量靠近主机。这对于主要使用 Office Web Apps 查看 Office 文件的组织来说不是很重要。

  • 规划您的连接。 Office Web Apps Server 场中的所有服务器仅相互连接。要将它们连接到更广的网络,可以通过反向代理负载平衡器防火墙实现。

  • 为 HTTP 或 HTTPS 请求配置防火墙。 确保防火墙允许服务器运行 Office Web Apps Server,以将 HTTP 或 HTTPS 请求初始化到主机。

  • 规划传入和传出通信。 在面向 Internet 的部署中,通过 NAT 设备,路由所有传出的通信。在多服务器场中,使用负载平衡器处理所有传入通信。

  • 确保 Office Web Apps Server 场中的所有服务器都加入到一个域中,成为同一组织单位 (OU) 的一部分。在 New-OfficeWebAppsFarm cmdlet 中使用 FarmOU 参数可阻止非此 OU 中的其他服务器加入到场中。

  • 对所有传入请求使用安全超文本传输协议 (HTTPS)。

  • 如果网络中已经部署了 IPsec,则可以使用它在服务器之间加密流量。

  • 规划使用 Internet 的 Office 功能。 如果需要剪贴画和翻译服务等功能,且场中的服务器无法向 Internet 发出请求,则必须为 Office Web Apps Server 场配置代理服务器。这将允许向外部站点发出 HTTP 请求。

Office Web Apps Server 的安全性规划

下面的信息介绍 Office Web Apps Server 的安全指南。

使用 HTTPS 保护 Office Web Apps Server 通信

Office Web Apps Server 可以使用 HTTPS 协议与 SharePoint 2013 和 Lync Server 2013 通信。在生产环境中,强烈建议使用 HTTPS。必须安装可分配给运行 Office Web Apps Server 的服务器(如果使用一台服务器)或负载均衡器(如果使用多台运行 Office Web Apps Server 的服务器)的 Internet 服务器证书。

在不包含用户数据的测试环境中,可以对 SharePoint 2013 使用 HTTP,并跳过证书要求。Lync Server 2013 仅支持 HTTPS。

Office Web Apps Server 使用的证书需要符合下列要求:

  • 证书必须来自受信任的证书颁发机构,并且在“SAN”(使用者可选名称)字段中包括您的 Office Web Apps Server 场的完全限定域名 (FQDN)。(如果 FQDN 不在“SAN”中,则当您尝试使用证书时,浏览器将显示安全警告或不处理响应。)

  • 证书必须具有可导出的私钥。默认情况下,在单服务器场中使用 Internet Information Services (IIS) 管理器管理单元导入证书时,会选择此选项。

  • “友好名称”字段在受信任根证书颁发机构存储中必须是唯一的。如果多个证书共享一个“友好名称”字段,创建服务器场将失败,因为 New-OfficeWebAppsFarm cmdlet 将不知道使用其中哪个证书。

  • Office Web Apps Server 不需要任何特殊证书属性或扩展。例如,不需要客户端增强型密钥使用 (EKU) 扩展或服务器 EKU 扩展。

  • 在 Windows Server 2012 或 Windows Server 2012 R2 上,您必须安装“允许 HTTP 激活”Windows Communication Foundation (WCF) 功能。

必须按如下方式导入证书:

  • 对于单服务器场   必须在运行 Office Web Apps Server 的服务器上直接导入证书。不要手动绑定证书。您稍后运行的 New-OfficeWebAppsFarm cmdlet 将为您执行此操作。如果手动绑定证书,则服务器每次重启时都会删除该证书。

  • 对于负载平衡场   如果卸载 SSL,则必须在硬件负载平衡器上导入证书。如果不卸载 SSL,则必须在 Office Web Apps Server 场中的每个服务器上安装证书。

备注

否则不要使用自签名证书,不重要的测试环境除外。

有关证书的详细信息,请参阅如何获取 SSL 证书

对硬件负载平衡器使用 SSL 卸载

当设置新的 Office Web Apps Server 场时,默认情况下 SSL 卸载设置为“关闭”。如果您正在使用硬件负载平衡器,我们建议您将 SSL 卸载设置为“打开”,以便场中每个 Office Web Apps Server 可以使用 HTTP 与负载平衡器进行通信。将 SSL 卸载设置为“打开”还会提供以下好处:

  • 简化证书管理

  • 提高软相关性

  • 改善性能

请注意,使用 HTTP 时,从负载平衡器到运行 Office Web Apps Server 的服务器的通信不加密,因此您需要确保网络本身是安全的。使用专用子网可帮助保护通信。

根据 OU 成员身份限制哪些服务器可以加入 Office Web Apps Server 服务器场

您可以阻止未经授权的服务器加入 Office Web Apps Server 场,方法是为这些服务器创建组织单元,然后在创建服务器场时指定 FarmOU 参数。有关 FarmOU 参数的详细信息,请参阅 New-OfficeWebAppsFarm

使用允许列表限制 Office Web Apps Server 的主机访问

允许列表是阻止不需要的主机未经您的同意连接到 Office Web Apps Server 场并使用它执行文件操作的安全功能。通过将包含已批准主机的域添加到允许列表中,您可以限制为 Office Web Apps Server 允许其执行文件操作请求(例如文件检索、元数据检索和文件更改)的主机。

您可以在创建 Office Web Apps Server 场后将域添加到允许列表中。请参阅 New-OfficeWebAppsHost,了解如何将域添加到允许列表中。

重要

如果您没有将域添加到允许列表中,则 Office Web Apps Server 允许对任何域中的主机的文件请求。如果您的 Office Web Apps Server 服务器场可从 Internet 访问,请不要将此列表留空。否则,任何人均可使用您的 Office Web Apps Server 服务器场来查看和编辑内容。

规划 Office Web Apps Server 的联机查看器

默认情况下,在安装 Office Web Apps Server 后会启用联机查看器功能。如果您计划在组织中使用联机查看器,请查看以下指南。在有些情况下,您可能希望禁用联机查看器中的一些功能。这些指南提到了通过使用 Windows PowerShell cmdlet New-OfficeWebAppsFarmSet-OfficeWebAppsFarm 设置的参数。

联机查看器的安全注意事项

打算使用联机查看器通过 Web 浏览器查看的文件必须不需要身份验证。换句话说,文件必须可公开使用,因为联机查看器在检索文件时无法执行身份验证。强烈建议用于联机查看器的 Office Web Apps Server 场仅能够访问 Intranet 或 Internet,而不是同时能够访问这两者。这是因为 Office Web Apps Server 不区分对 Intranet 和 Internet URL 的请求。例如,如果对 Intranet URL 的请求来自 Internet,在将内部文档提供给 Internet 上的某人时,可能会出现安全漏洞。

出于相同原因,如果您将 Office Web Apps Server 设置为仅连接到 Internet,强烈建议禁用联机查看器中的 UNC 支持。若要禁用 UNC 支持,请使用 Windows PowerShell cmdlet New-OfficeWebAppsFarm(对于新服务器场)或 Set-OfficeWebAppsFarm(对于现有服务器场)将 OpenFromUncEnabled 参数设置为 False。

作为附加安全预防措施,可以将联机查看器限制为查看不超过 10 MB 的 Office 文件。

联机查看器的配置选项

您可以通过在 New-OfficeWebAppsFarm(对于新服务器场)或 Set-OfficeWebAppsFarm(对于现有服务器场)中使用以下 Windows PowerShell 参数来配置联机查看器。

  • OpenFromUrlEnabled   启用或禁用联机查看器。此参数控制具有 URL 和 UNC 路径的文件的联机查看器。默认情况下,在创建新的 Office Web Apps Server 场时,此参数设置为 False(禁用)。

  • OpenFromUncEnabled   当启用联机查看器(通过使用 OpenFromUrlEnabled 设置为 True)时,此参数可启用或禁用联机查看器显示 UNC 路径中的文件的功能。默认情况下,此参数设置为 True,但请确保 OpenFromUrlEnabled 也设置为 True,这样才能允许从 UNC 路径打开文件。正如前面所述,如果您将 Office Web Apps Server 设置为连接到 Internet,则建议将此参数设置为 False。

  • OpenFromUrlThrottlingEnabled   限制在一定时段内来自任何给定服务器的“从 URL 打开文件”请求的次数。默认限制值不可配置,它可确保 Office Web Apps Server 场不会因发送在联机查看器中查看内容的请求而使单台服务器不堪重负。

规划 Office Web Apps Server 的更新

部署 Office Web Apps Server 之前,必须决定您的组织将如何管理 Office Web Apps Server 场的软件更新。虽然软件更新可帮助提高服务器安全性、性能和可靠性,但是不正确的更新安装会导致 Office Web Apps Server 出现问题。

Office Web Apps Server 不支持使用 Microsoft 自动更新过程应用 Office Web Apps Server 更新。对 Office Web Apps Server 的更新必须以特定方式应用,如将软件更新应用到 Office Web Apps Server 中所述。如果自动应用 Office Web Apps Server 更新,则用户可能无法在 Office Web Apps 中查看或编辑文档。如果出现这种情况,您必须重新构建 Office Web Apps Server 场。

建议使用 Windows ServerWindows Server 更新服务 (WSUS) 或 System Center配置管理器(使用 WSUS)来管理更新程序。通过 WSUS,可以全权管理通过 Microsoft 更新针对 Office Web Apps Server 场中各服务器发布的更新程序的分发情况。使用 WSUS,可以决定哪些更新程序可自动应用于服务器场,哪些更新程序(如 Office Web Apps Server 更新程序)必须手动应用。有关 WSUS 的详细信息,请参阅 Windows Server 更新服务

如果您不使用 WSUS 或 System Center 配置管理器,请将 Office Web Apps Server 场中每个服务器上的 Microsoft 自动更新设置为“自动下载但通知用户安装”。当您收到 Office Web Apps Server 更新通知时,请按照将软件更新应用到 Office Web Apps Server 中的步骤操作。要应用 Windows 更新并保持服务器的安全,请在收到更新可用的通知时接受 Windows 更新。

另请参阅

Office Web Apps Server 内容指南
Office Web Apps Server 概述
部署 Office Web Apps Server
将软件更新应用到 Office Web Apps Server

Office.com(获取桌面或移动设备 Office Web Apps 帮助)