通过

配置 Kerberos 身份验证:分步配置 (SharePoint Server 2010)

  • 项目

 

适用于: SharePoint Server 2010

上一次修改主题: 2016-11-30

在下面的方案文章中,我们构建一个 SharePoint Server 2010 环境,来演示如何在企业中可能会遇到的许多常见方案中配置委派。这些演练假定您构建的扩展 SharePoint 场与下节中所述的场类似。

备注

有些配置步骤可能会更改,或可能不适用于某些服务器场拓扑。例如,单服务器安装不支持 Windows Identity Foundation C2WTS 服务,因此无法在此服务器场配置中实现声明为 Windows 令牌委派方案。

环境和服务器场拓扑

下图演示在配置以下几节中的方案时使用的服务器场拓扑。该服务器场拓扑可在多层之间实现负载平衡和扩展,以演示标识委派如何在多服务器、多跃点方案中工作。

备注

演示中的服务器场配置不适合用作参考体系结构或为生产环境设计拓扑的方法示例。例如,演示拓扑在单台服务器上运行所有 SharePoint Server 2010 服务应用程序,这会为这些服务创建单一故障点。有关如何设计和构建生产 SharePoint Server 环境的详细信息,请参阅 SharePoint Server 2010 – 物理和逻辑体系结构(该链接可能指向英文页面)以及 SharePoint Server 2010 的拓扑

示例服务器场拓扑关系图

备注

方案演练假定运行 SharePoint Server 和以下方案中使用的数据源的所有计算机驻留在单个域中。多域/多林配置的说明和演练不在本文档的讨论范围之内。

环境规范

演示环境中的所有计算机都虚拟化运行在 Windows Server 2008 R2 Hyper-V 上。这些计算机加入了单个 Windows 域 vmlab.local 中,并在 Windows Server 2008 林和域功能级别运行。

  • 客户端计算机

    • Windows 7 Professional 64 位

  • SharePoint Server 前端 Web

    • Windows Server 2008 R2 Enterprise 64 位

    • 服务:

      • Web 应用程序服务

    • 通过 Windows NLB 实现负载平衡

  • SharePoint Server 应用程序服务器

    • Windows Server 2008 R2 Enterprise 64 位

    • Microsoft SharePoint Server 2010 (RTM)

    • 服务:

      • WIF 声明为 Windows 令牌服务

      • Managed Metadata Service

      • SharePoint 索引

      • SharePoint 查询

      • Excel Services

      • Visio Graphics Service

      • Business Connectivity Services

      • PerformancePoint Services

  • SQL 服务

    • Windows Server 2008 R2 Enterprise 64 位

    • Microsoft SQL Server 2008 R2 Enterprise 64 位

    • 主动/被动配置

    • SQL Server 服务:

      • SQL 数据引擎

      • SQL Server Analysis Services

      • SQL 代理

      • SQL 浏览器

  • SQL Reporting Server

    • Windows Server 2008 R2 Enterprise 64 位 (RTM)

    • Microsoft SQL 2008 R2 Enterprise 64 位 (RTM)

    • Microsoft SharePoint Server 2010 (RTM)

    • Windows NLB,负载平衡

    • Reporting Services SharePoint 集成模式

    • Reporting Services,扩展模式

Web 应用程序规范

演练中的方案引用一组您将在方案 1 中配置的 SharePoint Server 2010 Web 应用程序。以下 Web 应用程序使用 Windows NLB 跨演示环境中的两个 SharePoint Server Web 前端实现了负载平衡:

  • http://sp10CA   服务器场的管理中心 Web 应用程序。方案 1 不演练此 Web 应用程序的配置。

  • http://portal 和 https://portal   使用演示发布门户的 Web 应用程序。它用于演示如何为运行在标准端口(HTTP 80、HTTPS 443)上的 Web 应用程序配置委派

  • http://teams:5555   使用演示工作组网站的 Web 应用程序。它用于演示如何为运行在非标准端口(在此示例中为端口 5555)上的 Web 应用程序配置委派。

Web 应用程序关系图

SSL 配置

一些演练方案将使用 SSL 来演示如何使用 HTTPS 配置委派。假定使用的证书来自受信任的根证书颁发机构(内部或公共),或者您已配置所有计算机信任使用的证书。本文档不介绍如何正确配置证书信任,也不提供有关与 SSL 证书安装相关的问题的调试指南。强烈建议在使用 SSL 保护服务配置 Kerberos 约束委派之前查看这些主题并对 SSL 配置进行测试。有关详细信息,请参阅:

负载平衡

SharePoint Server 前端 Web 和 SQL Server Reporting Services 服务器使用 Windows Server 2008 网络负载平衡 (NLB) 实现了负载平衡。本文档不介绍如何配置 NLB 和 NLB 最佳实践。有关 NLB 的详细信息,请参阅网络负载平衡概述

SQL 别名

服务器场是使用 SQL 客户端别名连接到 SQL 群集来构建的。这通常是最佳实践,执行它来演示在使用 SQL 别名时如何配置 Kerberos 身份验证。方案 2 假定环境是以此方式配置的,但无需使用 SQL 别名来完成下面的任何方案。有关如何配置 SQL 别名的详细信息,请参阅如何创建供客户端使用的服务器别名(SQL Server 配置管理器)

有关演练方案的提示

下面的方案演练跨 SharePoint Server 平台的不同功能配置 Kerberos 委派所需的各种活动。在您执行每部分时:

所有方案都假定您已配置 Web 应用程序的传入经典身份验证 (Kerberos)。下面一些方案需要经典身份验证,在使用传入声明身份验证时将无法按记录的方式运行。

  • 首先在不使用委派的情况下使 SharePoint Server 服务运行,以确保服务应用程序的配置正确,然后再移动到使用委派的更富挑战性的配置。

  • 在特别注意每个步骤并避免跳过任何步骤

  • 演练方案 1 并花时间使用该方案中提到的调试工具,因为它们可在其他方案中用于会审配置问题。

  • 记得演练方案 2。您将需要一台运行 SQL Server 的计算机,该计算机配置为接受 Kerberos 身份验证的,并需要您在本方案中设置的用于后面一些方案的测试数据库。

  • 始终使用 SetSPN -XSetSPN -Q 对每个方案中的 SPN 配置进行仔细检查。有关详细信息,请参阅附录。

  • 在尝试调试配置问题时,始终确保查看服务器事件日志和 ULS 日志。这些日志中通常有很好的指示器,可快速指出您遇到的问题。

  • 如果出现问题,为 SharePoint Foundation->声明身份验证和您尝试会审的所有服务应用程序启用诊断日志记录。

  • 记住每个方案可能受服务应用程序缓存的影响。如果您进行了配置更改但没有看到平台行为发生变化,请尝试重新启动服务的应用程序池或 Windows 服务。如果这无效,有时重新启动系统会有所帮助。

  • 记住 Kerberos 票证在请求后将被缓存。如果您使用 NetMon 之类的工具查看 TGT 和 TGS 请求,则在您没有看到期望的请求流量时,可能需要清空票证缓存。方案 1 配置 Kerberos 身份验证:核心配置 (SharePoint Server 2010)解释了如何使用 KLIST 和 KerbTray 实用工具执行此操作。

  • 记住使用管理特权运行 NetMon 来捕获 Kerberos 流量。

  • 对于高级调试方案,您可能需要为声明为 Windows 令牌服务启用 WIF 跟踪,并为 SharePoint 服务应用程序(WCF 服务)启用 WCF 跟踪。请参阅: