設定 Kerberos 驗證 (Office SharePoint Server)
本文內容:
關於 Kerberos 驗證
開始之前
為 SQL 通訊設定 Kerberos 驗證
設定 Internet Explorer 使服務主要名稱加上連接埠號碼
為使用 Kerberos 驗證的 Web 應用程式建立服務主要名稱
部署伺服器陣列
在伺服器陣列中的伺服器上設定服務
建立使用 Kerberos 驗證的 Web 應用程式
使用入口網站 Web 應用程式中的共同作業入口網站範本來建立網站集合
建立伺服器陣列的共用服務提供者
確認能否成功存取使用 Kerberos 驗證的 Web 應用程式
確認搜尋索引功能是否正確
確認搜尋查詢功能是否正確
設定 SSP 基礎結構使用 Kerberos 驗證
在 Active Directory 登錄 SSP 服務帳戶的新自訂格式 SPN
執行 Stsadm 命令列工具,設定 SSP 基礎結構使用 Kerberos 驗證
將新登錄機碼加入到所有執行 Office SharePoint Server 的伺服器,以產生新自訂格式 SPN
確認存取根層級共用服務所用的 Kerberos 認證
確認存取虛擬目錄層級共用服務所用的 Kerberos 認證
設定限制
其他資源和疑難排解指引
關於 Kerberos 驗證
Kerberos 是支援票證驗證的安全通訊協定。如果用戶端電腦驗證要求包含有效使用者認證和有效服務主要名稱 (SPN),Kerberos 驗證伺服器就會授與票證,以回應這些要求,然後用戶端電腦便可使用票證存取網路資源。若要啟用 Kerberos 驗證,用戶端與伺服器電腦必須擁有網域金鑰發行中心 (KDC) 的信任連線。KDC 會發行共用秘密金鑰來啟用加密。用戶端與伺服器電腦還必須能夠存取 Active Directory 目錄服務。在 Active Directory 中,樹系根網域即是 Kerberos 驗證轉介的中心。
若要將執行 Microsoft Office SharePoint Server 2007 的伺服器陣列部署成使用 Kerberos 驗證,則必須在電腦上安裝並設定不同應用程式。本文說明執行 Office SharePoint Server 2007 的伺服器陣列範例,並提供指引,讓伺服器陣列部署及設定成使用 Kerberos 驗證,以支援下列功能:
讓 Office SharePoint Server 2007 與 Microsoft SQL Server 資料庫軟體之間進行通訊。
存取 SharePoint 管理中心 Web 應用程式。
存取其他 Web 應用程式,包括入口網站 Web 應用程式、「我的網站」Web 應用程式和 SSP 管理網站 Web 應用程式。
存取 Office SharePoint Server 2007 共用服務提供者 (SSP) 基礎結構中 Office SharePoint Server 2007 Web 應用程式的共用服務。
開始之前
本文主要針對具備以下知識之管理層級人員所寫:
Windows Server 2003
Active Directory
Internet Information Services (IIS) 6.0 (或 IIS 7.0)
Windows SharePoint Services 3.0
Office SharePoint Server 2007
Windows Internet Explorer
在 Windows Server 2003 Active Directory 中實作的 Kerberos 驗證
Windows Server 2003 中的網路負載平衡 (NLB)
Active Directory 網域中的電腦帳戶
Active Directory 網域中的使用者帳戶
IIS 網站與其繫結和驗證設定
IIS 網站的 IIS 應用程式集區身分識別
SharePoint 產品及技術設定精靈
Windows SharePoint Services 3.0 和 Office SharePoint Server 2007 Web 應用程式
管理中心頁面
服務主要名稱 (SPN),以及如何在 Active Directory 網域中設定此名稱
重要
若要在 Active Directory 網域中建立 SPN,必須具有網域管理層級的權限。
在 Office SharePoint Server 2007 中,SSP 基礎結構的 Kerberos 驗證需要安裝 Infrastructure Update for Microsoft Office Servers。
注意
SSP 為一組常用服務與服務資料的邏輯群組,這些服務與服務資料可提供給 Web 應用程式與其關聯的網站。SSP 基礎結構可使多個伺服器陣列、Web 應用程式和網站集合之間共用一些服務。Office Server Web 服務網站即屬於 SSP 基礎結構。SSP 基礎結構存在於任何以 [完整] 安裝選項所部署的 Office SharePoint Server 2007 上。Kerberos 驗證必須在環境中已安裝 Infrastructure Update for Microsoft Office Servers 條件下,才適用於 Office Server Web 服務網站。
本文不提供檢查 Kerberos 驗證的深入說明。Kerberos 為實作於 Active Directory 的業界標準驗證方法。
本文不提供安裝 Office SharePoint Server 2007 或使用 [SharePoint 產品及技術設定精靈] 的詳細逐步說明。
本文不提供在管理中心建立 Office SharePoint Server 2007 Web 應用程式的詳細逐步說明。
軟體版本需求
本文所述之指引,以及確認本指引執行結果的測試,均以執行 Windows Server 2003 的系統和套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上最新更新的 Internet Explorer 所獲得之結果為基礎。所安裝的軟體版本如下:
Windows Server 2003 Service Pack 2 (SP2),並套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上最新更新
Windows Internet Explorer 7,版本 7.0.5730.11
Office SharePoint Server 2007 發行版本
您還必須確認貴組織的 Active Directory 網域控制站上,是否執行 Windows Server 2003 SP2 並套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上最新更新。
已知問題
必須在安裝 Office SharePoint Server 2007 的環境中,才能使 Kerberos 驗證設定成在 Infrastructure Update for Microsoft Office Servers SSP 基礎結構中運作。因此,若未安裝 Infrastructure Update for Microsoft Office Servers,請略過本文關於設定 SSP 基礎結構的 Kerberos 驗證指引。
如果設定使用 Kerberos 驗證的 Web 應用程式,是架設在繫結預設連接埠 (TCP 連接埠 80 和安全通訊端階層 (SSL) 連接埠 443) 的 IIS 虛擬伺服器上,Office SharePoint Server 2007 就可以對這些 Web 應用程式進行編目。但是,設定使用 Kerberos 驗證的 Web 應用程式,若架設在繫結非預設連接埠 (TCP 連接埠 80 和安全通訊端階層 (SSL) 連接埠 443 之外的連接埠) 的 IIS 虛擬伺服器上,Office SharePoint Server 2007 搜尋就無法對這些 Office SharePoint Server 2007 Web 應用程式進行編目;目前 Office SharePoint Server 2007 搜尋所能編目的 Office SharePoint Server 2007 Web 應用程式,其所在 IIS 虛擬伺服器需繫結使用 NTLM 驗證或基本驗證的非預設連接埠。
對於使用 Kerberos 驗證進行存取的使用者來說,如果所需部署的 Web 應用程式僅能架設在繫結非預設連接埠的 IIS 虛擬伺服器上,或者您希望使用者可以取得搜尋查詢結果,則請謹記下列事項:
這些 Web 應用程式必須也同時架設在其他繫結非預設連接埠的 IIS 虛擬伺服器上。
這些 Web 應用程式必須設定成使用 NTLM 或基本驗證。
搜尋索引必須對這些使用 NTLM 或基本驗證的 Web 應用程式進行編目。
本文提供下列作業的指引:
設定管理中心 Web 應用程式使用 Kerberos 驗證,並架設在繫結非預設連接埠的 IIS 虛擬伺服器上。
設定入口網站、「我的網站」應用程式和共用服務使用 Kerberos 驗證,並架設在繫結預設連接埠、具有 IIS 主機標頭繫結的 IIS 虛擬伺服器上。
確認搜尋索引功能是否可對使用 Kerberos 驗證的 Office SharePoint Server 2007 Web 應用程式編目成功。
確認使用者存取 Kerberos 驗證過的 Web 應用程式後,能否成功獲得這些 Web 應用程式的搜尋查詢結果。
設定 SSP 基礎結構的 Kerberos 驗證 (前提是已安裝 Infrastructure Update for Microsoft Office Servers)。
其他背景資訊
請務必瞭解使用 Kerberos 驗證時,能否獲得正確驗證功能,在某種程度上,需視嘗試使用 Kerberos 進行驗證的用戶端行為而定。在使用 Kerberos 驗證的 Office SharePoint Server 2007 伺服器陣列部署環境中,Office SharePoint Server 2007 並非用戶端。在您將執行 Office SharePoint Server 2007 的伺服器陣列部署成使用 Kerberos 驗證之前,必須先瞭解下列用戶端的行為:
瀏覽器 (本文所指的瀏覽器一律為 Windows Internet Explorer)。
Microsoft .NET Framework。
在 Office SharePoint Server 2007 Web 應用程式中瀏覽網頁時,所用的用戶端為瀏覽器。當 Office SharePoint Server 2007 執行一些工作 (例如對本機 Office SharePoint Server 2007 內容來源進行編目,或對 SSP 基礎結構進行呼叫) 時,用戶端則為 .NET Framework。
若要 Kerberos 驗證正常運作,您必須在 Active Directory 中建立 SPN。如果這些 SPN 所對應的服務接聽非預設連接埠,這些 SPN 就該加上連接埠號碼。這是為了確保 SPN 是有意義的,且可防止建立重複的 SPN。
如果用戶端 (Internet Explorer 或 .NET Framework) 嘗試使用 Kerberos 驗證存取資源,用戶端必須建構 Kerberos 驗證過程中所要用的 SPN。如果用戶端所建構的 SPN 與 Active Directory 中所設定的 SPN 不相符,Kerberos 驗證就會失敗,通常出現的是「拒絕存取」錯誤。
有些 Internet Explorer 版本所建構的 SPN 並未加上連接埠號碼。如果使用的 Office SharePoint Server 2007 Web 應用程式是繫結 IIS 中非預設連接埠號碼,就可能需使 Internet Explorer 在其建構的 SPN 中加上連接埠號碼。在執行 Office SharePoint Server 2007 的伺服器陣列中,管理中心 Web 應用程式預設是架設在繫結非預設連接埠的 IIS 虛擬伺服器上。因此,對於繫結 IIS 連接埠的網站,和繫結 IIS 主機標頭的網站,本文都會加以說明,並提供說明使 Internet Explorer 對 SPN 加上連接埠號碼的連結。
在執行 Office SharePoint Server 2007 的伺服器陣列中,根據預設,.NET Framework 並不會建構加上連接埠號碼的 SPN。這就是為什麼使用 Kerberos 驗證的 Web 應用程式若架設在繫結非預設連接埠的 IIS 虛擬伺服器上,搜尋無法對這些應用程式進行編目。這個原因也使得 Kerberos 驗證無法在沒有安裝 Infrastructure Update for Microsoft Office Servers 的 SSP 基礎結構中正確設定並運作。
伺服器陣列拓撲
本文所談的是下列 Office SharePoint Server 2007 伺服器陣列拓撲:
兩部執行Windows Server 2003、當成前端網頁伺服器的電腦,其中設定 Windows NLB。
三部執行 Windows Server 2003、當成應用程式伺服器的電腦。這三部電腦中,一部應用程式伺服器架設管理中心 Web 應用程式;一部應用程式伺服器負責執行搜尋查詢;一部應用程式伺服器則執行搜尋索引。
一部執行 Windows Server 2003、當成執行 Office SharePoint Server 2007 伺服器陣列的 SQL 主機。以本文所述的案例而言,您可以使用 Microsoft SQL Server 2000 SP4 或 Microsoft SQL Server 2005 SP2。
本文告訴您如何在伺服器陣列中設定一個 SSP。
Active Directory、電腦命名慣例及 NLB 慣例
本文所述案例使用下列 Active Directory、電腦命名慣例及 NLB 慣例:
| 伺服器角色 | 網域名稱 |
|---|---|
Active Directory |
mydomain.net |
執行 Office SharePoint Server 2007 的前端網頁伺服器 |
mossfe1.mydomain.net |
執行 Office SharePoint Server 2007 的前端網頁伺服器 |
mossfe2.mydomain.net |
Office SharePoint Server 2007 管理中心 |
mossadmin.mydomain.net |
執行 Office SharePoint Server 2007 的搜尋索引 |
mosscrawl.mydomain.net |
執行 Office SharePoint Server 2007 的搜尋查詢 |
mossquery.mydomain.net |
執行 Office SharePoint Server 2007 的 SQL Server 主機 |
mosssql.mydomain.net |
在這些系統上設定 NLB 之後,就會對 mossfe1.mydomain.net 和 mossfe2.mydomain.net 指派 NLB VIP。一組指向此位址的 DNS 主機名稱會登錄在您 DNS 系統中。例如,如果 NLB VIP 為 192.168.100.200,您就會有一組 DNS 記錄將下列 DNS 名稱解析成此 IP 位址 (192.168.100.200):
kerbportal.mydomain.net
kerbmysite.mydomain.net
kerbsspadmin.mydomain.net
Active Directory 網域帳戶慣例
本文範例針對執行 Office SharePoint Server 2007 之伺服器陣列所用的服務帳戶和應用程式集區身分識別,使用下表的命名慣例。
| 網域帳戶或應用程式集區身分識別 | 名稱 |
|---|---|
本機系統管理員帳戶
|
mydomain\pscexec |
SQL Server 主機電腦上的本機系統管理員帳戶 |
mydomain\sqladmin |
SQL 主機上用以執行 SQL Server 服務的 SQL Server 服務帳戶 |
mydomain\mosssqlsvc |
Office SharePoint Server 2007 伺服器陣列管理員帳戶 |
mydomain\mossfarmadmin 這是做為管理中心應用程式集區身分識別,以及 SharePoint 計時器服務帳戶的服務帳戶。 |
入口網站 Web 應用程式的 Office SharePoint Server 2007 應用程式集區身分識別 |
mydomain\portalpool |
「我的網站」Web 應用程式的 Office SharePoint Server 2007 應用程式集區身分識別 |
mydomain\mysitepool |
共用服務管理網站的 Office SharePoint Server 2007 應用程式集區身分識別 |
mydomain\sspadminpool |
Office SharePoint Server 2007 SSP 服務帳戶 |
mydomain\sspsvc |
Windows SharePoint Services 3.0 搜尋服務帳戶 |
mydomain\wsssearch |
Windows SharePoint Services 3.0 搜尋內容存取帳戶 |
mydomain\wsscrawl |
Office SharePoint Server 2007 搜尋服務帳戶 |
mydomain\mosssearch |
Office SharePoint Server 2007 內容存取帳戶 |
mydomain\mosscrawl |
初步設定需求
在伺服器陣列中的電腦上安裝 Office SharePoint Server 2007 之前,請先確認是否已執行下列程序:
伺服器陣列中所用的伺服器 (包括 SQL 主機),都已安裝成 Windows Server 2003 SP2 環境,包括套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上的最新更新。
伺服器陣列中的伺服器已從 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 安裝 Internet Explorer 7 (並套用適用的最新更新)。
SQL 主機電腦上已安裝了 SQL Server (SQL Server 2000 SP4 或 SQL Server 2005 SP2) 且為正常運作,且 SQL Server 服務是以 mydomain\sqlsvc 帳戶執行;也安裝了 SQL Server 預設執行個體且接聽 TCP 連接埠 1433。
[SharePoint 產品及技術設定精靈] 執行身分使用者已新增成:
SQL 主機的 SQL 登入。
SQL 主機的 SQL Server DBCreators 角色。
SQL 主機的 SQL Server 安全性管理員角色。
為 SQL 通訊設定 Kerberos 驗證
在執行 Office SharePoint Server 2007 的伺服器上安裝及設定 Office SharePoint Server 2007 之前,請先為 SQL 通訊設定 Kerberos 驗證。之所以必須執行此動作,是因為用於 SQL 通訊的 Kerberos 驗證必須先完成設定並確認可運作,Office SharePoint Server 2007 的電腦才能與 SQL Server 連線。
在執行 Windows Server 2003 的主機電腦上,為任何所安裝的服務設定 Kerberos 驗證時,需為在主機上執行服務時所用的網域帳戶建立 SPN。SPN 由下列部分所組成:
服務名稱 (例如,MSSQLSvc 或 HTTP)
主機名稱 (實際或虛擬)
連接埠號碼
下列清單中的 SPN 範例,是針對執行於名為 mosssql 電腦上的 SQL Server 預設執行個體,且接聽連接埠 1433:
MSSQLSvc/mosssql:1433
MSSQLSvc/mosssql.mydomain.com:1433
本文所述伺服器陣列所用之 SQL 主機上的 SQL 執行個體,將使用您建立的這兩個 SPN。建立 SPN 時,一定同時要有 NetBIOS 名稱及您網路上主機的完整 DNS 名稱。
要為 Active Directory 網域中的帳戶設定 SPN,其實有一些不同方法可用。一種方法是使用 SETSPN.EXE 公用程式,它是含在 Windows Server 2003 資源套件工具中。另一方法是使用 Active Directory 網域控制站中的 ADSIEDIT.MSC 嵌入式管理單元。本文即是使用 ADSIEDIT.MSC 嵌入式管理單元。
設定 SQL Server 的 Kerberos 驗證分成兩個核心步驟:
為 SQL Server 服務帳戶建立 SPN。
確認執行 Office SharePoint Server 2007 的伺服器連線到執行 SQL Server 的伺服器時,是否可用 Kerberos 驗證。
為 SQL Server 服務帳戶建立 SPN
登入 Active Directory 網域控制站;請使用具有網域管理權限之使用者的認證來登入。
在 [執行]**** 對話方塊中,輸入 ADSIEDIT.MSC。
在管理主控台對話方塊中,展開網域容器資料夾。
展開包含使用者帳戶 (例如 CN=Users) 的容器資料夾。
找出 SQL Server 服務帳戶 (例如 CN=mosssqlsvc) 的容器。
以滑鼠右鍵按一下此帳戶,然後按一下 [內容]。
向下捲動 [SQL Server 服務帳戶]**** 對話方塊中的屬性清單,直到找到 [servicePrincipalName] 為止。
選取 [servicePrincipalName]**** 屬性,然後按一下 [編輯]。
在 [多重值字串編輯器]**** 對話方塊的 [要新增的值] 欄位 中,輸入 SPN 為 MSSQLSvc/mosssql:1433,然後按一下 [新增]。接著,在相同欄位輸入 SPN 為 MSSQLSvc/mosssql.mydomain.com:1433,然後按一下 [新增]。
在 [多重值字串編輯器] 對話方塊中按一下 [確定],然後在 SQL Server 服務帳戶的屬性對話方塊中按一下 [確定]。****
確認執行 Office SharePoint Server 2007 的伺服器連線到執行 SQL Server 的伺服器時,是否使用 Kerberos 驗證
在執行 Office SharePoint Server 2007 的伺服器之一上安裝 SQL 用戶端工具,然後使用這些工具從執行 Office SharePoint Server 2007 的伺服器連線到執行 SQL Server 的伺服器。本文並不說明在執行 Office SharePoint Server 2007 的伺服器之一上安裝 SQL 用戶端工具的步驟。這些確認程序是基於以下假設:
在 SQL 主機上使用的是 SQL Server 2005 SP2。
您已使用 mydomain\pscexec 帳戶登入執行 Office SharePoint Server 2007 的伺服器之一,且已在執行 Office SharePoint Server 2007 的伺服器上安裝 SQL 2005 用戶端工具。
執行 SQL Server 2005 Management Studio。
[連接到伺服器] 對話方塊出現後,輸入 SQL 主機電腦名稱 (本範例的 SQL 主機電腦為 mosssql),然後按一下 [連接] **** 以連接 SQL 主機電腦。
若要確認此連線是否使用 Kerberos 驗證,請在 SQL 主機電腦上執行事件檢視器,然後檢查安全性事件記錄檔。您應該會看到 [登入/登出] 類別目錄事件的「稽核成功」記錄,類似下表所示資料:
事件類型
稽核成功
事件來源
安全性
事件類別目錄
登入/登出
事件識別碼
540
日期
10/31/2007
時間
4:12:24 PM
使用者
MYDOMAIN\pscexec
電腦
MOSSSQL
描述
成功的網路登入範例如下表所示:
使用者名稱
pscexec
網域
MYDOMAIN
登入識別碼
(0x0,0x6F1AC9)
登入類型
3
登入程序
Kerberos
工作站名稱
登入 GUID
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
呼叫者使用者名稱
呼叫者網域
呼叫者登入識別碼
呼叫者處理識別碼
轉送的服務
來源網路位址
192.168.100.100
來源連接埠
2465
檢查記錄檔項目,確認以下事項:
使用者是否正確,是否在網路上以 mydomain\pscexec 帳戶登入 SQL 主機。
登入類型是否為 3。類型 3 表示網路登入。
登入程序與驗證封裝是否都使用 Kerberos 驗證。這可確認執行 Office SharePoint Server 2007 的伺服器是否使用 Kerberos 驗證與 SQL 主機通訊。
[來源網路位址] 是否與發起連線的電腦 IP 位址相符。
如果與 SQL 主機連線失敗,並出現類似「無法產生 SSPI 內容」的錯誤訊息,表示可能是 SQL Server 執行個體所用的 SPN 有問題。若要對此問題進行疑難排解並修正,請參閱 Microsoft 知識庫中如何疑難排解「無法產生 SSPI 內容」錯誤訊息 (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x404) (機器翻譯) 一文。
設定 Internet Explorer 使服務主要名稱加上連接埠號碼
許多 Internet Explorer 版本並不會在其建構的 SPN 中加上連接埠號碼。若要決定您是否使用會產生此問題的 Internet Explorer 6 版本,以及有關修正此問題所需之步驟,請參閱 Microsoft 知識庫中 在 Windows XP 和 Windows Server 2003 中,Internet Explorer 6 無法使用 Kerberos 驗證通訊協定連線到使用非標準連接埠的網站 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x404) (機器翻譯) 一文。您應仔細檢查本文所用之 DLL 的版本編號,才能知道所用的 Internet Explorer 版本是否需要上述文章所述的修正。如果您的 Internet Explorer 版本無法建構具有連接埠號碼的 SPN,且所用的 Office SharePoint Server 2007 Web 應用程式是架設在繫結非預設連接埠的 IIS 虛擬伺服器上,您就必須套用該項修正,才能進入使用您所用 Internet Explorer 版本的 Web 應用程式。在本文所述內容前提下,您必須確認所用的 Internet Explorer 版本可在其建構的 SPN 中加上連接埠號碼,因為您為管理中心 Web 應用程式新增到 Active Directory 中的 SPN 會包含連接埠號碼。
為使用 Kerberos 驗證的 Web 應用程式建立服務主要名稱
對 Kerberos 驗證來說,IIS 架構的 Office SharePoint Server 2007 Web 應用程式並沒有特別例外之處,Kerberos 驗證會將這些應用程式當成另一個 IIS 網站。
您需瞭解下列事項,才能執行這個程序:
SPN 的服務類別 (在本文所述內容前提下,Office SharePoint Server 2007 Web 應用程式的這項服務類別一律是 HTTP)。
您所有使用 Kerberos 驗證之 Office SharePoint Server 2007 Web 應用程式的 URL。
SPN 中的主機名稱 (可為實際或虛擬;本文會述及這兩種)。
SPN 中的連接埠號碼 (在本文所述案例中,使用 IIS 連接埠和使用 IIS 主機標頭的這兩種 Office SharePoint Server 2007 Web 應用程式都會用到)。
必須建立 SPN 的 Windows Active Directory 帳戶。
下表所列資訊是用於本文所述之案例:
| URL | Active Directory 帳戶 | SPN |
|---|---|---|
http://mossadmin.mydomain.net:10000 |
mossfarmadmin |
|
http://www.mydomain.com/ |
portalpool |
|
http://www.mydomain.com/ |
mysitepool |
|
http://www.mydomain.com/ssp/admin |
sspadminpool |
|
本表附註:
上述第一個 URL 是管理中心的 URL,它使用了連接埠號碼。您不必真的使用 10000,這只是本文為了全文統一而用的範例。
後三個 URL 分別是入口網站、「我的網站」和共用服務管理網站的 URL。
請利用上述指引在 Active Directory 中建立所需的 SPN,以支援 Office SharePoint Server 2007 Web 應用程式的 Kerberos 驗證。在登入您環境中的網域控制站時,需使用具有網域管理權限的帳戶。若要建立 SPN,可以使用前述的 SETSPN.EXE 公用程式,或使用前述的 ADSIEDIT.MSC 嵌入式管理單元。如果使用 ADSIEDIT.MSC 嵌入式管理單元,請參閱前文中建立 SPN 的指示。請務必為正確帳戶在 Active Directory 中建立正確 SPN。
部署伺服器陣列
部署伺服器陣列包含下列步驟:
在所有執行 Office SharePoint Server 2007 的伺服器上設定 Office SharePoint Server 2007。
執行 [SharePoint 產品及技術設定精靈],並建立新的伺服器陣列。這個步驟包含建立將架設在繫結非預設連接埠之 IIS 虛擬伺服器上、且使用 Kerberos 驗證的 Office SharePoint Server 2007 管理中心。
執行 [SharePoint 產品及技術設定精靈],並將其他伺服器加入伺服器陣列中。
針對下列項目,在伺服器陣列中的伺服器上設定服務:
Windows SharePoint Services 3.0 搜尋服務
Office SharePoint Server 2007 搜尋索引
Office SharePoint Server 2007 搜尋查詢
建立入口網站、「我的網站」及共用服務管理網站所用的 Web 應用程式,且使這些 Web 應用程式使用 Kerberos 驗證。
使用入口網站 Web 應用程式中的共同作業入口網站範本來建立網站集合。
建立伺服器陣列的共用服務提供者。
確認能否成功存取使用 Kerberos 驗證的 Web 應用程式。
確認搜尋索引功能是否正確。
確認搜尋查詢功能是否正確。
設定 SSP 基礎結構使用 Kerberos 驗證。這是個選擇性步驟,您需安裝 Infrastructure Update for Microsoft Office Servers。
確認使用 Kerberos 驗證的 SSP 功能。這是個選擇性步驟,您需安裝 Infrastructure Update for Microsoft Office Servers。
在所有伺服器上安裝 Office SharePoint Server 2007
這個程序很簡單,您只要執行 Office SharePoint Server 2007 安裝程式,就可在執行 Office SharePoint Server 2007 的伺服器上安裝 Office SharePoint Server 2007 二進位檔案。請以 mydomain\pscexec 帳戶登入每部執行 Office SharePoint Server 2007 的電腦。關於此程序的逐步指引不再贅述。以本文所述的案例而言,請在所有需要 Office SharePoint Server 2007 的伺服器上執行 Office SharePoint Server 2007 的 [完整] 安裝。
執行 [SharePoint 產品及技術設定精靈],並建立新的伺服器陣列
以本文所述的案例而言,請先從 MOSSADMIN 搜尋索引伺服器開始執行 [SharePoint 產品及技術設定精靈],這樣可使 MOSSADMIN 架設 Office SharePoint Server 2007 管理中心 Web 應用程式。
當安裝程式在名為 MOSSCRAWL 的伺服器上完成安裝時,會出現 [安裝完成]**** 對話方塊,其中有個要執行 [SharePoint 產品及技術設定精靈] 的核取方塊為已勾選。請保留勾選此核取方塊,然後關閉安裝程式對話方塊,以執行 [SharePoint 產品及技術設定精靈]。
當此電腦上執行 [SharePoint 產品及技術設定精靈] 時,請執行下列設定讓此精靈進入建立新伺服器陣列的步驟:
提供資料庫伺服器名稱 (以本文而言,即指名為 MOSSSQL 的伺服器)。
提供設定資料庫名稱 (您可以使用預設值,或自行設定所需名稱)。
提供資料庫存取 (伺服器陣列管理員) 帳戶資訊。以本文案例而言,此帳戶為 mydomain\mossfarmadmin。
提供 Office SharePoint Server 2007 管理中心 Web 應用程式所需的資訊。以本文案例而言,所需的資訊為:
管理中心 Web 應用程式連接埠號碼:10000
驗證方法:交涉
只要您提供了所有必要資訊,[SharePoint 產品及技術設定精靈] 就應會成功完成。如果成功完成,請確認是否可使用 Kerberos 驗證存取 Office SharePoint Server 2007 管理中心 Web 應用程式首頁。若要執行這項操作,請執行下列步驟:
以 mydomain\pscexec 登入另一部執行 Office SharePoint Server 2007 的伺服器,或是 mydomain 網域中另一部電腦。您不可以直接在架設 Office SharePoint Server 2007 管理中心 Web 應用程式的電腦上驗證 Kerberos 驗證行為是否正確。這項驗證應從網域中另一部電腦上執行。
在此伺服器上啟動 Internet Explorer,然後嘗試移至下列 URL:http://mossadmin.mydomain.net:10000。這應會呈現管理中心的首頁。
若要確認在存取管理中心時是否使用 Kerberos 驗證,請回到名為 MOSSADMIN 的電腦上並執行事件檢視器,然後檢視安全性記錄檔。您應該會看到類似下表的「稽核成功」記錄:
事件類型
稽核成功
事件來源
安全性
事件類別目錄
登入/登出
事件識別碼
540
日期
11/1/2007
時間
2:22:20 PM
使用者
MYDOMAIN\pscexec
電腦
MOSSADMIN
描述
成功的網路登入範例如下表所示:
使用者名稱
pscexec
網域
MYDOMAIN
登入識別碼
(0x0,0x1D339D3)
登入類型
3
登入程序
Kerberos
驗證封裝
Kerberos
工作站名稱
登入 GUID
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
呼叫者使用者名稱
呼叫者網域
呼叫者登入識別碼
呼叫者處理識別碼
轉送的服務
來源網路位址
192.168.100.100
來源連接埠
2505
檢查此項記錄檔記錄所顯示的資訊類型是否與先前記錄檔項目相同:
確認使用者名稱是否正確;是否在網路上以 mydomain\pscexec 帳戶登入執行 Office SharePoint Server 2007 並架設管理中心的伺服器。
確認登入類型是否為 3。登入類型 3 表示網路登入。
確認登入程序與驗證封裝是否都使用 Kerberos 驗證。這可確認存取管理中心 Web 應用程式時是否使用 Kerberos 驗證。
確認 [來源網路位址] 是否與發起連線的電腦 IP 位址相符。
如果無法呈現管理中心首頁,反而顯示「未經授權」 錯誤訊息,這表示 Kerberos 驗證失敗。這個的失敗原因通常只有兩個:
Active Directory 中的 SPN 不是為正確帳戶登錄。應該是要為 mydomain\mossfarmadmin 登錄。
Active Directory 中的 SPN,與 Internet Explorer 所建構的 SPN 不相符,或是無效。這個問題最常見的原因,在於 Internet Explorer 並未建構包含正確連接埠號碼的 SPN。若要修正此問題,請參閱前文中<設定 Internet Explorer 使服務主要名稱加上連接埠號碼>一節。您可能也忽略了 Active Directory 所登錄 SPN 中的連接埠號碼。無論是何種情況,請務必解決此問題,讓管理中心可以使用 Kerberos 驗證正確運作,然後才繼續執行後續作業。
注意
您可以透過網路 Sniffer (例如 Microsoft Network Monitor) 這類診斷協助工具,查看網路上正在執行的狀況,以追蹤瀏覽管理中心過程所發生的一切動作。因此,出現失敗後,您可以檢查追蹤記錄,查看 KerberosV5 通訊協定封包,找出具有 Internet Explorer 所建構 SPN 的封包。如果該 SPN 沒有加上連接埠號碼,您應套用<設定 Internet Explorer 使服務主要名稱加上連接埠號碼>所述的修正。如果追蹤記錄中的 SPN 看起來正確無誤,則可能是 Active Directory 中的 SPN 無效,或是為錯誤帳戶而登錄。
執行 [SharePoint 產品及技術設定精靈],並將其他伺服器加入伺服器陣列中
現在您已經完成建立伺服器陣列,且可順利使用 Kerberos 驗證存取管理中心,接下來則需執行 [SharePoint 產品及技術設定精靈],並將其他伺服器加入伺服器陣列中。
在其他四部執行 Office SharePoint Server 2007 的每一部伺服器上 (mossfe1、mossfe2、mossquery 及 mosscrawl),應已經完成安裝 Office SharePoint Server 2007,安裝完成對話方塊中應會顯示 [SharePoint 產品及技術設定精靈] 的核取方塊已勾選。請保留勾選此核取方塊,然後關閉安裝完成對話方塊,以執行 [SharePoint 產品及技術設定精靈]。請執行此程序,將這些伺服器全都加入伺服器陣列中。
在每一部加入伺服器陣列的電腦執行完 [SharePoint 產品及技術設定精靈] 後,請確認是否每一部伺服器都能呈現 MOSSADMIN 伺服器上執行的管理中心。如果其中有任何一部伺服器無法呈現管理中心,請執行適當步驟以解決問題,然後再繼續執行後續步驟。
在伺服器陣列中的伺服器上設定服務
請使用以下小節所述帳戶,設定特定 Windows SharePoint Services 3.0 和 Office SharePoint Server 2007 服務執行於伺服器陣列中執行 Windows SharePoint Services 3.0 和 Office SharePoint Server 2007 的特定伺服器。
注意
本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並瞭解如何執行必要步驟。
請使用所述帳戶,存取管理中心並執行下列步驟,在所述伺服器上設定服務。
Windows SharePoint Services 搜尋
在管理中心的 [伺服器上的服務] 頁面上:
選取 MOSSQUERY 伺服器。
在所出現的服務清單中 (接近頁面中間位置),找出 Windows SharePoint Services 3.0 搜尋服務,然後按一下 [動作] 欄中的 [啟動]。****
在隨後出現的頁面中,提供 Windows SharePoint Services 3.0 搜尋服務帳戶和 Windows SharePoint Services 3.0 內容存取帳戶的認證。在本文所述的案例中,Windows SharePoint Services 3.0 搜尋服務帳戶為 mydomain\wsssearch,Windows SharePoint Services 3.0 內容存取帳戶為 mydomain\wsscrawl。請在此頁面的適當位置上輸入帳戶名稱和密碼,然後按一下 [啟動]。
索引伺服器
在管理中心的 [伺服器上的服務] 頁面上:
選取 MOSSCRAWL 伺服器。
在所出現的服務清單中 (接近頁面中間位置),找出 Office SharePoint Server 2007 搜尋服務,然後按一下 [動作] 欄中的 [啟動]。****
在隨後出現的頁面中,勾選 [使用此伺服器為內容編製索引]**** 核取方塊,然後提供 Office SharePoint Server 2007 搜尋服務帳戶的認證。在本文所述的案例中,Office SharePoint Server 2007 搜尋服務帳戶為 mydomain\mosssearch。請在此頁面的適當位置上輸入帳戶名稱和密碼,然後按一下 [啟動]。
查詢伺服器
在管理中心的 [伺服器上的服務] 頁面上:
選取 MOSSQUERY 伺服器。
在所出現的服務清單中 (接近頁面中間位置),找出 Office SharePoint Server 2007 搜尋服務,然後按一下 [服務] 欄中的服務名稱。
在隨後出現的頁面中,選取 [使用此伺服器服務搜尋查詢]**** 核取方塊,然後按一下 [確定]。
建立使用 Kerberos 驗證的 Web 應用程式
本節將在您伺服器陣列中建立入口網站、「我的網站」及共用服務管理網站所用的 Web 應用程式。
注意
本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並瞭解如何執行必要步驟。
建立入口網站 Web 應用程式
在管理中心的 [應用程式管理] 頁面上,按一下 [建立或擴充 Web 應用程式]。
在隨後出現的頁面上,按一下 [建立新的 Web 應用程式]****。
在隨後出現的頁面上,請確認已選取 [建立新的 IIS 網站]。
在 [描述]**** 欄位中,輸入 PortalSite。
在 [連接埠] 欄位中,輸入 80。
在 [主機標頭] 欄位中,輸入 kerbportal.mydomain.net。
請確認為此 Web 應用程式所選的驗證提供者為 [交涉]。
在預設區域建立此 Web 應用程式。請勿修改此 Web 應用程式的區域。
請確認已選取 [建立新的應用程式集區]****。
在 [應用程式集區名稱] 欄位中,輸入 PortalAppPool。
請確認已選取 [可設定]。在 [使用者名稱]**** 欄位中,輸入 mydomain\portalpool 帳戶。
按一下 [確定]。
請確認已成功建立 Web 應用程式。
注意
如果要使用 SSL 連線並將 Web 應用程式繫結至連接埠 443,請在 [連接埠] 欄位中輸入 443,並在 [建立新的 Web 應用程式] 頁面上選取 [使用 SSL]。此外,您必須安裝 SSL 萬用字元憑證。如果在設定使用 SSL 的 IIS 網站上使用 IIS 主機標頭繫結,就必須使用 SSL 萬用字元憑證。如需 IIS 的 SSL 主機標頭詳細資訊,請參閱設定 SSL 主機標頭 (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x404)。
設定我的網站 Web 應用程式
在管理中心的 [應用程式管理] 頁面上,按一下 [建立或擴充 Web 應用程式]。
在隨後出現的頁面上,按一下 [建立新的 Web 應用程式]****。
在隨後出現的頁面上,請確認已選取 [建立新的 IIS 網站]。
在 [描述]**** 欄位中,輸入 MySite。
在 [連接埠] 欄位中,輸入 80。
在 [主機標頭] 欄位中,輸入 kerbmysite.mydomain.net。
請確認為此 Web 應用程式所選的驗證提供者為 [交涉]。
在預設區域建立此 Web 應用程式。請勿修改此 Web 應用程式的區域。
請確認已選取 [建立新的應用程式集區]****。
在 [應用程式集區名稱] 欄位中,輸入 MySiteAppPool。
請確認已選取 [可設定]。在 [使用者名稱]**** 欄位中,輸入 mydomain\mysitepool 帳戶。
按一下 [確定]。
請確認已成功建立 Web 應用程式。
注意
如果要使用 SSL 連線並將 Web 應用程式繫結至連接埠 443,請在 [連接埠] 欄位中輸入 443,並在 [建立新的 Web 應用程式] 頁面上選取 [使用 SSL]。此外,您必須安裝 SSL 萬用字元憑證。如果在設定使用 SSL 的 IIS 網站上使用 IIS 主機標頭繫結,就必須使用 SSL 萬用字元憑證。如需 IIS 的 SSL 主機標頭詳細資訊,請參閱設定 SSL 主機標頭 (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x404)。
建立共用服務管理網站 Web 應用程式
在管理中心的 [應用程式管理] 頁面上,按一下 [建立或擴充 Web 應用程式]。
在隨後出現的頁面上,按一下 [建立新的 Web 應用程式]****。
在隨後出現的頁面上,請確認已選取 [建立新的 IIS 網站]。
在 [描述]**** 欄位中,輸入 SSPAdminSite。
在 [連接埠] 欄位中,輸入 80。
在 [主機標頭] 欄位中,輸入 kerbsspadminsite.mydomain.net。
請確認為此 Web 應用程式所選的驗證提供者為 [交涉]。
在預設區域建立此 Web 應用程式。請勿修改此 Web 應用程式的區域。
請確認已選取 [建立新的應用程式集區]****。
在 [應用程式集區名稱] 欄位中,輸入 SSPAdminSiteAppPool。
請確認已選取 [可設定]。在 [使用者名稱]**** 欄位中,輸入 mydomain\sspadminpool 帳戶。
按一下 [確定]。
請確認已成功建立 Web 應用程式。
注意
如果要使用 SSL 連線並將 Web 應用程式繫結至連接埠 443,請在 [連接埠] 欄位中輸入 443,並在 [建立新的 Web 應用程式] 頁面上選取 [使用 SSL]。此外,您必須安裝 SSL 萬用字元憑證。如果在設定使用 SSL 的 IIS 網站上使用 IIS 主機標頭繫結,就必須使用 SSL 萬用字元憑證。如需 IIS 的 SSL 主機標頭詳細資訊,請參閱設定 SSL 主機標頭 (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x404)。
使用入口網站 Web 應用程式中的共同作業入口網站範本來建立網站集合
本節將在為網站集合所建立之 Web 應用程式的入口網站上,建立網站集合。
注意
本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並瞭解如何執行必要步驟。
在管理中心的 [應用程式管理] 頁面上,按一下 [建立網站集合]。
在隨後出現的頁面上,請務必選取正確的 Web 應用程式。以本文範例而言,請選取 [http://www.mydomain.com/]****。
提供此網站集合要使用的標題和描述。
保留原本的網站位址不變。
在 [範本選擇] 區段中,按一下 [選取範本] 底下的 [發佈] 索引標籤,然後選取 [共同作業入口網站] 範本。****
在 [主要網站集合管理員] 區段中,輸入 mydomain\pscexec。
指定要使用的 [次要網站集合管理員]。
按一下 [確定]。
請確認已成功建立入口網站集合。
建立伺服器陣列的共用服務提供者
建立伺服器陣列的共用服務提供者。
注意
本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並瞭解如何執行必要步驟。
在管理中心的 [應用程式管理] 頁面中,按一下 [建立或設定此伺服器陣列的共用服務]。
在隨後出現的頁面上,按一下 [新增 SSP]****。
在隨後出現的頁面上,在 [SSP 名稱] 區段的 [SSP 名稱欄位] 中輸入 SSP1。然後在 [Web 應用程式]**** 欄位中,選取您為共用服務管理網站 Web 應用程式所建立的 Web 應用程式。以本文範例而言,請選取名為 [SSPAdminSite] 的 Web 應用程式。
在 [MySite]**** 區段中的 [Web 應用程式] 欄位中,選取您為「我的網站」網站所建立的 Web 應用程式。以本文範例而言,請選取名為 [MySite]**** 的 Web 應用程式。
在 [SSP 服務認證] 區段的 [使用者名稱]**** 欄位中,輸入 mydomain\sspsvc。
按一下 [確定]。
請確認已成功建立伺服器陣列的 SSP。
確認能否成功存取使用 Kerberos 驗證的 Web 應用程式
請確認 Kerberos 驗證是否可對最近建立的 Web 應用程式正常運作。請先從入口網站開始。
若要執行這項操作,請執行下列步驟:
登入執行 Office SharePoint Server 2007 的伺服器,而不是登入針對 NLB 環境而設定為 mydomain\pscexec 的兩部前端網頁伺服器。您不可以直接在架設負載平衡網站之一的電腦上驗證 Kerberos 驗證行為是否正確。這項驗證應從網域中另一部電腦上執行。
從另一個系統上啟動 Internet Explorer,並嘗試移至下列 URL:http://www.mydomain.com/。
應會呈現 Kerberos 驗證過的入口網站首頁。
若要確認在存取入口網站時是否使用 Kerberos 驗證,請移至負載平衡的前端網頁伺服器並執行事件檢視器,然後檢視安全性記錄檔。您應該會在其中一部前端網頁伺服器上看到類似下表的「稽核成功」記錄。請注意,可能兩部前端伺服器都必須查看,才能知道哪一部是處理負載平衡要求的系統,並從中找到此記錄。
事件類型 |
稽核成功 |
事件來源 |
安全性 |
事件類別目錄 |
登入/登出 |
事件識別碼 |
540 |
日期 |
11/1/2007 |
時間 |
5:08:20 PM |
使用者 |
MYDOMAIN\pscexec |
電腦 |
mossfe1 |
描述 |
成功的網路登入範例如下表所示:
使用者名稱 |
pscexec |
網域 |
MYDOMAIN |
登入識別碼 |
(0x0,0x1D339D3) |
登入類型 |
3 |
登入程序 |
Kerberos 驗證 |
工作站名稱 |
|
登入 GUID |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
呼叫者使用者名稱 |
|
呼叫者網域 |
|
呼叫者登入識別碼 |
|
呼叫者處理識別碼 |
|
轉送的服務 |
|
來源網路位址 |
192.168.100.100 |
來源連接埠 |
2505 |
檢查此項記錄檔記錄所顯示的資訊類型是否與先前記錄檔項目相同:
確認使用者是否正確;是否在網路上以 mydomain\pscexec 帳戶登入執行 Office SharePoint Server 2007 並架設入口網站的前端網頁伺服器。
確認登入類型是否為 3。登入類型 3 表示網路登入。
確認登入程序與驗證封裝是否都使用 Kerberos 驗證。這可確認存取入口網站時是否使用 Kerberos 驗證。
確認 [來源網路位址] 是否與發起連線的電腦 IP 位址相符。
如果無法呈現入口網站首頁,且顯示「未經授權」錯誤訊息,這表示 Kerberos 驗證失敗。這個失敗通常因為一些原因造成:
Active Directory 中的 SPN 不是正確帳戶登錄。應該是要為入口網站的 Web 應用程式 mydomain\portalpool 登錄。
Active Directory 中的 SPN,與 Internet Explorer 所建構的 SPN 不相符,或是因為其他原因而無效。在這種狀況下,由於您所用的 IIS 主機標頭沒有明確的連接埠號碼,因此,當您擴充這個 Web 應用程式時,Active Directory 中登錄的 SPN 會與指定的 IIS 主機標頭不同。您需修正此問題,才能讓 Kerberos 驗證正常運作。
注意
您可以透過網路 Sniffer (例如 Microsoft 網路監視器) 這類診斷協助工具,查看網路上正在執行的狀況,以追蹤瀏覽管理中心過程所發生的一切動作。因此,出現失敗後,您可以檢查追蹤記錄,查看 KerberosV5 通訊協定封包,找出具有 Internet Explorer 所建構 SPN 的封包。如果該 SPN 沒有加上連接埠號碼,您應套用<設定 Internet Explorer 使服務主要名稱加上連接埠號碼>所述的修正。如果追蹤記錄中的 SPN 看起來正確無誤,則可能是 Active Directory 中的 SPN 無效,或是 SPN 為錯誤帳戶而登錄。
Kerberos 驗證可對入口網站正常運作之後,請移至 Kerberos 驗證過的「我的網站」和共用服務管理網站,這兩個網站的 URL 如下:
注意
第一次存取「我的網站」URL 時,Office SharePoint Server 2007 會需要一些時間為登入使用者建立「我的網站」。不過,應該會成功,並會呈現該使用者的「我的網站」。
這兩個 URL 應該都可以正常運作。如果無法正常運作,請參閱前文的疑難排解步驟。
確認搜尋索引功能是否正確
請確認搜尋索引功能可順利對此伺服器陣列上的內容進行編目。您必須先執行這個步驟,才能確認使用 Kerberos 驗證存取這些網站的使用者能否獲得搜尋查詢結果。
注意
本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並瞭解如何執行必要步驟。
存取 http://www.mydomain.com/ssp/admin 上的共用服務管理網站 Web 應用程式。
在這個頁面上按一下 [搜尋設定]。
在隨後出現的頁面上,按一下 [內容來源及編目排程]****。
在隨後出現的頁面上,存取 [Office SharePoint Server 內容來源] 的 ECB,從下拉式清單中選取 [啟動完整編目]****。
靜待編目完成。如果編目失敗,您必須找出失敗原因,並加以修正,然後執行完整編目。如果編目失敗出現「拒絕存取」的錯誤,表示可能是編目帳戶沒有存取內容來源的權限,或是 Kerberos 驗證失敗。無論原因為何,都必須先加以修正,才能繼續執行後續步驟。
您必須先對 Kerberos 驗證過的 Web 應用程式進行完整編目,才能繼續後續步驟。
確認搜尋查詢功能是否正確
若要確認搜尋查詢是否對存取使用 Kerberos 驗證之入口網站的使用者傳回結果,請執行下列作業:
在 mydomain.net 中的系統上,啟動 Internet Explorer,然後移至 http://www.mydomain.com/。
呈現入口網站首頁後,在 [搜尋] 欄位中輸入搜尋關鍵字,然後按 ENTER****。
確認是否傳回搜尋查詢結果。如果沒有,請確認所輸入的關鍵字是否為部署環境的有效關鍵字、搜尋索引功能是否正確運作、搜尋索引伺服器與搜尋查詢伺服器上是否執行搜尋服務,以及搜尋索引伺服器傳播到搜尋查詢伺服器的搜尋傳播是否正常。
設定 SSP 基礎結構使用 Kerberos 驗證
注意
這是個選擇性程序,您需安裝 Infrastructure Update for Microsoft Office Servers。若沒有安裝 Infrastructure Update for Microsoft Office Servers,Kerberos 驗證就無法正確設定用於 Office SharePoint Server 2007。
Infrastructure Update for Microsoft Office Servers 包含一個 SSP 基礎結構用於 Kerberos 驗證的新自訂格式 SPN。這個自訂格式 SPN 加入了一個新服務類別:MSSP。此自訂格式 SPN 的格式為:MSSP/<主機:連接埠>/<SSP 名稱>。
這個新自訂格式 SPN 所設定的 .NET Framework 屬性會使 .NET Framework 使用特定 URI 的特定 SPN,因為當伺服器之間呼叫 Office SharePoint Server 2007 SSP 基礎結構 Web 服務時,就是使用 .NET Framework。
如果查看 Office SharePoint Server 2007 應用程式伺服器上的 SSP 基礎結構,就會看到 IIS 根層級和虛擬目錄層級上都有搜尋共用服務。此外,IIS 虛擬目錄層級上還會有個 Excel Calculation Services (ECS) 共用服務。當 SSP 基礎結構設定成使用 Kerberos 驗證之後,存取根層級和虛擬目錄層級上的共用服務時,都會使用 Kerberos。
您不必為根層級 Web 服務登錄 SPN,只需為虛擬目錄層級 Web 服務登錄 SPN,因為電腦加入網域之後,HOST 類別的 SPN 就會自動為該電腦帳戶登錄在網域中,因此 SPN 便可用於根層級 Web 服務。但是,實際與伺服器陣列中之 SSP 產生關聯的虛擬目錄,其所對應的 SPN 就需要您手動登錄。
若要成功設定 SSP 基礎結構使用 Kerberos 驗證,則必須執行下列步驟:
在 Active Directory 登錄 SSP 服務帳戶的新自訂格式 SPN。
執行 Stsadm 命令列工具,設定 SSP 基礎結構使用 Kerberos 驗證。
將新登錄機碼加入到所有執行 Office SharePoint Server 2007 的伺服器,以產生新自訂格式 SPN。
確認存取根層級共用 Web 服務所用的 Kerberos 認證。
確認存取虛擬目錄層級共用 Web 服務所用的 Kerberos 認證。
注意
上述程序的步驟 4 和步驟 5 是與 searchadmin.asmx 共用 Web 服務有關。這個與搜尋相關的共用 Web 服務,同時位於 SSP 基礎結構的根層級和虛擬目錄層級。根層級搜尋共用服務可視為一個全域 Web 服務,它關係到 Office SharePoint Server 2007 管理中心 [伺服器上的服務] 層級上的 Office SharePoint Server 2007 搜尋服務設定。虛擬目錄層級搜尋共用服務則是對應到伺服器陣列特定的 SSP,當在共用服務管理網站上設定該 SSP 特定的搜尋設定時,就會使用虛擬目錄層級搜尋共用服務。在執行步驟以確認存取根層級共用服務所用的 Kerberos 驗證時,您將不會看到新格式 SPN 的產生或使用過程,您只會在存取虛擬目錄層級 Web 服務時才看到這個新格式 SPN。但是,您需驗證是否可存取這兩個層級上的共用服務。
在 Active Directory 登錄 SSP 服務帳戶的新自訂格式 SPN
在本文中,SSP 服務帳戶為 mydomain\sspsvc,您所建立的 SSP 名稱為 SSP1。由於 SSP 基礎結構存在於伺服器陣列所有伺服器上,因此,必須建立參照所有 Office SharePoint Server 2007 執行伺服器的 SPN。因為 SSP 基礎結構所繫結的是 TCP 連接埠 56737 和 SSL 連接埠 56738,所以所需的 SPN 必須含有這兩個連接埠號碼。有鑑於此,每一部應用程式伺服器都需要有兩個 SPN。以本文所用的範例而言,您需要建立 10 個 SPN。
請執行下列程序來建立 SSP 基礎結構的 SPN:
登入 Active Directory 網域控制站;請使用具有網域管理權限之使用者的認證來登入。
在 [執行] 對話方塊中,輸入 ADSIEDIT.MSC。
在管理主控台對話方塊中,展開網域容器資料夾。
展開包含使用者帳戶 (例如「CN=Users」) 的容器資料夾。
找出 SSP 服務帳戶 (例如「CN=sspsvc」) 的容器。****
以滑鼠右鍵按一下 SSP 服務帳戶,然後按一下 [內容]。
向下捲動 SSP 服務帳戶對話方塊中的屬性清單,直到找到 [servicePrincipalName]**** 為止。
選取 [servicePrincipalName] 屬性,然後按一下 [編輯]****。
在 [多重值字串編輯器] 對話方塊的 [要新增的值] 欄位**** 中,新增下列 SPN:
MSSP/mossfe1:56737/SSP1
MSSP/mossfe1:56738/SSP1
MSSP/mossfe2:56737/SSP1
MSSP/mossfe2:56738/SSP1
MSSP/mossadmin:56737/SSP1
MSSP/mossadmin:56738/SSP1
MSSP/mosscrawl:56737/SSP1
MSSP/mosscrawl:56738/SSP1
MSSP/mossquery:56737/SSP1
MSSP/mossquery:56738/SSP1
執行 Stsadm 命令列工具,設定 SSP 基礎結構使用 Kerberos 驗證
若要設定 SSP 基礎結構使用 Kerberos 驗證,必須執行下列程序:
登入 Active Directory 網域控制站;請使用具有網域管理權限之使用者的認證來登入。
在執行 Office SharePoint Server 2007 的伺服器之一上,開啟命令提示字元。
變更為下列目錄:%COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin。
輸入下列命令:stsadm –o setsharedwebserviceauthn –negotiate,然後按 ENTER。
請確認此命令執行成功,再繼續執行後續步驟。
完成上述程序後,這個命令就會套用到伺服器陣列中所建立的所有 SSP,包括成功執行此命令後所建立的 SSP。
將新登錄機碼加入到所有執行 Office SharePoint Server 的伺服器,以產生新自訂格式 SPN
產生新自訂格式的 SPN,是由 Infrastructure Update for Microsoft Office Servers 一項新的登錄機碼設定所控制。若要產生新自訂格式 SPN,這個登錄機碼必須加入到所有伺服器陣列的伺服器上,然後所有伺服器都必須重新啟動。
請執行下列步驟以啟用這項新行為。在伺服器陣列每一部伺服器上:
以本機系統管理員身分登入。
執行登錄編輯程式,加入下列新登錄機碼: HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat” (REG_DWORD) = 1
重新啟動伺服器。請務必注意,您必須重新啟動伺服器,新登錄機碼才能生效。
注意
不正確地編輯登錄可能會嚴重損壞您的系統。變更登錄之前,您應該先備份電腦上任何有值的資料。
確認存取根層級共用服務所用的 Kerberos 認證
若要確認根層級共用服務的 Kerberos 驗證,請執行下列程序:
登入架設管理中心 Web 應用程式的電腦。如果您使用本文的範例,則請登入 MOSSADMIN。
移至位於 http://mossadmin.mydomain.net:10000 的管理中心。
在管理中心首頁上,按一下 [作業]。
按一下 [作業] 頁面上的 [伺服器上的服務]****。
在 [伺服器] 區段中,按一下下拉式箭號,以列出伺服器陣列中的伺服器,然後按一下搜尋查詢伺服器。如果您使用本文的範例,請選取 [MOSSQUERY]****。
重新整理頁面後,請確認是否指向正確的查詢伺服器,然後在 [服務] 區段中,按一下 [Office SharePoint Server 搜尋]****。
確認是否顯示 [設定伺服器 mossquery 的 Office SharePoint Server 搜尋服務設定] 頁面。
執行下列步驟以確認是否使用 Kerberos 驗證來呈現此頁面:
登入搜尋查詢伺服器。如果使用本文的範例,請登入名為 MOSSQUERY 的 MOSS 機器。
執行 Windows 事件檢視器。
查看安全性事件記錄檔。
您應該會看到類似下表資料的記錄:
事件類型
稽核成功
事件來源
安全性
事件類別目錄
登入/登出
事件識別碼
540
日期
5/6/2008
時間
12:12:17 PM
使用者
MYDOMAIN\pscexec
電腦
MOSSQUERY
描述
成功的網路登入範例如下表所示:
使用者名稱 |
pscexec |
網域 |
MYDOMAIN |
登入識別碼 |
(0x0,0x7252B10) |
登入類型 |
3 |
登入程序 |
Kerberos |
驗證封裝 |
Kerberos |
工作站名稱 |
|
登入 GUID |
{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49} |
呼叫者使用者名稱 |
|
呼叫者網域 |
|
呼叫者登入識別碼 |
|
呼叫者處理識別碼 |
|
轉送的服務 |
|
來源網路位址 |
192.168.100.100 |
來源連接埠 |
1964 |
重要
請對搜尋索引伺服器重複此程序,以確認是否呈現頁面,及是否有任何安全性事件檢視器記錄表示存取該頁面時使用 Kerberos 驗證封裝。
確認存取虛擬目錄層級共用服務所用的 Kerberos 認證
這是設定及部署執行 Office SharePoint Server 2007 且使用 Kerberos 驗證之伺服器陣列的最後一個步驟。
若要確認存取虛擬目錄層級共用服務時,是否使用 Kerberos 驗證,請執行下列程序:
移至共用服務管理首頁。
決定哪個負載平衡前端 Web 伺服器在回應這個要求。
在回應這個要求的前端網頁伺服器上,執行網路監視器,並套用擷取篩選器以擷取 KerberosV5 通訊協定封包。若是使用網路監視器 3.2,這個擷取篩選器應為 [protocol.KerberosV5]。
啟動網路監視器探查。
在共用服務管理網站首頁上,按一下 [搜尋設定]****。
確認是否顯示 [搜尋設定] 頁面。
停止探查並檢查擷取到的封包。您應該會看到類似下列範例所示的 Kerberos 通訊協定封包及描述:
KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET
KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET
KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1
KerberosV5:TGS Response Cname: sspadminpool
以上範例中的 Sname 值 (MSSP/mosscrawl:56738/SSP1) 即是所產生的新格式 SPN,它是 Infrastructure Update for Microsoft Office Servers 經變更後所產生的結果,這個值會送至 Kerberos KDC。
登入索引伺服器 (以本文範例而言,索引伺服器為 MOSSCRAWL)。請執行事件檢視器,並查看安全性記錄。您應該會看到類似下表資料的項目:
事件類型 |
稽核成功 |
事件來源 |
安全性 |
事件類別目錄 |
登入/登出 |
事件識別碼 |
540 |
日期 |
5/6/2008 |
時間 |
1:21:04 PM |
使用者 |
MYDOMAIN\sspadminpool |
電腦 |
MOSSCRAWL |
描述 |
成功的網路登入範例如下表所示:
使用者名稱 |
sspadminpool |
網域 |
MOSSCRAWL |
登入識別碼 |
(0x0,0xD84A6) |
登入類型 |
3 |
登入程序 |
Kerberos |
驗證封裝 |
Kerberos |
工作站名稱 |
|
登入 GUID |
{2f1cccb3-c10d-27e5-9896-0f918e8ad796} |
呼叫者使用者名稱 |
|
呼叫者網域 |
|
呼叫者登入識別碼 |
|
呼叫者處理識別碼 |
|
轉送的服務 |
|
來源網路位址 |
192.168.150.100 |
來源連接埠 |
1513 |
設定限制
在使用 Infrastructure Update for Microsoft Office Servers 的 SSP 基礎結構上,對於使用 Kerberos 有幾項設定限制:
所建立新格式 SPN 中的主機名稱部分,會是執行服務之主機的 NetBIOS 名稱,例如:MSSP/kerbtest4:56738/SSP1。這是因為主機名稱是從 Office SharePoint Server 2007 設定資料庫擷取,而只有 NetBIOS 電腦名稱是儲存在 Office SharePoint Server 2007 設定資料庫中。這在某些案例中可能會不明確。目前,用以重新命名 Office SharePoint Server 2007 執行伺服器的 Stsadm 命令列工具,無法成功重新命名 Office SharePoint Server 2007 的執行伺服器,因此,這個問題並無解決方法。
切勿使用有擴充字元的 SSP 名稱。在 SPN 中的 SSP 名稱若有擴充字元,將無法選為委派目標。因此,請避免在 SSP 名稱中使用擴充字元。
其他資源和疑難排解指引
| 產品/技術 | 資源 |
|---|---|
Windows Server 2003 |
安裝 Windows SharePoint Services 3.0 之後系統記錄檔中記錄了事件識別碼 10017 錯誤訊息 (https://go.microsoft.com/fwlink/?linkid=120456&clcid=0x404) (機器翻譯) |
SQL Server |
如何在您建立遠端連接至 SQL Server 2005 執行個體時,確認您使用的是 Kerberos 驗證 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x404) |
SQL Server |
如何疑難排解「無法產生 SSPI 內容」錯誤訊息 (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x404) (機器翻譯) |
SQL Server |
如何設定 SQL Server 2005 Analysis Services 使用 Kerberos 驗證 (https://go.microsoft.com/fwlink/?linkid=120459&clcid=0x404) (機器翻譯) |
.NET Framework |
AuthenticationManager.CustomTargetNameDictionary 屬性 (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x404) |
Windows Internet Explorer |
在 Windows XP 和 Windows Server 2003 中,Internet Explorer 6 無法使用 Kerberos 驗證通訊協定連線到使用非標準連接埠的網站 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x404) (機器翻譯) |
Windows Internet Explorer |
當您在 Windows XP 電腦上嘗試存取需要 Kerberos 驗證的網站時,Internet Explorer 出現錯誤訊息:「HTTP 錯誤 401 - 未經授權:因為認證不正確而拒絕存取」 (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x404) (機器翻譯) |
Kerberos 驗證 |
Kerberos 驗證技術參考 (英文) (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x404) |
Kerberos 驗證 |
疑難排解 Kerberos 錯誤 (英文) (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x404) |
Kerberos 驗證 |
Kerberos 通訊協定轉換和限制委派 (英文) (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x404) |
IIS |
設定 SSL 主機標頭 (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x404) |
關於作者
Mark Grossbard 為 Microsoft Office SharePoint Server MOSS Core Test 的測試工程師。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Office SharePoint Server 技術文件庫 上提供的完整叢書清單。