設定 Kerberos 驗證:逐步設定 (SharePoint Server 2010)

  • 發行項

 

適用版本: SharePoint Server 2010

上次修改主題的時間: 2016-11-30

在接下來的案例文章中,我們建立了 SharePoint Server 2010 環境,示範如何在一些企業常遇到的案例中設定委派。此逐步解說假設您要建立類似下一節所說明的擴充 SharePoint 伺服器陣列。

注意

某些設定步驟可能有所改變,或是不適用特定的伺服器陣列拓撲。例如,單一伺服器安裝不支援 Windows Identity Foundation C2WTS 服務,因此無法以這個伺服器陣列設定來向 Windows Token 委派案例宣告。

環境及伺服器陣列拓撲

下面的圖表說明在下列區段中設定案例時,所使用的伺服器陣列拓撲。伺服器陣列拓撲會在多層之間執行負載平衡和擴充,以示範身分識別委派如何在多部伺服器、多重躍點案例中運作。

注意

示範中的伺服器陣列設定不見得是要作為參照架構,或是如何為實際執行環境設計拓撲的範例。例如,示範拓撲在單一伺服器上執行所有 SharePoint Server 2010 服務應用程式,就會為這些服務建立失敗的單一點。如需如何設計及建立 SharePoint Server 生產環境的詳細資訊,請參閱 SharePoint Server 2010 – 實體與邏輯架構 (可能為英文網頁),以及 SharePoint Server 2010 的拓撲 (可能為英文網頁)

範例伺服器陣列拓撲圖表

注意

案例逐步解說假設執行 SharePoint Server 的所有電腦,以及下面案例所使用的資料來源,都位在單一網域中。本文件不包括多網域/多樹系設定的說明及逐步解說。

環境規格

示範環境中的所有電腦都是以虛擬方式在 Windows Server 2008 R2 Hyper-V 上執行。這些電腦都加入在 Windows Server 2008 Forest and Domain 功能層級執行的單一 Windows (vmlab.local) 網域中。

  • 用戶端電腦

    • Windows 7 Professional (64 位元

  • SharePoint Server 前端 Web

    • Windows Server 2008 R2 Enterprise (64 位元)

    • 服務:

      • Web 應用程式服務

    • 與 Windows NLB 負載平衡

  • SharePoint Server 應用程式伺服器

    • Windows Server 2008 R2 Enterprise (64 位元)

    • Microsoft SharePoint Server 2010 (RTM)

    • 服務:

      • 對 Windows Token 服務的 WIF 宣告

      • Managed Metadata Service

      • SharePoint 索引

      • SharePoint 查詢

      • Excel Services

      • Visio Graphics Service

      • Business Connectivity Services

      • Performance Point Services

  • SQL Services

    • Windows Server 2008 R2 Enterprise (64 位元)

    • Microsoft SQL Server 2008 R2 Enterprise (64 位元)

    • 主動式/被動式設定

    • SQL Server 服務:

      • SQL 資料引擎

      • SQL Server Analysis Services

      • SQL 代理程式

      • SQL 瀏覽器

  • SQL Reporting Server

    • Windows Server 2008 R2 Enterprise (64 位元,RTM)

    • Microsoft SQL 2008 R2 Enterprise (64 位元,RTM)

    • Microsoft SharePoint Server 2010 (RTM)

    • Windows NLB,負載平衡

    • Reporting Services SharePoint 整合模式

    • Reporting Services,擴充模式

Web 應用程式規格

逐步解說中的案例參照您將會在「案例 1」中設定的一組 SharePoint Server 2010 Web 應用程式。下列 Web 應用程式利用 Windows NLB,在示範環境中的兩部 SharePoint Server 前端網頁伺服器之間進行負載平衡。

  • http://sp10CA   伺服器陣列的管理中心 Web 應用程式。案例 1 將逐步解說此 Web 應用程式的設定。

  • http://portal 及 https://portal   含示範發佈入口網站的 Web 應用程式。這是要用來示範如何為在標準連接埠 (HTTP 80、HTTPS 443) 上執行的 Web 應用程式設定委派

  • http://teams:5555   含示範小組網站的 Web 應用程式。這是要用來示範如何為在非標準連接埠 (在此範例中為連接埠 5555) 上執行的 Web 應用程式設定委派。

Web 應用程式圖表

SSL 設定

有些逐步解說案例會使用 SSL 來示範如何以 HTTPS 設定委派。本文假設所使用的憑證是來自信任的根憑證授權單位 (內部或公用),或是您已設定所有電腦為信任所使用的憑證。本文件不包括如何適當設定憑證信任,也沒有提供 SSL 憑證安裝相關偵錯問題的指引。強烈建議您先檢閱這些主題,並測試您的 SSL 設定,再以 SSL 保護的服務來設定 Kerberos 限制委派。如需詳細資訊,請參閱:

負載平衡

SharePoint Server 前端 Web 與 SQL Server Reporting Services 伺服器的負載平衡,是使用 Windows Server 2008 網路負載平衡 (NLB) 進行實作。本文件不包括如何設定 NLB 及 NLB 最佳作法等內容。如需 NLB 的詳細資訊,請參閱網路負載平衡概觀

SQL 別名

伺服器陣列是使用 SQL 用戶端別名來連線至 SQL 叢集而建立的。這通常是最佳作法,而且這麼做是為了示範當使用 SQL 別名時,如何設定 Kerberos 驗證。案例 2 假設環境是以這個方式來設定的,但是不需要使用 SQL 別名來完成下面的任何案例。如需如何設定 SQL 別名的詳細資訊,請參閱如何:建立伺服器別名供用戶端使用 (SQL Server 組態管理員)

逐步完成案例的秘訣

下面的案例會逐步解說透過 SharePoint Server 平台的不同功能來設定 Kerberos 委派所需的各種活動。當您進行各區段時:

所有案例皆假設您已針對內送傳統驗證 (Kerberos) 來設定 Web 應用程式。下面有些案例需要傳統驗證,其作用就不像以內送宣告驗證所記載的那樣。

  • 先在沒有委派的情況下讓 SharePoint Server 服務運作,以確保服務應用程式設定正確,再繼續以委派來進行較具挑戰性的設定。

  • 每個步驟都要儘量小心,並避免略過任何步驟

  • 依序完成案例 1,並花點時間使用案例中提及的偵錯工具,因為在其他案例中可能會使用這些工具來分辨設定問題。

  • 請記得要依序完成案例 2。您會需要一部執行 SQL Server 的電腦,將其設定為接受 Kerberos 驗證,您還需要您在此案例中設定的測試資料庫,以用於後面的一些案例。

  • 請務必使用 SetSPN -XSetSPN -Q 來再次檢查每個案例中的 SPN 設定。如需詳細資訊,請參閱附錄。

  • 在嘗試偵錯設定問題時,請務必檢查伺服器事件記錄檔及 ULS 記錄檔。這些記錄檔中通常會有很好指標,可以快速指出您所遭遇的問題。

  • 針對 SharePoint Foundation->宣告驗證,以及您要嘗試分辨是否發生問題的任何服務應用程式,開啟診斷記錄。

  • 請記得,每個案例都可能會受服務應用程式快取影響。如果您做了設定變更,但沒有看到平台行為有所變更,請嘗試重新啟動服務的應用程式集區或 Windows 服務。如果這麼做無效,有時候重新啟動系統會有所幫助。

  • 請記得,只要有要求,就會快取 Kerberos 票證。如果您是使用 NetMon 之類的工具來檢視 TGT 及 TGS 要求,但沒有看到所預期的要求流量,可能會需要清空票證快取。案例 1<設定 Kerberos 驗證:核心設定 (SharePoint Server 2010)>說明如何利用 KLIST 及 KerbTray 公用程式來執行此作業。

  • 請記得要以管理權限來執行 NetMon,以擷取 Kerberos 流量。

  • 針對進階偵錯案例,您可能會想要為「對 Windows Token 服務的宣告」開啟 WIF 追蹤,以及為 SharePoint Service 應用程式 (WCF 服務) 開啟 WCF 追蹤。請參閱: