Jak nakonfigurovat virtuální server se službou Windows SharePoint Services, aby používal ověřování pomocí protokolu Kerberos, a jak přepnout z tohoto ověřování zpět na ověřování protokolem NTLM

Překlady článku Překlady článku
ID článku: 832769 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek obsahuje informace o konfiguraci virtuálního serveru se službou Microsoft Windows SharePoint Services pro použití ověřování pomocí protokolu Kerberos. Článek obsahuje také informace o přepnutí z ověřování pomocí protokolu Kerberos zpět na ověřování pomocí protokolu NTLM.

Poznámka: Verze 3 služby Microsoft Windows SharePoint Services pro systém Microsoft Office 2007 používá ve výchozím nastavení ověřování pomocí protokolu NTLM. Protokol Kerberos je nadále podporován.

Další informace

Od aktualizace Microsoft Windows SharePoint Services Service Pack 2 (SP2) můžete vytvořit virtuální server Centrální správy SharePoint nebo rozšířit obsahový virtuální server pro použití s ověřováním pomocí protokolu Kerberos nebo NTLM. Již není nutné přímo měnit metabázi služby IIS.

Integrované ověřování systému Microsoft Windows podporuje následující dva protokoly, které umožňují ověření pomocí výzvy a odezvy:
  • NTLM

    Protokol NTLM je zabezpečený protokol, který je založen na šifrování uživatelských jmen a hesel před jejich odesláním po síti. Ověřování protokolem NTLM je vyžadováno v sítích, ve kterých server přijímá požadavky od klientů, kteří nepodporují ověřování protokolem Kerberos.
  • Kerberos

    Protokol Kerberos je založen na operacích s lístky. V tomto případě musí uživatel nejprve poskytnout ověřovacímu serveru platné uživatelské jméno a heslo. Poté ověřovací server přidělí uživateli lístek. Tento lístek lze použít v sítích k žádostem o další síťové prostředky. Chcete-li použít toto schéma, musí mít klient i server důvěryhodné připojení k doménovému centru distribuce klíčů. Navíc musí být klient i server kompatibilní s adresářovou službou Active Directory.
Poznámka: Ve většině případů byste měli vybrat ověřování protokolem NTLM. Pokud nemáte specifické požadavky na ověřování protokolem Kerberos nebo pokud nemůžete nakonfigurovat hlavní název služby, zvolte ověřování protokolem NTLM. Pokud vyberete ověřování protokolem Kerberos a nemůžete nakonfigurovat hlavní název služby, budou moci být na serveru SharePoint ověřeni pouze správci serveru.

Konfigurace služby Windows SharePoint Services k použití ověřování pomocí protokolu Kerberos nebo NTLM

Od aktualizace Microsoft Windows SharePoint Services Service Pack 2 (SP2) můžete použít na serveru SharePoint uživatelské rozhraní nebo příkazy na příkazovém řádku ke konfiguraci virtuálního serveru Centrální správy SharePoint nebo obsahového virtuálního serveru. Virtuální server Centrální správy SharePoint nakonfigurujete při jejím vytvoření. Obsahové virtuální servery nakonfigurujete při rozšíření obsahového virtuálního serveru. Když vytvoříte virtuální server Centrální správy SharePoint nebo rozšíříte nový virtuální server, bude k dispozici nová část Konfigurace zabezpečení, ve které můžete určit, zda chcete použít ověřování protokolem NTLM nebo Kerberos. Informace o všech nastaveních správce pro konfiguraci ověřování naleznete v příručce Windows SharePoint Services Administrator's Guide (Příručka pro správce služby Windows SharePoint Services). Tuto příručku naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en
Pokud používáte virtuální servery SharePoint, které byly rozšířeny nebo vytvořeny ve verzích služby Windows SharePoint Services nižších, než je verze Windows SharePoint Services SP2, a pokud jste nakonfigurovali virtuální servery pro ověřování protokolem Kerberos, bude třeba ručně nakonfigurovat ověřování protokolem Kerberos pro virtuální server, pokud je to požadováno.

Chcete-li pomocí skriptu povolit ověřování protokolem Kerberos na virtuálním serveru, postupujte podle následujících kroků:
  1. Na serveru se spuštěnou službou IIS klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz cmd do pole Otevřít a potom klepněte na tlačítko OK.
  2. Přejděte do složky Inetpub\Adminscripts.
  3. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    cd Jednotka:\inetpub\adminscripts
    Poznámka: V tomto příkazu proměnná Jednotka představuje jednotku, na které je nainstalovaný systém Microsoft Windows.
  4. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Poznámka: V tomto příkazu představuje řetězec ## číslo ID virtuálního serveru. Číslo ID virtuálního serveru pro výchozí webovou stránku na serveru IIS je 1.
  5. Chcete-li povolit ověřování protokolem Kerberos na virtuálním serveru, zadejte následující příkaz a pak stiskněte klávesu ENTER:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    Poznámka: V tomto příkazu představuje řetězec ## číslo ID virtuálního serveru.
  6. Restartujte službu IIS. Postupujte takto:
    1. Klepněte na tlačítko Start a pak na příkaz Spustit. Do pole Otevřít zadejte příkaz cmd a klepněte na tlačítko OK.
    2. Na příkazovém řádku napište příkaz iisreset a stiskněte klávesu ENTER.
    3. Ukončete okno příkazového řádku zadáním příkazu exit a stisknutím klávesy ENTER.
Pokud při vytváření Centrální správy SharePoint nebo obsahových virtuálních serverů zvolíte ověřování protokolem Kerberos, ale musíte přepnout zpět na ověřování protokolem NTLM, můžete použít skript k povolení ověřování protokolem NTLM na virtuálním serveru.

Chcete-li pomocí skriptu povolit ověřování protokolem NTLM na virtuálním serveru, postupujte podle následujících kroků:
  1. Na serveru se spuštěnou službou IIS klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz cmd do pole Otevřít a potom klepněte na tlačítko OK.
  2. Přejděte do složky Inetpub\Adminscripts.
  3. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    cd Jednotka:\inetpub\adminscripts
    Poznámka: V tomto příkazu proměnná Jednotka představuje jednotku, na které je nainstalovaný systém Windows.
  4. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Poznámka: V tomto příkazu řetězec ## představuje číslo ID virtuálního serveru. Číslo ID virtuálního serveru pro výchozí webovou stránku na serveru IIS je 1.
  5. Chcete-li povolit ověřování protokolem NTLM na virtuálním serveru, zadejte následující příkaz a poté stiskněte klávesu ENTER:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    Poznámka: V tomto příkazu řetězec ## představuje číslo ID virtuálního serveru.
  6. Restartujte službu IIS. Postupujte takto:
    1. Klepněte na tlačítko Start a pak na příkaz Spustit. Do pole Otevřít zadejte příkaz cmd a klepněte na tlačítko OK.
    2. Na příkazovém řádku napište příkaz iisreset a stiskněte klávesu ENTER.
    3. Ukončete okno příkazového řádku zadáním příkazu exit a stisknutím klávesy ENTER.

Konfigurace hlavního názvu služby pro účet uživatele domény

Pokud je identita fondu aplikací pro umístění služby Windows SharePoint Services nakonfigurována pro použití vestavěného objektu zabezpečení (jako je NT Authority\Network Service nebo NT Authority\Local System), není třeba provádět tento krok. Vestavěné účty jsou automaticky nakonfigurovány pro práci s ověřováním pomocí protokolu Kerberos.

Pokud používáte vzdálený server Microsoft SQL Server 2000 a chcete použít účet NT Authority\Network Service jako účet domény, je třeba přidat záznam Doména\Název_počítače$ a nakonfigurovat jej s oprávněními Database Creators a Security Administrators. Tím umožníte připojení služby Windows SharePoint Services ke vzdálenému počítači se serverem SQL a vytvoření databází konfigurace a obsahu.

Pokud je identita fondu aplikací účtem uživatele domény, je třeba pro tento účet nakonfigurovat hlavní název služby. Konfiguraci hlavního názvu služby pro účet uživatele domény provedete následovně:
  1. Stáhněte a nainstalujte nástroj příkazového řádku Setspn.exe. Postup naleznete na jednom z následujících webů společnosti Microsoft.

    Pro systém Microsoft Windows 2000 Server:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
    Pro systém Microsoft Windows Server 2003:
    892777 Nástroje podpory systému Windows Server 2003 SP1
  2. Pomocí nástroje Setspn.exe přidejte hlavní název služby k účtu domény. Provedete to zadáním následujícího příkazu na příkazový řádek a stisknutím klávesy ENTER, kde proměnná Název_serveru je úplný název domény serveru, proměnná Doména je název domény a proměnná Uživatelské_jméno je název účtu uživatele domény:
    setspn -A HTTP/Název_serveru Doména\Uživatelské_jméno

Konfigurace důvěryhodnosti pro delegování webových součástí pro přístup ke vzdáleným prostředkům

Pokud vyvíjíte webové součásti pro službu SharePoint, které přistupují ke vzdáleným prostředkům, je třeba postupovat podle návodu uvedeného v části Konfigurace hlavního názvu služby pro účet uživatele domény a nakonfigurovat účet fondu aplikací i počítače tak, aby byl důvěryhodný pro delegování provedené pomocí následujících kroků.

Poznámka: Není nutné postupovat podle těchto speciálních kroků, pokud nepoužíváte webové součásti, které přistupují ke vzdáleným prostředkům.

Chcete-li nakonfigurovat server IIS tak, aby byl důvěryhodný pro delegování, postupujte takto:
  1. Spusťte modul Uživatelé a počítače služby Active Directory.
  2. V levém podokně klepněte na položku Počítače.
  3. V pravém podokně klepněte pravým tlačítkem myši na název serveru IIS a poté klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu Obecné, zaškrtněte políčko Důvěřovat počítači pro delegování a potom klepněte na tlačítko OK.
  5. Zavřete složku Uživatelé a počítače služby Active Directory.
Pokud je identita fondu aplikací nakonfigurována pro použití účtu uživatele domény, je třeba, aby byl uživatelský účet důvěryhodný pro delegování předtím, než je možné použít ověřování protokolem Kerberos. Chcete-li nakonfigurovat účet domény tak, aby byl důvěryhodný pro delegování, postupujte takto:
  1. V řadiči domény spusťte modul Uživatelé a počítače služby Active Directory.
  2. V levém podokně klepněte na položku Uživatelé.
  3. V pravém podokně klepněte pravým tlačítkem myši na název uživatelského účtu a poté klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu Obecné, v části Možnosti účtu zaškrtněte políčko Důvěřovat účtu pro delegování a potom klepněte na tlačítko OK.
  5. Zavřete složku Uživatelé a počítače služby Active Directory.
Pokud je identita fondu aplikací účtem uživatele domény, je třeba pro tento účet nakonfigurovat hlavní název služby. Konfiguraci hlavního názvu služby pro účet uživatele domény provedete následovně:
  1. Stáhněte a nainstalujte nástroj příkazového řádku Setspn.exe. Informace o provedení tohoto kroku naleznete na následujícím webu společnosti Microsoft:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
  2. Pomocí nástroje Setspn.exe přidejte hlavní název služby k účtu domény. Provedete to zadáním následujícího příkazu na příkazový řádek a stisknutím klávesy ENTER, kde proměnná Název_serveru je úplný název domény serveru, proměnná Doména je název domény a proměnná Uživatelské_jméno je název účtu uživatele domény:
    Setspn -A HTTP/Název_serveru Doména\Uživatelské_jméno

Odkazy

Další informace o službě Windows SharePoint Services naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsserver2003/technologies/sharepoint/default.mspx

Vlastnosti

ID článku: 832769 - Poslední aktualizace: 10. dubna 2007 - Revize: 8.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows SharePoint Services
  • Microsoft Windows SharePoint Services 3.0
Klíčová slova: 
kbhowto kbconfig kbauthentication kbwebservices kbaccounts KB832769

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com