Τρόπος ρύθμισης των παραμέτρων του εικονικού διακομιστή με υπηρεσίες Windows SharePoint Services, ώστε να χρησιμοποιεί τον έλεγχο ταυτότητας Kerberos, και τρόπος εναλλαγής από έλεγχο ταυτότητας Kerberos σε έλεγχο ταυτότητας NTLM

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 832769 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιέχει πληροφορίες σχετικά με τον τρόπο ρύθμισης των παραμέτρων ενός εικονικού διακομιστή με Microsoft Windows SharePoint Services ώστε να χρησιμοποιεί έλεγχο ταυτότητας Kerberos. Επιπλέον, αυτό το άρθρο περιέχει πληροφορίες σχετικά με τον τρόπο επαναφοράς από έλεγχο ταυτότητας Kerberos σε έλεγχο ταυτότητας NTLM.

Σημείωση Η έκδοση 3 του Microsoft Windows SharePoint Services για Micrsosoft Office 2007 χρησιμοποιεί έλεγχο ταυτότητας NTLM από προεπιλογή. Εξακολουθεί να υπάρχει υποστήριξη για το Kerberos.

Περισσότερες πληροφορίες

Ξεκινώντας με το Microsoft Windows SharePoint Services Service Pack 2 (SP2), μπορείτε να δημιουργήσετε τον εικονικό διακομιστή με SharePoint Central Administration ή να επεκτείνετε έναν εικονικό διακομιστή περιεχομένου για να χρησιμοποιηθεί είτε με έλεγχο ταυτότητας Kerberos είτε με έλεγχο ταυτότητας NTLM. Δεν χρειάζεται πλέον να τροποποιήσετε απευθείας τη μετα-βάση των IIS.

Ο ενσωματωμένος έλεγχος ταυτότητας των Microsoft Windows υποστηρίζει τα ακόλουθα δύο πρωτόκολλα, τα οποία παρέχουν έλεγχο ταυτότητας "πρόκλησης/απόκρισης":
  • NTLM

    Το πρωτόκολλο NTLM είναι ένα ασφαλές πρωτόκολλο, το οποίο βασίζεται στην κρυπτογράφηση ονομάτων χρηστών και κωδικών πρόσβασης προτού στα στείλει στο δίκτυο. Ο έλεγχος ταυτότητας NTLM απαιτείται σε δίκτυα όπου ο διακομιστής λαμβάνει αιτήσεις από υπολογιστές-πελάτες, οι οποίοι δεν υποστηρίζουν τον έλεγχο ταυτότητας Kerberos.
  • Kerberos

    Το πρωτόκολλο Kerberos βασίζεται στη χρήση δελτίων. Σε αυτό το πλαίσιο εργασίας, ένας χρήστης πρέπει πρώτα να υποβάλλει ένα έγκυρο όνομα χρήστη και κωδικό πρόσβασης σε ένα διακομιστή ελέγχου ταυτότητας. Στη συνέχεια, ο διακομιστής ελέγχου ταυτότητας εκχωρεί στο χρήστη ένα δελτίο. Το δελτίο μπορεί να χρησιμοποιηθεί στο δίκτυο για να ζητηθούν άλλοι πόροι δικτύου. Για να χρησιμοποιήσετε αυτό το πλαίσιο εργασίας, τόσο ο υπολογιστής-πελάτης όσο και ο διακομιστής πρέπει να διαθέτουν μια αξιόπιστη σύνδεση με το KDC (Key Distribution Center) του τομέα. Ακόμα, τόσο ο υπολογιστής-πελάτης όσο και ο διακομιστής πρέπει να είναι συμβατοί με την υπηρεσία καταλόγου Active Directory.
Σημείωση Τις περισσότερες φορές, πρέπει να επιλέγετε τον έλεγχο ταυτότητας NTLM. Εάν δεν υπάρχει κάποια συγκεκριμένη ανάγκη για χρήση του ελέγχου ταυτότητας Kerberos ή όταν δεν μπορείτε να ρυθμίσετε το κύριο όνομα υπηρεσίας (SPN), επιλέξτε τον έλεγχο ταυτότητας NTLM. Αν επιλέξετε τον έλεγχο ταυτότητας Kerberos και δεν μπορείτε να ρυθμίσετε το SPN, μόνο οι διαχειριστές διακομιστών θα μπορούν να υποβληθούν σε έλεγχο ταυτότητας στην τοποθεσία SharePoint.

Ρύθμιση παραμέτρων των υπηρεσιών Windows SharePoint Services ώστε να χρησιμοποιούν τον έλεγχο ταυτότητας Kerberos ή NTLM

Ξεκινώντας με το Windows SharePoint Services Service Pack 2 (SP2), μπορείτε να χρησιμοποιήσετε το περιβάλλον εργασίας χρήστη SharePoint ή τις εντολές μιας γραμμής εντολών για να ρυθμίσετε τον εικονικό διακομιστή SharePoint Central Administration και τους εικονικούς διακομιστές περιεχομένου. Ρυθμίζετε τις παραμέτρους του εικονικού διακομιστή SharePoint Central Administration κατά τη δημιουργία του SharePoint Central Administration και ρυθμίζετε τους εικονικούς διακομιστές περιεχομένου όταν επεκτείνετε τον εικονικό διακομιστή περιεχομένου. Κατά τη δημιουργία του εικονικού διακομιστή SharePoint Central Administration ή την επέκταση ενός νέου εικονικού διακομιστή, υπάρχει μια νέα ενότητα που ονομάζεται Security Configuration, όπου μπορείτε να καθορίσετε αν θέλετε να χρησιμοποιήσετε τον έλεγχο ταυτότητας NTLM ή τον έλεγχο ταυτότητας Kerberos. Για να εξετάσετε όλες τις ρυθμίσεις διαχείρισης για τη ρύθμιση παραμέτρων του ελέγχου ταυτότητας, ανατρέξτε στον Οδηγό Windows SharePoint Services Administrator. Για να προβάλετε τον Οδηγό Windows SharePoint Services Administrator, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en
Στην περίπτωση που χρησιμοποιείτε εικονικούς διακομιστές SharePoint που αναπτύχθηκαν ή δημιουργήθηκαν σε εκδόσεις του Windows SharePoint Services παλαιότερες από το Windows SharePoint Services SP2 και έχετε ρυθμίσει τις παραμέτρους εικονικών διακομιστών για έλεγχο ταυτότητας Kerberos, πρέπει να ρυθμίσετε με μη αυτόματο τρόπο τις παραμέτρους του ελέγχου ταυτότητας Kerberos για τον εικονικό διακομιστή, αν είναι απαραίτητο.

Για να χρησιμοποιήσετε μια δέσμη ενεργειών με σκοπό την ενεργοποίηση του ελέγχου ταυτότητας Kerberos στον εικονικό διακομιστή, ακολουθήστε τα εξής βήματα:
  1. Στο διακομιστή που χρησιμοποιεί τις υπηρεσίες IIS, κάντε κλικ στο μενού Start, κάντε κλικ στην επιλογή Run, πληκτρολογήστε cmd στο πλαίσιο Open και, στη συνέχεια, κάντε κλικ στο κουμπί ΟΚ.
  2. Μεταβείτε στο φάκελο Inetpub\Adminscripts.
  3. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cd Μονάδα_δίσκου:\inetpub\adminscripts
    Σημείωση Σε αυτήν την εντολή, η Μονάδα_δίσκου είναι η μονάδα δίσκου στην οποία είναι εγκατεστημένα τα Microsoft Windows.
  4. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Σημείωση Σε αυτήν την εντολή, το ## είναι ο αριθμός αναγνωριστικού του εικονικού διακομιστή. Ο αριθμός αναγνωριστικού εικονικού διακομιστή της προεπιλεγμένης τοποθεσίας Web στις IIS είναι το 1.
  5. Για να ενεργοποιήσετε τον έλεγχο ταυτότητας Kerberos στον εικονικό διακομιστή, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    Σημείωση Σε αυτήν την εντολή, το ## είναι ο αριθμός αναγνωριστικού του εικονικού διακομιστή.
  6. Κάντε επανεκκίνηση των IIS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    • Κάντε κλικ στο μενού Start, κάντε κλικ στην επιλογή Run, πληκτρολογήστε cmd στο πλαίσιο Open και στη συνέχεια κάντε κλικ στο κουμπί ΟΚ.
    • Στη γραμμή εντολών, πληκτρολογήστε iisreset και στη συνέχεια πιέστε το πλήκτρο ENTER.
    • Πληκτρολογήστε exit και κατόπιν πιέστε το πλήκτρο ENTER, για να κλείσετε το παράθυρο της γραμμής εντολών.
Εάν επιλέξετε τον έλεγχο ταυτότητας Kerberos κατά τη δημιουργία του SharePoint Central Administration ή εικονικών διακομιστών περιεχομένου, αλλά πρέπει να επιστρέψετε στον έλεγχο ταυτότητας NTLM, μπορείτε να χρησιμοποιήσετε μια δέσμη ενεργειών για να ενεργοποιήσετε τον έλεγχο ταυτότητας NTLM στον εικονικό διακομιστή.

Για να χρησιμοποιήσετε μια δέσμη ενεργειών με σκοπό την ενεργοποίηση του ελέγχου ταυτότητας NTLM στον εικονικό διακομιστή, ακολουθήστε τα εξής βήματα:
  1. Στο διακομιστή που χρησιμοποιεί τις υπηρεσίες IIS, κάντε κλικ στο μενού Start, κάντε κλικ στην επιλογή Run, πληκτρολογήστε cmd στο πλαίσιο Open και, στη συνέχεια, κάντε κλικ στο κουμπί ΟΚ.
  2. Μεταβείτε στο φάκελο Inetpub\Adminscripts.
  3. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cd Μονάδα_δίσκου:\inetpub\adminscripts
    Σημείωση Σε αυτήν την εντολή, η Μονάδα_δίσκου είναι η μονάδα δίσκου στην οποία είναι εγκατεστημένα τα Windows.
  4. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    Σημείωση Σε αυτήν την εντολή, το ## είναι ο αριθμός αναγνωριστικού του εικονικού διακομιστή. Ο αριθμός αναγνωριστικού εικονικού διακομιστή της προεπιλεγμένης τοποθεσίας Web στις IIS είναι το 1.
  5. Για να ενεργοποιήσετε τον έλεγχο ταυτότητας NTLM στον εικονικό διακομιστή, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    Σημείωση Σε αυτήν την εντολή, το ## είναι ο αριθμός αναγνωριστικού του εικονικού διακομιστή.
  6. Κάντε επανεκκίνηση των IIS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    • Κάντε κλικ στο μενού Start, κάντε κλικ στην επιλογή Run, πληκτρολογήστε cmd στο πλαίσιο Open και στη συνέχεια κάντε κλικ στο κουμπί ΟΚ.
    • Στη γραμμή εντολών, πληκτρολογήστε iisreset και, στη συνέχεια, πιέστε το πλήκτρο ENTER.
    • Πληκτρολογήστε exit και κατόπιν πιέστε το πλήκτρο ENTER, για να κλείσετε το παράθυρο της γραμμής εντολών.

Ρύθμιση των παραμέτρων ενός κύριου ονόματος υπηρεσίας για το λογαριασμό χρήστη τομέα

Εάν η ταυτότητα του χώρου αποθήκευσης εφαρμογών για την τοποθεσία των υπηρεσιών Windows SharePoint Services έχει ρυθμιστεί έτσι ώστε να χρησιμοποιεί ενσωματωμένη αρχή ασφαλείας (όπως την υπηρεσία NT Authority\Network Service ή το NT Authority\Local System), δεν χρειάζεται να εκτελέσετε αυτό το βήμα. Οι ενσωματωμένοι λογαριασμοί ρυθμίζονται αυτόματα έτσι ώστε να λειτουργούν με έλεγχο ταυτότητας Kerberos.

Εάν χρησιμοποιείτε έναν απομακρυσμένο διακομιστή με Microsoft SQL Server 2000 και θέλετε να χρησιμοποιήσετε την υπηρεσία NT Authority\Network Service ως λογαριασμό τομέα, πρέπει να προσθέσετε την καταχώρηση Domain\ComputerName$ και να την ρυθμίσετε έτσι ώστε να διαθέτει τα δικαιώματα Database Creators και Security Administrators. Με αυτόν τον τρόπο, οι υπηρεσίες Windows SharePoint Services είναι σε θέση να συνδεθούν με τον απομακρυσμένο υπολογιστή με SQL Server για να δημιουργήσουν τις βάσεις δεδομένων ρυθμίσεων παραμέτρων και περιεχομένου.

Εάν η ταυτότητα του χώρου αποθήκευσης εφαρμογών είναι ένας λογαριασμός χρήστη τομέα, πρέπει να ρυθμίσετε τις παραμέτρους ενός SPN για αυτόν το λογαριασμό. Για να ρυθμίσετε τις παραμέτρους ενός SPN για το λογαριασμό χρήστη τομέα, ακολουθήστε τα εξής βήματα:
  1. Κάντε λήψη και εγκατάσταση του εργαλείου γραμμής εντολών Setspn.exe. Για να το κάνετε αυτό, επισκεφθείτε μία από τις ακόλουθες τοποθεσίες της Microsoft στο Web.

    Για τον Microsoft Windows 2000 Server (στα αγγλικά):
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
    Για τον Microsoft Windows Server 2003:
    892777 Εργαλεία υποστήριξης (Support Tools) για το Windows Server 2003 Service Pack 1
  2. Χρησιμοποιήστε το εργαλείο Setspn.exe για να προσθέσετε ένα SPN για το λογαριασμό τομέα. Για να το κάνετε αυτό, πληκτρολογήστε την ακόλουθη γραμμή σε μια γραμμή εντολών και κατόπιν πιέστε το πλήκτρο ENTER, όπου ServerName είναι το έγκυρο όνομα τομέα (FQDN) του διακομιστή, Domain είναι το όνομα του τομέα και UserName είναι το όνομα του λογαριασμού χρήστη τομέα:
    setspn -A HTTP/ServerName Domain\UserName

Ρύθμιση παραμέτρων αξιόπιστης αντιπροσώπευσης τμημάτων Web ώστε να διαθέτουν δυνατότητα πρόσβασης σε απομακρυσμένους πόρους

Στην περίπτωση που αναπτύσσετε τμήματα Web για το SharePoint τα οποία έχουν δυνατότητα πρόσβασης σε απομακρυσμένους πόρους, πρέπει να ακολουθήσετε τα βήματα που παρατίθενται στην ενότητα "Ρύθμιση των παραμέτρων ενός κύριου ονόματος υπηρεσίας για το λογαριασμό χρήστη τομέα" και να ρυθμίσετε τόσο τον υπολογιστή όσο και το χώρο αποθήκευσης εφαρμογών για αξιόπιστη αντιπροσώπευση, ακολουθώντας τα εξής βήματα.

Σημείωση Δεν χρειάζεται να ακολουθήσετε αυτά τα επιπλέον βήματα στην περίπτωση που δεν διαθέτετε τμήματα Web με δυνατότητα πρόσβασης σε απομακρυσμένους πόρους.

Για να ρυθμίσετε το διακομιστή IIS για αξιόπιστη αντιπροσώπευση, ακολουθήστε τα εξής βήματα:
  1. Ξεκινήστε το συμπληρωματικό πρόγραμμα Active Directory Users and Computers.
  2. Στο αριστερό τμήμα του παραθύρου, κάντε κλικ στο στοιχείο Computers.
  3. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στο όνομα του διακομιστή IIS και, στη συνέχεια, κάντε κλικ στην εντολή Properties.
  4. Κάντε κλικ για να επιλέξετε την καρτέλα General, έπειτα κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Trust computer for delegation και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  5. Κλείστε το συμπληρωματικό πρόγραμμα Active Directory Users and Computers.
Στην περίπτωση που ο χώρος αποθήκευσης εφαρμογών έχει ρυθμιστεί έτσι ώστε να χρησιμοποιεί λογαριασμό χρήστη τομέα, για να μπορέσετε να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos, ο λογαριασμός χρήστη πρέπει να είναι αξιόπιστος για αντιπροσώπευση. Για να ρυθμίσετε το λογαριασμό τομέα έτσι ώστε να είναι αξιόπιστος για αντιπροσώπευση, ακολουθήστε τα εξής βήματα:
  1. Στον ελεγκτή τομέα, ξεκινήστε το συμπληρωματικό πρόγραμμα Active Directory Users and Computers.
  2. Στο αριστερό τμήμα του παραθύρου, κάντε κλικ στο στοιχείο Users.
  3. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στο όνομα του λογαριασμού χρήστη και, στη συνέχεια, κάντε κλικ στην εντολή Properties.
  4. Κάντε κλικ στην καρτέλα Account, της ενότητας Account Options, κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Account is trusted for delegation και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  5. Κλείστε το συμπληρωματικό πρόγραμμα Active Directory Users and Computers.
Εάν η ταυτότητα του χώρου αποθήκευσης εφαρμογών είναι ένας λογαριασμός χρήστη τομέα, πρέπει να ρυθμίσετε τις παραμέτρους ενός SPN για αυτόν το λογαριασμό. Για να ρυθμίσετε τις παραμέτρους ενός SPN για το λογαριασμό χρήστη τομέα, ακολουθήστε τα εξής βήματα:
  1. Κάντε λήψη και εγκατάσταση του εργαλείου γραμμής εντολών Setspn.exe. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
    http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en
  2. Χρησιμοποιήστε το εργαλείο Setspn.exe για να προσθέσετε ένα SPN για το λογαριασμό τομέα. Για γίνει αυτό, πληκτρολογήστε την ακόλουθη γραμμή σε μια γραμμή εντολών και κατόπιν πιέστε το πλήκτρο ENTER, όπου ServerName είναι το έγκυρο όνομα τομέα (FQDN) του διακομιστή, Domain είναι το όνομα του τομέα και UserName είναι το όνομα του λογαριασμού χρήστη τομέα:
    Setspn -A HTTP/ServerName Domain\UserName

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες Windows SharePoint Services, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/windowsserver2003/technologies/sharepoint/default.mspx

Ιδιότητες

Αναγν. άρθρου: 832769 - Τελευταία αναθεώρηση: Τρίτη, 22 Μαΐου 2007 - Αναθεώρηση: 8.1
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows SharePoint Services
  • Microsoft Windows SharePoint Services 3.0
Λέξεις-κλειδιά: 
kbhowto kbconfig kbauthentication kbwebservices kbaccounts KB832769

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com