Τρόπος ρύθμισης παραμέτρων ενός εικονικού διακομιστή Windows SharePoint Services για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos και NTLM

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιέχει πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων ενός εικονικού διακομιστή των υπηρεσιών Microsoft Windows SharePoint Services για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos. Επιπλέον, αυτό το άρθρο περιέχει πληροφορίες σχετικά με τον τρόπο εναλλαγής από έλεγχο ταυτότητας Kerberos σε έλεγχο ταυτότητας NTLM.

Σημείωση Από προεπιλογή, η έκδοση 3 του Microsoft Windows SharePoint Services για το Microsoft Office 2007 χρησιμοποιεί τον έλεγχο ταυτότητας NTLM. Kerberos εξακολουθεί να υποστηρίζεται.

Περισσότερες πληροφορίες

Στο Microsoft Windows SharePoint Services 2.0 Service Pack 2 (SP2) και νεότερη έκδοση, μπορείτε να ρυθμίσετε έναν εικονικό διακομιστή κεντρικής διαχείρισης του SharePoint ή περιεχομένου εικονικό διακομιστή για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos ή τον έλεγχο ταυτότητας NTLM. Για να γίνει αυτό, μπορείτε να χρησιμοποιήσετε την κεντρική διαχείριση του SharePoint ή το εργαλείο γραμμής εντολών Stsadm.exe.

Σημείωση Δεν χρειάζεται πλέον να αλλάξετε απευθείας τη μετα-βάση των υπηρεσιών IIS.

Ο ενσωματωμένος έλεγχος ταυτότητας των Microsoft Windows

Ο ενσωματωμένος έλεγχος ταυτότητας των Microsoft Windows υποστηρίζει τα ακόλουθα πρωτόκολλα:

Σημείωση Αυτά τα πρωτόκολλα παρέχουν έλεγχο ταυτότητας πρόκλησης/απόκρισης:
  • NTLM

    Το πρωτόκολλο NTLM είναι ένα ασφαλές πρωτόκολλο που κρυπτογραφεί τα ονόματα χρηστών και κωδικοί πρόσβασης πριν από τα ονόματα χρηστών και οι κωδικοί πρόσβασης αποστέλλονται μέσω του δικτύου.

    Σημείωση Απαιτείται έλεγχος ταυτότητας NTLM, εάν οι υπολογιστές-πελάτες δεν υποστηρίζουν τον έλεγχο ταυτότητας Kerberos.
  • Kerberos

    Το πρωτόκολλο Kerberos βασίζεται στη χρήση δελτίων. Σε αυτό το καθεστώς, ο χρήστης παρέχει ένα έγκυρο όνομα χρήστη και τον κωδικό πρόσβασης σε ένα διακομιστή ελέγχου ταυτότητας. Στη συνέχεια, ο διακομιστής ελέγχου ταυτότητας εκχωρεί στο χρήστη ένα δελτίο. Το δελτίο μπορεί να χρησιμοποιηθεί στο δίκτυο για αίτηση πόρους δικτύου.

    Σημείωση Για τον έλεγχο ταυτότητας Kerberos, ο υπολογιστής-πελάτης και ο διακομιστής πρέπει να έχουν μια αξιόπιστη σύνδεση στον τομέα "Κέντρο διανομής κλειδιών (KDC). Επιπλέον, τόσο του υπολογιστή-πελάτη και του διακομιστή πρέπει να είναι συμβατή με την υπηρεσία καταλόγου Active Directory.
Συνήθως, πρέπει να χρησιμοποιήσετε τον έλεγχο ταυτότητας NTLM, αν δεν έχετε κάποια συγκεκριμένη ανάγκη για τον έλεγχο ταυτότητας Kerberos. Εάν δεν μπορείτε να ρυθμίσετε το κύριο όνομα υπηρεσίας (SPN), πρέπει επίσης να χρησιμοποιήσετε τον έλεγχο ταυτότητας NTLM. Εάν χρησιμοποιείτε τον έλεγχο ταυτότητας Kerberos και δεν είναι δυνατό να ρυθμίσετε τις παραμέτρους του SPN, μόνο οι διαχειριστές διακομιστών θα μπορούν να έχουν πρόσβαση στην τοποθεσία του SharePoint.

Οι υπηρεσίες Windows SharePoint Services 3.0 και Microsoft Office SharePoint Server 2007 περιέχει μια ενσωματωμένη λειτουργικότητα για να επιστρέψετε στο NTLM. Για να ρυθμίσετε τον έλεγχο ταυτότητας NTLM, σχετικά με την εφαρμογή Web, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:

Μέθοδος 1: Ο έλεγχος ταυτότητας NTLM ρύθμισης παραμέτρων για την εφαρμογή Web από την κεντρική διαχείριση του SharePoint 3.0

Για να ρυθμίσετε τον έλεγχο ταυτότητας NTLM, σχετικά με την εφαρμογή Web από την κεντρική διαχείριση του SharePoint 3.0, ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, εργαλεία διαχείρισης, και στη συνέχεια κάντε διπλό κλικ στην Κεντρική διαχείριση του SharePoint.
  2. Κάντε κλικ στην καρτέλα " Διαχείριση εφαρμογών " και, στη συνέχεια, κάντε κλικ στην επιλογή Υπηρεσίες παροχής ελέγχου ταυτότητας.
  3. Στη λίστα Εφαρμογών Web , επιλέξτε την εφαρμογή Web που έχετε για να ενημερώσετε.
  4. Κάντε κλικ στη ζώνη που θέλετε.
  5. Στη σελίδα " Επεξεργασία ελέγχου ταυτότητας " για τις Ρυθμίσεις ελέγχου ταυτότητας IIS, ολοκληρωμένος έλεγχος ταυτότητας Windows, κάντε κλικ στο κουμπί NTLM.
  6. Για να εφαρμόσετε την αλλαγή, κάντε κλικ στο κουμπί " OK".
Μέθοδος 2: Ρύθμιση παραμέτρων του ελέγχου ταυτότητας NTLM για την εφαρμογή Web από το βοηθητικό πρόγραμμα της γραμμής εντολών Stsadm.exe

Για να ρυθμίσετε τον έλεγχο ταυτότητας NTLM, σχετικά με την εφαρμογή Web από το βοηθητικό πρόγραμμα της γραμμής εντολών Stsadm.exe, ακολουθήστε τα εξής βήματα:
  1. Στη γραμμή εντολών, αλλάξτε τον κατάλογο με το ακόλουθο:

    < μονάδα δίσκου συστήματος >: \Program Files\Common Files\Microsoft Shared\web διακομιστή extensions\12\BIN
  2. Σε μια γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο Enter:

    stsadm - oauthentication-http://url_of_the_web_application διεύθυνση url-πληκτρολογήστε windows - exclusivelyusentlm

    Σημείωση Για να δείτε άλλες επιλογές για τη λειτουργία, εκτελέστε την ακόλουθη εντολή:

    stsadm-Βοήθεια ελέγχου ταυτότητας

Ρυθμίστε τις παραμέτρους των Windows SharePoint Services 2.0 για να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos ή τον έλεγχο ταυτότητας NTLM

Στο Windows SharePoint Services 2.0 Service Pack 2 (SP2) και νεότερη έκδοση, μπορείτε να χρησιμοποιήσετε το περιβάλλον εργασίας χρήστη του SharePoint ή εντολές σε μια γραμμή εντολών για να ρυθμίσετε τον εικονικό διακομιστή της κεντρικής διαχείρισης του SharePoint και εικονικών διακομιστών περιεχομένου.

Όταν δημιουργείτε τον εικονικό διακομιστή της κεντρικής διαχείρισης του SharePoint ή επεκτείνετε ένα νέο εικονικό διακομιστή, υπάρχει μια νέα ενότητα Ρύθμισης παραμέτρων ασφαλείας . Στην ενότητα Ρύθμιση παραμέτρων ασφαλείας, μπορείτε να καθορίσετε αν θέλετε να χρησιμοποιήσετε τον έλεγχο ταυτότητας NTLM ή τον έλεγχο ταυτότητας Kerberos.

Σημείωση Εάν χρησιμοποιείτε εικονικούς διακομιστές SharePoint που αναπτύχθηκαν ή δημιουργήθηκαν σε εκδόσεις του Windows SharePoint Services 2.0 ή το Windows SharePoint Services 2.0 Service Pack 1 (SP1), πρέπει να ρυθμίσετε με μη αυτόματο τρόπο τον έλεγχο ταυτότητας Kerberos για τον εικονικό διακομιστή εάν απαιτείται.

Για να χρησιμοποιήσετε μια δέσμη ενεργειών για να ενεργοποιήσετε τον έλεγχο ταυτότητας Kerberos στον εικονικό διακομιστή, ακολουθήστε τα εξής βήματα:
  1. Στο διακομιστή που εκτελεί τις υπηρεσίες IIS, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί
    Εκτέλεση, πληκτρολογήστε cmd με το
    Άνοιγμα πλαίσιο και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Μεταβείτε στο φάκελο Inetpub\Adminscripts.
  3. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    CD δίσκου: \inetpub\adminscripts
    Σημείωση Σε αυτήν την εντολή, η μονάδα δίσκου είναι η μονάδα δίσκου όπου είναι εγκατεστημένα τα Microsoft Windows.
  4. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs get w3svc / ## / root/NTAuthenticationProviders
    Σημείωση Σε αυτήν την εντολή, # είναι ο αριθμός Αναγνωριστικού εικονικού διακομιστή. Ο αριθμός Αναγνωριστικού εικονικού διακομιστή της προεπιλεγμένης τοποθεσίας Web στις υπηρεσίες IIS είναι το 1.
  5. Για να ενεργοποιήσετε τον έλεγχο ταυτότητας Kerberos στον εικονικό διακομιστή, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs Ορισμός w3svc / ## / root/NTAuthenticationProviders "Διαπραγμάτευση, NTLM"
    Σημείωση Σε αυτήν την εντολή, # είναι ο αριθμός Αναγνωριστικού εικονικού διακομιστή.
  6. Επανεκκίνηση των υπηρεσιών IIS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε cmd στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
    2. Στη γραμμή εντολών, πληκτρολογήστε
      iisresetκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER
    3. Πληκτρολογήστε exitκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER για να κλείσετε το παράθυρο "γραμμή εντολών".
Εάν επιλέξετε τον έλεγχο ταυτότητας Kerberos κατά τη δημιουργία του SharePoint Central Administration ή εικονικών διακομιστών περιεχομένου, αλλά πρέπει να επιστρέψετε στον έλεγχο ταυτότητας NTLM, μπορείτε να χρησιμοποιήσετε μια δέσμη ενεργειών για να ενεργοποιήσετε τον έλεγχο ταυτότητας NTLM στον εικονικό διακομιστή.

Για να χρησιμοποιήσετε μια δέσμη ενεργειών για να ενεργοποιήσετε τον έλεγχο ταυτότητας NTLM στον εικονικό διακομιστή, ακολουθήστε τα εξής βήματα:
  1. Στο διακομιστή που εκτελεί τις υπηρεσίες IIS, κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί
    Εκτέλεση, πληκτρολογήστε cmd με το
    Άνοιγμα πλαίσιο και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  2. Μεταβείτε στο φάκελο Inetpub\Adminscripts.
  3. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    CD δίσκου: \inetpub\adminscripts
    Σημείωση Σε αυτήν την εντολή, η μονάδα δίσκου είναι η μονάδα δίσκου όπου είναι εγκατεστημένα τα Windows.
  4. Πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs get w3svc / ## / root/NTAuthenticationProviders
    Σημείωση Σε αυτήν την εντολή, # είναι ο αριθμός Αναγνωριστικού εικονικού διακομιστή. Ο αριθμός Αναγνωριστικού εικονικού διακομιστή της προεπιλεγμένης τοποθεσίας Web στις υπηρεσίες IIS είναι το 1.
  5. Για να ενεργοποιήσετε τον έλεγχο ταυτότητας NTLM στον εικονικό διακομιστή, πληκτρολογήστε την ακόλουθη εντολή και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    cscript adsutil.vbs Ορισμός w3svc / ## / root/NTAuthenticationProviders "NTLM"
    Σημείωση Σε αυτήν την εντολή, # είναι ο αριθμός Αναγνωριστικού εικονικού διακομιστή.
  6. Επανεκκίνηση των υπηρεσιών IIS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε cmd στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
    2. Στη γραμμή εντολών, πληκτρολογήστε
      iisresetκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER.
    3. Πληκτρολογήστε exitκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER για να κλείσετε το παράθυρο "γραμμή εντολών".

Ρύθμιση των παραμέτρων ενός κύριου ονόματος υπηρεσίας για το λογαριασμό χρήστη τομέα

Σημείωση Δεν χρειάζεται να εκτελέσετε αυτά τα βήματα, εάν η ταυτότητα του χώρου συγκέντρωσης εφαρμογών για την τοποθεσία του Windows SharePoint Services 2.0 χρησιμοποιεί ενσωματωμένη αρχή ασφαλείας. Για παράδειγμα, δεν χρειάζεται να εκτελέσετε αυτά τα βήματα, εάν η ταυτότητα του χώρου συγκέντρωσης εφαρμογών που χρησιμοποιεί την υπηρεσία NT Authority\Network Service ή το NT Authority\Local System. Οι ενσωματωμένοι λογαριασμοί ρυθμίζονται αυτόματα για να εργαστείτε με τον έλεγχο ταυτότητας Kerberos.

Σημείωση Εάν χρησιμοποιείτε έναν απομακρυσμένο διακομιστή που εκτελεί τον Microsoft SQL Server 2000 και θέλετε να χρησιμοποιήσετε το λογαριασμό NT Authority\Network Server ως το λογαριασμό τομέα, πρέπει να προσθέσετε το Domain\Computer_Name. Πρέπει επίσης να ορίσετε το λογαριασμό με δικαιώματα Δημιουργοί βάσεων δεδομένων και διαχειριστές ασφαλείας. Αυτό σας επιτρέπει να συνδεθείτε με το διακομιστή που εκτελεί τον SQL Server 2000 για να δημιουργήσετε τις βάσεις δεδομένων παραμέτρων και περιεχομένου το Windows SharePoint Services 2.0.

Εάν η ταυτότητα του χώρου συγκέντρωσης εφαρμογών είναι ένας λογαριασμός χρήστη τομέα, πρέπει να ρυθμίσετε τις παραμέτρους ενός SPN για αυτόν το λογαριασμό. Για να ρυθμίσετε τις παραμέτρους ενός SPN για το λογαριασμό χρήστη τομέα, ακολουθήστε τα εξής βήματα:
  1. Κάντε λήψη και εγκατάσταση του εργαλείου γραμμής εντολών Setspn.exe. Για να το κάνετε αυτό, επισκεφθείτε μία από τις ακόλουθες τοποθεσίες της Microsoft στο Web.

    Για Microsoft Windows 2000 Server:Για τον Microsoft Windows Server 2003:
    Εργαλείο υποστήριξης Setspn.exe 970536 ενημέρωση για τον Windows Server 2003

    Σημείωση Setspn.exe περιλαμβάνεται στον Windows Server 2008. Setspn.exe είναι διαθέσιμη όταν προσθέτετε το ρόλο "Υπηρεσίες τομέα Active Directory", χρησιμοποιώντας τη Διαχείριση διακομιστών.

    Σημείωση Πρέπει να εκτελέσετε το Setspn.exe από μια γραμμή εντολών με αυξημένα δικαιώματα. Για να αυξήσετε τη γραμμή εντολών, κάντε δεξιό κλικ στο εικονίδιο γραμμή εντολών και, στη συνέχεια, κάντε κλικ στην επιλογή "Εκτέλεση ως διαχειριστής".
  2. Χρησιμοποιήστε το εργαλείο Setspn.exe για να προσθέσετε ένα SPN για το λογαριασμό τομέα. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Πληκτρολογήστε την ακόλουθη γραμμή στη γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
      Setspn - HTTP/FQDNόνομα_διακομιστήτομέα\όνομα χρήστη
      Σημείωση Σε αυτήν την εντολή, το όνομα_διακομιστή είναι το έγκυρο όνομα τομέα (FQDN) του διακομιστή, τομέας είναι το όνομα του τομέα και το όνομα χρήστη είναι το όνομα του λογαριασμού χρήστη τομέα.
    2. Πληκτρολογήστε την ακόλουθη γραμμή στη γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
      Setspn - HTTP/NETBIOSόνομα διακομιστήτομέα\όνομα χρήστη
      Σημείωση Σε αυτήν την εντολή, το όνομα_διακομιστή είναι το όνομα NETBIOS του διακομιστή, τομέας είναι το όνομα του τομέα και το όνομα χρήστη είναι το όνομα του λογαριασμού χρήστη τομέα.

Ρύθμιση παραμέτρων αξιόπιστης αντιπροσώπευσης τμημάτων Web

Για να ρυθμίσετε το διακομιστή IIS για αξιόπιστη αντιπροσώπευση, ακολουθήστε τα εξής βήματα:
  1. Έναρξη Active Directory Users and Computers.
  2. Στο αριστερό τμήμα του παραθύρου, κάντε κλικ στο κουμπί
    Υπολογιστές.
  3. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στο όνομα του διακομιστή IIS και, στη συνέχεια, κάντε κλικ στο κουμπί Ιδιότητες.
  4. Κάντε κλικ στην καρτέλα Γενικά , κάντε κλικ για να επιλέξετε το
    Υπολογιστής αξιοπιστίας για αντιπροσώπευση πλαίσιο ελέγχου και, στη συνέχεια, κάντε κλικ στο κουμπί
    OK.
  5. Κλείστε το Active Directory Users and Computers.
Εάν η ταυτότητα του χώρου συγκέντρωσης εφαρμογών έχει ρυθμιστεί να χρησιμοποιεί ένα λογαριασμό χρήστη τομέα, ο λογαριασμός χρήστη πρέπει να είναι αξιόπιστος για αντιπροσώπευση πριν μπορέσετε να χρησιμοποιήσετε τον έλεγχο ταυτότητας Kerberos. Για να ρυθμίσετε το λογαριασμό τομέα να είναι αξιόπιστος για αντιπροσώπευση, ακολουθήστε τα εξής βήματα:
  1. Στον ελεγκτή τομέα, ξεκινήστε το Active Directory Users and Computers.
  2. Στο αριστερό τμήμα του παραθύρου, κάντε κλικ στο κουμπί χρήστες.
  3. Στο δεξιό τμήμα του παραθύρου, κάντε δεξιό κλικ στο όνομα του λογαριασμού χρήστη και, στη συνέχεια, κάντε κλικ στο κουμπί Ιδιότητες.
  4. Κάντε κλικ στην καρτέλα λογαριασμού , κάτω
    Επιλογές λογαριασμού, κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου είναι αξιόπιστος για αντιπροσώπευση το λογαριασμό και, στη συνέχεια, κάντε κλικ στο κουμπί OK.
  5. Κλείστε το Active Directory Users and Computers.
Εάν η ταυτότητα του χώρου συγκέντρωσης εφαρμογών είναι ένας λογαριασμός χρήστη τομέα, πρέπει να ρυθμίσετε τις παραμέτρους ενός SPN για αυτόν το λογαριασμό. Για να ρυθμίσετε τις παραμέτρους ενός SPN για το λογαριασμό χρήστη τομέα, ακολουθήστε τα εξής βήματα:
  1. Κάντε λήψη και εγκατάσταση του εργαλείου γραμμής εντολών Setspn.exe. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
  2. Χρησιμοποιήστε το εργαλείο Setspn.exe για να προσθέσετε ένα SPN για το λογαριασμό τομέα. Για να το κάνετε αυτό, πληκτρολογήστε την ακόλουθη γραμμή στη γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER, όπου όνομα_διακομιστή είναι το έγκυρο όνομα τομέα (FQDN) του διακομιστή, τομέας είναι το όνομα του τομέα και όνομα_χρήστη είναι το όνομα του λογαριασμού χρήστη τομέα:
    Setspn -A HTTP/ServerName Domain\UserName

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τις υπηρεσίες Windows SharePoint Services, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

http://technet.microsoft.com/windowsserver/sharepoint/default.aspx

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης των παραμέτρων ελέγχου ταυτότητας των Windows SharePoint Services 2.0, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

http://www.microsoft.com/downloads/details.aspx?FamilyID=a637eff6-8224-4b19-a6a4-3e33fa13d230&DisplayLang=en


Ιδιότητες

Αναγνωριστικό άρθρου: 832769 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια