Konfigurieren der Kerberos-Authentifizierung (Office SharePoint Server)
Inhalt dieses Artikels:
Informationen zur Kerberos-Authentifizierung
Bevor Sie beginnen
Konfigurieren der Kerberos-Authentifizierung für die SQL-Kommunikation
Konfigurieren von Internet Explorer zum Einschließen von Portnummern in Dienstprinzipalnamen
Erstellen von Dienstprinzipalnamen für Ihre Webanwendungen mithilfe der Kerberos-Authentifizierung
Bereitstellen der Serverfarm
Konfigurieren von Diensten auf Servern in der Serverfarm
Erstellen von Webanwendungen mithilfe der Kerberos-Authentifizierung
Erstellen einer Websitesammlung mithilfe der Vorlage "Zusammenarbeitsportal" in der Portalsitewebanwendung
Erstellen eines Anbieters für gemeinsame Dienste für die Serverfarm
Bestätigen des erfolgreichen Zugriffs auf die Webanwendungen mithilfe der Kerberos-Authentifizierung
Bestätigen der ordnungsgemäßen Funktionalität von Search-Indexerstellung
Bestätigen der ordnungsgemäßen Funktionalität von Search-Abfrage
Konfigurieren der SSP-Infrastruktur für die Kerberos-Authentifizierung
Registrieren neuer SPNs mit benutzerdefiniertem Format für das SSP-Dienstkonto in Active Directory
Ausführen des Befehlszeilentools "Stsadm" zum Festlegen der Kerberos-Authentifizierung für die SSP-Infrastruktur
Hinzufügen eines neuen Registrierungsschlüssels zu allen Servern mit Office SharePoint Server, um das Generieren der neuen SPNs mit benutzerdefiniertem Format zu ermöglichen
Bestätigen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Dienste auf der Stammebene
Bestätigen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Dienste auf der Ebene des virtuellen Verzeichnisses
Konfigurationseinschränkungen
Zusätzliche Ressourcen und Anleitungen zur Problembehandlung
Informationen zur Kerberos-Authentifizierung
Bei Kerberos handelt es sich um ein Sicherheitsprotokoll, das das Authentifizierungs-Ticketing unterstützt. Ein Kerberos-Authentifizierungsserver erteilt ein Ticket als Antwort auf eine Authentifizierungsanforderung eines Clientcomputers, falls die Anforderung gültige Benutzeranmeldeinformationen und einen gültigen Dienstprinzipalnamen (Service Principal Name, SPN) enthält. Der Clientcomputer verwendet das Ticket für den Zugriff auf Netzwerkressourcen. Zum Aktivieren der Kerberos-Authentifizierung müssen der Client- und Servercomputer über eine vertrauenswürdige Verbindung zur Schlüsselverteilungscenter-Domäne (Key Distribution Center, KDC) verfügen. Das KDC verteilt freigegebene geheime Schlüssel, um die Verschlüsselung zu ermöglichen. Darüber hinaus müssen Client- und Servercomputer auf Active Directory-Verzeichnisdienste zugreifen können. Für Active Directory ist die Gesamtstruktur-Stammdomäne das Zentrum für Kerberos-Authentifizierungsverweise.
Zum Bereitstellen einer Serverfarm mit Microsoft Office SharePoint Server 2007 mithilfe der Kerberos-Authentifizierung müssen Sie eine Reihe von Anwendungen auf Ihrem Computer installieren und konfigurieren. Dieser Artikel beschreibt ein Beispiel für eine Serverfarm mit Microsoft Office SharePoint Server 2007 und enthält Anleitungen zum Bereitstellen und Konfigurieren der Kerberos-Authentifizierung für die Serverfarm, um die folgenden Funktionen zu unterstützen:
Kommunikation zwischen Microsoft Office SharePoint Server 2007 und Microsoft SQL Server-Datenbanksoftware.
Zugriff auf die Webanwendung für die SharePoint-Zentraladministration.
Zugriff auf andere Webanwendungen, einschließlich einer Webanwendung für die Portalwebsite, einer Webanwendung für Meine Website und einer Webanwendung für die SSP-Verwaltungssite.
Zugriff auf die gemeinsamen Dienste für Webanwendungen von Microsoft Office SharePoint Server 2007 in der SSP-Infrastruktur von Microsoft Office SharePoint Server 2007.
Bevor Sie beginnen
Dieser Artikel ist für administratives Personal gedacht, das sich mit folgenden Themen auskennt:
Windows Server 2003
Active Directory
Internetinformationsdienste (Internet Information Services, IIS), Version 6.0 (oder 7.0)
Windows SharePoint Services 3.0
Microsoft Office SharePoint Server 2007
Windows Internet Explorer
Kerberos-Authentifizierung gemäß der Implementierung in Active Directory für Windows Server 2003
Netzwerklastenausgleich (Network Load Balancing, NLB) in Windows Server 2003
Computerkonten in einer Active Directory-Domäne
Benutzerkonten in einer Active Directory-Domäne
IIS-Websites und deren Bindungen und Authentifizierungseinstellungen
IIS-Anwendungspoolidentitäten für IIS-Websites
Konfigurations-Assistent für SharePoint-Produkte und -Technologien
Webanwendungen für Windows SharePoint Services 3.0 und Microsoft Office SharePoint Server 2007
Seiten der Zentraladministration
Dienstprinzipalnamen (Service Principal Names, SPNs) und deren Konfiguration in einer Active Directory-Domäne
Wichtig
Zum Erstellen von Dienstprinzipalnamen (SPNs) in einer Active Directory-Domäne benötigen Sie Administratorberechtigungen für die Domäne.
Für die Kerberos-Authentifizierung für die SSP-Infrastruktur in Microsoft Office SharePoint Server 2007 muss das Infrastrukturaktualisierung für Microsoft Office Server installiert werden.
Hinweis
Bei einem SSP handelt es sich um eine logische Gruppierung allgemeiner Dienste und Dienstdaten, die Webanwendungen und den zugehörigen Websites zur Verfügung gestellt werden können. Eine SSP-Infrastruktur ermöglicht gemeinsame Dienste für Serverfarmen, Webanwendungen und Websitesammlungen. Die Office Server Web Services-Website ist die SSP-Infrastruktur. Die SSP-Infrastruktur ist auf jedem Server mit Microsoft Office SharePoint Server 2007 vorhanden, der mit der Installationsoption Vollständig bereitgestellt wird. Die Kerberos-Authentifizierung kann nur mit der Office Server Web Services-Website verwendet werden, wenn das Infrastrukturaktualisierung für Microsoft Office Server installiert ist.
In diesem Artikel wird die Kerberos-Authentifizierung nicht umfassend behandelt. Kerberos ist eine in Active Directory implementierte Authentifizierungsmethode gemäß Industrienorm.
Dieser Artikel enthält keine ausführlichen, schrittweisen Anweisungen zum Installieren von Microsoft Office SharePoint Server 2007 oder zum Verwenden des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien.
Dieser Artikel enthält keine ausführlichen, schrittweisen Anweisungen zum Erstellen von Webanwendungen für Microsoft Office SharePoint Server 2007 mithilfe der Zentraladministration.
Softwareversionsanforderungen
Die Anleitungen in diesem Artikel und die ausgeführten Tests zur Bestätigung dieser Anleitungen wurden mithilfe von Systemen mit Windows Server 2003 und Internet Explorer und den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) ermittelt. Die folgenden Softwareversionen waren installiert:
Windows Server 2003 Service Pack 2 (SP2) mit den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407)
Windows Internet Explorer 7, Version 7.0.5730.11
Die endgültige Produktversion von Microsoft Office SharePoint Server 2007
Außerdem sollten Sie sicherstellen, dass Ihre Active Directory-Domänencontroller Windows Server 2003 SP2 mit den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) verwenden.
Bekannte Probleme
Die Kerberos-Authentifizierung kann nur für die SSP-Infrastruktur in Microsoft Office SharePoint Server 2007 konfiguriert werden, wenn das Infrastrukturaktualisierung für Microsoft Office Server installiert ist. Wenn deshalb das Infrastrukturaktualisierung für Microsoft Office Server nicht installiert ist, sollten Sie die Anleitungen in diesem Artikel zum Konfigurieren der Kerberos-Authentifizierung für die SSP-Infrastruktur ignorieren.
Microsoft Office SharePoint Server 2007 kann Webanwendungen crawlen, für die die Kerberos-Authentifizierung konfiguriert wurde, wenn diese Webanwendungen auf virtuellen IIS-Servern gehostet werden, die an Standardports gebunden sind (TCP-Port 80 und SSL-Port 443). Mit Microsoft Office SharePoint Server 2007 Search können allerdings keine Webanwendungen von Microsoft Office SharePoint Server 2007 gecrawlt werden, für die die Kerberos-Authentifizierung konfiguriert ist, falls diese Webanwendungen auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind (andere Ports als TCP-Port 80 und SSL-Port 443). Derzeit können mit Microsoft Office SharePoint Server 2007 Search nur Webanwendungen von Microsoft Office SharePoint Server 2007 gecrawlt werden, die auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind und für die entweder die NTLM-Authentifizierung oder die Standardauthentifizierung konfiguriert ist.
Wenn Sie für den Endbenutzerzugriff mithilfe der Kerberos-Authentifizierung Webanwendungen bereitstellen müssen, die nur auf virtuellen IIS-Servern gehostet werden können, die an andere als die Standardports gebunden sind, und wenn Endbenutzer Suchabfrageergebnisse erhalten sollen, gilt Folgendes:
Die gleichen Webanwendungen müssen auf anderen virtuellen IIS-Servern an anderen als den Standardports gehostet werden.
Für die Webanwendungen muss die Verwendung der NTLM-Authentifizierung oder der Standardauthentifizierung konfiguriert sein.
Von Search-Indexerstellung müssen die Webanwendungen mithilfe der NTLM-Authentifizierung oder der Standardauthentifizierung gecrawlt werden.
In diesem Artikel werden Informationen zu folgenden Themen bereitgestellt:
Konfigurieren der Anwendung für die Zentraladministration mithilfe der Kerberos-Authentifizierung auf einem virtuellen IIS-Server und anderen als den Standardports.
Konfigurieren von Portalanwendungen Anwendungen für Meine Website sowie von gemeinsamen Diensten mithilfe der Kerberos-Authentifizierung auf virtuellen IIS-Servern und Standardports sowie einer IIS-Hostheaderbindung.
Sicherstellen, dass Webanwendungen von Microsoft Office SharePoint Server 2007, für die die Kerberos-Authentifizierung verwendet wird, von Search-Indexerstellung erfolgreich gecrawlt werden.
Sicherstellen, dass Benutzer, die auf Webanwendungen mit Kerberos-Authentifizierung zugreifen, erfolgreich Suchabfrageergebnisse für diese Webanwendungen erhalten.
Konfigurieren der Kerberos-Authentifizierung für die SSP-Infrastruktur (falls das Infrastrukturaktualisierung für Microsoft Office Server installiert ist).
Zusätzliche Hintergrundinformationen
Sie müssen unbedingt wissen, dass bei Verwendung der Kerberos-Authentifizierung die fehlerfreie Authentifizierungsfunktion zum Teil vom Verhalten des Clients abhängig ist, der mit Kerberos zu authentifizieren versucht. Wenn in einer Serverfarmbereitstellung von Microsoft Office SharePoint Server 2007 die Kerberos-Authentifizierung verwendet wird, ist Microsoft Office SharePoint Server 2007 nicht der Client. Vor der Bereitstellung einer Serverfarm mit Microsoft Office SharePoint Server 2007 mithilfe der Kerberos-Authentifizierung müssen Sie das Verhalten der folgenden Clients kennen:
Browser (im Rahmen dieses Artikels ist mit Browser Windows Internet Explorer gemeint)
Microsoft .NET Framework
Der Browser ist der Client, der beim Navigieren zu einer Webseite in einer Webanwendung von Microsoft Office SharePoint Server 2007 verwendet wird. Wenn Microsoft Office SharePoint Server 2007 Aufgaben wie das Crawlen der lokalen Inhaltsquellen von Microsoft Office SharePoint Server 2007 oder Aufrufe für die SSP-Infrastruktur ausführt, dient .NET Framework als Client.
Für die ordnungsgemäße Ausführung der Kerberos-Authentifizierung müssen Sie Dienstprinzipalnamen (Service Principal Names, SPNs) in Active Directory erstellen. Wenn die Dienste, denen diese SPNs entsprechen, andere als die Standardports überwachen, sollten die SPNs Portnummern enthalten. Dadurch wird sichergestellt, dass die SPNs sinnvoll sind. Außerdem muss die Erstellung von doppelten SPNs verhindert werden.
Wenn ein Client (Internet Explorer oder .NET Framework) versucht, mithilfe der Kerberos-Authentifizierung auf eine Ressource zuzugreifen, muss der Client einen SPN erstellen, der im Rahmen der Kerberos-Authentifizierung verwendet werden soll. Wenn der Client keinen SPN erstellt, der mit dem in Active Directory konfigurierten SPN übereinstimmt, schlägt die Kerberos-Authentifizierung normalerweise mit dem Fehler Zugriff verweigert fehl.
Von manchen Internet Explorer-Versionen werden keine SPNs mit Portnummern erstellt. Wenn Sie Webanwendung von Microsoft Office SharePoint Server 2007 verwenden, die nicht an Standardportnummern in IIS gebunden sind, müssen Sie möglicherweise für Internet Explorer festlegen, dass Portnummern in den erstellten SPNs enthalten sind. In einer Serverfarm mit Microsoft Office SharePoint Server 2007 wird die Webanwendung für die Zentraladministration standardmäßig auf einem virtuellen IIS-Server gehostet, der an einen anderen als den Standardport gebunden ist. Deshalb werden in diesem Artikel sowohl Websites mit einem IIS-Port als auch Websites mit einem IIS-Hostheader behandelt. Außerdem gibt es einen Link zu Anweisungen, wie Sie für Internet Explorer die Verwendung von Portnummern in SPNs festlegen.
In einer Serverfarm mit Microsoft Office SharePoint Server 2007 werden von .NET Framework standardmäßig keine SPNs erstellt, die Portnummern enthalten. Aus diesem Grund können Webanwendungen mit Kerberos-Authentifizierung nicht vom Suchdienst gecrawlt werden, wenn diese Webanwendungen auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind. Deshalb kann auch die Kerberos-Authentifizierung nur ordnungsgemäß konfiguriert werden und für die SSP-Infrastruktur verwendet werden, wenn das Infrastrukturaktualisierung für Microsoft Office Server installiert ist.
Serverfarmtopologie
Dieser Artikel beruht auf der folgenden Serverfarmtopologie für Microsoft Office SharePoint Server 2007:
Zwei Computern unter Windows Server 2003, die als Front-End-Webserver dienen und auf denen der Windows-Netzwerklastenausgleich konfiguriert ist.
Drei Computer unter Windows Server 2003, die als Anwendungsserver dienen. Einer der Anwendungsserver hostet die Webanwendung für die Zentraladministration. Auf dem zweiten Anwendungsserver wird Search-Abfrage ausgeführt, und auf dem dritten Anwendungsserver wird Search-Indexerstellung ausgeführt.
Ein Computer unter Windows Server 2003, der als SQL-Host für die Serverfarm mit Microsoft Office SharePoint Server 2007 verwendet wird. Für das in diesem Artikel beschriebene Szenario können Sie entweder Microsoft SQL Server 2000 SP4 oder Microsoft SQL Server 2005 SP2 verwenden.
Dieser Artikel enthält Hinweise zum Konfigurieren eines SSP in der Serverfarm.
Konventionen für Active Directory, Computernamen und Netzwerklastenausgleich
Für das in diesem Artikel beschriebene Szenario gelten die folgenden Konventionen für Active Directory, Computernamen und den Netzwerklastenausgleich (Network Load Balancing, NLB):
| Serverrolle | Domänenname |
|---|---|
Active Directory |
mydomain.net |
Ein Front-End-Webserver mit Microsoft Office SharePoint Server 2007 |
mossfe1.mydomain.net |
Ein Front-End-Webserver mit Microsoft Office SharePoint Server 2007 |
mossfe2.mydomain.net |
Microsoft Office SharePoint Server 2007-Zentraladministration |
mossadmin.mydomain.net |
Microsoft Office SharePoint Server 2007-Search-Indexerstellung |
mosscrawl.mydomain.net |
Microsoft Office SharePoint Server 2007 Search-Abfrage |
mossquery.mydomain.net |
SQL Server-Host mit Microsoft Office SharePoint Server 2007 |
mosssql.mydomain.net |
Ein Netzwerklastenausgleich-VIP wird mossfe1.mydomain.net und mossfe2.mydomain.net als Ergebnis der Konfiguration des Netzwerklastenausgleichs auf diesen Systemen zugewiesen. Eine Reihe von DNS-Hostnamen, die auf diese Adresse verweisen, werden in Ihrem DNS-System registriert. Wenn beispielsweise der Netzwerklastenausgleich-VIP 192.168.100.200 lautet, gibt es eine Reihe von DNS-Einträgen, von denen die folgenden DNS-Namen in diese IP-Adresse aufgelöst wird (192.168.100.200):
kerbportal.mydomain.net
kerbmysite.mydomain.net
kerbsspadmin.mydomain.net
Konventionen für Active Directory-Domänenkonten
Für das Beispiel in diesem Artikel werden die Namenskonventionen in der folgenden Tabelle für Dienstkonten und Anwendungspoolidentitäten in der Serverfarm mit Microsoft Office SharePoint Server 2007 verwendet.
| Domänenkonto oder Anwendungspoolidentität | Name |
|---|---|
Lokales Administratorkonto
|
mydomain\pscexec |
Lokales Administratorkonto auf dem SQL Server-Hostcomputer |
mydomain\sqladmin |
SQL Server-Dienstkonto zum Ausführen des SQL Server-Diensts auf dem SQL-Host |
mydomain\mosssqlsvc |
Farmadministratorkonto für Microsoft Office SharePoint Server 2007 |
mydomain\mossfarmadmin Wird als Anwendungspoolidentität für die Zentraladministration und als Dienstkonto für den SharePoint-Timerdienst verwendet. |
Microsoft Office SharePoint Server 2007-Anwendungspoolidentität der Webanwendung für die Portalwebsite |
mydomain\portalpool |
Microsoft Office SharePoint Server 2007-Anwendungspoolidentität der Webanwendung für Meine Website |
mydomain\mysitepool |
Microsoft Office SharePoint Server 2007-Anwendungspoolidentität für die Verwaltungssite der gemeinsamen Dienste |
mydomain\sspadminpool |
SSP-Dienstkonto von Microsoft Office SharePoint Server 2007 |
mydomain\sspsvc |
Dienstkonto für die Windows SharePoint Services 3.0-Suche |
mydomain\wsssearch |
Inhaltszugriffskonto für die Windows SharePoint Services 3.0-Suche |
mydomain\wsscrawl |
Dienstkonto für die Microsoft Office SharePoint Server 2007-Suche |
mydomain\mosssearch |
Inhaltszugriffskonto für Microsoft Office SharePoint Server 2007 |
mydomain\mosscrawl |
Vorläufige Konfigurationsanforderungen
Bevor Sie Microsoft Office SharePoint Server 2007 auf den Computern in Ihrer Serverfarm installieren, sollten Sie unbedingt die folgenden Schritte ausgeführt haben:
Auf allen Servern in der Serverfarm, einschließlich des SQL-Hosts, ist Windows Server 2003 SP2 zusammen mit den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) installiert.
Auf allen Servern in der Serverfarm wurde Internet Explorer 7 (und die neuesten Updates) von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) installiert.
SQL Server (SQL Server 2000 SP4 oder SQL Server 2005 SP2) ist auf dem SQL-Hostcomputer installiert und wird ausgeführt, und der SQL Server-Dienst wird unter dem Konto mydomain\sqlsvc ausgeführt. Eine Standardinstanz von SQL Server ist installiert und überwacht TCP-Port 1433.
Der Benutzer Ausführen als des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien wurde hinzugefügt:
Als SQL-Anmeldung auf dem SQL-Host.
Zur SQL Server-Rolle DBCreators auf dem SQL-Host.
Zur SQL Server-Rolle Sicherheitsadministratoren auf dem SQL-Host.
Konfigurieren der Kerberos-Authentifizierung für die SQL-Kommunikation
Das Konfigurieren der Kerberos-Authentifizierung für die SQL-Kommunikation ist erforderlich, bevor Sie Microsoft Office SharePoint Server 2007 auf den Servern mit Microsoft Office SharePoint Server 2007 installieren und konfigurieren. Die Kerberos-Authentifizierung für die SQL-Kommunikation muss konfiguriert werden und ordnungsgemäß ausgeführt werden, damit Computer mit Microsoft Office SharePoint Server 2007 eine Verbindung mit dem Computer mit SQL Server herstellen können.
Zum Konfigurieren der Kerberos-Authentifizierung für einen Dienst, der auf einem Hostcomputer unter Windows Server 2003 installiert ist, gehört das Erstellen eines Dienstprinzipalnamens (Service Principal Name, SPN) für das Domänenkonto, mit dem der Dienst auf dem Host ausgeführt wird. SPNs bestehen aus folgenden Komponenten:
Dienstname (z. B. MSSQLSvc oder HTTP)
Hostname (real oder virtuell)
Interne Portnummer
Die folgende Liste enthält Beispiel-SPNs für eine Standardinstanz von SQL Server, die auf dem Computer mosssql ausgeführt wird und den Port 1433 überwacht:
MSSQLSvc/mosssql:1433
MSSQLSvc/mosssql.mydomain.com:1433
Dies sind die SPNs, die Sie für die Instanz von SQL Server auf dem SQL-Host erstellen werden, der von der in diesem Artikel beschriebenen Serverfarm verwendet wird. Sie sollten stets SPNs erstellen, die sowohl einen NetBIOS-Namen als auch einen vollständigen DNS-Namen für einen Host im Netzwerk aufweisen.
Es gibt verschiedene Methoden, mit denen Sie einen SPN für ein Konto in einer Active Directory-Domäne festlegen können. Eine mögliche Methode ist die Verwendung des Dienstprogramms SETSPN.EXE, das Teil der Resource Kit-Tools für Windows Server 2003 ist. Eine andere Methode ist die Verwendung des Snap-Ins ADSIEDIT.MSC auf dem Active Directory-Domänencontroller. In diesem Artikel wird die Verwendung des Snap-Ins ADSIEDIT.MSC beschrieben.
Zur Konfiguration der Kerberos-Authentifizierung für SQL Server gibt es die folgenden beiden wichtigen Schritte:
Erstellen von SPNs für das SQL Server-Dienstkonto.
Bestätigen, dass die Kerberos-Authentifizierung zum Herstellen einer Verbindung zwischen Servern mit Microsoft Office SharePoint Server 2007 und Servern mit SQL Server verwendet wird.
Erstellen der SPNs für das SQL Server-Dienstkonto
Melden Sie sich beim Active Directory-Domänencontroller mit den Anmeldeinformationen eines Benutzers mit Domänenadministratorberechtigungen an.
Geben Sie im Dialogfeld Ausführen die Zeichenfolge ADSIEDIT.MSC ein.
Erweitern Sie im Dialogfeld für die Verwaltungskonsole den Domänencontainerordner.
Erweitern Sie den Containerordner mit den Benutzerkonten, beispielsweise CN=Users.
Suchen Sie den Ordner für das SQL Server-Dienstkonto, beispielsweise CN=mosssqlsvc.
Klicken Sie mit der rechten Maustaste auf dieses Konto, und klicken Sie dann auf Eigenschaften.
Führen Sie im Dialogfeld SQL Server-Dienstkonto in der Liste mit den Eigenschaften einen Bildlauf nach unten aus, bis Sie servicePrincipalName gefunden haben.
Wählen Sie die servicePrincipalName-Eigenschaft aus, und klicken Sie auf Bearbeiten.
Geben Sie im Dialogfeld Editor für mehrwertige Zeichenfolgen im Feld Hinzuzufügender Wert den SPN MSSQLSvc/mosssql:1433 ein, und klicken Sie auf Hinzufügen. Geben Sie anschließend in diesem Feld den SPN MSSQLSvc/mosssql.mydomain.com:1433 ein, und klicken Sie auf Hinzufügen.
Klicken Sie im Dialogfeld Editor für mehrwertige Zeichenfolgen auf OK, und klicken Sie im Eigenschaftendialogfeld für das SQL Server-Dienstkonto auf OK.
Bestätigen, dass die Kerberos-Authentifizierung zum Herstellen einer Verbindung zwischen Servern mit Office SharePoint Server 2007 und Servern mit SQL Server verwendet wird
Installieren Sie die SQL Server-Clienttools auf einem der Server mit Microsoft Office SharePoint Server 2007, und stellen Sie mithilfe dieser Tools eine Verbindung zwischen Servern mit Microsoft Office SharePoint Server 2007 und Servern mit SQL Server her. Die Schritte zum Installieren der SQL Server-Clienttols auf einem der Server mit Microsoft Office SharePoint Server 2007 werden in diesem Artikel nicht behandelt. Die Bestätigungsschritte basieren auf den folgenden Annahmen:
Sie verwenden SQL Server 2005 SP2 auf dem SQL-Host.
Sie haben sich an einem der Server mit Microsoft Office SharePoint Server 2007 mithilfe des Benutzerkontos mydomain\pscexec angemeldet und haben die SQL Server 2005-Clienttools auf dem Server mit Microsoft Office SharePoint Server 2007 installiert.
Führen Sie SQL Server 2005 Management Studio aus.
Wenn das Dialogfeld Verbindung mit Server herstellen angezeigt wird, geben Sie den Namen des SQL-Hostcomputers ein (in diesem Beispiel mosssql), und klicken Sie auf Verbinden, um eine Verbindung mit dem SQL-Hostcomputer herzustellen.
Um zu bestätigen, dass die Kerberos-Authentifizierung für diese Verbindung verwendet wurde, führen Sie die Ereignisanzeige auf dem SQL-Hostcomputer aus, und überprüfen Sie das Sicherheitsereignisprotokoll. Für ein Ereignis der Kategorie An-/Abmeldung sollte der Eintrag Erfolgsüberwachung vorhanden sein, der so oder ähnlich wie die Daten in den folgenden Tabellen aussieht:
Ereignistyp
Erfolgsüberwachung
Ereignisquelle
Sicherheit
Ereigniskategorie
An-/Abmeldung
Ereigniskennung
540
Datum
10/31/2007
Zeit
4:12:24
Benutzer
MYDOMAIN\pscexec
Computer
MOSSSQL
Beschreibung
In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.
Benutzername
pscexec
Domäne
MYDOMAIN
Anmeldekennung
(0x0,0x6F1AC9)
Anmeldetyp
3
Anmeldeprozess
Kerberos
Name der Arbeitsstation
Anmelde-GUID
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Aufruferbenutzername
Aufruferdomäne
Aufruferanmeldekennung
Aufruferprozesskennung
Übertragene Dienste
Quellnetzwerkadresse
192.168.100.100
Quellport
2465
Analysieren Sie den Protokolleintrag, um Folgendes zu bestätigen:
Der Benutzername stimmt. Für die Anmeldung am SQL-Host über das Netzwerk wurde das Benutzerkonto mydomain\pscexec verwendet.
Der Anmeldetyp ist 3. Hierbei handelt es sich um eine Netzwerkanmeldung.
Der Anmeldevorgang und das Authentifizierungspaket verwenden beide die Kerberos-Authentifizierung. Dadurch wird bestätigt, dass der Server mit Microsoft Office SharePoint Server 2007 die Kerberos-Authentifizierung für die Kommunikation mit dem SQL-Host verwendet.
Die Quellnetzwerkadresse stimmt mit der IP-Adresse des Computers überein, von dem aus die Verbindung hergestellt wurde.
Falls beim Herstellen einer Verbindung mit dem SQL-Host die Fehlermeldung SSPI-Kontext kann nicht generiert werden (oder ähnlich) angezeigt wird, liegt wahrscheinlich ein Problem beim SPN vor, der für die Instanz von SQL Server verwendet wird. Informationen zur Problembehandlung und zur Behebung dieses Fehlers finden Sie im Artikel Problembehandlung bei der Fehlermeldung "SSPI-Kontext kann nicht generiert werden" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x407) in der Microsoft Knowledge Base.
Konfigurieren von Internet Explorer zum Einschließen von Portnummern in Dienstprinzipalnamen
Viele Versionen von Internet Explorer schließen Portnummern nicht in die erstellten SPNs ein. Informationen, wie Sie feststellen, ob Sie eine Version von Internet Explorer 6 verwenden, bei der dieses Problem auftritt, und Informationen zum Beheben dieses Problems finden Sie im Artikel Um eine Verbindung mit einer Website herzustellen, die einen nicht standardmäßigen Port in Windows XP und Windows Server 2003 verwendet, kann das Kerberos-Authentifizierungsprotokoll Internet Explorer 6 nicht verwenden (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x407) (möglicherweise maschinelle Übersetzung) in der Microsoft Knowledge Base. Sie sollten die Versionsnummer der in diesem Artikel angegebenen DLL sorgfältig überprüfen, um festzustellen, ob für die von Ihnen verwendete Version von Internet Explorer die in diesem Artikel beschriebene Korrektur erforderlich ist. Wenn Ihre Version von Internet Explorer keinen SPN mit Portnummern erstellt und Sie Webanwendungen von Microsoft Office SharePoint Server 2007 verwenden, die auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind, müssen Sie diese Problembehandlung vornehmen. Nur so können Sie die Webanwendungen benutzen, die Ihre Version von Internet Explorer verwenden. Im Rahmen dieses Artikels müssen Sie sicherstellen, dass die von Ihnen verwendete Version von Internet Explorer Portnummern in die erstellten SPNs einschließt, da der SPN, den Sie Active Directory für die Webanwendung für die Zentraladministration hinzufügen, eine Portnummer enthalten wird.
Erstellen von Dienstprinzipalnamen für Ihre Webanwendungen mithilfe der Kerberos-Authentifizierung
In Bezug auf die Kerberos-Authentifizierung sind IIS-basierte Webanwendungen von Microsoft Office SharePoint Server 2007 nichts Besonderes. Sie werden von der Kerberos-Authentifizierung wie jede andere IIS-Website behandelt.
Für diesen Vorgang müssen Sie sich mit folgenden Punkten auskennen:
Die Dienstklasse für den SPN (im Zusammenhang mit diesem Artikel ist dies für Webanwendungen von Microsoft Office SharePoint Server 2007 stets HTTP).
Die URL für alle Webanwendungen von Microsoft Office SharePoint Server 2007, für die die Kerberos-Authentifizierung verwendet wird.
Die Hostnamenkomponente des SPN (real oder virtuell; in diesem Artikel wird beides behandelt).
Die Portnummerkomponente des SPN (in dem in diesem Artikel beschriebenen Szenario werden IIS-Port-basierte und IIS-Hostheader-basierte Webeanwendungen von Microsoft Office SharePoint Server 2007 verwendet).
Die Windows Active Directory-Konten, für die die SPNs erstellt werden müssen.
In der folgenden Tabelle sind die Informationen für das in diesem Artikel beschriebene Szenario aufgeführt.
| URL | Active Directory-Konto | SPN |
|---|---|---|
http://mossadmin.mydomain.net:10000 |
mossfarmadmin |
|
http://www.mydomain.com/ |
portalpool |
|
http://www.mydomain.com/ |
mysitepool |
|
http://www.mydomain.com/ssp/admin |
sspadminpool |
|
Hinweise zu dieser Tabelle:
Die erste oben aufgeführte URL ist für die Zentraladministration und verwendet eine Portnummer. Sie müssen Port 10000 nicht verwenden. Dies ist lediglich ein Beispiel, das aus Gründen der Einheitlichkeit im gesamten Artikel verwendet wird.
Die nächsten drei URLs sind für die Portalwebsite, Meine Website bzw. die Verwaltungssite der gemeinsamen Dienste.
Erstellen Sie mithilfe der obigen Angaben die in Active Directory benötigten SPNs, um die Kerberos-Authentifizierung für die Webanwendungen von Microsoft Office SharePoint Server 2007 zu unterstützen. Sie müssen sich bei einem Domänencontroller in Ihrer Umgebung mithilfe eines Kontos mit Domänenadministratorberechtigungen anmelden. Zum Erstellen der SPNs können Sie das weiter oben erwähnte Dienstprogramm SETSPN.EXE oder das das weiter oben erwähnte Snap-In ADSIEDIT.MSC verwenden. Wenn Sie das Snap-In ADSIEDIT.MSC verwenden, sollten Sie die Anweisungen weiter oben in diesem Artikel zum Erstellen der SPNs beachten. Erstellen Sie unbedingt die richtigen SPNs für die entsprechenden Konten in Active Directory.
Bereitstellen der Serverfarm
Das Bereitstellen der Serverfarm umfasst die folgenden Schritte:
Richten Sie Microsoft Office SharePoint Server 2007 auf allen Servern mit Microsoft Office SharePoint Server 2007 ein.
Führen Sie den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien aus, und erstellen Sie eine neue Serverfarm. Dieser Schritt beinhaltet das Erstellen einer Microsoft Office SharePoint Server 2007-Webanwendung für die Zentraladministration, die auf einem virtuellen IIS-Server gehostet wird, der an einen anderen als den Standardport gebunden ist und die Kerberos-Authentifizierung verwendet.
Führen Sie den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien aus, und fügen Sie der Serverfarm die anderen Server hinzu.
Konfigurieren Sie die folgenden Dienste auf Servern in der Serverfarm:
Windows SharePoint Services 3.0 Search-Dienst
Microsoft Office SharePoint Server 2007 Search-Indexerstellung
Microsoft Office SharePoint Server 2007 Search-Abfrage
Erstellen Sie Webanwendungen, die für die Portalwebsite, Meine Website und die Verwaltungssite der gemeinsamen Dienste unter Verwendung der Kerberos-Authentifizierung verwendet werden.
Erstellen Sie eine Websitesammlung mithilfe der Vorlage Zusammenarbeitsportal in der Portalsitewebanwendung.
Erstellen Sie einen Anbieter für gemeinsame Dienste für die Serverfarm.
Bestätigen Sie den erfolgreichen Zugriff auf die Webanwendungen mithilfe der Kerberos-Authentifizierung
Bestätigen Sie die ordnungsgemäße Funktionalität von Search-Indexerstellung.
Bestätigen Sie die ordnungsgemäße Funktionalität von Search-Abfrage.
Konfigurieren Sie die SSP-Infrastruktur für die Kerberos-Authentifizierung. Hierbei handelt es sich um einen optionalen Schritt, für den das Infrastrukturaktualisierung für Microsoft Office Server installiert werden muss.
Bestätigen Sie die SSP-Funktionalität mithilfe der Kerberos-Authentifizierung. Hierbei handelt es sich um einen optionalen Schritt, für den das Infrastrukturaktualisierung für Microsoft Office Server installiert werden muss.
Installieren von Office SharePoint Server 2007 auf allen Servern
Für diesen Schritt müssen Sie einfach das Setupprogramm von Microsoft Office SharePoint Server 2007 ausführen, um die Binärdateien für Microsoft Office SharePoint Server 2007 auf den Servern mit Microsoft Office SharePoint Server 2007 zu installieren. Melden Sie sich an jedem Computer mit Microsoft Office SharePoint Server 2007 mithilfe des Benutzerkontos mydomain\pscexec an. Schrittweise Anweisungen hierfür gibt es nicht. Führen Sie für das in diesem Artikel beschriebene Szenario eine Installation vom Typ Vollständig für Microsoft Office SharePoint Server 2007 auf allen Servern aus, für die Microsoft Office SharePoint Server 2007 erforderlich ist.
Ausführen des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien und Erstellen einer neuen Serverfarm
Führen Sie für das in diesem Artikel beschriebene Szenario zunächst den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien für den Search-Indexerstellungsserver MOSSADMIN aus, damit die Microsoft Office SharePoint Server 2007-Webanwendung für die Zentraladministration von MOSSADMIN gehostet wird.
Auf dem Server MOSSCRAWL wird nach Abschluss der Installation das Dialogfeld Setup ist abgeschlossen mit aktiviertem Kontrollkästchen zum Ausführen des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien angezeigt. Lassen Sie dieses Kontrollkästchen aktiviert, und schließen Sie das Dialogfeld, um den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien auszuführen.
Legen Sie beim Ausführen des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien auf diesem Computer fest, dass eine neue Serverfarm mit den folgenden Einstellungen erstellt wird:
Geben Sie den Namen des Datenbankservers an (in diesem Artikel der Server MOSSSQL).
Geben Sie den Namen einer Konfigurationsdatenbank an (verwenden Sie den Standardwert, oder geben Sie den gewünschten Namen ein).
Geben Sie das Datenbankzugriffskonto an (Farmadministrator). Für das Szenario in diesem Artikel lautet das Konto mydomain\mossfarmadmin.
Geben Sie die erforderlichen Informationen für die Microsoft Office SharePoint Server 2007-Webanwendung für die Zentraladministration an. Für das Szenario in diesem Artikel handelt es sich um folgende Informationen:
Portnummer der Webanwendung für die Zentraladministration: 10000
Authentifizierungsmethode: Aushandeln
Wenn Sie alle erforderlichen Informationen eingegeben haben, sollte der Konfigurations-Assistent für SharePoint-Produkte und -Technologien erfolgreich abgeschlossen werden. Bestätigen Sie in diesem Fall, dass Sie mithilfe der Kerberos-Authentifizierung auf die Homepage der Microsoft Office SharePoint Server 2007-Webanwendung für die Zentraladministration zugreifen können. Gehen Sie hierzu folgendermaßen vor:
Melden Sie sich an einem anderen Server mit Microsoft Office SharePoint Server 2007 oder einem anderen Computer in der Domäne mydomain als mydomain\pscexec an. Sie sollten das ordnungsgemäße Verhalten der Kerberos-Authentifizierung nicht direkt auf dem Computer überprüfen, von dem die Microsoft Office SharePoint Server 2007-Webanwendung für die Zentraladministration gehostet wird. Zu diesem Zweck sollten Sie einen separaten Computer in der Domäne verwenden.
Starten Sie Internet Explorer auf diesem Server, und versuchen Sie zur folgenden URL zu navigieren: http://mossadmin.mydomain.net:10000. Die Homepage der Zentraladministration sollte angezeigt werden.
Um zu bestätigen, dass die Kerberos-Authentifizierung für den Zugriff auf die Zentraladministration verwendet wurde, gehen Sie wieder zum Computer MOSSADMIN, führen Sie die Ereignisanzeige aus, und öffnen Sie das Sicherheitsprotokoll. Der Eintrag Erfolgsüberwachung sollte vorhanden sein, der so oder ähnlich wie in der folgenden Tabelle aussieht:
Ereignistyp
Erfolgsüberwachung
Ereignisquelle
Sicherheit
Ereigniskategorie
An-/Abmeldung
Ereigniskennung
540
Datum
11/1/2007
Zeit
2:22:20
Benutzer
MYDOMAIN\pscexec
Computer
MOSSADMIN
Beschreibung
In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.
Benutzername
pscexec
Domäne
MYDOMAIN
Anmeldekennung
(0x0,0x1D339D3)
Anmeldetyp
3
Anmeldeprozess
Kerberos
Authentifizierungspaket
Kerberos
Name der Arbeitsstation
Anmelde-GUID
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Aufruferbenutzername
Aufruferdomäne
Aufruferanmeldekennung
Aufruferprozesskennung
Übertragene Dienste
Quellnetzwerkadresse
192.168.100.100
Quellport
2505
Die Überprüfung dieses Protokolleintrags ergibt die gleichen Informationen wie im vorherigen Protokolleintrag:
Bestätigen Sie, ob der Benutzername stimmt. Für die Anmeldung über das Netzwerk am Server mit Microsoft Office SharePoint Server 2007, der die Zentraladministration hostet, wurde das Benutzerkonto mydomain\pscexec verwendet.
Bestätigen Sie, ob der Anmeldetyp 3 ist. Hierbei handelt es sich um eine Netzwerkanmeldung.
Bestätigen Sie, dass der Anmeldevorgang und das Authentifizierungspaket beide die Kerberos-Authentifizierung verwenden. Auf diese Weise wird bestätigt, dass die Kerberos-Authentifizierung für den Zugriff auf die Webanwendung der Zentraladministration verwendet wird.
Bestätigen Sie, ob die Quellnetzwerkadresse mit der IP-Adresse des Computers übereinstimmt, von dem aus die Verbindung hergestellt wurde.
Wenn die Homepage der Zentraladministration nicht angezeigt werden kann und stattdessen eine Fehlermeldung wegen fehlender Autorisierung angezeigt wird, schlägt die Kerberos-Authentifizierung fehl. Für diesen Fehler gibt es gewöhnlich zwei Ursachen:
Der SPN in Active Directory wurde nicht für das richtige Benutzerkonto registriert. Er hätte für mydomain\mossfarmadmin registriert werden sollen.
Der SPN in Active Directory stimmt nicht mit dem von Internet Explorer erstellten SPN überein oder ist aus einem anderen Grund ungültig. Die häufigste Ursache hierfür ist, dass Internet Explorer keinen SPN erstellt, der die richtige Portnummer enthält. Informationen zum Beheben dieses Problems finden Sie im vorherigen Abschnitt Konfigurieren von Internet Explorer zum Einschließen von Portnummern in Dienstprinzipalnamen. Möglicherweise haben Sie auch die Portnummer in dem SPN ausgelassen, den Sie in Active Directory registriert haben. Stellen Sie auf jeden Fall mithilfe der Kerberos-Authentifizierung sicher, dass der Fehler behoben wird und dass die Zentraladministration fehlerfrei arbeitet, bevor Sie den Vorgang fortsetzen.
Hinweis
Mithilfe eines Diagnoseprogramms können Sie das Netzwerk analysieren. Zu diesen Diagnoseprogrammen zählen Netzwerk-Sniffer wie z. B. Microsoft Netzwerkmonitor, mit denen beim Browsen der Zentraladministration eine Ablaufverfolgung erstellt wird. Analysieren Sie nach dem Auftreten eines Fehlers die Ablaufverfolgung, und suchen Sie nach KerberosV5-Protokoll-Paketen. Suchen Sie nach einem Paket mit einem von Internet Explorer erstellten SPN. Falls dieser SPN keine Portnummer enthält, müssen Sie die unter Konfigurieren von Internet Explorer zum Einschließen von Portnummern in Dienstprinzipalnamen beschriebene Fehlerbehebung vornehmen. Falls der SPN in der Ablaufverfolgung stimmt, ist entweder der SPN in Active Directory ungültig oder er wurde für das falsche Benutzerkonto registriert.
Ausführen des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien und Hinzufügen der anderen Server zur Serverfarm
Nachdem die Serverfarm erstellt wurde und Sie mit der Kerberos-Authentifizierung erfolgreich auf die Zentraladministration zugreifen können, müssen Sie den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien ausführen und der Serverfarm die anderen Server hinzufügen.
Auf den anderen vier Server mit Microsoft Office SharePoint Server 2007 (mossfe1, mossfe2, mossquery und mosscrawl) sollte die Installation von Microsoft Office SharePoint Server 2007 abgeschlossen sein, und das Dialogfeld Setup ist abgeschlossen mit aktiviertem Kontrollkästchen zum Ausführen des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien sollte angezeigt werden. Lassen Sie dieses Kontrollkästchen aktiviert, und schließen Sie das Dialogfeld, um den Konfigurations-Assistenten für SharePoint-Produkte und -Technologien auszuführen. Führen Sie das Verfahren zum Hinzufügen der Server zur Serverfarm aus.
Überprüfen Sie nach Abschluss des Konfigurations-Assistenten für SharePoint-Produkte und -Technologien auf jedem Server, den Sie der Serverfarm hinzufügen, ob von jedem dieser Server die Zentraladministration angezeigt werden kann, die auf dem Server MOSSADMIN ausgeführt wird. Falls die Zentraladministration von einem der Server nicht angezeigt werden kann, führen Sie die entsprechenden Schritte zum Beheben des Problems aus, bevor Sie den Vorgang fortsetzen.
Konfigurieren von Diensten auf Servern in der Serverfarm
Konfigurieren Sie bestimmte Dienste von Windows SharePoint Services 3.0 und Microsoft Office SharePoint Server 2007 für die Ausführung auf bestimmten Servern mit Windows SharePoint Services 3.0 und Microsoft Office SharePoint Server 2007 in der Serverfarm. Verwenden Sie dabei die in den folgenden Abschnitten angegebenen Benutzerkonten.
Hinweis
In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.
Öffnen Sie die Zentraladministration, und führen Sie die folgenden Schritte zum Konfigurieren der Dienste auf den angegebenen Servern aus. Verwenden Sie dafür die angegebenen Benutzerkonten.
Windows SharePoint Services-Suche
Auf der Seite Dienste auf dem Server in der Zentraladministration:
Wählen Sie den Server MOSSQUERY aus.
Suchen Sie in der angezeigten Liste mit den Diensten ungefähr in der Mitte der Seite nach dem Windows SharePoint Services 3.0-Suchdienst, und klicken Sie dann in der Spalte Aktion auf Start.
Geben Sie auf der nachfolgenden Seite die Anmeldeinformationen für das Windows SharePoint Services 3.0-Suchdienstkonto und das Windows SharePoint Services 3.0-Inhaltszugriffskonto ein. Für das Szenario in diesem Artikel lautet das Windows SharePoint Services 3.0-Suchdienstkonto mydomain\wsssearch, und das Windows SharePoint Services 3.0-Inhaltszugriffskonto mydomain\wsscrawl. Geben Sie die Kontonamen und Kennwörter in den entsprechenden Feldern auf der Seite ein, und klicken Sie dann auf Start.
Indexserver
Auf der Seite Dienste auf dem Server in der Zentraladministration:
Wählen Sie den Server MOSSCRAWL aus.
Suchen Sie in der angezeigten Liste mit den Diensten ungefähr in der Mitte der Seite nach dem Microsoft Office SharePoint Server 2007-Suchdienst, und klicken Sie dann in der Spalte Aktion auf Start.
Aktivieren Sie auf der nachfolgenden Seite das Kontrollkästchen Diesen Server zum Indizieren des Inhalts verwenden, und geben Sie die Anmeldeinformationen für das Microsoft Office SharePoint Server 2007-Suchdienstkonto und das Microsoft Office SharePoint Server 2007-Inhaltszugriffskonto ein. Für das Szenario in diesem Artikel lautet das Microsoft Office SharePoint Server 2007-Suchdienstkonto mydomain\mosssearch. Geben Sie die Kontonamen und Kennwörter in den entsprechenden Feldern auf der Seite ein, und klicken Sie dann auf Start.
Abfrageserver
Auf der Seite Dienste auf dem Server in der Zentraladministration:
Wählen Sie den Server MOSSQUERY aus.
Suchen Sie in der angezeigten Liste mit den Diensten ungefähr in der Mitte der Seite nach dem Microsoft Office SharePoint Server 2007-Suchdienst, und klicken Sie dann in der Spalte Dienst auf den Namen des Diensts.
Aktivieren Sie auf der nachfolgenden Seite das Kontrollkästchen Diesen Server zum Übermitteln von Suchabfragen verwenden, und klicken Sie auf OK.
Erstellen von Webanwendungen mithilfe der Kerberos-Authentifizierung
In diesem Abschnitt erstellen Sie Webanwendungen, die für die Portalwebsite, Meine Website und die Verwaltungssite der gemeinsamen Dienste in der Serverfarm verwendet werden.
Hinweis
In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.
Erstellen der Portalsitewebanwendung
Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Webanwendung erstellen oder erweitern.
Klicken Sie auf der nachfolgenden Seite auf Neue Webanwendung erstellen.
Stellen Sie auf der nachfolgenden Seite sicher, dass Neue IIS-Website erstellen ausgewählt ist.
Geben Sie im Feld Beschreibung die Zeichenfolge PortalSite ein.
Geben Sie im Feld Port den Wert 80 ein.
Geben Sie im Feld Hostheader den Wert kerbportal.mydomain.net ein.
Stellen Sie sicher, dass Aushandeln als Authentifizierungsanbieter für diese Webanwendung ausgewählt ist.
Erstellen Sie diese Webanwendung in der Zone Standard. Ändern Sie die Zone für diese Webanwendung nicht.
Stellen Sie sicher, dass Neuen Anwendungspool erstellen ausgewählt ist.
Geben Sie im Feld Anwendungspoolname den Namen PortalAppPool ein.
Stellen Sie sicher, dass Konfigurierbar ausgewählt ist. Geben Sie im Feld Benutzername das Konto mydomain\portalpool ein.
Klicken Sie auf OK.
Bestätigen Sie, dass die Webanwendung erfolgreich erstellt wird.
Hinweis
Wenn Sie eine SSL-Verbindung verwenden und die Webanwendung an Port 443 binden möchten, geben Sie 443 im Feld Port ein, und wählen Sie auf der Seite Neue Webanwendung erstellen die Option SSL verwenden aus. Darüber hinaus müssen Sie ein SSL-Platzhalterzertifikat erstellen. Wenn Sie eine IIS-Hostheaderbindung auf einer IIS-Website verwenden, die für SSL konfiguriert ist, müssen Sie ein SSL-Platzhalterzertifikat verwenden. Weitere Informationen zu SSL-Hostheadern in IIS finden Sie unter Konfigurieren von SSL-Hostheadern (IIS 6.0) (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x407).
Erstellen der Webanwendung für "Meine Website"
Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Webanwendung erstellen oder erweitern.
Klicken Sie auf der nachfolgenden Seite auf Neue Webanwendung erstellen.
Stellen Sie auf der nachfolgenden Seite sicher, dass Neue IIS-Website erstellen ausgewählt ist.
Geben Sie im Feld Beschreibung die Zeichenfolge MySite ein.
Geben Sie im Feld Port den Wert 80 ein.
Geben Sie im Feld Hostheader den Wert kerbmysite.mydomain.net ein.
Stellen Sie sicher, dass Aushandeln als Authentifizierungsanbieter für diese Webanwendung ausgewählt ist.
Erstellen Sie diese Webanwendung in der Zone Standard. Ändern Sie die Zone für diese Webanwendung nicht.
Stellen Sie sicher, dass Neuen Anwendungspool erstellen ausgewählt ist.
Geben Sie im Feld Anwendungspoolname den Namen MySiteAppPool ein.
Stellen Sie sicher, dass Konfigurierbar ausgewählt ist. Geben Sie im Feld Benutzername das Konto mydomain\mysitepool ein.
Klicken Sie auf OK.
Bestätigen Sie, dass die Webanwendung erfolgreich erstellt wird.
Hinweis
Wenn Sie eine SSL-Verbindung verwenden und die Webanwendung an Port 443 binden möchten, geben Sie 443 im Feld Port ein, und wählen Sie auf der Seite Neue Webanwendung erstellen die Option SSL verwenden aus. Darüber hinaus müssen Sie ein SSL-Platzhalterzertifikat erstellen. Wenn Sie eine IIS-Hostheaderbindung auf einer IIS-Website verwenden, die für SSL konfiguriert ist, müssen Sie ein SSL-Platzhalterzertifikat verwenden. Weitere Informationen zu SSL-Hostheadern in IIS finden Sie unter Konfigurieren von SSL-Hostheadern (IIS 6.0) (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x407).
Erstellen der Webanwendung für die Verwaltungssite der gemeinsamen Dienste
Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Webanwendung erstellen oder erweitern.
Klicken Sie auf der nachfolgenden Seite auf Neue Webanwendung erstellen.
Stellen Sie auf der nachfolgenden Seite sicher, dass Neue IIS-Website erstellen ausgewählt ist.
Geben Sie im Feld Beschreibung die Zeichenfolge SSPAdminSite ein.
Geben Sie im Feld Port den Wert 80 ein.
Geben Sie im Feld Hostheader den Wert kerbsspadminsite.mydomain.net ein.
Stellen Sie sicher, dass Aushandeln als Authentifizierungsanbieter für diese Webanwendung ausgewählt ist.
Erstellen Sie diese Webanwendung in der Zone Standard. Ändern Sie die Zone für diese Webanwendung nicht.
Stellen Sie sicher, dass Neuen Anwendungspool erstellen ausgewählt ist.
Geben Sie im Feld Anwendungspoolname den Namen SSPAdminSiteAppPool ein.
Stellen Sie sicher, dass Konfigurierbar ausgewählt ist. Geben Sie im Feld Benutzername das Konto mydomain\sspadminpool ein.
Klicken Sie auf OK.
Bestätigen Sie, dass die Webanwendung erfolgreich erstellt wird.
Hinweis
Wenn Sie eine SSL-Verbindung verwenden und die Webanwendung an Port 443 binden möchten, geben Sie 443 im Feld Port ein, und wählen Sie auf der Seite Neue Webanwendung erstellen die Option SSL verwenden aus. Darüber hinaus müssen Sie ein SSL-Platzhalterzertifikat erstellen. Wenn Sie eine IIS-Hostheaderbindung auf einer IIS-Website verwenden, die für SSL konfiguriert ist, müssen Sie ein SSL-Platzhalterzertifikat verwenden. Weitere Informationen zu SSL-Hostheadern in IIS finden Sie unter Konfigurieren von SSL-Hostheadern (IIS 6.0) (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x407).
Erstellen einer Websitesammlung mithilfe der Vorlage "Zusammenarbeitsportal" in der Portalsitewebanwendung
In diesem Abschnitt werden Sie eine Websitesammlung auf der Portalwebsite in der von Ihnen dafür erstellten Webanwendung erstellen.
Hinweis
In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.
Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Websitesammlung erstellen.
Wählen Sie auf der nachfolgenden Seite unbedingt die richtige Webanwendung aus. Für das Beispiel in diesem Artikel wählen Sie http://www.mydomain.com/ aus.
Geben Sie den gewünschten Titel und die gewünschte Beschreibung für diese Websitesammlung ein.
Lassen Sie die Websiteadresse unverändert.
Klicken Sie im Abschnitt Vorlagenauswahl unter Vorlage auswählen auf die Registerkarte Veröffentlichen, und wählen Sie die Vorlage Zusammenarbeitsportal aus.
Geben Sie im Abschnitt Primärer Websitesammlungsadministrator die Zeichenfolge mydomain\pscexec ein.
Geben Sie den gewünschten sekundären Websitesammlungsadministrator an.
Klicken Sie auf OK.
Bestätigen Sie, dass die Portalwebsitesammlung erfolgreich erstellt wird.
Erstellen eines Anbieters für gemeinsame Dienste für die Serverfarm
Erstellen Sie einen Anbieter für gemeinsame Dienste für die Serverfarm.
Hinweis
In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.
Klicken Sie in der Zentraladministration auf der Seite Anwendungsverwaltung auf Gemeinsame Dienste dieser Farm erstellen oder konfigurieren.
Klicken Sie auf der nachfolgenden Seite auf Neuer SSP.
Geben Sie auf der nachfolgenden Seite im Abschnitt SSP-Name den Namen SSP1 im Feld SSP-Name ein. Wählen Sie dann im Feld Webanwendung die Webanwendung aus, die Sie für die Webanwendung für die Verwaltung der gemeinsamen Dienste erstellt haben. Für das Beispiel in diesem Artikel wählen Sie die Webanwendung SSPAdminSite aus.
Wählen Sie im Abschnitt MySite im Feld Webanwendung die Webanwendung aus, die Sie für die Website Meine Website erstellt haben. Für das Beispiel in diesem Artikel wählen Sie die Webanwendung MySite aus.
Geben Sie im Abschnitt Anmeldeinformationen für den SSP-Dienst im Feld Benutzername den Namen mydomain\sspsvc ein.
Klicken Sie auf OK.
Bestätigen Sie, dass der SSP der Serverfarm erfolgreich erstellt wird.
Bestätigen des erfolgreichen Zugriffs auf die Webanwendungen mithilfe der Kerberos-Authentifizierung
Bestätigen Sie, dass die Kerberos-Authentifizierung für die kürzlich erstellten Webanwendungen ordnungsgemäß ausgeführt wird. Beginnen Sie mit der Portalwebsite.
Gehen Sie hierzu folgendermaßen vor:
Melden Sie sich an einem Server mit Microsoft Office SharePoint Server 2007 als mydomain\pscexec an, und nicht an einem der beiden Front-End-Webserver, die für den Lastenausgleich konfiguriert sind. Sie sollten das ordnungsgemäße Verhalten der Kerberos-Authentifizierung nicht direkt auf einem der Computer, von denen die Websites mit Lastenausgleich gehostet werden, mithilfe der Kerberos-Authentifizierung überprüfen. Zu diesem Zweck sollten Sie einen separaten Computer in der Domäne verwenden.
Starten Sie Internet Explorer auf dem anderen System, und versuchen Sie zur folgenden URL zu navigieren: http://www.mydomain.com/.
Die Homepage der mit Kerberos authentifizierten Portalwebsite sollte angezeigt werden.
Um zu bestätigen, dass die Kerberos-Authentifizierung für den Zugriff auf die Portalwebsite verwendet wurde, gehen Sie zu einem der Front-End-Webserver mit Lastenausgleich, führen Sie die Ereignisanzeige aus, und öffnen Sie das Sicherheitsprotokoll. Der Eintrag Erfolgsüberwachung, der so oder ähnlich wie in der folgenden Tabelle aussieht, sollte auf einem der Front-End-Webserver vorhanden sein. Beachten Sie, dass Sie möglicherweise auf beiden Front-End-Webservern suchen müssen, je nachdem, von welchem System die Anforderung mit Lastenausgleich verarbeitet wurde.
Ereignistyp |
Erfolgsüberwachung |
Ereignisquelle |
Sicherheit |
Ereigniskategorie |
An-/Abmeldung |
Ereigniskennung |
540 |
Datum |
11/1/2007 |
Zeit |
5:08:20 |
Benutzer |
MYDOMAIN\pscexec |
Computer |
mossfe1 |
Beschreibung |
In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.
Benutzername |
pscexec |
Domäne |
MYDOMAIN |
Anmeldekennung |
(0x0,0x1D339D3) |
Anmeldetyp |
3 |
Anmeldeprozess |
Kerberos-Authentifizierung |
Name der Arbeitsstation |
|
Anmelde-GUID |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Aufruferbenutzername |
|
Aufruferdomäne |
|
Aufruferanmeldekennung |
|
Aufruferprozesskennung |
|
Übertragene Dienste |
|
Quellnetzwerkadresse |
192.168.100.100 |
Quellport |
2505 |
Die Überprüfung dieses Protokolleintrags ergibt die gleichen Informationen wie im vorherigen Protokolleintrag:
Bestätigen Sie, ob der Benutzername stimmt. Für die Anmeldung über das Netzwerk am Front-End-Webserver mit Microsoft Office SharePoint Server 2007, der die Portalwebsite hostet, wurde das Benutzerkonto mydomain\pscexec verwendet.
Bestätigen Sie, ob der Anmeldetyp 3 ist. Hierbei handelt es sich um eine Netzwerkanmeldung.
Bestätigen Sie, dass der Anmeldevorgang und das Authentifizierungspaket beide die Kerberos-Authentifizierung verwenden. Auf diese Weise wird bestätigt, dass die Kerberos-Authentifizierung für den Zugriff auf die Portalwebsite verwendet wird.
Bestätigen Sie, ob die Quellnetzwerkadresse mit der IP-Adresse des Computers übereinstimmt, von dem aus die Verbindung hergestellt wurde.
Wenn die Homepage der Portalwebsite nicht angezeigt werden kann und stattdessen eine Fehlermeldung wegen fehlender Autorisierung angezeigt wird, schlägt die Kerberos-Authentifizierung fehl. Für diesen Fehler gibt es gewöhnlich mehrere Ursachen:
Der SPN in Active Directory wurde nicht für das richtige Benutzerkonto registriert. Er hätte für mydomain\portalpool, für die Webanwendung der Portalwebsite, registriert werden sollen.
Der SPN in Active Directory stimmt nicht mit dem von Internet Explorer erstellten SPN überein oder ist aus einem anderen Grund ungültig. Da Sie IIS-Hostheader ohne explizite Portnummern verwenden, weicht in diesem Fall der in Active Directory registrierte SPN vom IIS-Hostheader ab, den Sie beim Erweitern der Webanwendung angegeben haben. Sie müssen Abhilfe schaffen, damit die Kerberos-Authentifizierung erfolgreich ausgeführt wird.
Hinweis
Mithilfe eines Diagnoseprogramms können Sie das Netzwerk analysieren. Zu diesen Diagnoseprogrammen zählen Netzwerk-Sniffer wie z. B. Microsoft Netzwerkmonitor, mit denen beim Browsen der Zentraladministration eine Ablaufverfolgung erstellt wird. Analysieren Sie nach dem Auftreten eines Fehlers die Ablaufverfolgung, und suchen Sie nach KerberosV5-Protokoll-Paketen. Suchen Sie nach einem Paket mit einem von Internet Explorer erstellten SPN. Falls dieser SPN keine Portnummer enthält, müssen Sie die unter Konfigurieren von Internet Explorer zum Einschließen von Portnummern in Dienstprinzipalnamen beschriebene Fehlerbehebung vornehmen. Falls der SPN in der Ablaufverfolgung stimmt, ist entweder der SPN in Active Directory ungültig oder er wurde für das falsche Benutzerkonto registriert.
Wenn die Kerberos-Authentifizierung für Ihre Portalwebsite ordnungsgemäß ausgeführt wird, wechseln Sie mithilfe der folgenden URLs zu der mit Kerberos authentifizierten Website Meine Website und zur Verwaltungssite der gemeinsamen Dienste:
Hinweis
Beim ersten Zugriff auf die URL für Meine Website dauert es eine Weile, bis Microsoft Office SharePoint Server 2007 eine Seite Meine Website für den angemeldeten Benutzer erstellt. Der Vorgang sollte jedoch erfolgreich ausgeführt werden, und die Seite Meine Website für diesen Benutzer sollte angezeigt werden.
Beide Websites sollten ordnungsgemäß ausgeführt werden. Führen Sie andernfalls die vorhergehenden Schritte zur Problembehandlung aus.
Bestätigen der ordnungsgemäßen Funktionalität von Search-Indexerstellung
Bestätigen Sie, dass von Search-Indexerstellung die auf dieser Serverfarm gehosteten Inhalte ordnungsgemäß gecrawlt werden. Diesen Schritt müssen Sie vor dem Bestätigen der Ergebnisse von Search-Abfrage für Benutzer ausführen, die mithilfe der Kerberos-Authentifizierung auf die Websites zugreifen.
Hinweis
In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.
Öffnen Sie die Webanwendung für die Verwaltungssite der gemeinsamen Dienste unter http://www.mydomain.com/ssp/admin.
Klicken Sie auf dieser Seite auf Sucheinstellungen.
Klicken Sie auf der nachfolgenden Seite auf Inhaltsquellen und Crawlzeitpläne.
Öffnen Sie auf der nachfolgenden Seite den ECB für Office SharePoint Server-Inhaltsquellen, und wählen Sie Vollständigen Crawl starten aus der Dropdownliste aus.
Warten Sie, bis der Crawl abgeschlossen ist. Wenn der Crawl fehlschlägt , müssen Sie eine Analyse vornehmen und den Fehler beheben und anschließend einen vollständigen Crawl ausführen. Wenn der Crawl mit dem Fehler Zugriff verweigert fehlschlägt, liegt dies entweder daran, dass das Crawlkonto keinen Zugriff auf die Inhaltsquellen hat, oder dass die Kerberos-Authentifizierung fehlgeschlagen ist. Unabhängig von der Ursache muss dieser Fehler behoben werden, bevor Sie die nächsten Schritte ausführen.
Sie müssen einen vollständigen Crawl für die mit Kerberos authentifizierten Webanwendungen ausführen, bevor Sie den Vorgang fortsetzen.
Bestätigen der ordnungsgemäßen Funktionalität von Search-Abfrage
Bestätigen Sie, dass Search-Abfrage Ergebnisse für Benutzer zurückgibt, die auf die Portalwebsite zugreifen, für die Kerberos-Authentifizierung verwendet wird:
Starten Sie Internet Explorer auf einem System in mydomain.net, und wechseln Sie zu http://www.mydomain.com/.
Wenn die Homepage der Portalwebsite angezeigt wird, geben Sie im Suchfeld einen Suchbegriff ein, und drücken Sie die EINGABETASTE.
Bestätigen Sie, dass Ergebnisse für Search-Abfrage zurückgegeben werden. Überprüfen Sie andernfalls, ob der eingegebene Suchbegriff in Ihrer Bereitstellung gültig ist, ob Search-Indexerstellung ordnungsgemäß ausgeführt wird, ob der Suchdienst auf den Servern mit Search-Indexerstellung und Search-Abfrage ausgeführt wird, und ob keine Probleme bei der Suchverteilung vom Suchindexserver an den Suchabfrageserver bestehen.
Konfigurieren der SSP-Infrastruktur für die Kerberos-Authentifizierung
Hinweis
Hierbei handelt es sich um einen optionalen Schritt, für den das Infrastrukturaktualisierung für Microsoft Office Server installiert werden muss. Die Kerberos-Authentifizierung kann nur ordnungsgemäß für Microsoft Office SharePoint Server 2007 konfiguriert werden, wenn das Infrastrukturaktualisierung für Microsoft Office Server installiert ist.
Das Infrastrukturaktualisierung für Microsoft Office Server enthält einen neuen SPN mit benutzerdefiniertem Format zur Kerberos-Authentifizierung für die SSP-Infrastruktur. Neu in diesem SPN mit benutzerdefiniertem Format ist die Dienstklasse MSSP. SPN mit benutzerdefiniertem Format weist folgendes Format auf: MSSP/<Host:Port>/<SSP-Name>.
Mit diesem neuen SPN mit benutzerdefiniertem Format wird eine .NET Framework-Eigenschaft festgelegt, damit .NET Framework einen bestimmten SPN für einen bestimmten URI verwendet. Mit .NET Framework werden zwischen Servern die SSP-Infrastrukturwebdienste von Microsoft Office SharePoint Server 2007 aufgerufen.
Wenn Sie die SSP-Infrastruktur auf dem Anwendungsserver von Microsoft Office SharePoint Server 2007 analysieren, werden Sie feststellen, dass ein gemeinsamer Suchdienst auf der Stammebene und auf der Ebene des virtuellen Verzeichnisses in IIS vorhanden ist. Außerdem gibt es einen gemeinsamen Dienst für die Dienste für Excel-Berechnungen (Excel Calculation Services, ECS) auf der Ebene des virtuellen Verzeichnisses in IIS. Nachdem die SSP-Infrastruktur für die Kerberos-Authentifizierung konfiguriert wurde, wird Kerberos für den Zugriff auf gemeinsame Dienste auf der Stammebene und auf der Ebene des virtuellen Verzeichnisses verwendet.
Sie müssen keine SPNs für die Webdienste auf Stammebene registrieren. Sie müssen SPNs lediglich für die Webdienste auf der Ebene des virtuellen Verzeichnisses registrieren. Denn wenn Sie einer Domäne einen Computer hinzufügen, wird automatisch ein SPN der Klasse HOST für das Computerkonto in der Domäne registriert, und der SPN kann für die Webdienste auf der Stammebene verwendet werden. Sie müssen jedoch SPNs für die entsprechenden virtuellen Verzeichnisse registrieren, die mit den SSPs in Ihrer Serverfarm korrelieren.
Für die erfolgreiche Konfiguration der SSP-Infrastruktur für die Kerberos-Authentifizierung müssen Sie die folgenden Schritte ausführen:
Registrieren neuer SPNs mit benutzerdefiniertem Format für das SSP-Dienstkonto in Active Directory.
Ausführen des Befehlszeilentools Stsadm zum Festlegen der Kerberos-Authentifizierung für die SSP-Infrastruktur.
Hinzufügen eines neuen Registrierungsschlüssels zu allen Servern mit Microsoft Office SharePoint Server 2007, um das Generieren neuer SPNs mit benutzerdefiniertem Format zu ermöglichen.
Bestätigen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Webdienste auf der Stammebene.
Bestätigen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Webdienste auf der Ebene des virtuellen Verzeichnisses.
Hinweis
Im vorhergehenden Verfahren beziehen sich die Schritte 4 und 5 auf den gemeinsamen Webdienst searchadmin.asmx. Dieser gemeinsame Webdienst steht im Zusammenhang mit dem Suchdienst und befindet sich sowohl auf der Stammebene der SSP-Infrastruktur als auch auf der Ebene des virtuellen Verzeichnisses der SSP-Infrastruktur. Den gemeinsamen Suchdienst auf Stammebene kann man sich als globalen Webdienst vorstellen, mit dem die Einstellungen des Microsoft Office SharePoint Server 2007 Search-Diensts auf der Ebene Dienste auf dem Server in der Zentraladministration von Microsoft Office SharePoint Server 2007 konfiguriert werden. Der gemeinsame Suchdienst auf der Ebene des virtuellen Verzeichnisses entspricht einem bestimmten SSP in der Serverfarm und wird zum Konfigurieren von Sucheinstellungen für diesen SSP auf der Verwaltungssite der gemeinsamen Dienste verwendet. Beim Ausführen der Schritte zum Überprüfen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Dienste auf der Stammebene werden die SPNs mit dem neuen Format nicht generiert oder verwendet. Die SPNs mit dem neuen Format werden nur beim Zugriff auf den Webdienst auf der Ebene des virtuellen Verzeichnisses angezeigt. Sie müssen allerdings überprüfen, ob auf beiden Ebenen auf den gemeinsamen Dienst zugegriffen werden kann.
Registrieren neuer SPNs mit benutzerdefiniertem Format für das SSP-Dienstkonto in Active Directory
In diesem Artikel lautet das SSP-Dienstkonto mydomain\sspsvc, und der Name des erstellten SSP ist SSP1. Die SSP-Infrastruktur ist auf allen Servern in der Serverfarm vorhanden. Deshalb müssen SPNs, die sich auf alle Server mit Microsoft Office SharePoint Server 2007 beziehen, erstellt werden. Die SSP-Infrastruktur ist an den TCP-Port 56737 und den SSL-Port 56738 gebunden, weshalb Sie SPNs benötigen, die beide Portnummern enthalten. Aus diesem Grund sind zwei SPNs für jeden Anwendungsserver erforderlich. Für die Beispiele in diesem Artikel müssen Sie 10 SPNs erstellen.
Mit dem folgenden Verfahren können Sie die SPNs für Ihre SSP-Infrastruktur erstellen:
Melden Sie sich beim Active Directory-Domänencontroller mit den Anmeldeinformationen eines Benutzers mit Domänenadministratorberechtigungen an.
Geben Sie im Dialogfeld Ausführen die Zeichenfolge ADSIEDIT.MSC ein.
Erweitern Sie im Dialogfeld für die Verwaltungskonsole den Domänencontainerordner.
Erweitern Sie den Containerordner mit den Benutzerkonten, beispielsweise CN=Users.
Suchen Sie den Ordner für das SSP-Dienstkonto, beispielsweise CN=sspsvc.
Klicken Sie mit der rechten Maustaste auf das SSP-Dienstkonto, und klicken Sie dann auf Eigenschaften.
Führen Sie im Dialogfeld für das SSP-Dienstkonto in der Liste mit den Eigenschaften einen Bildlauf nach unten aus, bis Sie servicePrincipalName gefunden haben.
Wählen Sie die servicePrincipalName-Eigenschaft aus, und klicken Sie auf Bearbeiten.
Fügen Sie im Dialogfeld Editor für mehrwertige Zeichenfolgen im Feld Hinzuzufügender Wert die folgenden SPNs hinzu:
MSSP/mossfe1:56737/SSP1
MSSP/mossfe1:56738/SSP1
MSSP/mossfe2:56737/SSP1
MSSP/mossfe2:56738/SSP1
MSSP/mossadmin:56737/SSP1
MSSP/mossadmin:56738/SSP1
MSSP/mosscrawl:56737/SSP1
MSSP/mosscrawl:56738/SSP1
MSSP/mossquery:56737/SSP1
MSSP/mossquery:56738/SSP1
Ausführen des Befehlszeilentools "Stsadm" zum Festlegen der Kerberos-Authentifizierung für die SSP-Infrastruktur
Zur Konfiguration der SSP-Infrastruktur für die Verwendung der Kerberos-Authentifizierung müssen Sie die folgenden Schritte ausführen:
Melden Sie sich beim Active Directory-Domänencontroller mit den Anmeldeinformationen eines Benutzers mit Domänenadministratorberechtigungen an.
Öffnen Sie auf einem der Server mit Microsoft Office SharePoint Server 2007 eine Eingabeaufforderung.
Wechseln Sie zu folgendem Verzeichnis: %COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin.
Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: stsadm –o setsharedwebserviceauthn –negotiate
Stellen Sie sicher, dass dieser Befehl erfolgreich ausgeführt wird, bevor Sie den Vorgang fortsetzen.
Wenn Sie dieses Verfahren abgeschlossen haben, gilt der Befehl für alle SSPs, die Sie in der Serverfarm erstellen, einschließlich SSPs, die Sie nach der erfolgreichen Ausführung dieses Befehls erstellen.
Hinzufügen eines neuen Registrierungsschlüssels zu allen Servern mit Office SharePoint Server, um das Generieren der neuen SPNs mit benutzerdefiniertem Format zu ermöglichen
Die Generierung der neuen SPNs mit benutzerdefiniertem Format wird über die Festlegung eines neuen Registrierungsschlüssel gesteuert, der im Infrastrukturaktualisierung für Microsoft Office Server eingeführt wurde. Um das Generieren der neuen SPNs mit benutzerdefiniertem Format zu ermöglichen, muss dieser Registrierungsschlüssel allen Servern in der Serverfarm hinzugefügt werden, und alle Server müssen neu gestartet werden.
Führen Sie die folgenden Schritte auf jedem Server in der Serverfarm aus, um das neue Verhalten zu aktivieren:
Melden Sie sich als lokaler Administrator an.
Führen Sie den Registrierungs-Editor aus, und fügen Sie den folgenden neuen Registrierungsschlüssel hinzu: HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat” (REG_DWORD) = 1
Starten Sie den Server neu. Achten Sie unbedingt darauf, dass Sie den Server neu starten müssen, damit der neue Registrierungsschlüssel wirksam wird.
Warnung
Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Schäden am System verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie alle wichtigen Computerdaten sichern.
Bestätigen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Dienste auf der Stammebene
Führen sie die folgenden Schritte aus, um die Kerberos-Authentifizierung für die gemeinsamen Dienste auf der Stammebene zu bestätigen:
Melden Sie sich an dem Computer an, von dem die Webanwendung für die Zentraladministration gehostet wird. Wenn Sie das Beispiel in diesem Artikel verwenden, melden Sie sich an MOSSADMIN an.
Wechseln Sie zur Zentraladministration unter http://mossadmin.mydomain.net:10000
Klicken Sie auf der Homepage der Website für die Zentraladministration auf Vorgänge.
Klicken Sie auf der Seite Vorgänge auf Dienste auf dem Server.
Klicken Sie im Abschnitt Server auf den Dropdownpfeil, um die Liste der Server in der Serverfarm anzuzeigen, und klicken Sie dann auf Ihren Suchabfrageserver. Wenn Sie das Beispiel in diesem Artikel verwenden, wählen Sie MOSSQUERY aus.
Nachdem die Seite aktualisiert wurde, bestätigen Sie, dass auf den richtigen Abfrageserver verwiesen wird, und klicken Sie im Abschnitt Dienst auf Office SharePoint Server-Suche.
Bestätigen Sie, ob die Seite Einstellungen für den Office SharePoint Server-Suchdienst auf Server <Servername> konfigurieren angezeigt wird.
Führen Sie die folgenden Schritte aus, um zu bestätigen, dass die Kerberos-Authentifizierung zum Anzeigen der Seite verwendet wurde:
Melden Sie sich am Suchabfrageserver an. Wenn Sie das Beispiel in diesem Artikel verwenden, melden Sie sich am Server MOSS mit dem Namen MOSSQUERY an.
Führen Sie die Windows-Ereignisanzeige aus.
Überprüfen Sie das Sicherheitsereignisprotokoll.
Ein Protokolleintrag sollte vorhanden sein, der so oder ähnlich wie in der folgenden Tabelle aussieht:
Ereignistyp
Erfolgsüberwachung
Ereignisquelle
Sicherheit
Ereigniskategorie
An-/Abmeldung
Ereigniskennung
540
Datum
5/6/2008
Zeit
12:12:17 PM
Benutzer
MYDOMAIN\pscexec
Computer
MOSSQUERY
Beschreibung
In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.
Benutzername |
pscexec |
Domäne |
MYDOMAIN |
Anmeldekennung |
(0x0,0x7252B10) |
Anmeldetyp |
3 |
Anmeldeprozess |
Kerberos |
Authentifizierungspaket |
Kerberos |
Name der Arbeitsstation |
|
Anmelde-GUID |
{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49} |
Aufruferbenutzername |
|
Aufruferdomäne |
|
Aufruferanmeldekennung |
|
Aufruferprozesskennung |
|
Übertragene Dienste |
|
Quellnetzwerkadresse |
192.168.100.100 |
Quellport |
1964 |
Wichtig
Wiederholen Sie diesen Vorgang für den Suchindexserver, um zu bestätigen, dass die Seite angezeigt wird und dass ein Eintrag im Sicherheitsereignisprotokoll mit dem Hinweis vorhanden ist, dass das Kerberos-Authentifizierungspaket für den Zugriff auf die Seite verwendet wurde.
Bestätigen der Kerberos-Authentifizierung für den Zugriff auf gemeinsame Dienste auf der Ebene des virtuellen Verzeichnisses
Dies ist der letzte Schritt beim Konfigurieren und Bereitstellen einer Serverfarm mit Microsoft Office SharePoint Server 2007 mithilfe der Kerberos-Authentifizierung.
Führen sie die folgenden Schritte aus, um die Verwendung der Kerberos-Authentifizierung für den Zugriff auf die gemeinsamen Dienste auf der Ebene des virtuellen Verzeichnisses zu bestätigen:
Wechseln Sie zur Homepage für die Verwaltung der gemeinsamen Dienste.
Bestimmen Sie, welcher Front-End-Webserver mit Lastenausgleich auf diese Anforderung reagiert.
Führen Sie auf dem Front-End-Webserver, der auf die Anforderung reagiert, den Netzwerkmonitor aus, und wenden Sie einen Sammlungsfilter an, um KerberosV5-Protokoll-Pakete zu erfassen. Bei Netzwerkmonitor, Version 3.2, wäre dieser Sammlungsfilter protocol.KerberosV5.
Starten Sie eine Netzwerkmonitor-Ermittlung (Sniff).
Klicken Sie auf der Homepage für die Verwaltungssite der gemeinsamen Dienste auf Sucheinstellungen.
Bestätigen Sie, dass die Seite Sucheinstellungen angezeigt wird.
Beenden Sie den Sniff, und analysieren Sie die gesammelten Pakete. Kerberos-Protokolle mit Beschreibungen sollten vorhanden, die so oder ähnlich wie im folgenden Beispiel aussehen:
KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET
KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET
KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1
KerberosV5:TGS Response Cname: sspadminpool
Sname im vorherigen Beispiel (MSSP/mosscrawl:56738/SSP1) ist der SPN mit dem neuen Format, der als Folge der Änderungen im Infrastrukturaktualisierung für Microsoft Office Server erstellt und an das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, KDC) gesendet wird.
Melden Sie sich am Indexserver an (für das Beispiel in diesem Artikel heißt der Indexserver MOSSCRAWL). Führen Sie die Ereignisanzeige aus, und überprüfen Sie das Sicherheitsprotokoll. Es sollte ein Eintrag vorhanden sein, der so oder ähnlich wie in der folgenden Tabelle aussieht:
Ereignistyp |
Erfolgsüberwachung |
Ereignisquelle |
Sicherheit |
Ereigniskategorie |
An-/Abmeldung |
Ereigniskennung |
540 |
Datum |
5/6/2008 |
Zeit |
1:21:04 |
Benutzer |
MYDOMAIN\sspadminpool |
Computer |
MOSSCRAWL |
Beschreibung |
In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.
Benutzername |
sspadminpool |
Domäne |
MOSSCRAWL |
Anmeldekennung |
(0x0,0xD84A6) |
Anmeldetyp |
3 |
Anmeldeprozess |
Kerberos |
Authentifizierungspaket |
Kerberos |
Name der Arbeitsstation |
|
Anmelde-GUID |
{2f1cccb3-c10d-27e5-9896-0f918e8ad796} |
Aufruferbenutzername |
|
Aufruferdomäne |
|
Aufruferanmeldekennung |
|
Aufruferprozesskennung |
|
Übertragene Dienste |
|
Quellnetzwerkadresse |
192.168.150.100 |
Quellport |
1513 |
Konfigurationseinschränkungen
Im Hinblick auf die Verwendung der Kerberos-Authentifizierung für die SSP-Infrastruktur gib es wenige Einschränkungen, wenn Sie das Infrastrukturaktualisierung für Microsoft Office Server verwenden:
Die Hostnamenkomponente der erstellten SPNs mit dem neuen Format besteht aus dem NetBIOS-Namen des Hosts, von dem der Dienst ausgeführt wird. Beispiel: MSSP/kerbtest4:56738/SSP1. Dies liegt daran, dass die Hostnamen aus der Konfigurationsdatenbank von Microsoft Office SharePoint Server 2007 abgerufen werden und nur NetBIOS-Computernamen in der Konfigurationsdatenbank von Microsoft Office SharePoint Server 2007 gespeichert werden. Dies ist in bestimmten Szenarien möglicherweise nicht eindeutig. Derzeit kann mit dem Befehlszeilentool Stsadm zum Umbenennen eines Servers mit Microsoft Office SharePoint Server 2007 ein Server mit Microsoft Office SharePoint Server 2007 nicht erfolgreich umbenannt werden. Für dieses Problem gibt es keine Problemumgehung.
Verwenden Sie keine SSP-Namen mit Sonderzeichen. Ein SPN, der einen SSP-Namen mit Sonderzeichen aufweist, kann nicht als Ziel für die Delegierung ausgewählt werden. Vermeiden Sie deshalb die Verwendung von Sonderzeichen für SSP-Namen.
Zusätzliche Ressourcen und Anleitungen zur Problembehandlung
Informationen zum Autor
Mark Grossbard ist Testingenieur, MOSS Core Test, für Office SharePoint Server bei Microsoft.
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie in der Technischen Bibliothek zu Office SharePoint Server.