Настройка проверки подлинности Kerberos (Office SharePoint Server)

  • Статья

Содержание:

  • Общие сведения о проверке подлинности Kerberos

  • Подготовка к работе

  • Настройка проверки подлинности Kerberos для связей SQL

  • Настройка Internet Explorer для включения номеров портов в имена участников служб

  • Создание имен участников служб для веб-приложений, использующих проверку подлинности Kerberos

  • Развертывание фермы серверов

  • Настройка служб на серверах фермы

  • Создание веб-приложений, использующих проверку подлинности Kerberos

  • Создание семейства сайтов с помощью шаблона портала совместной работы в веб-приложении сайта портала

  • Создание поставщика общих служб для фермы

  • Подтверждение успешного доступа к веб-приложениям, использующим проверку подлинности Kerberos

  • Подтверждение правильности функционирования индексирования поиска

  • Подтверждение правильности функционирования запросов поиска

  • Настройка инфраструктуры SSP для проверки подлинности Kerberos

  • Регистрация новых SPN в пользовательском формате для учетной записи службы SSP в Active Directory

  • Выполнение средства командной строки Stsadm для установки инфраструктуры SSP на использование проверки подлинности Kerberos

  • Добавление нового раздела реестра на все серверы, где выполняется Office SharePoint Server, для создания новых SPN в пользовательском формате

  • Подтверждение проверки подлинности Kerberos для доступа к общим службам корневого уровня

  • Подтверждение проверки подлинности Kerberos для доступа к общим службам уровня виртуального каталога

  • Ограничения конфигурации

  • Дополнительные ресурсы и руководство по устранению неполадок

Общие сведения о проверке подлинности Kerberos

Kerberos — это безопасный протокол, который поддерживает проверку подлинности на основе билетов. Сервер проверки подлинности Kerberos предоставляет билет в ответ на запрос проверки подлинности клиентского компьютера, если запрос содержит допустимые учетные данные пользователя и допустимое имя участника службы (SPN). Затем клиентский компьютер использует билет для доступа к сетевым ресурсам. Чтобы включить проверку подлинности Kerberos, клиентский компьютер и компьютер сервера должны иметь надежное подключение к домену KDC (Key Distribution Center). KDC распространяет общие секретные ключи для активирования шифрования. Клиентские и серверные компьютеры также должны иметь доступ к службе каталогов Active Directory. Для Active Directory корневой домен леса является центром ссылок проверки подлинности Kerberos.

Чтобы развернуть ферму серверов, где выполняется Microsoft Office SharePoint Server 2007, с помощью проверки подлинности Kerberos, на компьютере необходимо установить и настроить различные приложения. В этой статье приведен пример фермы серверов с Office SharePoint Server 2007 и представлено руководство по развертыванию и настройке фермы для использования проверки подлинности Kerberos, обеспечивающей поддержку следующих возможностей:

  • взаимодействие между Office SharePoint Server 2007 и программным обеспечением базы данных Microsoft SQL Server;

  • доступ к веб-приложению центра администрирования SharePoint;

  • доступ к другим веб-приложениям, включая веб-приложение сайта портала, веб-приложение личного сайта и веб-приложение сайта администрирования SSP;

  • доступ к общим службам для веб-приложений Office SharePoint Server 2007 в инфраструктуре SSP Office SharePoint Server 2007.

Перед началом работы

Эта статья предназначена для персонала по администрированию, имеющего знания в следующих областях:

  • Windows Server 2003

  • Active Directory

  • Internet Information Services (IIS) 6.0 (или IIS 7.0)

  • Windows SharePoint Services 3.0

  • Office SharePoint Server 2007

  • Windows Internet Explorer

  • Проверка подлинности Kerberos, как она реализована в Active Directory для Windows Server 2003

  • Балансировка сетевой нагрузки (NLB) в Windows Server 2003

  • Учетные записи компьютеров в домене Active Directory

  • Учетные записи пользователей в домене Active Directory

  • Веб-сайты IIS, их привязки и параметры проверки подлинности

  • Идентификаторы пула приложений IIS для веб-сайтов IIS

  • Мастер настройки продуктов и технологий SharePoint

  • Веб-приложения Windows SharePoint Services 3.0 и Office SharePoint Server 2007

  • Страницы центра администрирования

  • Имена участников служб (SPN) и их настройка в домене Active Directory

Важно!

Для создания SPN в домене Active Directory необходимо иметь разрешения административного уровня.

Для проверки подлинности Keberos для инфраструктуры SSP в Office SharePoint Server 2007 требуется установка Обновление инфраструктуры для серверов Microsoft Office Servers.

Примечание

Поставщик общих служб является логическим объединением общего набора служб и данных служб, которые могут быть предоставлены веб-приложениям и связанным с ними веб-сайтам. Инфраструктура SSP обеспечивает общий доступ к службам в рамках ферм серверов, веб-приложений, семейств сайтов. Веб-сайт веб-служб Office Server является инфраструктурой SSP. Она существует на каждом сервере с Office SharePoint Server 2007, для развертывания которого использовался вариант установки Полная. Проверка подлинности Kerberos не будет работать на веб-сайте веб-служб Office Server, пока не будет установлен Обновление инфраструктуры для серверов Microsoft Office Servers.

В этой статье отсутствуют детальные сведения о проверке подлинности Kerberos. Kerberos является стандартным отраслевым методом проверки подлинности, реализованным в Active Directory.

В этой статье отсутствуют подробные пошаговые инструкции по установке Office SharePoint Server 2007 или использованию мастера настройки продуктов и технологий SharePoint.

В этой статье отсутствуют подробные пошаговые инструкции по использованию центра администрирования для создания веб-приложений Office SharePoint Server 2007.

Требования к версии программного обеспечения

Руководство, представленное в этой статье, и тестирование, выполненное для его подтверждения, основаны на результатах использования систем с установленным Windows Server 2003 и Internet Explorer с последними обновлениями с сайта Центра обновлений Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419). Были установлены следующие версии программного обеспечения:

Необходимо также убедиться, что контроллеры домена Active Directory работают под управлением Windows Server 2003 с пакетом обновления 2 (SP2) с последними обновлениями с сайта Центра обновлений Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).

Известные проблемы

Проверка подлинности Kerberos не может быть настроена для работы с инфраструктурой SSP в Office SharePoint Server 2007, пока не будет установлен Обновление инфраструктуры для серверов Microsoft Office Servers. Поэтому если Обновление инфраструктуры для серверов Microsoft Office Servers не установлен, пропустите руководство по настройке проверки подлинности Kerberos для инфраструктуры SSP.

Office SharePoint Server 2007 может выполнять обход веб-приложений, настроенных для использования проверки подлинности Kerberos, если эти приложения размещены на виртуальных серверах IIS, привязанных к заданным по умолчанию портам (порт TCP 80 и порт SSL 443). Однако служба поиска Office SharePoint Server 2007 не может обходить веб-приложения Office SharePoint Server 2007, настроенные для использования проверки подлинности Kerberos, если эти приложения размещены на виртуальных серверах IIS, привязанных к заданным портам (порты, отличные от порта TCP 80 и порта SSL 443). В настоящее время служба поиска Office SharePoint Server 2007 может обходить только веб-приложения Office SharePoint Server 2007, размещенные на виртуальных серверах IIS, которые привязаны к заданным портам, настроенным для использования проверки подлинности NTLM или обычной проверки подлинности.

Если нужно развернуть веб-приложения, которые могут быть размещены только на виртуальных серверах IIS, привязанных к заданным портам, и если конечным пользователя требуется получить результаты запросов поиска, используя проверку подлинности Kerberos, необходимо выполнить следующие условия.

  • Те же самые веб-приложения должны размещаться на других виртуальных серверах IIS на заданных портах.

  • Веб-приложения должны быть настроены на использование обычной проверки подлинности или проверки подлинности NTLM.

  • Служба индексирования поиска должна обходить веб-приложения, использующие обычную проверку подлинности или проверку подлинности NTLM.

В этой статье содержится руководство по выполнению следующих задач.

  • Настройка веб-приложений центра администрирования, использующих проверку подлинности Kerberos, размещенных на виртуальном сервере IIS, привязанных к заданным портам.

  • Настройка приложений портала, личного сайта и общих служб, использующих проверку подлинности Kerberos, размещенных на виртуальных серверах IIS и привязанных к заданным по умолчанию портам, а также с привязкой заголовка сайта IIS.

  • Проверка успешного обхода веб-приложений Office SharePoint Server 2007, использующих проверку подлинности Kerberos, службой индексирования поиска.

  • Проверка успешного получения результатов запроса для веб-приложений пользователями, которые обращаются к веб-приложениям, прошедшим проверку подлинности Kerberos.

  • Настройка проверки подлинности Kerberos для инфраструктуры SSP (если установлен Обновление инфраструктуры для серверов Microsoft Office Servers).

Дополнительные справочные сведения

Важно понимать, что точность проверки подлинности Kerberos частично зависит от поведения клиента, проверка подлинности Kerberos которого выполняется. В развертывании фермы Office SharePoint Server 2007, использующей проверку подлинности Kerberos, Office SharePoint Server 2007 не является клиентом. Перед развертыванием фермы серверов с Office SharePoint Server 2007, использующей проверку подлинности Kerberos, следует изучить и понять функционирование следующих клиентов:

  • браузер (в контексте этой статьи в качестве браузера всегда используется Windows Internet Explorer);

  • платформа Microsoft .NET Framework.

Браузер — это клиент, используемый при просмотре веб-страницы в веб-приложении Office SharePoint Server 2007. Когда в Office SharePoint Server 2007 выполняются определенные задачи, например обход локальных источников контента Office SharePoint Server 2007 или вызовы инфраструктуры SSP, в качестве клиента функционирует платформа .NET Framework.

Для надлежащей работы проверки подлинности Kerberos необходимо создать SPN в Active Directory. Если службы, к которым относятся данные SPN, прослушиваются на заданных портах, SPN не должны содержать номера портов. Это необходимо для обеспечения значимости SPN. Кроме того, в этом случае исключается создание копий SPN.

При попытке клиента (Internet Explorer или .NET Framework) получить доступ к ресурсу с помощью проверки подлинности Kerberos он должен создать SPN, которое будет использоваться как часть процесса проверки подлинности Kerberos. Если клиент не создает SPN, совпадающий с настроенным в Active Directory, происходит ошибка проверки подлинности. Обычно выводится сообщение о запрете доступа.

Ряд версий Internet Explorer не предназначен для создания SPN с номерами портов. При использовании веб-приложений Office SharePoint Server 2007, привязанных к заданным номерам портов в IIS, может потребоваться указать Internet Explorer на необходимость включить номера портов в создаваемые SPN. На ферме с Office SharePoint Server 2007 по умолчанию размещается веб-приложение центра администрирования (на виртуальном сервере IIS, который привязан к заданному порту). Поэтому в данной статье рассматриваются вопросы как о веб-сайтах, привязанных к портам IIS, так и о веб-сайтах, привязанных к заголовку сайта IIS; здесь также содержатся ссылки на инструкции по настройке Internet Explorer для включения номеров портов в SPN.

На ферме с Office SharePoint Server 2007 по умолчанию .NET Framework не создает SPN, содержащие номера портов. Поэтому служба поиска не может обходить веб-приложения с проверкой подлинности Kerberos, если они размещены на виртуальных серверах IIS, привязанных к заданным портам. Также по этой причине проверка подлинности Kerberos не может быть должным образом настроена для функционирования с инфраструктурой SSP, пока не будет установлен Обновление инфраструктуры для серверов Microsoft Office Servers.

Топология фермы серверов

Эта статья предназначена для следующей топологии фермы серверов Office SharePoint Server 2007.

  • Два компьютера с Windows Server 2003, работающие в качестве интерфейсных веб-серверов с настроенной службой Windows NLB.

  • Три компьютера с Windows Server 2003, работающие в качестве серверов приложений. На одном из них размещается веб-приложение центра администрирования. На втором сервере приложений выполняется служба запросов поиска, а на третьем — служба индексирования поиска.

  • Один компьютер с Windows Server 2003, используемый в качестве сайта SQL для фермы, где установлен Office SharePoint Server 2007. В описанном в данной статье сценарии можно использовать Microsoft SQL Server 2000 SP4 или Microsoft SQL Server 2005 SP2.

В этой статье представлено руководство по настройке одного SSP в ферме.

Active Directory, именование компьютера и соглашения NLB

В описанном сценарии используются следующие соглашения об Active Directory, именовании компьютеров и NLB.

Роль сервера Имя домена

Active Directory

mydomain.net

Интерфейсный веб-сервер с Office SharePoint Server 2007

mossfe1.mydomain.net

Интерфейсный веб-сервер с Office SharePoint Server 2007

mossfe2.mydomain.net

Центр администрирования Office SharePoint Server 2007

mossadmin.mydomain.net

Служба индексирования поиска с Office SharePoint Server 2007

mosscrawl.mydomain.net

Служба запросов поиска с Office SharePoint Server 2007

mossquery.mydomain.net

Узел SQL Server с Office SharePoint Server 2007

mosssql.mydomain.net

NLB VIP назначен mossfe1.mydomain.net and mossfe2.mydomain.net в результате настройки NLB в этих системах. В системе DNS регистрируется набор имен сайтов DNS, указывающих на этот адрес. Например, если NLB VIP — 192.168.100.200, имеется набор записей DNS, разрешающий следующие имена DNS для этого IP-адреса (192.168.100.200):

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

  • kerbsspadmin.mydomain.net

Соглашения об учетных записях домена Active Directory

В примере, приведенном в данной статье, используются соглашения об именованиях, перечисленные в следующей таблице для учетных записей служб и идентификаторов пула приложений, которые используются в ферме с Office SharePoint Server 2007.

Идентификатор учетной записи домена или пула приложений Имя

Учетная запись локального администратора

  • На всех серверах с Office SharePoint Server 2007 (но не на ведущем компьютере с SQL Server)

  • Для установки Office SharePoint Server 2007 и для выполнения мастера настройки продуктов и технологий SharePoint — в качестве пользователя

mydomain\pscexec

Учетная запись локального администратора на ведущем компьютере SQL Server

mydomain\sqladmin

Учетная запись службы SQL Server, используемая для выполнения службы SQL Server на сайте SQL

mydomain\mosssqlsvc

Учетная запись администратора фермы Office SharePoint Server 2007

mydomain\mossfarmadmin

Используется в качестве идентификатора пула приложений для центра администрирования и в качестве учетной записи службы для службы таймера SharePoint.

Идентификатор пула приложений Office SharePoint Server 2007 для веб-приложения сайта портала

mydomain\portalpool

Идентификатор пула приложений Office SharePoint Server 2007 для веб-приложения личного сайта

mydomain\mysitepool

Идентификатор Office SharePoint Server 2007 пула приложений для веб-сайта центра администрирования общих служб

mydomain\sspadminpool

Учетная запись службы SSP Office SharePoint Server 2007

mydomain\sspsvc

Учетная запись службы поиска Windows SharePoint Services 3.0

mydomain\wsssearch

Учетная запись службы поиска Windows SharePoint Services 3.0 для доступа к содержимому

mydomain\wsscrawl

Учетная запись службы поиска Office SharePoint Server 2007

mydomain\mosssearch

Учетная запись Office SharePoint Server 2007 для доступа к содержимому

mydomain\mosscrawl

Предварительные требования к настройке

Перед установкой Office SharePoint Server 2007 на компьютерах фермы серверов необходимо убедиться в выполнении следующих процедур.

  • На всех используемых в ферме серверах, включая сайт SQL, установлен Windows Server 2003 с пакетом обновления 2 (SP2), включая последние обновления с сайта Центра обновлений Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).

  • На всех серверах фермы установлен Internet Explorer 7 (с последними обновлениями), загруженный с сайта Центра обновлений Windows (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x419).

  • На ведущем компьютере SQL установлен и выполняется SQL Server (либо SQL Server 2000 SP4, либо SQL Server 2005 SP2); служба SQL Server используется в качестве учетной записи, mydomain\sqlsvc. Установлен заданный по умолчанию экземпляр SQL Server, который прослушивается на 1433 порту TCP.

  • Мастер настройки продуктов и технологий SharePoint добавлен

    • в качестве учетных данных SQL на компьютере SQL,

    • к роли DBCreators SQL Server на компьютере SQL,

    • к роли администраторов безопасности SQL Server на компьютере SQL.

Настройка проверки подлинности Kerberos для связей SQL

Перед установкой и настройкой Office SharePoint Server 2007 на серверах с Office SharePoint Server 2007 нужно настроить проверку подлинности Kerberos для связей SQL. Это необходимо, поскольку проверка подлинности Kerberos для связей SQL должна быть настроена и проверена на работоспособность перед подключением компьютеров с Office SharePoint Server 2007 к SQL Server.

Процесс настройки проверки подлинности Kerberos для службы, установленной на ведущем компьютере, на котором запущен Windows Server 2003, включает создание SPN для учетной записи домена, используемой для выполнения службы на сайте. SPN состоят из следующих компонентов:

  • имя службы (например, MSSQLSvc или HTTP);

  • имя сайта (реального или виртуального);

  • номер порта.

В следующем списке представлены примеры SPN для заданного по умолчанию экземпляра SQL Server, выполняющегося на компьютере с именем mosssql и прослушиваемом на порту 1433.

  • MSSQLSvc/mosssql:1433

  • MSSQLSvc/mosssql.mydomain.com:1433

Это SPN, которые будут созданы для экземпляра SQL Server на компьютере SQL, которые будут использоваться фермой, описанной в этой статье. Необходимо всегда создавать SPN, имеющие имя NetBIOS и полное DNS-имя для сайта сети.

Существует несколько различных методов установки SPN для учетной записи в домене Active Directory. Одним из них является использование служебной программы SETSPN.EXE, входящей в набор ресурсов для Windows Server 2003. В другом случае в контроллере домена Active Directory используется оснастка ADSIEDIT.MSC. В этой статье рассматривается сценарий с оснасткой ADSIEDIT.MSC.

Далее перечислены два основных этапа по настройке проверки подлинности Kerberos для SQL Server:

  • создание SPN для учетной записи службы SQL Server;

  • проверка использования проверки подлинности Kerberos для подключения серверов с Office SharePoint Server 2007 к серверам с SQL Server.

Создание SPN для учетной записи службы SQL Server

  1. Подключитесь к контроллеру домена Active Directory с помощью учетных записей пользователя, имеющего разрешения административного уровня для домена.

  2. В диалоговом окне Выполнить введите ADSIEDIT.MSC.

  3. В диалоговом окне консоли управления разверните папку контроллера домена.

  4. Разверните папку контейнера, содержащую учетные записи пользователей, например CN=Users.

  5. Перейдите к контейнеру для учетной записи службы SQL Server, например CN=sspsvc.

  6. Щелкните учетную запись правой кнопкой мыши и выберите пункт Свойства.

  7. В диалоговом окне Учетная запись службы SQL Server в списке свойств найдите вариант servicePrincipalName.

  8. Выберите свойство servicePrincipalName и щелкните Изменить.

  9. В диалоговом окне Редактор многозначных строк в поле Добавляемое значение введите SPN MSSQLSvc/mosssql:1433, а затем нажмите кнопку Добавить. Затем в этом поле введите SPN MSSQLSvc/mosssql.mydomain.com:1433 и нажмите кнопку Добавить.

  10. В диалоговом окне Редактор многозначных строк нажмите кнопку ОК, затем нажмите кнопку ОК в диалоговом окне свойств для учетной записи службы SQL Server.

Проверка использования проверки подлинности Kerberos для подключения серверов с Office SharePoint Server 2007 к SQL Server

На один из серверов с Office SharePoint Server 2007 установите клиентские средства SQL и используйте их для подключения сервера с Office SharePoint Server 2007 к серверам с SQL Server. В этой статье не представлено описание действий по установке клиентских средств SQL на один из серверов с Office SharePoint Server 2007. Процедуры проверки основаны на следующих предположениях.

  • На компьютере SQL используется SQL Server 2005 SP2.

  • Подключение к одному из серверов с Office SharePoint Server 2007 выполнено под учетной записью mydomain\pscexec; на сервере с Office SharePoint Server 2007 установлены клиентские средства SQL 2005.

  1. Выполняется SQL Server 2005 Management Studio.

  2. В диалоговом окне Подключиться к серверу введите имя ведущего компьютера SQL (в данном примере — mosssql) и нажмите кнопку Подключиться, чтобы подключиться к ведущему компьютеру SQL.

  3. Чтобы убедиться, что для данного подключения использовалась проверка подлинности Kerberos, на ведущем компьютере SQL запустите средство просмотра событий и просмотрите журнал событий безопасности. Необходимо просмотреть запись "Аудит успехов" для категории события "Вход/Выход", сходную с данными, представленными в следующей таблице.

    Тип события

    Аудит успехов

    Источник события

    Безопасность

    Категория события

    Вход/Выход

    Код события

    540

    Дата

    31 октября 2007 г.

    Время

    16:12:24

    Пользователь

    MYDOMAIN\pscexec

    Компьютер

    MOSSSQL

    Описание

    В следующей таблице приведен пример успешного входа в сеть.

    Имя пользователя

    pscexec

    Домен

    MYDOMAIN

    Идентификатор входа

    (0x0,0x6F1AC9)

    Тип входа

    3

    Процесс входа

    Kerberos

    Имя рабочей станции

    GUID входа

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    Имя пользователя вызывающего

    Домен вызывающего

    Код входа вызывающего

    Код процесса вызывающего

    Промежуточные службы

    Адрес сети источника

    192.168.100.100

    Порт источника

    2465

Проверьте запись журнала, чтобы убедиться в следующем.

  1. Введено правильное имя пользователя. Выполнен вход под учетной записью mydomain\pscexec через сеть на компьютер SQL.

  2. Тип входа — 3. Вход с типом 3 является входом в сеть.

  3. Для процесса входа и пакета проверки подлинности используется проверка подлинности Kerberos. Это подтверждает, что сервер с Office SharePoint Server 2007 для взаимодействия с узлом SQL использует проверку подлинности Kerberos.

  4. Адрес сети источника совпадает с IP-адресом компьютера, с которого было выполнено подключение.

Если при подключении к узлу SQL выводится сообщение об ошибке Не удается создать контекст SSPI, скорее всего возникла проблема с SPN, используемым для экземпляра SQL Server. Сведения об ее устранении см. в статье Устранение проблемы "Не удается создать контекст SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x419) базы знаний Microsoft.

Настройка Internet Explorer для включения номеров портов в имена участников служб

Многие версии браузера Internet Explorer не включают номера портов в создаваемые SPN. Чтобы определить, используется ли Internet Explorer версии 6, в котором существует эта проблема, и узнать о действиях по ее устранению см. статью Internet Explorer 6 не может использовать протокол проверки подлинности Kerberos для подключения к веб-сайту, использующему заданный порт, в Windows XP и Windows Server 2003 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x419) (на английском языке) в базе знаний Майкрософт. Нужно очень внимательно проверить номер версии DLL, указанный в этой статье, чтобы выяснить необходимость исправления для используемой версии Internet Explorer. Если данная версия Internet Explorer не создает SPN с номерами портов, и используются веб-приложения Office SharePoint Server 2007, размещенные на виртуальных серверах IIS, привязанных к заданным портам, это исправление следует применить, чтобы переходить к веб-приложениям, использующим данную версию Internet Explorer. В контексте этой статьи можно проверить, что версия Internet Explorer включает номера портов в создаваемые им SPN, поскольку SPN, добавляемое в Active Directory для веб-приложения центра администрирования, будет содержать номер порта.

Создание имен участников служб для веб-приложений, использующих проверку подлинности Kerberos

Поскольку в данной статье рассматривается проверка подлинности Kerberos, нет никаких особенностей, связанных с веб-приложениями Office SharePoint Server 2007 на основе IIS, поскольку они обрабатываются так же, как и любой другой веб-сайт IIS.

Необходимо иметь знания в следующих областях:

  • класс службы для SPN (в контексте данной статьи для веб-приложений Office SharePoint Server 2007 это всегда HTTP);

  • URL-адрес для всех веб-приложений Office SharePoint Server 2007, использующих проверку подлинности Kerberos;

  • часть имени узла SPN (реального или виртуального);

  • часть номера порта SPN (в описанном сценарии используются веб-приложения Office SharePoint Server 2007 как на основе порта IIS, так и на основе заголовка узла IIS);

  • учетные записи Windows Active Directory, для которых должны быть созданы SPN.

В следующей таблице представлены данные для сценария, описанного в этой статье.

URL-адрес Учетная запись Active Directory SPN

http://mossadmin.mydomain.net:10000

mossfarmadmin

  • HTTP/mossadmin.mydomain.net:10000

  • HTTP/mossadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://www.mydomain.com/ssp/admin

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

http://kerbsspadmin.mydomain.net/ssp/admin

sspadminpool

  • HTTP/kerbsspadmin.mydomain.net

  • HTTP/kerbsspadmin

Примечания для таблицы.

  • Первый указанный URL-адрес предназначен для центра администрирования и использует номер порта. Нельзя использовать порт 10000. Он приведен лишь в качестве примера для соблюдения единообразия в данной статье.

  • Следующие три URL-адреса предназначены для сайта портала, личного сайта и сайта администрирования общих служб соответственно.

С помощью приведенного выше руководства создайте SPN в Active Directory для поддержки проверки подлинности Kerberos для веб-приложений Office SharePoint Server 2007. Подключение к контроллеру домена выполняется под учетной записью, имеющей разрешения административного уровня для домена. Для создания SPN можно использовать упомянутую ранее служебную программу SETSPN.EXE либо оснастку ADSIEDIT.MSC. При использовании оснастки ADSIEDIT.MSC см. инструкции в этой статье по созданию SPN. Проверьте, что для нужных учетных записей в Active Directory создаются соответствующие SPN.

Развертывание фермы серверов

Процесс развертывания фермы серверов состоит из следующих этапов.

  1. Настройка Office SharePoint Server 2007 на всех серверах с Office SharePoint Server 2007.

  2. Запуск мастера настройки продуктов и технологий SharePoint и создание новой фермы. Этот этап включает создание веб-приложения центра администрирования Office SharePoint Server 2007, которое будет размещено на виртуальном сервере IIS, привязанному к заданному порту и использующему проверку подлинности Kerberos.

  3. Запуск мастера настройки продуктов и технологий SharePoint и присоединение других серверов к ферме.

  4. Настройка следующих служб на серверах фермы:

    • служба поискаWindows SharePoint Services 3.0;

    • служба индексирования поиска Office SharePoint Server 2007;

    • служба запросов поиска Office SharePoint Server 2007.

  5. Создание веб-приложений, используемых для сайта портала, личного сайта и сайта администрирования общих служб, и использующих проверку подлинности Kerberos.

  6. Создание семейства сайтов с помощью шаблона портала совместной работы в веб-приложении сайта портала.

  7. Создание поставщика общих служб для фермы.

  8. Подтверждение успешного доступа к веб-приложениям с помощью проверки подлинности Kerberos.

  9. Подтверждение правильности функционирования индексирования поиска.

  10. Подтверждение правильности функционирования запросов поиска.

  11. Настройка инфраструктуры SSP для проверки подлинности Kerberos. Этот этап необязателен и требует установки Обновление инфраструктуры для серверов Microsoft Office Servers.

  12. Подтверждение правильности функционирования SSP с помощью проверки подлинности Kerberos. Этот этап необязателен и требует установки Обновление инфраструктуры для серверов Microsoft Office Servers.

Установка Office SharePoint Server 2007 на всех серверах

Это простой процесс выполнения настройки Office SharePoint Server 2007 для установки двоичных файлов Office SharePoint Server 2007 на серверах с Office SharePoint Server 2007. Подключитесь к каждому компьютеру с Office SharePoint Server 2007 с помощью учетной записи mydomain\pscexec. Пошаговые инструкции по выполнению этой процедуры отсутствуют. Для сценария, описанного в данной статье, выполните установку Office SharePoint Server 2007 типа Полная на всех серверах, где необходим Office SharePoint Server 2007.

Запуск мастера настройки продуктов и технологий SharePoint и создание новой фермы

Для сценария, описанного в данной статье, сначала следует запустить мастер настройки продуктов и технологий SharePoint на сервере службы индексирования поиска MOSSADMIN для того, чтобы на нем было размещено веб-приложение центра администрирования Office SharePoint Server 2007.

На сервере с именем MOSSCRAWL по завершении процесса настройки появится диалоговое окно Настройка завершена, в котором установлен флажок для запуска мастера настройки продуктов и технологий SharePoint. Не снимайте флажок и закройте это окно, чтобы запустить мастер.

При использовании мастера настройки продуктов и технологий SharePoint на данном компьютере дайте ему команду создать новую ферму на основе следующих параметров.

  • Имя сервера базы данных (в данной статье это сервер с именем MOSSSQL).

  • Имя базы данных конфигурации (можно использовать имя по умолчанию или задать новое).

  • Сведения об учетной записи доступа к базе данных (администратора фермы). В данном случае это учетная запись mydomain\mossfarmadmin.

  • Сведения, необходимые для веб-приложения центра администрирования Office SharePoint Server 2007. В данном случае это следующая информация.

    • Номер порта веб-приложения центра администрирования: 10000.

    • Метод проверки подлинности: согласование.

После предоставления всех необходимых сведений действия мастера настройки продуктов и технологий SharePoint должны успешно завершиться. В этом случае проверьте наличие доступа к домашней странице веб-приложения центра администрирования Office SharePoint Server 2007 с помощью проверки подлинности Kerberos.Для этого выполните следующие операции.

  1. Подключитесь к другому серверу с Office SharePoint Server 2007 или другому компьютеру в домене mydomain в качестве mydomain\pscexec. Не проверяйте правильность выполнения проверки подлинности Kerberos непосредственно на компьютере, где размещено веб-приложение центра администрирования Office SharePoint Server 2007. Это следует сделать с отдельного компьютера в домене.

  2. На этом сервере запустите Internet Explorer и попытайтесь перейти по следующему URL-адресу: http://mossadmin.mydomain.net:10000. Должна открыться домашняя страница центра администрирования.

  3. Чтобы убедиться в том, что доступ к центру администрирования был осуществлен с помощью проверки подлинности Kerberos, перейдите на компьютер с именем MOSSADMIN, запустите средство просмотра событий и найдите журнал безопасности. Обратите внимание на запись "Аудит успехов",которая должна выглядеть так же, как в следующей таблице.

    Тип события

    Аудит успехов

    Источник события

    Безопасность

    Категория события

    Вход/Выход

    Код события

    540

    Дата

    1 ноября 2007 г.

    Время

    14:22:20

    Пользователь

    MYDOMAIN\pscexec

    Компьютер

    MOSSADMIN

    Описание

    В следующей таблице приведен пример успешного входа в сеть.

    Имя пользователя

    pscexec

    Домен

    MYDOMAIN

    Идентификатор входа

    (0x0,0x1D339D3)

    Тип входа

    3

    Процесс входа

    Kerberos

    Пакет проверки подлинности

    Kerberos

    Имя рабочей станции

    GUID входа

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    Имя пользователя вызывающего

    Домен вызывающего

    Код входа вызывающего

    Код процесса вызывающего

    Промежуточные службы

    Адрес сети источника

    192.168.100.100

    Порт источника

    2505

Результатом проверки этой записи журнала являются те же сведения, что и в предыдущей.

  • Проверьте, что введено правильное имя пользователя; подключение к интерфейсному веб-серверу с Office SharePoint Server 2007, на котором размещен узел портала, выполнено под учетной записью mydomain\pscexec.

  • Убедитесь, что тип входа — 3. Вход с типом 3 является входом в сеть.

  • Убедитесь, что для процесса входа и пакета проверки подлинности используется проверка подлинности Kerberos. Это подтверждает, что доступ к веб-приложению осуществляется с помощью проверки подлинности Kerberos.

  • Убедитесь, что адрес сети источника совпадает с IP-адресом компьютера, с которого было выполнено подключение.

Если домашняя страница центра администрирования не открывается и отображается сообщение В доступе отказано, возникает ошибка проверки подлинности Kerberos. Обычно существует только две причины такого сбоя.

  • SPN в Active Directory не было зарегистрировано для соответствующей учетной записи. Оно должно быть зарегистрировано для mydomain\mossfarmadmin.

  • SPN в Active Directory не соответствует SPN, созданному браузером Internet Explorer, или является недопустимым по другой причине. Наиболее распространенной причиной является то, что Internet Explorer не создает SPN, содержащее верный номер порта. Сведения по устранению этой проблемы см. в предыдущем разделе Настройка Internet Explorer для включения номеров портов в имена участников служб. Возможно, номер порта из SPN, зарегистрированного в Active Directory, был пропущен. В любом случае перед выполнением следующих действий эта ошибка должна быть исправлена, центр администрирования должен работать, используя проверку подлинности Kerberos.

Примечание

Для диагностики и отслеживания действий, происходящих в сети, используется сетевой анализатор, такой как системный монитор Microsoft. После сбоя проверьте журнал трассировки и найдите пакеты протокола KerberosV5 Protocol. Необходимо найти пакет с SPN, созданным браузером Internet Explorer. Если это SPN не содержит номер порта, необходимо применить исправление, описанное в разделе Настройка Internet Explorer для включения номеров портов в имена участников служб. Если SPN в трассировке верно, то либо SPN в Active Directory недопустимо, либо SPN было зарегистрировано для неправильной учетной записи.

Запуск мастера настройки продуктов и технологий SharePoint и присоединение других серверов к ферме

Теперь, когда ферма создана и можно успешно обращаться в центр администрирования с помощью проверки подлинности Kerberos, необходимо запустить мастер настройки продуктов и технологий SharePoint и присоединить к ферме другие серверы.

На каждом из четырех других серверов с Office SharePoint Server 2007 (mossfe1, mossfe2, mossquery и mosscrawl) должна быть завершена установка Office SharePoint Server 2007, и должно отображаться диалоговое окно завершения настройки с установленным флажком для запуска мастера настройки продуктов и технологий SharePoint. Не снимайте флажок и закройте это окно, чтобы запустить мастер. Выполните действия по присоединению каждого из этих серверов к ферме.

После выполнения действий мастера настройки продуктов и технологий SharePoint на каждом добавленном в ферму сервере проверьте, что каждый из них может отображать центр администрирования, запущенный на сервере MOSSADMIN. Если на каком-либо сервере вывод центра администрирования невозможен, то прежде чем продолжить, выполните соответствующие действия по устранению проблемы.

Настройка служб на серверах фермы

Настройте определенные службы Windows SharePoint Services 3.0 и Office SharePoint Server 2007 для выполнения на конкретных серверах с Windows SharePoint Services 3.0 и Office SharePoint Server 2007 в ферме, используя учетные записи, представленные в следующих разделах.

Примечание

В этом разделе отсутствует подробное описание пользовательского интерфейса. Здесь представлены только высокоуровневые инструкции. Прежде чем продолжить, необходимо ознакомиться со сведениями о центре администрирования и с инструкциями по выполнению необходимых действий.

Откройте центр администрирования и выполните следующие действия по настройке служб на указанных серверах, используя указанные учетные записи.

Поиск Windows SharePoint Services

В списке служб на странице "Сервер" в центре администрирования выполните следующее.

  1. Выберите сервер MOSSQUERY.

  2. В списке служб, расположенном почти в центре страницы, найдите службу поиска Windows SharePoint Services 3.0, а затем в столбце Действие щелкните Запустить.

  3. На следующей странице укажите учетные данные для учетной записи службы поиска Windows SharePoint Services 3.0 и для учетной записи доступа к содержимому Windows SharePoint Services 3.0. В примере в данной статье учетная запись службы поиска Windows SharePoint Services 3.0 — mydomain\wsssearch, учетная запись доступа к содержимому Windows SharePoint Services 3.0 — mydomain\wsscrawl. Введите имена и пароли учетных записей в соответствующие поля страницы, а затем щелкните Запустить.

Сервер индексирования

В списке служб на странице "Сервер" в центре администрирования выполните следующее.

  1. Выберите сервер MOSSCRAWL.

  2. В списке служб, расположенном почти в центре страницы, найдите службу поиска Office SharePoint Server 2007, а затем в столбце Действие щелкните Запустить.

На следующей странице установите флажок Использовать этот сервер для индексации содержимого и укажите учетные данные для учетной записи службы поиска Office SharePoint Server 2007. В сценарии, представленном в данной статье, учетной записью службы поиска Office SharePoint Server 2007 является mydomain\mosssearch. Введите имена и пароли учетных записей в соответствующие поля страницы, а затем щелкните Запустить.

Сервер запросов

В списке служб на странице "Сервер" в центре администрирования выполните следующее.

  1. Выберите сервер MOSSQUERY.

  2. В списке служб, расположенном почти в центре страницы, найдите службу поиска Office SharePoint Server 2007, а затем в столбце "Служба" щелкните имя службы.

На следующей странице установите флажок Использовать этот сервер для обслуживания запросов поиска, а затем нажмите кнопку ОК.

Создание веб-приложений, использующих проверку подлинности Kerberos

В этом разделе выполняется создание веб-приложений, используемых для сайта портала, личного сайта и сайта администрирования общих служб в ферме.

Примечание

В этом разделе отсутствует подробное описание пользовательского интерфейса. Здесь представлены только высокоуровневые инструкции. Прежде чем продолжить, необходимо ознакомиться со сведениями о центре администрирования и с инструкциями по выполнению необходимых действий.

Создание веб-приложения сайта портала

  1. В центре администрирования на странице "Управление приложениями" щелкните Создание или расширение веб-приложения.

  2. На следующей странице щелкните Создать веб-приложение.

  3. Убедитесь, что на следующей странице установлен флажок Создать веб-узел IIS.

    • В поле Описание введите PortalSite.

    • В поле Порт введите 80.

    • В поле Заголовок узла введите kerbportal.mydomain.net.

  4. Проверьте, что в качестве поставщика системы проверки подлинности для этого веб-приложения выбрано Согласование.

  5. Создайте это веб-приложение в зоне по умолчанию. Не изменяйте зону для данного веб-приложения.

  6. Убедитесь, что установлен флажок Создать пул приложений.

    • В поле Имя пула приложений введите PortalAppPool.

    • Убедитесь что установлен флажок Настраиваемый. В поле Имя пользователя введите учетную запись mydomain\portalpool.

  7. Нажмите кнопку ОК.

  8. Убедитесь, что веб-приложение успешно создано.

Примечание

Если требуется использовать подключение SSL и привязать веб-приложение к порту 443, введите 443 в поле Порт и на странице "Создание веб-приложения" установите флажок Использовать SSL. Кроме того, следует установить групповой сертификат SSL. Он необходим при использовании привязки заголовков сайтов IIS на веб-сайте IIS, настроенном для SSL. Дополнительные сведения о заголовках сайтов SSL в IIS см. в статье Настройка заголовков сайтов SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419).

Создание веб-приложения личного сайта

  1. В центре администрирования на странице "Управление приложениями" щелкните Создание или расширение веб-приложения.

  2. На следующей странице щелкните Создать веб-приложение.

  3. Убедитесь, что на следующей странице установлен флажок Создать веб-узел IIS.

    • В поле Описание введите MySite.

    • В поле Порт введите 80.

    • В поле Заголовок сайта введите kerbmysite.mydomain.net.

  4. Проверьте, что в качестве поставщика системы проверки подлинности для этого веб-приложения выбрано Согласование.

  5. Создайте это веб-приложение в зоне по умолчанию. Не изменяйте зону для данного веб-приложения.

  6. Убедитесь, что установлен флажок Создать пул приложений.

    • В поле Имя пула приложений введите MySiteAppPool.

    • Убедитесь, что установлен флажок Настраиваемый. В поле Имя пользователя введите учетную запись mydomain\mysitepool.

  7. Нажмите кнопку ОК.

  8. Убедитесь, что веб-приложение успешно создано.

Примечание

Если требуется использовать подключение SSL и привязать веб-приложение к порту 443, введите 443 в поле Порт и на странице "Создание веб-приложения" установите флажок Использовать SSL. Кроме того, следует установить групповой сертификат SSL. Он необходим при использовании привязки заголовков сайтов IIS на веб-сайте IIS, настроенном для SSL. Дополнительные сведения о заголовках сайтов SSL в IIS см. в статье Настройка заголовков сайтов SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419).

Создание веб-приложения сайта администрирования общих служб

  1. В центре администрирования на странице "Управление приложениями" щелкните Создание или расширение веб-приложения.

  2. На следующей странице щелкните Создать веб-приложение.

  3. Убедитесь, что на следующей странице установлен флажок Создать веб-узел IIS.

    • В поле Описание введите SSPAdminSite.

    • В поле Порт введите 80.

    • В поле Заголовок сайта введите kerbsspadminsite.mydomain.net.

  4. Проверьте, что в качестве поставщика системы проверки подлинности для этого веб-приложения выбрано Согласование.

  5. Создайте это веб-приложение в зоне по умолчанию. Не изменяйте зону для данного веб-приложения.

  6. Убедитесь, что установлен флажок Создать пул приложений.

    • В поле Имя пула приложений введите SSPAdminSiteAppPool.

    • Убедитесь что установлен флажок Настраиваемый. В поле Имя пользователя введите учетную запись mydomain\sspadminpool.

  7. Нажмите кнопку ОК.

  8. Убедитесь, что веб-приложение успешно создано.

Примечание

Если требуется использовать подключение SSL и привязать веб-приложение к порту 443, введите 443 в поле Порт и на странице "Создание веб-приложения" установите флажок Использовать SSL. Кроме того, следует установить групповой сертификат SSL. Он необходим при использовании привязки заголовков сайтов IIS на веб-сайте IIS, настроенном для SSL. Дополнительные сведения о заголовках сайтов SSL в IIS см. в статье Настройка заголовков сайтов SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x419).

Создание семейства сайтов с помощью шаблона портала совместной работы в веб-приложении сайта портала

В этом разделе семейство сайтов формируется на сайте портала в специально созданном для этого веб-приложении.

Примечание

В этом разделе отсутствует подробное описание пользовательского интерфейса. Здесь представлены только высокоуровневые инструкции. Прежде чем продолжить, необходимо ознакомиться со сведениями о центре администрирования и с инструкциями по выполнению необходимых действий.

  1. В центре администрирования на странице "Управление приложениями" щелкните Создание семейства сайтов.

  2. На следующей странице выберите нужное веб-приложение. Например, в этой статье выберите http://kerbportal.mydomain.net.

  3. Введите заголовок и описание для семейства сайтов.

  4. Оставьте адрес веб-сайта без изменений.

  5. В разделе Выбор шаблона в группе Выбрать шаблон перейдите на вкладку Публикация и выберите шаблон Портал совместной работы.

  6. В разделе Главный администратор семейства сайтов введите mydomain\pscexec.

  7. Укажите дополнительного администратора семейства сайтов.

  8. Нажмите кнопку ОК.

  9. Убедитесь, что семейство сайтов портала успешно создано.

Создание поставщика общих служб для фермы

Создайте поставщика общих служб для фермы.

Примечание

В этом разделе отсутствует подробное описание пользовательского интерфейса. Здесь представлены только высокоуровневые инструкции. Прежде чем продолжить, необходимо ознакомиться со сведениями о центре администрирования и с инструкциями по выполнению необходимых действий.

  1. В центре администрирования на странице "Управление приложениями" выберите Создание или настройка общих служб данной фермы.

  2. На следующей странице выберите Создать поставщика общих служб.

  3. На следующей странице в разделе Имя SSP в поле Имя SSP введите SSP1. Затем в поле Веб-приложение выберите веб-приложение, созданное для сайта администрирования общих служб. Например, в данной статье нужно выбрать веб-приложение с именем SSPAdminSite.

    • В разделе MySite в поле Веб-приложение выберите веб-приложение, созданное для личного веб-сайта. Например, в данной статье нужно выбрать веб-приложение с именем MySite.

    • В разделе Учетные данные службы поставщика общих служб в поле Имя пользователя введите mydomain\sspsvc.

  4. Нажмите кнопку ОК.

  5. Убедитесь, что поставщик общих служб фермы успешно создан.

Подтверждение успешного доступа к веб-приложениям с помощью проверки подлинности Kerberos

Убедитесь, что для недавно созданных веб-приложений работает проверка подлинности Kerberos. Начните с сайта портала.

Для этого выполните следующие операции.

  1. Подключитесь к серверу с Office SharePoint Server 2007, а не к любому из двух интерфейсных веб-серверов, настроенных для NLB как mydomain\pscexec. Не проверяйте правильность выполнения проверки подлинности Kerberos непосредственно на одном из компьютеров, где размещены веб-сайты с балансировкой нагрузки, использующие проверку подлинности Kerberos. Это следует сделать с отдельного компьютера в домене.

  2. Запустите Internet Explorer в этой другой системе и попытайтесь перейти по следующему URL-адресу: http://kerbportal.mydomain.net.

Должен открыться сайт портала, прошедшего проверку подлинности Keberos.

Чтобы убедиться в том, что для доступа к сайту портала использовалась проверка подлинности Kerberos, перейдите на один из интерфейсных веб-серверов с балансировкой нагрузки, запустите средство просмотра событий и просмотрите журнал безопасности. На одном из интерфейсных веб-серверов должна находится запись "Аудит успехов", сходная с представленной в следующей таблице. Обратите внимание, что прежде чем найти эту запись, возможно, придется выполнить поиск на обоих веб-серверах. Это зависит от системы, обработавшей запрос с балансировкой нагрузки.

Тип события

Аудит успехов

Источник события

Безопасность

Категория события

Вход/Выход

Код события

540

Дата

1 ноября 2007 г.

Время

17:08:20

Пользователь

MYDOMAIN\pscexec

Компьютер

mossfe1

Описание

В следующей таблице приведен пример успешного входа в сеть.

Имя пользователя

pscexec

Домен

MYDOMAIN

Идентификатор входа

(0x0,0x1D339D3)

Тип входа

3

Процесс входа

Проверка подлинности Kerberos

Имя рабочей станции

GUID входа

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Имя пользователя вызывающего

Домен вызывающего

Код входа вызывающего

Код процесса вызывающего

Промежуточные службы

Адрес сети источника

192.168.100.100

Порт источника

2505

Результатом проверки этой записи журнала являются те же сведения, что и в предыдущей.

  • Проверьте, что введено правильное имя пользователя; подключение к интерфейсному веб-серверу с Office SharePoint Server 2007, на котором размещен сайт портала, выполнено под учетной записью mydomain\pscexec.

  • Убедитесь, что тип входа — 3. Вход с типом 3 является входом в сеть.

  • Убедитесь, что для процесса входа и пакета проверки подлинности используется проверка подлинности Kerberos. Это подтверждает, что доступ к сайту портала осуществляется с помощью проверки подлинности Kerberos.

  • Убедитесь, что адрес сети источника совпадает с IP-адресом компьютера, с которого было выполнено подключение.

Если домашняя страница сайта портала не открывается и отображается сообщение "В доступе отказано", произошел сбой проверки подлинности Kerberos. Обычно выделяют несколько причин.

  • SPN в Active Directory не было зарегистрировано для соответствующей учетной записи. Его необходимо зарегистрировать для mydomain\portalpool, для веб-приложения сайта портала.

  • SPN в Active Directory не соответствует SPN, созданному браузером Internet Explorer или является недопустимым по другой причине. В этом случае, поскольку используются заголовки сайтов IIS без явно указанных номеров портов, зарегистрированное в Active Directory SPN отличается от заголовка сайта IIS, заданного при расширении веб-приложения. Эту ситуацию необходимо исправить, чтобы обеспечить правильное функционирование проверки подлинности Kerberos.

Примечание

Для диагностики и отслеживания действий, происходящих в сети, используется сетевой анализатор, такой как системный монитор Microsoft. После сбоя проверьте журнал трассировки и найдите пакеты протокола KerberosV5 Protocol. Необходимо найти пакет с SPN, созданным браузером Internet Explorer. Если это SPN не содержит номер порта, необходимо применить исправление, описанное в разделе Настройка Internet Explorer для включения номеров портов в имена участников служб. Если SPN в трассировке верно, то либо SPN в Active Directory недопустимо, либо SPN было зарегистрировано для неправильной учетной записи.

После того, как проверка подлинности начнет работать на сайте портала, перейдите к прошедшим проверку личному сайту и сайту администрирования общих служб по следующим URL-адресам:

Примечание

При первом обращении к URL-адресу личного сайта на создание личного сайта для вошедшего в систему пользователя Office SharePoint Server 2007 потребуется некоторое время. Этот процесс должен быть успешно завершен, после чего для этого пользователя должна открыться страница личного сайта.

Все должно функционировать должным образом. В случае сбоя см. предыдущие действия по устранению неполадок.

Подтверждение правильности функционирования индексирования поиска

Проверьте, что служба индексирования поиска успешно обходит содержимое, размещенное в ферме. Это действие необходимо выполнить до проверки результатов запросов поиска для пользователей, которые обращаются к сайтам, использующим проверку подлинности Kerberos.

Примечание

В этом разделе отсутствует подробное описание пользовательского интерфейса. Здесь представлены только высокоуровневые инструкции. Прежде чем продолжить, необходимо ознакомиться со сведениями о центре администрирования и с инструкциями по выполнению необходимых действий.

  1. Откройте веб-приложение сайта администрирования общих служб, расположенное по адресу http://kerbsspadmin.mydomain.net/ssp/admin.

  2. На этой станице щелкните Параметры поиска.

  3. На следующей странице выберите Источники содержимого и расписания обхода.

  4. На следующей странице откройте ECB для Источники содержимого Office SharePoint Server и в раскрывающемся списке выберите вариант Начать полный обход содержимого.

  5. Дождитесь завершения процесса обхода. В случае сбоя необходимо выяснить и устранить его причину, а затем выполнить полный обход. Если возникают ошибки "В доступе отказано", то это связано с тем, что либо у учетной записи обхода отсутствуют права на доступ к источникам контента, либо проверка подлинности Kerberos завершилась неудачей. Несмотря на причину, эту ошибку следует устранить до перехода к следующему шагу.

Прежде чем продолжить, необходимо выполнить полный обход веб-приложений, прошедших проверку подлинности Kerberos.

Подтверждение правильности функционирования запросов поиска

Чтобы проверить, что служба запросов поиска возвращает результаты пользователям сайта портала, использующего проверку подлинности Kerberos, выполните следующие действия.

  1. Откройте Internet Explorer в системе в mydomain.net и перейдите по адресу http://kerbportal.mydomain.net.

  2. Когда откроется домашняя страница сайта портала в поле Поиск введите ключевое слово поиска, а затем нажмите клавишу ВВОД.

  3. Убедитесь, что возвращены результаты запроса поиска. Если их нет, проверьте допустимость введенного ключевого слова в развертывании, правильность работы службы индексирования поиска, выполнение службы поиска на серверах индексирования поиска и запросов поиска, а также отсутствие проблем с распространением поиска от сервера индексирования поиска до сервера запросов поиска.

Настройка инфраструктуры SSP для проверки подлинности Kerberos.

Примечание

Эта необязательная процедура, для которой требуется установка Обновление инфраструктуры для серверов Microsoft Office Servers. Без установки Обновление инфраструктуры для серверов Microsoft Office Servers проверку подлинности Kerberos нельзя надлежащим образом настроить для Office SharePoint Server 2007.

Обновление инфраструктуры для серверов Microsoft Office Servers содержит новое SPN пользовательского формата для проверки подлинности Kerberos для инфраструктуры SSP. SPN пользовательского формата представляет новый класс службы — MSSP. SPN имеет следующий формат: MSSP/<host:port>/<SSP name>.

Новое SPN пользовательскогоформата задает свойство .NET Framework, указывающее .NET Framework использовать конкретное SPN для заданного URI. Это платформа .NET Framework, используемая для межсерверных вызовов к веб-службам инфраструктуры SSP Office SharePoint Server 2007.

При проверке инфраструктуры SSP на сервере приложений Office SharePoint Server 2007 можно заметить наличие общей службы поиска как на корневом уровне, так и на уровне виртуального каталога в IIS. Кроме того, на уровне виртуального каталога в IIS находится общая служба вычислений Excel (ECS). После настройки инфраструктуры SSP для проверки подлинности Kerberos Kerberos будет использоваться для доступа к общим службам и на корневом уровне, и на уровне виртуального каталога.

Регистрировать SPN для веб-служб корневого уровня не нужно. Необходимо зарегистрировать SPN только для веб-служб уровня виртуального каталога. Это связано с тем, что при присоединении компьютера к домену SPN HOST-класса автоматически регистрируется для учетной записи компьютера в домене, и SPN будет работать для веб-службы корневого уровня. Однако регистрировать SPN, относящиеся к виртуальным каталогам, которые фактически сопоставлены SSP в ферме, не надо.

Для успешной настройки инфраструктуры SSP для проверки подлинности Kerberos необходимо выполнить следующие действия.

  1. зарегистрировать новые SPN в пользовательском формате для учетной записи службы SSP в Active Directory;

  2. выполнить средство командной строки Stsadm для установки инфраструктуры SSP на использование проверки подлинности Kerberos;

  3. добавить новый раздел реестра на все серверы с Office SharePoint Server 2007 для активации процесса создания новых SPN пользовательского формата;

  4. пдтвердить проверку подлинности Kerberos для доступа к общим веб-службам корневого уровня;

  5. подтвердить проверку подлинности Kerberos для доступа к общим веб-службам уровня виртуального каталога.

Примечание

В предыдущей процедуре шаги 4 и 5 относятся к общей веб-службе searchadmin.asmx. Эта связанная с поиском общая веб-служба находится и на корневом уровне инфраструктуры SSP, и на уровне виртуального каталога инфраструктуры SSP. Общую службу поиска корневого уровня можно принять за глобальную веб-службу, относящуюся к конфигурации параметров службы поиска Office SharePoint Server 2007 на уровне служб на сервере в центре администрирования Office SharePoint Server 2007. Общая служба поиска уровня виртуального каталога связана с конкретным SSP в ферме и используется при настройке параметров поиска, характерных для данного SSP, на сайте администрирования общих служб. При контроле проверки подлинности Kerberos для доступа к общим службам корневого уровня процесс создания или использования SPN нового формата не отображается. При доступе к веб-службе уровня виртуального каталога будут видны только SPN нового пользовательского формата; однако, необходимо проверить, что доступ к общей службе функционирует на обоих уровнях.

Регистрация новых SPN в пользовательском формате для учетной записи службы SSP в Active Directory

В этой статье используется учетная запись службы SSP (mydomain\sspsvc) и имя созданного SSP (SSP1). Инфраструктура SSP существует на всех серверах фермы, поэтому необходимо создать SPN, относящиеся ко всем серверам с Office SharePoint Server 2007. Поскольку инфраструктура SSP привязана к порту TCP 56737 и порту SSL 56738, требуются SPN, содержащие оба номера портов. В связи с этим для каждого сервера приложений требуется два SPN. Для примеров в данной статье следует создать десять 10 SPN.

Для создания SPN для инфраструктуры SSP выполните следующую процедуру.

  1. Подключитесь к контроллеру домена Active Directory с помощью учетных записей пользователя, имеющего разрешения административного уровня для домена.

  2. В диалоговом окне Выполнить введите ADSIEDIT.MSC.

  3. В диалоговом окне "Консоль управления" разверните папку контейнера домена.

  4. Разверните папку контейнера, содержащую учетные записи пользователей, например CN=Users.

  5. Прейдите к контейнеру для учетной записи службы SSP, например CN=sspsvc.

  6. Правой кнопкой мыши щелкните учетную запись службы SSP, а затем выберите пункт Свойства.

  7. В диалоговом окне "Учетная запись службы SSP" в списке свойств найдите вариант servicePrincipalName.

  8. Выберите свойство servicePrincipalName и щелкните Изменить.

  9. В поле Добавляемое значение в диалоговом окне Редактор многозначных строк добавьте следующие SPN:

    • MSSP/mossfe1:56737/SSP1

    • MSSP/mossfe1:56738/SSP1

    • MSSP/mossfe2:56737/SSP1

    • MSSP/mossfe2:56738/SSP1

    • MSSP/mossadmin:56737/SSP1

    • MSSP/mossadmin:56738/SSP1

    • MSSP/mosscrawl:56737/SSP1

    • MSSP/mosscrawl:56738/SSP1

    • MSSP/mossquery:56737/SSP1

    • MSSP/mossquery:56738/SSP1

Выполнение средства командной строки Stsadm для установки инфраструктуры SSP на использование проверки подлинности Kerberos

Чтобы настроить инфраструктуру SSP на использование проверки подлинности Kerberos, выполните следующую процедуру.

  1. Подключитесь к контроллеру домена Active Directory с помощью учетных записей пользователя, имеющего разрешения административного уровня для домена.

  2. На одном из серверов с Office SharePoint Server 2007 откройте командную строку.

  3. Перейдите в каталог %COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin.

  4. Введите команду stsadm –o setsharedwebserviceauthn –negotiate, а затем нажмите клавишу ВВОД.

Прежде чем перейти к следующему шагу, убедитесь в успешном выполнении команды.

По завершении этой процедуры команда применяется ко всем созданным в ферме SSP, включая SSP, созданные после успешного выполнения данной команды.

Добавление нового раздела реестра на все серверы, где выполняется Office SharePoint Server, для создания новых SPN в пользовательском формате

Управление созданием нового SPN в пользовательском формате осуществляется с помощью установки нового раздела реестра, представленного в Обновление инфраструктуры для серверов Microsoft Office Servers. Чтобы создать новые SPN, этот раздел реестра необходимо добавить на все серверы фермы, после чего их следует перезапустить.

Для активации новой функциональности выполните следующие действия на каждом сервере фермы.

  1. Войдите в систему в качестве локального администратора.

  2. Запустите редактор реестра и добавьте следующий новый раздел реестра: HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat" (REG_DWORD) = 1

  3. Перезагрузите сервер. Важно помнить, что это необходимо для ввода нового раздела реестра в действие.

Предупреждение

Неправильное изменение реестра может нанести серьезный вред системе. Перед изменением реестра создайте резервную копию всех важных данных.

Подтверждение проверки подлинности Kerberos для доступа к общим службам корневого уровня

Для подтверждения использования проверки подлинности Kerberos для общих служб корневого уровня выполните следующую процедуру.

  1. Войдите на компьютер, где размещено веб-приложение центра администрирования. Если используется пример в данной статье, выполните вход в MOSSADMIN.

  2. Перейдите в центр администрирования по адресу http://mossadmin.mydomain.net:10000

  3. На домашней странице центра администрирования щелкните Операции.

  4. На странице "Операции" щелкните Службы на сервере.

  5. В разделе Сервер нажмите стрелку раскрывающегося списка серверов фермы и выберите сервер запросов поиска. Если используется пример в данной статье, выберите MOSSQUERY.

  6. После обновления страницы убедитесь, что указан правильный сервер запросов, а затем в разделе Службавыберите Поиск Office SharePoint Server.

  7. Убедитесь, что открыта страница "Настройка параметров службы поиска Office SharePoint Server на сервере mossquery".

  8. Чтобы убедиться, что для отображения страницы использовалась проверка подлинности Kerberos, выполните следующие действия.

    • Подключитесь к серверу запросов поиска. Если используется пример в данной статье, подключитесь к машине MOSS с именем MOSSQUERY.

    • Запустите средство просмотра событий Windows.

    • Просмотрите журнал событий безопасности.

    • Обратите внимание на запись журнала с данными, аналогичными приведенным в следующей таблице.

      Тип события

      Аудит успехов

      Источник события

      Безопасность

      Категория события

      Вход/Выход

      Код события

      540

      Дата

      6 мая 2008 г.

      Время

      00:12:17

      Пользователь

      MYDOMAIN\pscexec

      Компьютер

      MOSSQUERY

      Описание

В следующей таблице приведен пример успешного входа в сеть.

Имя пользователя

pscexec

Домен

MYDOMAIN

Идентификатор входа

(0x0,0x7252B10)

Тип входа

3

Процесс входа

Kerberos

Пакет проверки подлинности

Kerberos

Имя рабочей станции

GUID входа

{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49}

Имя пользователя вызывающего

Домен вызывающего

Код входа вызывающего

Код процесса вызывающего

Промежуточные службы

Адрес сети источника

192.168.100.100

Порт источника

1964

Важно!

Повторите эту процедуру для сервера службы индексирования поиска, чтобы проверить обновление страницы и наличие записи журнала средства просмотра событий об использовании пакета проверки подлинности Kerberos для доступа к странице.

Подтверждение проверки подлинности Kerberos для доступа к общим службам уровня виртуального каталога

Это последний этап процесса настройки и развертывания фермы серверов с Office SharePoint Server 2007, использующей проверку подлинности Kerberos.

Чтобы убедиться в том, что для доступа к общим службам уровня виртуального каталога использовалась проверка подлинности Kberos, выполните следующую процедуру.

  1. Откройте домашнюю страницу администрирования общих служб.

  2. Определите интерфейсный веб-сервер с балансировкой нагрузки, отвечающий на этот запрос.

  3. На интерфейсном веб-сервере, отвечающем на запрос, запустите сетевой монитор и фильтр записи для записи пакетов протокола KerberosV5. При использовании сетевого монитора 3.2 это будет фильтр protocol.KerberosV5.

  4. Запустите сетевой монитор.

  5. На домашней странице сайта администрирования общих служб щелкните Параметры поиска.

  6. Убедитесь, что открыта страница "Параметры поиска".

  7. Остановите пробную проверку и просмотрите записанные пакеты. Должны отображаться пакеты протокола Kerberos с описаниями, аналогичными представленным в следующей таблице.

KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET

KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET

KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1

KerberosV5:TGS Response Cname: sspadminpool

Значение Sname в предыдущем примере (MSSP/mosscrawl:56738/SSP1) является SPN нового формата, созданным и отправленным в KDC Kerberos как результат изменений, представленных в Обновление инфраструктуры для серверов Microsoft Office Servers.

Подключитесь к серверу индексирования (в данном примере это сервер MOSSCRAWL). Запустите средство просмотра событий и просмотрите журнал безопасности. Там должна быть запись, сходная с данными, представленными в следующей таблице.

Тип события

Аудит успехов

Источник события

Безопасность

Категория события

Вход/Выход

Код события

540

Дата

6 мая 2008 г.

Время

13:21:04

Пользователь

MYDOMAIN\sspadminpool

Компьютер

MOSSCRAWL

Описание

В следующей таблице приведен пример успешного входа в сеть.

Имя пользователя

sspadminpool

Домен

MOSSCRAWL

Идентификатор входа

(0x0,0xD84A6)

Тип входа

3

Процесс входа

Kerberos

Пакет проверки подлинности

Kerberos

Имя рабочей станции

GUID входа

{2f1cccb3-c10d-27e5-9896-0f918e8ad796}

Имя пользователя вызывающего

Домен вызывающего

Код входа вызывающего

Код процесса вызывающего

Промежуточные службы

Адрес сети источника

192.168.150.100

Порт источника

1513

Ограничения конфигурации

Существует несколько ограничений конфигурации относительно использования проверки подлинности Kerberos для инфраструктуры SSP, использующей Обновление инфраструктуры для серверов Microsoft Office Servers.

  • Часть имени узла созданных SPN нового формата будет именем NetBIOS узла, на котором выполняется служба, например MSSP/kerbtest4:56738/SSP1. Это связано с тем, что имена сайтов получены из базы данных конфигурации Office SharePoint Server 2007, и только имена компьютеров NetBIOS хранятся в базе данных конфигурации Office SharePoint Server 2007. В некоторых случаях это может быть неоднозначным. В текущий момент средство командной строки Stsadm, запускаемое для переименования сервера с Office SharePoint Server 2007, не может успешно использоваться для переименования сервера с Office SharePoint Server 2007, поэтому решения этой проблемы не существует.

  • Не используйте имена SSP, содержащие знаки расширенного набора. SPN с именем SSP, содержащим знаки расширенного набора, не может быть выбрано в качестве конечного объекта для делегирования. Поэтому использования этих знаков в именах SSP следует избегать.

Дополнительные ресурсы и руководство по устранению неполадок

Продукт/технология Ресурс

Windows Server 2003

Сообщения об ошибках для кода события 10017 регистрируются в системном журнале после установки Windows SharePoint Services 3.0 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=120456&clcid=0x419) (на английском языке)

SQL Server

Как убедиться, что при создании удаленного подключения к экземпляру SQL Server 2005 используется проверка подлинности Kerberos (на английском языке) (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x419) (на английском языке)

SQL Server

Устранение проблемы "Не удается создать контекст SSPI" (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x419)

SQL Server

Настройка служб анализа SQL Server 2005 для использования проверки подлинности Kerberos (на английском языке) (https://go.microsoft.com/fwlink/?linkid=120459&clcid=0x419) (на английском языке)

.NET Framework

Свойство AuthenticationManager.CustomTargetNameDictionary (на английском языке) (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x419) (на английском языке)

Windows Internet Explorer

Internet Explorer 6 не может использовать протокол проверки подлинности Kerberos для подключения к веб-сайту, использующему заданный порт, в Windows XP и Windows Server 2003 (на английском языке) (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0x419) (на английском языке)

Windows Internet Explorer

При попытке доступа к веб-сайту, требующему проверку подлинности Kerberos на компьютере с Windows XP, выводится сообщение об ошибке: "Ошибка HTTP 401 — доступ запрещен: используются недействительные учетные данные" (на английском языке) (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x419) (на английском языке)

Проверка подлинности Kerberos

Технический справочник по проверке подлинности Kerberos (на английском языке) (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x419) (на английском языке)

Проверка подлинности Kerberos

Устранение ошибок Kerberos (на английском языке) (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x419) (на английском языке)

Проверка подлинности Kerberos

Переход протокола и ограниченное делегирование Kerberos (на английском языке) (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x419) (на английском языке)

IIS

Настройка заголовков сайтов SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x419)

Об авторе

Марк Гросбард (Mark Grossbard) — инженер по тестированию, тестирование MOSS для Office SharePoint Server в корпорации Майкрософт.

Загрузка этой книги

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

Полный список доступных книг см. в технической библиотеке Office SharePoint Server.