Настройка проверки подлинности Kerberos. Пошаговая настройка (SharePoint Server 2010)
Применимо к: SharePoint Server 2010
Последнее изменение раздела: 2016-11-30
В следующих статьях сценария мы создаем среду SharePoint Server 2010, чтобы продемонстрировать, как настроить делегирование в ряде типовых сценариев, с которыми можно столкнуться на предприятии. Эти указания позволят создать масштабируемую ферму SharePoint, похожую на описанную в следующем разделе.
Примечание
Некоторые из этапов настройки могут измениться или могут не работать с определенными топологиями фермы. Например, система с одним сервером не поддерживает службы Windows Identity Foundation C2WTS, поэтому сценарии делегирования утверждений маркерам Windows в этой конфигурации фермы невозможны.
Среда и топология фермы
На следующей схеме показана топология фермы, используемая при настройке сценариев в следующих разделах. В топологии фермы предусмотрена балансировка нагрузки и горизонтальное масштабирование между несколькими уровнями, чтобы можно было наглядно показать работу делегирования удостоверений в сценариях с несколькими серверами и несколькими "прыжками".
Примечание
Конфигурация фермы в демонстрациях не является эталонной архитектурой или примером проектирования топологии для производственных сред. Например, в топологии демонстрации все приложения-службы SharePoint Server 2010 выполняются на одном сервере, предоставляющем единственную точку отказа. Дополнительные сведения о проектировании и создании производственной среды SharePoint Server см. в статьях о физической и логической архитектуре SharePoint Server 2010 (Возможно, на английском языке) и о топологии для SharePoint Server 2010 (Возможно, на английском языке).
.jpg "Схема топологии примера фермы")
Примечание
В пошаговых руководствах этого сценария предполагается, что все компьютеры, на которых работает SharePoint Server, и источники данные, используемые в следующем сценарии, находятся в одном домене. Объяснение и пошаговые руководства для конфигурации с несколькими доменами или несколькими лесами в данном документе не рассматриваются.
Спецификация среды
Все компьютеры в среде демонстрации виртуализированы на сервере Windows Server 2008 R2 Hyper-V. Компьютеры входят в один домен Windows, vmlab.local, работающий на функциональных уровнях леса и домена Windows Server 2008.
Клиентский компьютер
- Windows 7 Профессиональная, 64-разрядный выпуск
Интерфейсные веб-серверы SharePoint Server
Windows Server 2008 R2 Enterprise, 64-разрядный выпуск
Службы:
- Служба веб-приложений
Балансировка сетевой нагрузки Windows
Сервер приложений SharePoint Server
Windows Server 2008 R2 Enterprise, 64-разрядный выпуск
Microsoft SharePoint Server 2010 (RTM)
Службы:
Утверждения WIF для службы маркеров Windows
Служба управляемых метаданных
Индекс SharePoint
Запрос SharePoint
Службы Excel
Служба графиков Visio
Business Connectivity Services
Службы Performance Point Services
Службы SQL Services
Windows Server 2008 R2 Enterprise, 64-разрядный выпуск
Microsoft SQL Server 2008 R2 Enterprise, 64-разрядный выпуск
Активная/пассивная конфигурация
Службы SQL Server:
SQL Data Engine
Службы SQL Server Analysis Services
Агент SQL Server
Браузер SQL
Сервер отчетов SQL Server
Windows Server 2008 R2 Enterprise, 64-разрядный выпуск (RTM)
Microsoft SQL Server 2008 R2 Enterprise, 64-разрядный выпуск (RTM)
Microsoft SharePoint Server 2010 (RTM)
Балансировка сетевой нагрузки Windows
Службы отчетов, режим интеграции с SharePoint
Службы отчетов, режим масштабирования
Спецификация веб-приложения
Сценарии в этом пошаговом руководстве ссылаются на набор веб-приложений SharePoint Server 2010, которые будут настроены в сценарии 1. Для следующих веб-приложений в демонстрационной среде настроена балансировка сетевой нагрузки Windows между двумя интерфейсными серверами SharePoint Server:
http://sp10CA Веб-приложение центра администрирования для фермы. В сценарии 1 настройка этого веб-приложения описываться не будет.
http://portal и https://portal Веб-приложение с демонстрационным порталом публикации. Оно используется, чтобы продемонстрировать, как настраивать делегирование для веб-приложений, работающих через стандартные порты (HTTP 80, HTTPS 443).
http://teams:5555 Веб-приложение с демонстрационным сайтом рабочей группы. Оно используется, чтобы продемонстрировать, как настраивать делегирование для веб-приложений, работающих через нестандартные порты. В этом примере используется порт 5555.
.jpg "Схема веб-приложения")
Конфигурация SSL
В некоторых из пошаговых сценариев будет использоваться SSL, чтобы продемонстрировать, как настраивать делегирование с использованием HTTPS. Предполагается, что используемые сертификаты выданы доверенным корневым центром сертификатов, либо внутренним, либо внешним, или все компьютеры настроены так, чтобы доверять используемым сертификатам. В этом документе не рассматривается, ни как правильно настроить доверие к сертификату, ни указания об отладке проблем, связанных с установкой сертификатов SSL. Настоятельно рекомендуется просмотреть эти разделы и проверить свою конфигурацию SSL перед настройкой ограниченного делегирования Kerberos с защищенными службами SSL. Дополнительные сведения см. в следующих статьях:
Обзор служб сертификатов Active Directory (https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x419)
Пошаговое руководство по службам сертификатов Active Directory (https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x419)
Настройка сертификатов серверов в IIS 7 (https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x419)
Настройка SSL для IIS 7: настройка безопасности: установка и настройка IIS 7: официальный сайт IIS корпорации Майкрософт (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x419) (Возможно, на английском языке)
Добавление привязки к сайту (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x419)
Настройка заголовка узла для веб-сайта (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x419) — (использование SSL с заголовками узлов)
Создание самозаверенного сертификата сервера в IIS 7 (https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x419)
Балансировка нагрузки
Балансировка нагрузки на интерфейсных веб-серверах SharePoint Server и серверах служб отчетов SQL Server реализована с помощью компонента балансировки сетевой нагрузки в Windows Server 2008. Сведения по настройке балансировки сетевой нагрузки и рекомендации не вошли в данный документ. Дополнительные сведения о балансировке сетевой нагрузки см. в статье, содержащей основные сведения о балансировке сетевой нагрузки.
Создание псевдонимов SQL
Ферма была создана с использованием псевдонима клиента SQL для подключения к кластеру SQL. Обычно этот вариант является рекомендуемым, в данном случае он используется, чтобы продемонстрировать, как настраивается проверка подлинности Kerberos при использовании псевдонимов SQL. В сценарии 2 предполагается, что среда настроена таким образом, но использование псевдонимов SQL не является обязательным для выполнения любого из приведенных ниже сценариев. Дополнительные сведения о настройке псевдонимов SQL см. в статье, описывающей создание псевдонима сервера для использования клиентом (диспетчер конфигураций SQL Server).
Советы по выполнению сценариев
В следующих сценариях понадобится выполнить различные действия, необходимые, чтобы настроить делегирование Kerberos для различных функций платформы SharePoint Server. При выполнении каждого раздела учитывайте следующее:
Во всех сценариях предполагается, что используются веб-приложения, настроенные для классической входящей проверки подлинности (Kerberos). В некоторых сценариях требуется классическая проверка подлинности, и они не будут работать документированным образом с входящей проверкой подлинности на основе утверждений.
Сначала добейтесь работы служб SharePoint Server без делегирования, чтобы гарантировать правильность настройки приложений-служб до перехода к более сложным конфигурациям с делегированием.
Попытайтесь уделить особое внимание каждому шагу, не пропустив ни одного из них
Проработайте сценарий 1 и потратьте время на знакомство со средствами отладки, упомянутыми в сценарии, так как они могут использоваться в других сценариях для обработки проблем конфигурации.
Не забудьте проработать сценарий 2. Понадобится компьютер с работающим SQL Server, настроенный для принятия проверки подлинности Kerberos, а также тестовая база данных, настраиваемая в этом сценарии для ряда последующих сценариев.
Всегда дважды щелкайте конфигурацию имени участника-службы, используя SetSPN -X и SetSPN -Q. Дополнительные сведения см. в приложении.
Пытаясь отладить проблему конфигурации, никогда не забывайте проверять журналы событий сервера и журналы единой службы ведения журнала (ULS). Эти журналы обычно содержат хорошие указатели, позволяющие быстро определить встретившиеся проблемы.
В случае проблем включайте сбор данных диагностики для "SharePoint Foundation->Проверка подлинности на основе утверждений" и любых задействованных приложений-служб.
Помните, что на каждый сценарий может оказать влияние кэширование приложения-службы. Если изменения, внесенные в конфигурацию, не отражаются на поведении платформы, попробуйте перезапустить пул приложений-служб или служб Windows. При отсутствии эффекта может помочь перезагрузка системы.
Помните, что запрошенные билеты Kerberos кэшируются. При использовании для просмотра TGT и запросов TGS такого средства, как NetMon, может понадобиться очистить кэш билетов, если ожидаемый трафик запросов не виден. В сценарии 1 Настройка проверки подлинности Kerberos. Базовая конфигурация (SharePoint Server 2010) объясняется, как использовать для этого служебные программы KLIST и KerbTray.
Для захвата трафика Kerberos не забудьте запустить NetMon с привилегиями администратора.
Для сценариев расширенной отладки может понадобиться включить трассировку WIF для утверждений для службы маркеров Windows и трассировку WCF для приложений-служб SharePoint (службы WCF). См.: