規劃 Office Online Server
總結:說明 Office Online Server 需求和必要條件,包括 HTTPS、憑證、虛擬化、負載平衡、拓撲和安全性。
對象:IT 專業人員
Office Online 伺服器 在內部部署環境中提供瀏覽器型版本的 Office 應用程式,讓使用者更有彈性和共同作業機會。 本文說明在您的組織中安裝 Office Online 伺服器 的需求和所需採取的步驟。
請務必仔細規劃,讓 SharePoint Server 和 Exchange Server 等所有主機都能與 Office Online Server 通訊。
請查看 Office Online Server 版本相容性清單以確保主機能夠相容。
Office Online Server 的軟體、硬體及設定需求
您可以將 Office Online Server 安裝為單一伺服器陣列,或安裝為多伺服器、負載平衡的伺服器數位。 您可以使用實體伺服器或虛擬機器。
在包含實際使用者資料的環境中,我們一律會建議您使用 HTTPS,而您必須為其取得憑證。 如果您在伺服器陣列中使用多部伺服器,則必須設定硬體或軟體負載平衡解決方案。 您可以在下列各節深入瞭解這些情況。
Office Online Server 的硬體需求
Office Online Server 使用與 SharePoint Server 2016 相同的最低硬體需求。
支援 Office Online Server 的作業系統
您可以在下列作業系統上執行 Office Online 伺服器:
64 位版本的 Windows Server 2012 R2
64 位版本的 Windows Server 2016 (Office Online Server 2018 年 11 月或更新版本需要) 。
64 位版本的 Windows Server 2019 (Office Online Server 2021 年 7 月修補程式或更新版本需要) 。
需要 64 位版本的 Windows Server 2022 (Office Online Server 2021 年 11 月修補程式或更新版本) 。
注意事項
Office Online Server 僅支援 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 的 [具有桌面體驗的伺服器] 安裝選項。 如需 Windows Server 供應專案的詳細資訊,請參閱 Windows Server 半年通道概觀。
Office Online Server 的網域需求
Office Online 伺服器 伺服器陣列中的所有伺服器必須是網域的一部分。 它們可以在同一個網域 (建議作法) 或者在同一個樹系的網域中。
如果您打算使用任何利用外部數據存取 (的 Excel Online 功能,例如數據模型、Power Pivot 或 Power View) ,Office Online Server 必須位於與其使用者相同的 Active Directory 樹系,以及您打算使用 Windows 型驗證存取的任何外部數據源。
支援排程和升級需求
Microsoft 每隔六個月發行一次新的 Office Online Server 組建。 發行新的組建之後,就不會再針對先前的組建產生重大更新。 強烈建議您在發行新組建時更新 Office Online Server 伺服器陣列。 如需詳細資訊,請參閱 Office Online Server 發行排程。
與其他工作負載和服務的相容性
以下是安裝 Office Online Server 時要注意的一些事項。
請勿在執行 Office Online 伺服器 的伺服器上安裝任何其他伺服器應用程式。 這包括 Exchange Server、SharePoint Server、商務用 Skype Server 和 SQL Server。 如果您的伺服器不足,請考慮在您擁有的其中一部伺服器上的虛擬機上執行 Office Online Server。
請勿安裝與連接埠 80、443 或 809 上網頁伺服器 (IIS) 相關聯的任何服務或角色,因為 Office Online 伺服器 會定期移除這些連接埠上的 Web 應用程式。
請勿安裝任何版本的 Office。 如果已安裝,您必須先解除安裝,才能安裝 Office Online 伺服器。
請勿在網域控制站上安裝 Office Online 伺服器。 它不會在執行 Active Directory 網域服務 (AD DS) 的伺服器上執行。
Office Online Server 的虛擬化支援
當您在內部部署數據中心使用 Windows Server Hyper-V 或其他虛擬化技術進行部署時,支援 Office Online Server。 如果您計劃要虛擬化 Office Online 伺服器,請遵循下列指引:
在自己的虛擬機中安裝 Office Online Server。 請勿在此虛擬機中安裝任何其他伺服器應用程式,例如 SharePoint Server。
針對多伺服器 Office Online Server 伺服器數位使用 Hyper-V 時,每部虛擬機都應該位於不同的虛擬機主機上。 如此一來,如果其中一部主機失敗,Office Online Server 伺服器陣列仍可使用。
Office Online Server 的防火牆需求
防火牆可能會因為封鎖網頁瀏覽器、執行 Office Online Server 的伺服器,以及執行 SharePoint Server 的伺服器之間的通訊而造成問題。 伺服器位在網路的不同部分時,這些問題會更加複雜。
請確定在執行 Office Online 伺服器 的伺服器或負載平衡器上,下列的連接埠都沒有被防火牆封鎖:
連接埠 443,用於 HTTPS 流量
連接埠 80,用於 HTTP 流量
連接埠 809,用於各個執行 Office Online 伺服器 的伺服器之間的私人流量 (如果您要設定多伺服器的伺服器陣列)
Office Online Server 的負載平衡器需求
當您在兩部以上的伺服器上執行 Office Online 伺服器 時,建議您使用負載平衡解決方案。 任何負載平衡解決方案均可,其中包括執行網頁伺服器 (IIS) 角色的伺服器 (執行應用程式要求路由 (ARR))。 事實上,您可以在執行 Office Online 伺服器 的其中一部伺服器上執行 ARR。
在理想的情況下,請嘗試找出支援下列功能的負載平衡解決方案:
第 7 層路由
啟用用戶端相關性或前端相關性
如果您使用負載平衡器,您必須在負載平衡器上安裝憑證,如使用 HTTPS 保護 Office Online Server 通訊中所述。
Office Online Server 的 DNS 需求
在使用 HTTPS 及負載平衡的環境中,您必須更新 DNS,這樣憑證的完整網域名稱 (FQDN) 才會解析成執行 Office Online 伺服器 之伺服器的 IP 位址,或是指派給 Office Online 伺服器 伺服器陣列之負載平衡器的 IP 位址。
規劃 Office Online Server 的語言套件
Office Online Server 語言套件可讓使用者從 SharePoint Server 文檔庫檢視多種語言的 Web 型 Office 檔案、Outlook Web App (為附件預覽) ,以及 商務用 Skype Server (PowerPoint 廣播) 。 不過,這需視主機上設定的語言而定。 若要從主機以多種語言檢視 Web Office 檔案,必須滿足下列條件:
SharePoint Server 或 Exchange Server) 等主機 (設定為以其他語言執行應用程式。 在主機上安裝及設定語言套件的程序,與在 Office Online 伺服器 伺服器陣列上安裝語言套件無關。
已安裝這些語言並可用於 Office Online 伺服器伺服器陣列中的所有伺服器。
以下是下載 Office Web Apps Server 語言套件的位置。
Office Online Server 的拓撲規劃
Office Online Server 拓撲至少會包含一個執行 Office Online Server 的實體或虛擬機,以及至少一個主機 (例如,執行 Exchange Server 或 SharePoint Server 的伺服器) 。 當然,您需要用戶端電腦或裝置來連線到其中一部主機並使用功能。 從這個基本拓撲,您可以按照您組織的需求,將更多主機和伺服器新增到 Office Online 伺服器 伺服器陣列。
當 Office Online 伺服器 拓撲變得更複雜時,您應該牢記下列建議清單。
規劃備援。 如果您有使用虛擬機器,請務必將它們放在個別的虛擬機器主機上,以供備援。
遵循一個資料中心的原則。 Office Online 伺服器 伺服器陣列中的伺服器必須位在相同的資料中心。 請勿將它們分散各地。 一般而言,您只需要一個伺服器陣列,除非您有安全性的需求,而需要有自己的 Office Online 伺服器 伺服器陣列的隔離網路。
主機愈靠近愈好。 Office Online 伺服器 伺服器陣列不一定要和所服務的主機位在同一個資料中心,不過,如果若要進行大量編輯,建議您將 Office Online 伺服器 伺服器陣列盡量放置在靠近主機的位置。 對於主要使用 Office Online 檢視 Office 檔案的組織而言,就不需要考慮此建議。
規劃連線。 只相互連接 Office Online 伺服器 伺服器陣列中的每部伺服器。 若要將這些伺服器連結到頻寬更寬的網路,請透過反向 Proxy 負載平衡器防火牆。
對於 HTTP 或 HTTPS 要求設定防火牆。 請確定防火牆允許執行 Office Online 伺服器 的伺服器向主機發出 HTTP 或 HTTPS 要求。
規劃傳入和傳出的通訊。 在網際網路對向部署中,透過 NAT 裝置路由傳送所有傳出的通訊。 在多伺服器陣列中,使用負載平衡器處理所有傳入的通訊。
確定 Office Online 伺服器 伺服器陣列中的所有伺服器都加入網域,成為相同組織單位 (OU) 的一部分。 使用 New-OfficeWebAppsFarm Cmdlet 中的 FarmOU 參數,防止不在此 OU 中的其他伺服器加入伺服器陣列。
針對所有傳入的要求使用超文字安全傳輸通訊協定 (HTTPS)。
如果在網路上部署 IPsec,請用它來加密伺服器之間的流量。
規劃使用網際網路的 Office 功能。 如果需要如美工圖案與翻譯服務的功能,而伺服器陣列中的伺服器無法將要求傳送至網際網路,則您必須為 Office Online 伺服器 伺服器陣列設定 Proxy 伺服器。 這樣可以允許將 HTTP 要求傳送至外部網站。
規劃 Excel Online 外部資料連線
Excel Online 包含外部數據連線能力和數據重新整理功能,類似於在 SharePoint Server 2013 Excel Services 中找到的功能。 Excel Services 已從 SharePoint Server 2016 中的 SharePoint 中移除 - 請改用 Excel Online。
內嵌數據連線的數據重新整理適用於標準 Office Online Server 安裝。 不過,較進階的功能 (包括 Office 資料連線 (ODC) 檔案支援和 IT 管理儀表板 (SQL Server Power Pivot for SharePoint 的一部分)) 需要您在 Office Online Server 和 SharePoint Server 2016 之間設定伺服器對伺服器驗證。
Office Online Server 的安全性規劃
下列資訊簡介 Office Online 伺服器 的安全性指引。
使用 HTTPS 保護 Office Online Server 通訊
Office Online Server 可以使用 HTTPS 通訊協定與 SharePoint Server、商務用 Skype Server 和 Exchange Server 通訊。 在實際執行環境中,強烈建議您使用 HTTPS。 您需要安裝的網際網路伺服器憑證是可以將之指派給執行 Office Online 伺服器 的伺服器 (如果您使用單一伺服器) 或負載平衡器 (如果您使用執行 Office Online 伺服器 的多伺服器) 的。
在不包含任何用戶數據的測試環境中,您可以使用 HTTP for SharePoint Server 並 Exchange Server 並略過憑證需求。 商務用 Skype Server 僅支援 HTTPS。
Office Online 伺服器 使用的憑證必須符合下列需求:
憑證必須來自信任的憑證授權單位,而且 [SAN] (主體別名) 欄位中必須包含 Office Online 伺服器 伺服器陣列的完整網域名稱 (FQDN)。 (如果 [SAN] 中沒有 FQDN,當您嘗試使用憑證時,瀏覽器將會顯示安全性警告,或者不處理回應)。
憑證必須要有可匯出的私密金鑰。 在單一伺服器的伺服器陣列上,當您使用 Internet Information Services (IIS) Manager 嵌入式管理單元匯入憑證時,預設會選取此選項。
[易記名稱] 欄位在信任的根憑證授權單位存放區中必須是唯一的。 如果您有多個共用 [易記名稱] 欄位的憑證,伺服器陣列建立將會失敗,因為 New-OfficeWebAppsFarm Cmdlet 會不知道要使用哪一個憑證。
Office Online 伺服器 不需要任何特殊的憑證內容或副檔名。 用戶端增強金鑰使用方法 (EKU) 延伸或伺服器 EKU 延伸就不需要。
您必須在 Windows Server 上安裝「允許 HTTP 啟用」Windows Communication Foundation (WCF) 功能。
憑證必須匯入如下:
針對單一伺服器的伺服器陣列 您必須直接將憑證匯入執行 Office Online 伺服器 的伺服器。 請勿手動繫結憑證。 您稍後執行的 New-OfficeWebAppsFarm Cmdlet 會為您執行此作業。 如果您手動繫結憑證,每次伺服器重新啟動時,都會將其刪除。
針對負載平衡伺服器陣列 如果您卸載 SSL,必須將憑證匯入硬體負載平衡器。 如果您未卸載 SSL,您必須在 Office Online 伺服器 伺服器陣列中的每部伺服器安裝憑證。
注意事項
除非在非關鍵測試環境中,否則請勿使用自我簽署憑證。
針對硬體負載平衡器使用 SSL 卸載
當您設定新的 Office Online 伺服器 伺服器陣列時,預設會將 SSL 卸載設為關閉。 如果您使用硬體負載平衡器,建議您將 SSL 卸載設定為「開啟」,讓伺服器陣列中的每個 Office Online 伺服器 能使用 HTTP 與負載平衡器通訊。 將 SSL 卸載設定為「開啟」也會有下列優點:
簡化憑證管理
改善軟性親和性
改善效能
注意事項
當您使用 HTTP 時,從負載平衡器到執行 Office Online Server 伺服器的流量不會加密,因此您必須確定網路本身是安全的。 使用私人子網路可以協助保護流量。
依據 OU 成員資格,限制哪些伺服器可以加入 Office Online Server 伺服器陣列
您可以為這些伺服器建立組織單位,然後在建立伺服器陣列時指定 FarmOU 參數,以防止未經授權的伺服器加入 Office Online 伺服器 伺服器陣列。 如需 FarmOU 參數的詳細資訊,請參閱 New-OfficeWebAppsFarm。
使用允許清單限制 Office Online Server 的主機存取
允許清單是一種安全性功能,可防止不想要的主機連接至 Office Online 伺服器 伺服器陣列,並且還在未經您同意的情況下,使用伺服器陣列來進行檔案作業。 將包含核准主機的網域新增至允許清單,即可限制 Office Online 伺服器 允許檔案作業要求 (例如檔案擷取、中繼資料擷取和檔案變更) 的主機。
您可以在建立 Office Online 伺服器 伺服器陣列之後,再將網域新增至允許清單。 若要瞭解如何將網域新增至允許清單,請參閱 New-OfficeWebAppsHost。
重要事項
如果您不新增網域至允許清單,Office Online 伺服器 會允許任何網域中的主機提出檔案要求。 如果從網際網路可以存取您的 Office Online 伺服器 伺服器陣列,請務必不要將此清單留白。 否則,任何人都可以使用您的 Office Online 伺服器 伺服器陣列來檢視及編輯內容。
規劃 Office Online Server 的線上檢視程式
根據預設,在您安裝 Office Online 伺服器 之後,就會啟用線上檢視程式功能。 如果您計劃要在組織中使用線上檢視程式,請檢閱下列指引。 在某些情況下,您可能會想要停用線上檢視程式中的部分功能。 這些指導方針指的是使用 Microsoft PowerShell Cmdlet New-OfficeWebAppsFarm 和 Set-OfficeWebAppsFarm 所設定的參數。
線上檢視程式的安全性考量
檔案若要使用線上檢視程式透過網頁瀏覽器來檢視,絕不能要求驗證。 換句話說,檔案必須可以公開使用,因為線上檢視程式在擷取檔案時,不能執行驗證。 強烈建議您用於線上檢視程式的 Office Online 伺服器 伺服器陣列只能於內部網路或網際網路擇一存取,但不要都能存取。 這是因為 Office Online 伺服器 無法分別內部網路和網際網路 URL 的要求。 這樣網際網路上的某人就可要求內部 URL 來檢視內部文件,因此造成安全性漏洞。
基於同樣的理由,如果您將 Office Online 伺服器 設定為只連接至網際網路,強烈建議您停用線上檢視程式中的 UNC 支援。 若要停用 UNC 支援,請針對現有伺服器陣列) 使用 Microsoft PowerShell Cmdlet New-OfficeWebAppsFarm (,將 OpenFromUncEnabled 參數設定為 False) 或 Set-OfficeWebAppsFarm (。
另外為預防安全性問題,線上檢視程式限制為只能檢視 10 MB 以下的 Office 檔案。
線上檢視程式的設定選項
您可以在 New-OfficeWebAppsFarm (中針對現有伺服器陣列) 使用下列 Microsoft PowerShell 參數或 Set-OfficeWebAppsFarm (來設定在線查看器) 。
OpenFromUrlEnabled:開啟或關閉線上檢視程式。 此參數可以為具有 URL 和 UNC 路徑的檔案,控制線上檢視程式。 根據預設,當您建立新的 Office Online 伺服器 伺服器陣列時,此參數會設為 False (停用)。
OpenFromUncEnabled 當線上檢視程式開啟時 (使用 OpenFromUrlEnabled 設為 True),此參數會開啟或關閉線上檢視程式顯示 UNC 路徑中檔案的功能。 根據預設,此參數設為 True,但是在您允許從 UNC 路徑開啟檔案之前,請確定 OpenFromUrlEnabled 也設為 True。 如前所述,如果您已設定 Office Online 伺服器 連接至網際網路,建議您將此參數設為 False。
OpenFromUrlThrottlingEnabled 在一段時間內,控制可以從特定的任何伺服器提出「從 URL 開啟」要求的數量。 預設的節流值 (不可設定) 可確保 Office Online 伺服器 伺服器陣列不會因為傳送在線上檢視程式中檢視內容的要求,而讓單一伺服器無法負荷。
規劃 Office Online Server 的更新
部署 Office Online 伺服器 之前,您必須決定您的組織要如何管理 Office Online 伺服器 伺服器陣列的軟體更新。 雖然軟體更新會協助改善伺服器安全性、效能及可靠性,但是錯誤地安裝更新會造成 Office Online 伺服器 的問題。
Office Online 伺服器 不支援使用 Microsoft 自動更新程序套用 Office Online 伺服器 更新。 匯報 至 Office Online Server 必須以特定方式套用,如將軟體更新套用至 Office Online Server 中所述。 如果自動套用 Office Online 伺服器 更新,使用者可能無法檢視或編輯 Office Online 中的文件。 如果發生這種情形,您必須重新建立 Office Online 伺服器 伺服器陣列。
建議您使用 Windows Server Update Services (WSUS) 或使用使用 WSUS 的 Microsoft 端點 Configuration Manager 來管理更新。 WSUS 可以讓您為 Office Online 伺服器 伺服器陣列中的每部伺服器,全權管理透過 Microsoft Update 發行的軟體散佈。 您可以使用 WSUS 來決定哪些更新可以自動套用至伺服器陣列,而哪些更新必須手動套用,例如 Office Online 伺服器 更新。 如需 WSUS 的詳細資訊,請參閱 Windows Server Update Services。
如果您未使用 WSUS 或 Microsoft 端點 Configuration Manager,請將 Office Online Server 伺服器陣列中每部伺服器上的 Microsoft 自動更新設定為 [自動下載],但通知使用者進行安裝。 當您收到 Office Online Server 更新的通知時,請遵循將軟體更新套用至 Office Online Server 中的步驟。 To have Windows updates applied and keep your servers secure, accept the Windows updates when you're notified that updates are available.
ULS 記錄 2018 更新的變更
2018 年更新的 Office Online Server 會看到 ULS 記錄格式的一些變更,詳述如下:
| 欄 | 變更 |
|---|---|
| TimestampUtc |
|
| 程序 |
|
| ThreadId |
|
| 區域 |
|
| 類別 |
|
| EventId |
|
| 層級 | (沒有變更) |
| 郵件 |
|
| Correlation |
|