Konfigurieren der Kerberos-Authentifizierung (SharePoint Foundation 2010)

  • Artikel

 

Gilt für: SharePoint Foundation 2010

Letztes Änderungsdatum des Themas: 2016-11-30

Inhalt dieses Artikels:

  • Informationen zur Kerberos-Authentifizierung

  • Bevor Sie beginnen

  • Konfigurieren der Kerberos-Authentifizierung für die SQL-Kommunikation

  • Erstellen von Dienstprinzipalnamen für Ihre Webanwendungen mithilfe der Kerberos-Authentifizierung

  • Bereitstellen der Serverfarm

  • Konfigurieren von Diensten auf Servern in der Serverfarm

  • Erstellen von Webanwendungen mithilfe der Kerberos-Authentifizierung

  • Erstellen einer Websitesammlung mithilfe der Vorlage "Zusammenarbeitsportal" in der Portalsitewebanwendung

  • Bestätigen des erfolgreichen Zugriffs auf die Webanwendungen mithilfe der Kerberos-Authentifizierung

  • Bestätigen der ordnungsgemäßen Funktionalität der Suchindizierung

  • Bestätigen der ordnungsgemäßen Funktionalität der Suchabfrage

  • Konfigurationseinschränkungen

  • Zusätzliche Ressourcen und Anleitungen zur Problembehandlung

Informationen zur Kerberos-Authentifizierung

Bei Kerberos handelt es sich um ein Sicherheitsprotokoll, das das Authentifizierungs-Ticketing unterstützt. Ein Kerberos-Authentifizierungsserver erteilt ein Ticket als Antwort auf eine Authentifizierungsanforderung eines Clientcomputers, falls die Anforderung gültige Benutzeranmeldeinformationen und einen gültigen Dienstprinzipalnamen (Service Principal Name, SPN) enthält. Der Clientcomputer verwendet das Ticket für den Zugriff auf Netzwerkressourcen. Zum Aktivieren der Kerberos-Authentifizierung müssen der Client- und Servercomputer über eine vertrauenswürdige Verbindung zur Schlüsselverteilungscenter-Domäne (Key Distribution Center, KDC) verfügen. Das KDC verteilt freigegebene geheime Schlüssel, um die Verschlüsselung zu ermöglichen. Darüber hinaus müssen Client- und Servercomputer auf Active Directory-Verzeichnisdienste (Active Directory Domain Services, AD DS) zugreifen können. Für AD DS ist die Gesamtstruktur-Stammdomäne das Zentrum für Kerberos-Authentifizierungsverweise.

Zum Bereitstellen einer Serverfarm mit Microsoft SharePoint Foundation 2010 mithilfe der Kerberos-Authentifizierung müssen Sie eine Reihe von Anwendungen auf dem Computer installieren und konfigurieren. Dieser Artikel beschreibt ein Beispiel für eine Serverfarm mit SharePoint Foundation 2010 und enthält Anleitungen zum Bereitstellen und Konfigurieren der Kerberos-Authentifizierung für die Serverfarm, um die folgenden Funktionen zu unterstützen:

  • Kommunikation zwischen SharePoint Foundation 2010 und Microsoft SQL Server-Datenbanksoftware.

  • Zugriff auf die Webanwendung für die SharePoint-Zentraladministration.

  • Zugriff auf andere Webanwendungen, einschließlich einer Webanwendung für die Portalwebsite und einer Webanwendung für Meine Website.

Bevor Sie beginnen

Dieser Artikel ist für administratives Personal gedacht, das sich mit folgenden Themen auskennt:

  • Windows Server 2008

  • Active Directory

  • Internetinformationsdienste (IIS), Version 6.0 (oder 7.0)

  • SharePoint Foundation 2010

  • Windows Internet Explorer

  • Kerberos-Authentifizierung gemäß der Implementierung in Active Directory-Domänendienste (AD DS) für Windows Server 2008

  • Netzwerklastenausgleich (Network Load Balancing, NLB) in Windows Server 2008

  • Computerkonten in einer Active Directory-Domäne

  • Benutzerkonten in einer Active Directory-Domäne

  • IIS-Websites und deren Bindungen und Authentifizierungseinstellungen

  • IIS-Anwendungspoolidentitäten für IIS-Websites

  • Der Konfigurations-Assistent für SharePoint-Produkte

  • SharePoint Foundation 2010-Webanwendungen

  • Seiten der Zentraladministration

  • Dienstprinzipalnamen (Service Principal Names, SPNs) und deren Konfiguration in einer Active Directory-Domäne

Wichtig

Zum Erstellen von Dienstprinzipalnamen (SPNs) in einer Active Directory-Domäne benötigen Sie Administratorberechtigungen für die Domäne.

In diesem Artikel wird die Kerberos-Authentifizierung nicht umfassend behandelt. Kerberos ist eine in AD DS implementierte Authentifizierungsmethode gemäß Industrienorm.

Dieser Artikel enthält keine ausführlichen, schrittweisen Anweisungen zum Installieren von SharePoint Foundation 2010 oder zum Verwenden des Konfigurations-Assistent für SharePoint-Produkte.

Dieser Artikel enthält keine ausführlichen, schrittweisen Anweisungen zum Erstellen von Webanwendungen für SharePoint Foundation 2010 mithilfe der Zentraladministration.

Softwareversionsanforderungen

Die Anleitungen in diesem Artikel und die ausgeführten Tests zur Bestätigung dieser Anleitungen wurden mithilfe von Systemen mit Windows Server 2008 und Internet Explorer und den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) ermittelt. Die folgenden Softwareversionen waren installiert:

Außerdem sollten Sie sicherstellen, dass Ihre Active Directory-Domänencontroller Windows Server 2008 mit den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) ausgeführt werden.

Bekannte Probleme

SharePoint Foundation 2010 kann Webanwendungen durchforsten, für die die Kerberos-Authentifizierung konfiguriert wurde, wenn diese Webanwendungen auf virtuellen IIS-Servern gehostet werden, die an Standardports gebunden sind (TCP-Port 80 und SSL-Port 443). Mit SharePoint Foundation 2010 Search können allerdings keine Webanwendungen von SharePoint Foundation 2010 durchforstet werden, für die die Kerberos-Authentifizierung konfiguriert ist, falls diese Webanwendungen auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind (andere Ports als TCP-Port 80 und SSL-Port 443). Derzeit können mit SharePoint Foundation 2010 Search nur Webanwendungen von SharePoint Foundation 2010 durchforstet werden, die auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind und für die entweder die NTLM-Authentifizierung oder die Standardauthentifizierung konfiguriert ist.

Wenn Sie für den Endbenutzerzugriff mithilfe der Kerberos-Authentifizierung Webanwendungen bereitstellen müssen, die nur auf virtuellen IIS-Servern gehostet werden können, die an andere als die Standardports gebunden sind, und wenn Endbenutzer Suchabfrageergebnisse erhalten sollen, gilt Folgendes:

  • Die gleichen Webanwendungen müssen auf anderen virtuellen IIS-Servern an anderen als den Standardports gehostet werden.

  • Für die Webanwendungen muss die Verwendung der NTLM-Authentifizierung oder der Standardauthentifizierung konfiguriert sein.

  • Von der Suchindizierung müssen die Webanwendungen mithilfe der NTLM-Authentifizierung oder der Standardauthentifizierung durchforstet werden.

In diesem Artikel werden Informationen zu folgenden Themen bereitgestellt:

  • Konfigurieren der Anwendung für die Zentraladministration mithilfe der Kerberos-Authentifizierung auf einem virtuellen IIS-Server und anderen als den Standardports.

  • Konfigurieren von Portalanwendungen und Anwendungen für Meine Website mithilfe der Kerberos-Authentifizierung auf virtuellen IIS-Servern und Standardports sowie einer IIS-Hostheaderbindung.

  • Sicherstellen, dass Webanwendungen von SharePoint Foundation 2010, für die die Kerberos-Authentifizierung verwendet wird, von der Suchindizierung erfolgreich durchforstet werden.

  • Sicherstellen, dass Benutzer, die auf Webanwendungen mit Kerberos-Authentifizierung zugreifen, erfolgreich Suchabfrageergebnisse für diese Webanwendungen erhalten.

Zusätzliche Hintergrundinformationen

Sie müssen unbedingt wissen, dass bei Verwendung der Kerberos-Authentifizierung die fehlerfreie Authentifizierungsfunktion zum Teil vom Verhalten des Clients abhängig ist, der mit Kerberos zu authentifizieren versucht. Wenn in einer Serverfarmbereitstellung von SharePoint Foundation 2010 die Kerberos-Authentifizierung verwendet wird, ist SharePoint Foundation 2010 nicht der Client. Vor der Bereitstellung einer Serverfarm mit SharePoint Foundation 2010 mithilfe der Kerberos-Authentifizierung müssen Sie das Verhalten der folgenden Clients kennen:

  • Browser (im Rahmen dieses Artikels ist mit Browser Internet Explorer gemeint)

  • Microsoft .NET Framework

Der Browser ist der Client, der beim Navigieren zu einer Webseite in einer Webanwendung von SharePoint Foundation 2010 verwendet wird. Wenn SharePoint Foundation 2010 Aufgaben wie das Durchforsten der lokalen Inhaltsquellen von SharePoint Foundation 2010 ausführt, dient .NET Framework als Client.

Für die ordnungsgemäße Ausführung der Kerberos-Authentifizierung müssen Sie Dienstprinzipalnamen (Service Principal Names, SPNs) in AD DS erstellen. Wenn die Dienste, denen diese SPNs entsprechen, andere als die Standardports belauschen, sollten die SPNs Portnummern enthalten. Dadurch wird sichergestellt, dass die SPNs sinnvoll sind. Außerdem muss die Erstellung von doppelten SPNs verhindert werden.

Wenn ein Client versucht, mithilfe der Kerberos-Authentifizierung auf eine Ressource zuzugreifen, muss der Client einen SPN erstellen, der im Rahmen der Kerberos-Authentifizierung verwendet werden soll. Wenn der Client keinen SPN erstellt, der mit dem in AD DS konfigurierten SPN übereinstimmt, schlägt die Kerberos-Authentifizierung normalerweise mit dem Fehler Zugriff verweigert fehl.

Von manchen Internet Explorer-Versionen werden keine SPNs mit Portnummern erstellt. Wenn Sie Webanwendung von SharePoint Foundation 2010 verwenden, die nicht an Standardportnummern in IIS gebunden sind, müssen Sie möglicherweise für Internet Explorer festlegen, dass Portnummern in den erstellten SPNs enthalten sind. In einer Serverfarm mit SharePoint Foundation 2010 wird die Webanwendung für die Zentraladministration standardmäßig auf einem virtuellen IIS-Server gehostet, der an einen anderen als den Standardport gebunden ist. Deshalb werden in diesem Artikel sowohl IIS-Websites, die an einen Port gebunden sind, als auch Websites, die an Hostheader gebunden sind, behandelt.

In einer Serverfarm mit SharePoint Foundation 2010 werden von .NET Framework standardmäßig keine SPNs erstellt, die Portnummern enthalten. Aus diesem Grund können Webanwendungen mit Kerberos-Authentifizierung nicht vom Suchdienst durchforstet werden, wenn diese Webanwendungen auf virtuellen IIS-Servern gehostet werden, die an andere als die Standardports gebunden sind.

Serverfarmtopologie

Dieser Artikel beruht auf der folgenden Serverfarmtopologie für SharePoint Foundation 2010:

  • Zwei Computer unter Windows Server 2008, die als Front-End-Webserver dienen und auf denen der Windows-Netzwerklastenausgleich konfiguriert ist.

  • Drei Computer unter Windows Server 2008, die als Anwendungsserver dienen. Einer der Anwendungsserver hostet die Webanwendung für die Zentraladministration. Auf dem zweiten Anwendungsserver wird die Suchabfrage ausgeführt, und auf dem dritten Anwendungsserver wird die Suchindizierung ausgeführt.

  • Ein Computer unter Windows Server 2008, der als SQL-Host für die Serverfarm mit SharePoint Foundation 2010 verwendet wird. Für das in diesem Artikel beschriebene Szenario können Sie Microsoft SQL Server 2008 verwenden.

Konventionen für Active Directory-Domänendienste, Computernamen und Netzwerklastenausgleich

Für das in diesem Artikel beschriebene Szenario gelten die folgenden Konventionen für Active Directory, Computernamen und den Netzwerklastenausgleich (Network Load Balancing, NLB):

Serverrolle Domänenname

Active Directory-Domänendienste

mydomain.net

Ein Front-End-Webserver mit SharePoint Foundation 2010

wssfe1.mydomain.net

Ein Front-End-Webserver mit SharePoint Foundation 2010

wssfe2.mydomain.net

SharePoint Foundation 2010-Zentraladministration

wssadmin.mydomain.net

SharePoint Foundation 2010--Suchindizierung

wsscrawl.mydomain.net

SharePoint Foundation 2010--Suchabfrage

wssquery.mydomain.net

SQL Server-Host mit SharePoint Foundation 2010

wsssql.mydomain.net

Ein Netzwerklastenausgleich-VIP wird wssfe1.mydomain.net und wssfe2.mydomain.net als Ergebnis der Konfiguration des Netzwerklastenausgleichs auf diesen Systemen zugewiesen. Eine Reihe von DNS-Hostnamen, die auf diese Adresse verweisen, werden im DNS-System registriert. Wenn beispielsweise der Netzwerklastenausgleich-VIP 192.168.100.200 lautet, gibt es eine Reihe von DNS-Einträgen, von denen die folgenden DNS-Namen in diese IP-Adresse aufgelöst werden (192.168.100.200):

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

Konventionen für Active Directory-Domänenkonten

Für das Beispiel in diesem Artikel werden die Namenskonventionen in der folgenden Tabelle für Dienstkonten und Anwendungspoolidentitäten in der Serverfarm mit SharePoint Foundation 2010 verwendet.

Domänenkonto oder Anwendungspoolidentität Name

Lokales Administratorkonto

  • Auf allen Servern mit SharePoint Foundation 2010 (jedoch nicht auf dem Hostcomputer mit SQL Server)

  • Für das Setup von SharePoint Foundation 2010 und für den ausführenden Benutzer von Konfigurations-Assistent für SharePoint-Produkte

mydomain\pscexec

Lokales Administratorkonto auf dem SQL Server-Hostcomputer

mydomain\sqladmin

SQL Server-Dienstkonto zum Ausführen des SQL Server-Diensts

mydomain\wsssqlsvc

Farmadministratorkonto für SharePoint Foundation 2010

mydomain\wssfarmadmin

Wird als Anwendungspoolidentität für die Zentraladministration und als Dienstkonto für den SharePoint-Timerdienst verwendet.

SharePoint Foundation 2010-Anwendungspoolidentität der Webanwendung für die Portalwebsite

mydomain\portalpool

SharePoint Foundation 2010-Anwendungspoolidentität der Webanwendung für Meine Website

mydomain\mysitepool

Suchdienstkonto für SharePoint Foundation 2010

mydomain\wsssearch

Inhaltszugriffskonto für die SharePoint Foundation 2010-Suche

mydomain\wsscrawl

Suchdienstkonto für SharePoint Foundation 2010

mydomain\wsssearch

Inhaltszugriffskonto für SharePoint Foundation 2010

mydomain\wsscrawl

Vorläufige Konfigurationsanforderungen

Bevor Sie SharePoint Foundation 2010 auf den Computern in der Serverfarm installieren, sollten Sie unbedingt die folgenden Schritte ausgeführt haben:

  • Auf allen Servern in der Serverfarm, einschließlich des SQL-Hosts, ist Windows Server 2008 zusammen mit den neuesten Updates von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) installiert.

  • Auf allen Servern in der Serverfarm wurde Internet Explorer (und die neuesten Updates) von der Windows Update-Website (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x407) installiert.

  • SQL Server 2008 ist auf dem SQL-Hostcomputer installiert und wird ausgeführt, und der SQL Server-Dienst wird unter dem Konto mydomain\sqlsvc ausgeführt. Eine Standardinstanz von SQL Server ist installiert und belauscht TCP-Port 1433.

  • Der ausführende Benutzer von Konfigurations-Assistent für SharePoint-Produkte wurde hinzugefügt:

    • Als SQL-Anmeldung auf dem SQL-Host.

    • Zur SQL Server-Rolle DBCreators auf dem SQL-Host.

    • Zur SQL Server-Rolle Sicherheitsadministratoren auf dem SQL-Host.

Konfigurieren der Kerberos-Authentifizierung für die SQL-Kommunikation

Das Konfigurieren der Kerberos-Authentifizierung für die SQL-Kommunikation ist erforderlich, bevor Sie SharePoint Foundation 2010 auf den Servern mit SharePoint Foundation 2010 installieren und konfigurieren. Die Kerberos-Authentifizierung für die SQL-Kommunikation muss konfiguriert werden und ordnungsgemäß ausgeführt werden, damit Computer mit SharePoint Foundation 2010 eine Verbindung mit dem Computer mit SQL Server herstellen können.

Zum Konfigurieren der Kerberos-Authentifizierung für einen Dienst, der auf einem Hostcomputer unter Windows Server 2008 installiert ist, gehört das Erstellen eines Dienstprinzipalnamens (Service Principal Name, SPN) für das Domänenkonto, mit dem der Dienst auf dem Host ausgeführt wird. SPNs bestehen aus folgenden Komponenten:

  • Dienstname (z. B. MSSQLSvc oder HTTP)

  • Hostname (real oder virtuell)

  • Eine Portnummer

Die folgende Liste enthält Beispiel-SPNs für eine Standardinstanz von SQL Server, die auf dem Computer wsssql ausgeführt wird und den Port 1433 belauscht:

  • MSSQLSvc/wsssql:1433

  • MSSQLSvc/wsssql.mydomain.com:1433

Dies sind die SPNs, die Sie für die Instanz von SQL Server auf dem SQL-Host erstellen, der von der in diesem Artikel beschriebenen Serverfarm verwendet wird. Sie sollten stets SPNs erstellen, die sowohl einen NetBIOS-Namen als auch einen vollständigen DNS-Namen für einen Host im Netzwerk aufweisen.

Es gibt verschiedene Methoden, mit denen Sie einen SPN für ein Konto in einer Active Directory-Domäne festlegen können. Eine mögliche Methode ist die Verwendung des Hilfsprogramms SETSPN.EXE, das Teil der Resource Kit-Tools für Windows Server 2008 ist. Eine andere Methode ist die Verwendung des Snap-Ins ADSIEDIT.MSC auf dem Active Directory-Domänencontroller. In diesem Artikel wird die Verwendung des Snap-Ins ADSIEDIT.MSC beschrieben.

Das Konfigurieren der Kerberos-Authentifizierung für SQL Server erfordert die folgenden beiden wichtigen Schritte:

  • Erstellen Sie SPNs für das SQL Server-Dienstkonto.

  • Vergewissern Sie sich, dass die Kerberos-Authentifizierung zum Herstellen einer Verbindung zwischen Servern mit SharePoint Foundation 2010 und Servern mit SQL Server verwendet wird.

Erstellen der SPNs für das SQL Server-Dienstkonto

  1. Melden Sie sich beim Active Directory-Domänencontroller mit den Anmeldeinformationen eines Benutzers mit Domänenadministratorberechtigungen an.

  2. Geben Sie im Dialogfeld Ausführen die Zeichenfolge ADSIEDIT.MSC ein.

  3. Erweitern Sie im Dialogfeld für die Verwaltungskonsole den Domänencontainerordner.

  4. Erweitern Sie den Containerordner mit den Benutzerkonten, beispielsweise CN=Users.

  5. Suchen Sie den Ordner für das SQL Server-Dienstkonto, beispielsweise CN=Wsssqlsvc.

  6. Klicken Sie mit der rechten Maustaste auf dieses Konto, und klicken Sie dann auf Eigenschaften.

  7. Führen Sie im Dialogfeld SQL Server-Dienstkonto in der Liste mit den Eigenschaften einen Bildlauf nach unten aus, bis Sie servicePrincipalName gefunden haben.

  8. Wählen Sie die servicePrincipalName-Eigenschaft aus, und klicken Sie auf Bearbeiten.

  9. Geben Sie im Dialogfeld Editor für mehrwertige Zeichenfolgen im Feld Hinzuzufügender Wert den SPN MSSQLSvc/wsssql:1433 ein, und klicken Sie auf Hinzufügen. Geben Sie anschließend in diesem Feld den SPN MSSQLSvc/wsssql.mydomain.com:1433 ein, und klicken Sie auf Hinzufügen.

  10. Klicken Sie im Dialogfeld Editor für mehrwertige Zeichenfolgen auf OK, und klicken Sie im Eigenschaftendialogfeld für das SQL Server-Dienstkonto auf OK.

Sicherstellen, dass die Kerberos-Authentifizierung zum Herstellen einer Verbindung zwischen Servern mit SharePoint Server 2010 und Servern mit SQL Server verwendet wird

Installieren Sie die SQL Server-Clienttools auf einem der Server mit SharePoint Foundation 2010, und stellen Sie mithilfe dieser Tools eine Verbindung zwischen Servern mit SharePoint Foundation 2010 und Servern mit SQL Server her. Die Schritte zum Installieren der SQL Server-Clienttools auf einem der Server mit SharePoint Foundation 2010 werden in diesem Artikel nicht behandelt. Die Bestätigungsschritte basieren auf den folgenden Annahmen:

  • Sie verwenden SQL Server 2008 auf dem SQL-Host.

  • Sie haben sich an einem der Server mit SharePoint Foundation 2010 mithilfe des Benutzerkontos mydomain\pscexec angemeldet und haben die SQL Server 2005-Clienttools auf dem Server mit SharePoint Foundation 2010 installiert.

  1. Führen Sie SQL Server 2005 Management Studio aus.

  2. Wenn das Dialogfeld Verbindung mit Server herstellen angezeigt wird, geben Sie den Namen des SQL-Hostcomputers ein (in diesem Beispiel wsssql), und klicken Sie auf Verbinden, um eine Verbindung mit dem SQL-Hostcomputer herzustellen.

  3. Um sicherzustellen, dass die Kerberos-Authentifizierung für diese Verbindung verwendet wurde, führen Sie die Ereignisanzeige auf dem SQL-Hostcomputer aus, und überprüfen Sie das Sicherheitsereignisprotokoll. Für ein Ereignis der Kategorie An-/Abmeldung sollte der Eintrag Erfolgsüberwachung vorhanden sein, der so oder ähnlich wie die Daten in den folgenden Tabellen aussieht:

    Ereignistyp

    Erfolgsüberwachung

    Ereignisquelle

    Sicherheit

    Ereigniskategorie

    An-/Abmeldung

    Ereigniskennung

    540

    Datum

    31.10.2007

    Zeit

    16:12:24

    Benutzer

    MYDOMAIN\pscexec

    Computer

    WSSQL

    Beschreibung

    In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.

    Benutzername

    pscexec

    Domäne

    MYDOMAIN

    Anmeldekennung

    (0x0,0x6F1AC9)

    Anmeldetyp

    3

    Anmeldevorgang

    Kerberos

    Name der Arbeitsstation

    Anmelde-GUID

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    Aufruferbenutzername

    Aufruferdomäne

    Aufruferanmeldekennung

    Aufruferprozesskennung

    Übertragene Dienste

    Quellnetzwerkadresse

    192.168.100.100

    Quellport

    2465

Überprüfen Sie den Protokolleintrag, um Folgendes sicherzustellen:

  1. Der Benutzername ist korrekt. Für die Anmeldung am SQL-Host über das Netzwerk wurde das Benutzerkonto mydomain\pscexec verwendet.

  2. Der Anmeldetyp ist 3. Hierbei handelt es sich um eine Netzwerkanmeldung.

  3. Für den Anmeldevorgang und das Authentifizierungspaket wird die Kerberos-Authentifizierung verwendet. Dadurch wird bestätigt, dass der Server mit SharePoint Foundation 2010 die Kerberos-Authentifizierung für die Kommunikation mit dem SQL-Host verwendet.

  4. Die Quellnetzwerkadresse stimmt mit der IP-Adresse des Computers überein, von dem aus die Verbindung hergestellt wurde.

Falls beim Herstellen einer Verbindung mit dem SQL-Host die Fehlermeldung SSPI-Kontext kann nicht generiert werden (oder ähnlich) angezeigt wird, liegt wahrscheinlich ein Problem beim SPN vor, der für die Instanz von SQL Server verwendet wird. Informationen zur Problembehandlung und zur Behebung dieses Fehlers finden Sie im Artikel Problembehandlung bei der Fehlermeldung "SSPI-Kontext kann nicht generiert werden" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x407) in der Microsoft Knowledge Base.

Erstellen von Dienstprinzipalnamen für die Webanwendungen mithilfe der Kerberos-Authentifizierung

In Bezug auf die Kerberos-Authentifizierung sind IIS-basierte Webanwendungen von SharePoint Foundation 2010 nichts Besonderes. Sie werden von der Kerberos-Authentifizierung wie jede andere IIS-Website behandelt.

Für diesen Vorgang müssen Sie sich mit folgenden Punkten auskennen:

  • Die Dienstklasse für den SPN (im Zusammenhang mit diesem Artikel ist dies für Webanwendungen von SharePoint Foundation 2010 stets HTTP).

  • Die URL für alle Webanwendungen von SharePoint Foundation 2010, für die die Kerberos-Authentifizierung verwendet wird.

  • Die Hostnamenkomponente des SPN (real oder virtuell; in diesem Artikel wird beides behandelt).

  • Die Portnummerkomponente des SPN (in dem in diesem Artikel beschriebenen Szenario werden IIS-Port-basierte und IIS-Hostheader-basierte Webeanwendungen von SharePoint Foundation 2010 verwendet).

  • Die Windows Active Directory-Konten, für die die SPNs erstellt werden müssen.

In der folgenden Tabelle sind die Informationen für das in diesem Artikel beschriebene Szenario aufgeführt.

URL Active Directory-Konto SPN

http://wssadmin.mydomain.net:10000

wssfarmadmin

  • HTTP/wssadmin.mydomain.net:10000

  • HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://www.mydomain.com/

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

Hinweise zu dieser Tabelle:

  • Die erste oben aufgeführte URL ist für die Zentraladministration und verwendet eine Portnummer. Sie müssen Port 10000 nicht verwenden. Dies ist lediglich ein Beispiel, das aus Gründen der Einheitlichkeit im gesamten Artikel verwendet wird.

  • Die nächsten beiden URLs sind für die Portalwebsite bzw. Meine Website.

Erstellen Sie mithilfe der obigen Angaben die in AD DS benötigten SPNs, um die Kerberos-Authentifizierung für die Webanwendungen von SharePoint Foundation 2010 zu unterstützen. Sie müssen sich bei einem Domänencontroller in Ihrer Umgebung mithilfe eines Kontos mit Domänenadministratorberechtigungen anmelden. Zum Erstellen der SPNs können Sie das weiter oben erwähnte Hilfsprogramm SETSPN.EXE oder das das weiter oben erwähnte Snap-In ADSIEDIT.MSC verwenden. Wenn Sie das Snap-In ADSIEDIT.MSC verwenden, sollten Sie die Anweisungen weiter oben in diesem Artikel zum Erstellen der SPNs beachten. Erstellen Sie unbedingt die richtigen SPNs für die entsprechenden Konten in AD DS.

Bereitstellen der Serverfarm

Das Bereitstellen der Serverfarm umfasst die folgenden Schritte:

  1. Einrichten von SharePoint Foundation 2010 auf allen Servern mit SharePoint Foundation 2010.

  2. Führen Sie den Konfigurations-Assistent für SharePoint-Produkte aus, und erstellen Sie eine neue Serverfarm. Dieser Schritt beinhaltet das Erstellen einer SharePoint Foundation 2010-Webanwendung für die Zentraladministration, die auf einem virtuellen IIS-Server gehostet wird, der an einen anderen als den Standardport gebunden ist und die Kerberos-Authentifizierung verwendet.

  3. Führen Sie den Konfigurations-Assistent für SharePoint-Produkte aus, und fügen Sie der Serverfarm die anderen Server hinzu.

  4. Konfigurieren Sie die folgenden Dienste auf Servern in der Serverfarm:

    • SharePoint Foundation 2010-Suchdienst

    • SharePoint Foundation 2010-Suchindizierung

    • SharePoint Foundation 2010-Suchabfrage

  5. Erstellen Sie Webanwendungen, die für die Portalwebsite und Meine Website mit der Kerberos-Authentifizierung verwendet werden.

  6. Erstellen Sie eine Websitesammlung mithilfe der Vorlage Zusammenarbeitsportal in der Portalsitewebanwendung.

  7. Bestätigen Sie den erfolgreichen Zugriff auf die Webanwendungen mithilfe der Kerberos-Authentifizierung

  8. Bestätigen Sie die ordnungsgemäße Funktionalität der Suchindizierung.

  9. Bestätigen Sie die ordnungsgemäße Funktionalität der Suchabfrage.

Installieren von SharePoint Foundation 2010 auf allen Servern

Für diesen Schritt müssen Sie einfach das Setupprogramm von SharePoint Foundation 2010 ausführen, um die Binärdateien für SharePoint Foundation 2010 auf den Servern mit SharePoint Foundation 2010 zu installieren. Melden Sie sich an jedem Computer mit SharePoint Foundation 2010 mithilfe des Benutzerkontos mydomain\pscexec an. Schrittweise Anweisungen hierfür gibt es nicht. Führen Sie für das in diesem Artikel beschriebene Szenario eine Installation vom Typ Vollständig für SharePoint Foundation 2010 auf allen Servern aus, für die SharePoint Foundation 2010 erforderlich ist.

Erstellen einer neuen Farm

Führen Sie für das in diesem Artikel beschriebene Szenario zunächst den Konfigurations-Assistent für SharePoint-Produkte für den Suchindizierungsserver WSSADMIN aus, damit die SharePoint Foundation 2010-Webanwendung für die Zentraladministration von WSSADMIN gehostet wird.

Auf dem Server WSSCRAWL wird nach Abschluss der Installation das Dialogfeld Setup ist abgeschlossen mit aktiviertem Kontrollkästchen zum Ausführen des Konfigurations-Assistent für SharePoint-Produkte angezeigt. Lassen Sie dieses Kontrollkästchen aktiviert, und schließen Sie das Dialogfeld, um den Konfigurations-Assistent für SharePoint-Produkte auszuführen.

Erstellen Sie beim Ausführen des Konfigurations-Assistent für SharePoint-Produkte auf diesem Computer eine neue Serverfarm mit den folgenden Einstellungen:

  • Geben Sie den Namen des Datenbankservers an (in diesem Artikel der Server WSSSQL).

  • Geben Sie den Namen einer Konfigurationsdatenbank an (verwenden Sie den Standardwert, oder geben Sie den gewünschten Namen ein).

  • Geben Sie das Datenbankzugriffskonto an (Farmadministrator). Für das Szenario in diesem Artikel lautet das Konto mydomain\wssfarmadmin.

  • Geben Sie die erforderlichen Informationen für die SharePoint Foundation 2010-Webanwendung für die Zentraladministration an. Für das Szenario in diesem Artikel handelt es sich um folgende Informationen:

    • Portnummer der Webanwendung für die Zentraladministration: 10000

    • Authentifizierungsmethode: Aushandeln

Wenn Sie alle erforderlichen Informationen eingegeben haben, sollte der Konfigurations-Assistent für SharePoint-Produkte erfolgreich abgeschlossen werden. Bestätigen Sie in diesem Fall, dass Sie mithilfe der Kerberos-Authentifizierung auf die Homepage der SharePoint Foundation 2010-Webanwendung für die Zentraladministration zugreifen können. Gehen Sie hierzu folgendermaßen vor:

  1. Melden Sie sich an einem anderen Server mit SharePoint Foundation 2010 oder einem anderen Computer in der Domäne mydomain als mydomain\pscexec an. Sie sollten das ordnungsgemäße Verhalten der Kerberos-Authentifizierung nicht direkt auf dem Computer überprüfen, von dem die SharePoint Foundation 2010-Webanwendung für die Zentraladministration gehostet wird. Zu diesem Zweck sollten Sie einen separaten Computer in der Domäne verwenden.

  2. Starten Sie Internet Explorer auf diesem Server, und versuchen Sie zur folgenden URL zu navigieren: http://wssadmin.mydomain.net:10000. Die Homepage der Zentraladministration sollte angezeigt werden.

  3. Um sicherzustellen, dass die Kerberos-Authentifizierung für den Zugriff auf die Zentraladministration verwendet wurde, gehen Sie wieder zum Computer WSSADMIN, führen Sie die Ereignisanzeige aus, und öffnen Sie das Sicherheitsprotokoll. Der Eintrag Erfolgsüberwachung sollte vorhanden sein, der so oder ähnlich wie in der folgenden Tabelle aussieht:

    Ereignistyp

    Erfolgsüberwachung

    Ereignisquelle

    Sicherheit

    Ereigniskategorie

    An-/Abmeldung

    Ereigniskennung

    540

    Datum

    1.11.2007

    Zeit

    14:22:20

    Benutzer

    MYDOMAIN\pscexec

    Computer

    WSSADMIN

    Beschreibung

    In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.

    Benutzername

    pscexec

    Domäne

    MYDOMAIN

    Anmeldekennung

    (0x0,0x1D339D3)

    Anmeldetyp

    3

    Anmeldevorgang

    Kerberos

    Authentifizierungspaket

    Kerberos

    Name der Arbeitsstation

    Anmelde-GUID

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    Aufruferbenutzername

    Aufruferdomäne

    Aufruferanmeldekennung

    Aufruferprozesskennung

    Übertragene Dienste

    Quellnetzwerkadresse

    192.168.100.100

    Quellport

    2505

Die Überprüfung dieses Protokolleintrags ergibt die gleichen Informationen wie im vorherigen Protokolleintrag:

  • Vergewissern Sie sich, dass der Benutzername korrekt ist. Für die Anmeldung über das Netzwerk am Server mit SharePoint Foundation 2010, der die Zentraladministration hostet, wurde das Benutzerkonto mydomain\pscexec verwendet.

  • Vergewissern Sie sich, dass der Anmeldetyp 3 ist. Hierbei handelt es sich um eine Netzwerkanmeldung.

  • Vergewissern Sie sich, dass für den Anmeldevorgang und das Authentifizierungspaket die Kerberos-Authentifizierung verwendet wird. Auf diese Weise wird bestätigt, dass die Kerberos-Authentifizierung für den Zugriff auf die Webanwendung der Zentraladministration verwendet wird.

  • Vergewissern Sie sich, dass die Quellnetzwerkadresse mit der IP-Adresse des Computers übereinstimmt, von dem aus die Verbindung hergestellt wurde.

Wenn die Homepage der Zentraladministration nicht angezeigt werden kann und stattdessen eine Fehlermeldung wegen fehlender Autorisierung angezeigt wird, schlägt die Kerberos-Authentifizierung fehl. Für diesen Fehler gibt es gewöhnlich zwei Ursachen:

  • Der SPN in AD_DS wurde nicht für das richtige Benutzerkonto registriert. Er hätte für mydomain\wssfarmadmin registriert werden sollen.

  • Der SPN in AD DS stimmt nicht mit dem von Internet Explorer erstellten SPN überein oder ist aus einem anderen Grund ungültig. Möglicherweise haben Sie die Portnummer in dem SPN ausgelassen, den Sie in AD DS registriert haben. Stellen Sie mithilfe der Kerberos-Authentifizierung sicher, dass der Fehler behoben wird und dass die Zentraladministration fehlerfrei arbeitet, bevor Sie den Vorgang fortsetzen.

Hinweis

Mithilfe eines Diagnoseprogramms können Sie das Netzwerk analysieren. Zu diesen Diagnoseprogrammen zählen Netzwerk-Sniffer wie z. B. Microsoft Netzwerkmonitor, mit denen beim Browsen der Zentraladministration eine Ablaufverfolgung erstellt wird. Analysieren Sie nach dem Auftreten eines Fehlers die Ablaufverfolgung, und suchen Sie nach KerberosV5-Protokoll-Paketen. Suchen Sie nach einem Paket mit einem von Internet Explorer erstellten SPN. Wenn der SPN in der Ablaufverfolgung korrekt ist, ist entweder der SPN in AD DS ungültig oder er wurde für das falsche Benutzerkonto registriert.

Hinzufügen anderer Server zur Farm

Nachdem die Serverfarm erstellt wurde und Sie mit der Kerberos-Authentifizierung erfolgreich auf die Zentraladministration zugreifen können, müssen Sie den Konfigurations-Assistent für SharePoint-Produkte ausführen und der Serverfarm die anderen Server hinzufügen.

Auf den anderen vier Servern mit SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery und wsscrawl) sollte die Installation von SharePoint Foundation 2010 abgeschlossen sein, und das Dialogfeld Setup ist abgeschlossen mit aktiviertem Kontrollkästchen zum Ausführen des Konfigurations-Assistent für SharePoint-Produkte sollte angezeigt werden. Lassen Sie dieses Kontrollkästchen aktiviert, und schließen Sie das Dialogfeld, um den Konfigurations-Assistent für SharePoint-Produkte auszuführen. Führen Sie das Verfahren zum Hinzufügen der Server zur Serverfarm aus.

Überprüfen Sie nach Abschluss des Konfigurations-Assistent für SharePoint-Produkte auf jedem Server, den Sie der Serverfarm hinzufügen, ob von jedem dieser Server die Zentraladministration angezeigt werden kann, die auf dem Server WSSADMIN ausgeführt wird. Falls die Zentraladministration von einem der Server nicht angezeigt werden kann, führen Sie die entsprechenden Schritte zum Beheben des Problems aus, bevor Sie den Vorgang fortsetzen.

Konfigurieren von Diensten auf Servern in der Serverfarm

Konfigurieren Sie bestimmte Dienste von SharePoint Foundation 2010 für die Ausführung auf bestimmten Servern mit SharePoint Foundation 2010 in der Farm. Verwenden Sie dabei die in den folgenden Abschnitten angegebenen Benutzerkonten.

Hinweis

In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.

Öffnen Sie die Zentraladministration, und führen Sie die folgenden Schritte zum Konfigurieren der Dienste auf den angegebenen Servern aus. Verwenden Sie dafür die angegebenen Benutzerkonten.

Windows SharePoint Services-Suche

Auf der Seite Dienste auf dem Server in der Zentraladministration:

  1. Wählen Sie den Server WSSQUERY aus.

  2. Suchen Sie in der angezeigten Liste mit den Diensten ungefähr in der Mitte der Seite nach dem SharePoint Foundation 2010-Suchdienst, und klicken Sie dann in der Spalte Aktion auf Start.

  3. Geben Sie auf der nachfolgenden Seite die Anmeldeinformationen für das SharePoint Foundation 2010-Suchdienstkonto und das SharePoint Foundation 2010-Inhaltszugriffskonto ein. Für das Szenario in diesem Artikel lautet das SharePoint Foundation 2010-Suchdienstkonto mydomain\wsssearch, und das SharePoint Foundation 2010-Inhaltszugriffskonto mydomain\wsscrawl. Geben Sie die Kontonamen und Kennwörter in den entsprechenden Feldern auf der Seite ein, und klicken Sie dann auf Start.

Indexserver

Auf der Seite Dienste auf dem Server in der Zentraladministration:

  1. Wählen Sie den Server WSSCRAWL aus.

  2. Suchen Sie in der angezeigten Liste mit den Diensten ungefähr in der Mitte der Seite nach dem SharePoint Foundation 2010-Suchdienst, und klicken Sie dann in der Spalte Aktion auf Start.

Aktivieren Sie auf der nachfolgenden Seite das Kontrollkästchen Diesen Server zum Indizieren des Inhalts verwenden, und geben Sie die Anmeldeinformationen für das SharePoint Foundation 2010-Suchdienstkonto ein. Für das Szenario in diesem Artikel lautet das SharePoint Foundation 2010-Suchdienstkonto mydomain\wsssearch. Geben Sie die Kontonamen und Kennwörter in den entsprechenden Feldern auf der Seite ein, und klicken Sie dann auf Start.

Abfrageserver

Auf der Seite Dienste auf dem Server in der Zentraladministration:

  1. Wählen Sie den Server WSSQUERY aus.

  2. Suchen Sie in der angezeigten Liste mit den Diensten ungefähr in der Mitte der Seite nach dem SharePoint Foundation 2010-Suchdienst, und klicken Sie dann in der Spalte Dienst auf den Namen des Diensts.

Aktivieren Sie auf der nachfolgenden Seite das Kontrollkästchen Diesen Server zum Übermitteln von Suchabfragen verwenden, und klicken Sie auf OK.

Erstellen von Webanwendungen mithilfe der Kerberos-Authentifizierung

In diesem Abschnitt erstellen Sie Webanwendungen, die für die Portalwebsite und Meine Website in der Serverfarm verwendet werden.

Hinweis

In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.

Erstellen der Portalsitewebanwendung

  1. Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Webanwendung erstellen oder erweitern.

  2. Klicken Sie auf der nachfolgenden Seite auf Neue Webanwendung erstellen.

  3. Stellen Sie auf der nachfolgenden Seite sicher, dass Neue IIS-Website erstellen ausgewählt ist.

    • Geben Sie im Feld Beschreibung die Zeichenfolge PortalSite ein.

    • Geben Sie im Feld Port den Wert 80 ein.

    • Geben Sie im Feld Hostheader den Wert kerbportal.mydomain.net ein.

  4. Stellen Sie sicher, dass Aushandeln als Authentifizierungsanbieter für diese Webanwendung ausgewählt ist.

  5. Erstellen Sie diese Webanwendung in der Zone Standard. Ändern Sie die Zone für diese Webanwendung nicht.

  6. Stellen Sie sicher, dass Neuen Anwendungspool erstellen ausgewählt ist.

    • Geben Sie im Feld Anwendungspoolname den Namen PortalAppPool ein.

    • Stellen Sie sicher, dass Konfigurierbar ausgewählt ist. Geben Sie im Feld Benutzername das Konto mydomain\portalpool ein.

  7. Klicken Sie auf OK.

  8. Vergewissern Sie sich, dass die Webanwendung erfolgreich erstellt wird.

Hinweis

Wenn Sie eine SSL-Verbindung verwenden und die Webanwendung an Port 443 binden möchten, geben Sie 443 im Feld Port ein, und wählen Sie auf der Seite Neue Webanwendung erstellen die Option SSL verwenden aus. Darüber hinaus müssen Sie ein SSL-Platzhalterzertifikat erstellen. Wenn Sie eine IIS-Hostheaderbindung auf einer IIS-Website verwenden, die für SSL konfiguriert ist, müssen Sie ein SSL-Platzhalterzertifikat verwenden. Weitere Informationen zu SSL-Hostheadern in IIS finden Sie unter Konfigurieren von SSL-Hostheadern (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x407).

Erstellen der Webanwendung für "Meine Website"

  1. Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Webanwendung erstellen oder erweitern.

  2. Klicken Sie auf der nachfolgenden Seite auf Neue Webanwendung erstellen.

  3. Stellen Sie auf der nachfolgenden Seite sicher, dass Neue IIS-Website erstellen ausgewählt ist.

    • Geben Sie im Feld Beschreibung die Zeichenfolge MySite ein.

    • Geben Sie im Feld Port den Wert 80 ein.

    • Geben Sie im Feld Hostheader den Wert kerbmysite.mydomain.net ein.

  4. Stellen Sie sicher, dass Aushandeln als Authentifizierungsanbieter für diese Webanwendung ausgewählt ist.

  5. Erstellen Sie diese Webanwendung in der Zone Standard. Ändern Sie die Zone für diese Webanwendung nicht.

  6. Stellen Sie sicher, dass Neuen Anwendungspool erstellen ausgewählt ist.

    • Geben Sie im Feld Anwendungspoolname den Namen MySiteAppPool ein.

    • Stellen Sie sicher, dass Konfigurierbar ausgewählt ist. Geben Sie im Feld Benutzername das Konto mydomain\mysitepool ein.

  7. Klicken Sie auf OK.

  8. Vergewissern Sie sich, dass die Webanwendung erfolgreich erstellt wird.

Hinweis

Wenn Sie eine SSL-Verbindung verwenden und die Webanwendung an Port 443 binden möchten, geben Sie 443 im Feld Port ein, und wählen Sie auf der Seite Neue Webanwendung erstellen die Option SSL verwenden aus. Darüber hinaus müssen Sie ein SSL-Platzhalterzertifikat erstellen. Wenn Sie eine IIS-Hostheaderbindung auf einer IIS-Website verwenden, die für SSL konfiguriert ist, müssen Sie ein SSL-Platzhalterzertifikat verwenden. Weitere Informationen zu SSL-Hostheadern in IIS finden Sie unter Konfigurieren von SSL-Hostheadern (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x407).

Erstellen einer Websitesammlung mithilfe der Vorlage "Zusammenarbeitsportal" in der Portalsitewebanwendung

In diesem Abschnitt erstellen Sie eine Websitesammlung auf der Portalwebsite in der von Ihnen dafür erstellten Webanwendung.

Hinweis

In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.

  1. Klicken Sie auf der Seite Anwendungsverwaltung in der Zentraladministration auf Websitesammlung erstellen.

  2. Wählen Sie auf der nachfolgenden Seite unbedingt die richtige Webanwendung aus. Für das Beispiel in diesem Artikel wählen Sie http://www.mydomain.com/ aus.

  3. Geben Sie den gewünschten Titel und die gewünschte Beschreibung für diese Websitesammlung ein.

  4. Lassen Sie die Websiteadresse unverändert.

  5. Klicken Sie im Abschnitt Vorlagenauswahl unter Vorlage auswählen auf die Registerkarte Veröffentlichen, und wählen Sie die Vorlage Zusammenarbeitsportal aus.

  6. Geben Sie im Abschnitt Primärer Websitesammlungsadministrator die Zeichenfolge mydomain\pscexec ein.

  7. Geben Sie den gewünschten sekundären Websitesammlungsadministrator an.

  8. Klicken Sie auf OK.

  9. Vergewissern Sie sich, dass die Portalwebsitesammlung erfolgreich erstellt wurde.

Bestätigen des erfolgreichen Zugriffs auf die Webanwendungen mithilfe der Kerberos-Authentifizierung

Stellen Sie sicher, dass die Kerberos-Authentifizierung für die kürzlich erstellten Webanwendungen ordnungsgemäß ausgeführt wird. Beginnen Sie mit der Portalwebsite.

Gehen Sie hierzu folgendermaßen vor:

  1. Melden Sie sich an einem Server mit SharePoint Foundation 2010 als mydomain\pscexec an, und nicht an einem der beiden Front-End-Webserver, die für den Lastenausgleich konfiguriert sind. Sie sollten das ordnungsgemäße Verhalten der Kerberos-Authentifizierung nicht direkt auf einem der Computer, von denen die Websites mit Lastenausgleich gehostet werden, mithilfe der Kerberos-Authentifizierung überprüfen. Zu diesem Zweck sollten Sie einen separaten Computer in der Domäne verwenden.

  2. Starten Sie Internet Explorer auf dem anderen System, und versuchen Sie zur folgenden URL zu navigieren: http://www.mydomain.com/.

Die Homepage der mit Kerberos authentifizierten Portalwebsite sollte angezeigt werden.

Um sicherzustellen, dass die Kerberos-Authentifizierung für den Zugriff auf die Portalwebsite verwendet wurde, wechseln Sie zu einem der Front-End-Webserver mit Lastenausgleich, führen Sie die Ereignisanzeige aus, und öffnen Sie das Sicherheitsprotokoll. Der Eintrag Erfolgsüberwachung, der so oder ähnlich wie in der folgenden Tabelle aussieht, sollte auf einem der Front-End-Webserver vorhanden sein. Beachten Sie, dass Sie möglicherweise auf beiden Front-End-Webservern suchen müssen, je nachdem, von welchem System die Anforderung mit Lastenausgleich verarbeitet wurde.

Ereignistyp

Erfolgsüberwachung

Ereignisquelle

Sicherheit

Ereigniskategorie

An-/Abmeldung

Ereigniskennung

540

Datum

1.11.2007

Zeit

17:08:20

Benutzer

MYDOMAIN\pscexec

Computer

wssfe1

Beschreibung

In der folgenden Tabelle finden Sie ein Beispiel für eine erfolgreiche Netzwerkanmeldung.

Benutzername

pscexec

Domäne

MYDOMAIN

Anmeldekennung

(0x0,0x1D339D3)

Anmeldetyp

3

Anmeldevorgang

Kerberos-Authentifizierung

Name der Arbeitsstation

Anmelde-GUID

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Aufruferbenutzername

Aufruferdomäne

Aufruferanmeldekennung

Aufruferprozesskennung

Übertragene Dienste

Quellnetzwerkadresse

192.168.100.100

Quellport

2505

Die Überprüfung dieses Protokolleintrags ergibt die gleichen Informationen wie im vorherigen Protokolleintrag:

  • Stellen Sie sicher, dass der Benutzername korrekt ist. Für die Anmeldung über das Netzwerk am Front-End-Webserver mit SharePoint Foundation 2010, der die Portalwebsite hostet, wurde das Benutzerkonto mydomain\pscexec verwendet.

  • Vergewissern Sie sich, dass der Anmeldetyp 3 ist. Hierbei handelt es sich um eine Netzwerkanmeldung.

  • Stellen Sie sicher, dass der Anmeldevorgang und das Authentifizierungspaket beide die Kerberos-Authentifizierung verwenden. Auf diese Weise wird bestätigt, dass die Kerberos-Authentifizierung für den Zugriff auf die Portalwebsite verwendet wird.

  • Vergewissern Sie sich, dass die Quellnetzwerkadresse mit der IP-Adresse des Computers übereinstimmt, von dem aus die Verbindung hergestellt wurde.

Wenn die Homepage der Portalwebsite nicht angezeigt werden kann und stattdessen eine Fehlermeldung wegen fehlender Autorisierung angezeigt wird, schlägt die Kerberos-Authentifizierung fehl. Für diesen Fehler gibt es gewöhnlich mehrere Ursachen:

  • Der SPN in AD DS wurde nicht für das richtige Benutzerkonto registriert. Er hätte für mydomain\portalpool, für die Webanwendung der Portalwebsite, registriert werden sollen.

  • Der SPN in AD DS stimmt nicht mit dem von Internet Explorer erstellten SPN überein oder ist aus einem anderen Grund ungültig. Da Sie IIS-Hostheader ohne explizite Portnummern verwenden, weicht in diesem Fall der in AD DS registrierte SPN vom IIS-Hostheader ab, den Sie beim Erweitern der Webanwendung angegeben haben. Sie müssen Abhilfe schaffen, damit die Kerberos-Authentifizierung erfolgreich ausgeführt wird.

Hinweis

Mithilfe eines Diagnoseprogramms können Sie das Netzwerk analysieren. Zu diesen Diagnoseprogrammen zählen Netzwerk-Sniffer wie z. B. Microsoft Netzwerkmonitor, mit denen beim Browsen der Zentraladministration eine Ablaufverfolgung erstellt wird. Analysieren Sie nach dem Auftreten eines Fehlers die Ablaufverfolgung, und suchen Sie nach KerberosV5-Protokoll-Paketen. Suchen Sie nach einem Paket mit einem von Internet Explorer erstellten SPN. Falls der SPN in der Ablaufverfolgung stimmt, ist entweder der SPN in AD DS ungültig oder der SPN wurde für das falsche Benutzerkonto registriert.

Wenn die Kerberos-Authentifizierung für Ihre Portalwebsite ordnungsgemäß ausgeführt wird, wechseln Sie mithilfe der folgenden URL zu der mit Kerberos authentifizierten Website Meine Website:

Hinweis

Beim ersten Zugriff auf die URL für Meine Website dauert es eine Weile, bis SharePoint Foundation 2010 eine Seite Meine Website für den angemeldeten Benutzer erstellt. Der Vorgang sollte jedoch erfolgreich ausgeführt werden, und die Seite Meine Website für diesen Benutzer sollte angezeigt werden.

Dies sollte ordnungsgemäß ausgeführt werden. Führen Sie andernfalls die vorhergehenden Schritte zur Problembehandlung aus.

Bestätigen der ordnungsgemäßen Funktionalität der Suchindizierung

Stellen Sie sicher, dass die auf dieser Serverfarm gehosteten Inhalte von der Suchindizierung ordnungsgemäß durchforstet werden. Diesen Schritt müssen Sie vor dem Bestätigen der Ergebnisse der Suchabfrage für Benutzer ausführen, die mithilfe der Kerberos-Authentifizierung auf die Websites zugreifen.

Hinweis

In diesem Abschnitt wird die Benutzeroberfläche nicht umfassend behandelt. Nur die wichtigsten Anweisungen sind enthalten. Sie sollten mit der Zentraladministration und der Vorgehensweise zum Ausführen der erforderlichen Schritte vertraut sein, bevor Sie den Vorgang fortsetzen.
Um die Funktionalität der Suchindizierung zu bestätigen, öffnen Sie eine Webanwendung, und starten Sie eine vollständige Durchforstung. Warten Sie, bis die Durchforstung abgeschlossen ist. Wenn die Durchforstung fehlschlägt, müssen Sie eine Analyse vornehmen und den Fehler beheben und anschließend eine vollständige Durchforstung ausführen. Wenn die Durchforstung mit dem Fehler Zugriff verweigert fehlschlägt, liegt dies entweder daran, dass das Durchforstungskonto keinen Zugriff auf die Inhaltsquellen hat, oder dass die Kerberos-Authentifizierung fehlgeschlagen ist. Unabhängig von der Ursache muss dieser Fehler behoben werden, bevor Sie die nächsten Schritte ausführen.

Sie müssen eine vollständige Durchforstung für die mit Kerberos authentifizierten Webanwendungen ausführen, bevor Sie den Vorgang fortsetzen.

Bestätigen der ordnungsgemäßen Funktionalität der Suchabfrage

Bestätigen Sie, dass die Suchabfrage Ergebnisse für Benutzer zurückgibt, die auf die Portalwebsite zugreifen, für die Kerberos-Authentifizierung verwendet wird:

  1. Starten Sie Internet Explorer auf einem System in mydomain.net, und wechseln Sie zu http://www.mydomain.com/.

  2. Wenn die Homepage der Portalwebsite angezeigt wird, geben Sie im Suchfeld einen Suchbegriff ein, und drücken Sie die EINGABETASTE.

  3. Bestätigen Sie, dass Ergebnisse für die Suchabfrage zurückgegeben werden. Überprüfen Sie andernfalls, ob der eingegebene Suchbegriff in Ihrer Bereitstellung gültig ist, ob die Suchindizierung ordnungsgemäß ausgeführt wird, ob der Suchdienst auf den Servern mit der Suchindizierung und der Suchabfrage ausgeführt wird, und ob keine Probleme bei der Suchverteilung vom Suchindexserver an den Suchabfrageserver bestehen.

Konfigurationseinschränkungen

Die Hostnamenkomponente der erstellten SPNs mit dem neuen Format besteht aus dem NetBIOS-Namen des Hosts, von dem der Dienst ausgeführt wird. Beispiel: MSSP/kerbtest4:56738/SSP1. Dies liegt daran, dass die Hostnamen aus der Konfigurationsdatenbank von SharePoint Foundation 2010 abgerufen werden und nur NetBIOS-Computernamen in der Konfigurationsdatenbank von SharePoint Foundation 2010 gespeichert werden. Dies ist in bestimmten Szenarien möglicherweise nicht eindeutig.

Zusätzliche Ressourcen und Anleitungen zur Problembehandlung

Produkt/Technologie Ressource

SQL Server

Wie Sie sicherstellen, dass die Kerberos-Authentifizierung verwendet wird, wenn Sie eine Remoteverbindung mit einer Instanz von SQL Server 2005 erstellen (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x407)

SQL Server

Problembehandlung bei der Fehlermeldung "SSPI-Kontext kann nicht generiert werden" (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x407)

.NET Framework

AuthenticationManager.CustomTargetNameDictionary-Eigenschaft (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x407)

Internet Explorer

Fehlermeldung in Internet Explorer, wenn Sie versuchen, auf eine Website zuzugreifen, die die Kerberos-Authentifizierung auf einem Windows XP-Computer erfordert: " HTTP-Fehler 401 – Nicht autorisiert: Der Zugriff wird aufgrund ungültiger Anmeldeinformationen verweigert" (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x407)

Kerberos-Authentifizierung

Technische Referenz zur Kerberos-Authentifizierung (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x407)

Kerberos-Authentifizierung

Problembehandlung bei Kerberos-Fehlern (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x407)

Kerberos-Authentifizierung

Kerberos-Protokollübergang und eingeschränkte Delegierung (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x407)

IIS

Konfigurieren von SSL-Hostheadern (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x407)