Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010)
Gilt für: SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
In den folgenden Szenarioartikeln bauen wir eine SharePoint Server 2010-Umgebung auf, um zu demonstrieren, wie in einer Reihe von Szenarien, die in Unternehmen häufig vorkommen, die Delegierung konfiguriert wird. Bei den exemplarischen Vorgehensweisen wird davon ausgegangen, dass Sie eine horizontal skalierte SharePoint-Farm ähnlich der im folgenden Abschnitt beschriebenen Farm erstellen.
Hinweis
Manche Konfigurationsschritte können variieren oder sind u. U. in bestimmten Farmtopologien nicht anwendbar. Beispielsweise unterstützt eine Installation mit einem einzelnen Server nicht den Forderungen-zu-Windows-Tokens-Dienst (C2WTS) in Windows Identity Foundation, sodass Szenarien mit Delegierung von Forderungen an Windows-Tokens in dieser Farmkonfiguration nicht möglich sind.
Umgebung und Farmtopologie
Das folgende Diagramm veranschaulicht die Farmtopologie, die beim Konfigurieren der Szenarien in den folgenden Abschnitten verwendet wurde. Die Farmtopologie wurde mit Lastenausgleich konfiguriert und zwischen mehreren Ebenen horizontal skaliert, um zu demonstrieren, wie die Identitätsdelegierung in Szenarien mit mehreren Servern und in Szenarien mit mehreren Schritten funktioniert.
Hinweis
Die Farmkonfiguration in den Demos ist nicht als Referenzarchitektur oder als Modell für das Entwerfen einer Topologie für Produktionsumgebungen gedacht. Beispielsweise werden in der Demo-Topologie alle SharePoint Server 2010-Dienstanwendungen auf einem einzigen Server ausgeführt, sodass für diese Dienste eine einzige Fehlerquelle vorhanden ist. Weitere Informationen zum Entwerfen und Erstellen einer SharePoint Server-Produktionsumgebung finden Sie unter SharePoint Server 2010 – physische und logische Architektur und Topologien für SharePoint Server 2010.
.jpg "Diagramm zur Beispielfarmtopologie")
Hinweis
Bei den exemplarischen Vorgehensweisen für die Szenarien wird davon ausgegangen, dass sich alle Computer, auf denen SharePoint Server ausgeführt wird, und die im unten beschriebenen Szenario verwendeten Datenquellen in einer einzigen Domäne befinden. Eine Erklärung und eine exemplarische Vorgehensweise zur Konfiguration mit mehreren Domänen bzw. mit mehreren Gesamtstrukturen ist nicht Gegenstand dieses Dokuments.
Spezifikation der Umgebung
Alle Computer in der Demo-Umgebung werden als virtualisierte Computer unter Windows Server 2008 R2 Hyper-V ausgeführt. Die Computer gehören einer einzigen Windows-Domäne an, vmlab.local, die in den Funktionsebenen für Windows Server 2008-Gesamtstrukturen und -Domänen ausgeführt werden.
Clientcomputer
- Windows 7 Professional, 64-Bit
SharePoint Server-Front-End-Webs
Windows Server 2008 R2 Enterprise, 64-Bit
Dienste:
- Webanwendungsdienst
Lastenausgleich mit Windows NLB
SharePoint Server-Anwendungsserver
Windows Server 2008 R2 Enterprise, 64-Bit
Microsoft SharePoint Server 2010 (RTM)
Dienste:
WIF-Forderungen-zu-Windows-Tokens-Dienst
Verwalteter Metadatendienst
SharePoint-Index
SharePoint-Abfrage
Excel Services
Visio-Grafikdienst
Business Connectivity Services
PerformancePoint-Dienste
SQL-Dienste
Windows Server 2008 R2 Enterprise, 64-Bit
Microsoft SQL Server 2008 R2 Enterprise, 64-Bit
Aktiv-Passiv-Konfiguration
SQL Server-Dienste:
SQL Data Engine
SQL Server Analysis Services
SQL Agent
SQL-Browser
SQL Reporting Server
Windows Server 2008 R2 Enterprise, 64-Bit (RTM)
Microsoft SQL 2008 R2 Enterprise, 64-Bit (RTM)
Microsoft SharePoint Server 2010 (RTM)
Lastenausgleich mit Windows NLB
Reporting Services im integrierten SharePoint-Modus
Reporting Services im Modus für horizontale Skalierung
Spezifikation der Webanwendung
In den Szenarien in der exemplarischen Vorgehensweise wird Bezug genommen auf eine Reihe von SharePoint Server 2010-Webanwendungen, die Sie in Szenario 1 konfigurieren werden. Für die folgenden Webanwendungen wird mithilfe von Windows NLB ein Lastenausgleich zwischen den zwei SharePoint Server-Web-Front-Ends in der Demo-Umgebung durchgeführt:
http://sp10CA Die Webanwendung der Zentraladministration für die Farm. In Szenario 1 wird die Konfiguration dieser Webanwendung nicht Schritt für Schritt erklärt.
http://portal und https://portal Die Webanwendung mit dem Demo-Veröffentlichungsportal. Anhand dieser Webanwendung wird gezeigt, wie Sie die Delegierung für Webanwendungen konfigurieren, die auf Standardports (HTTP 80, HTTPS 443) ausgeführt werden.
http://teams:5555 Die Webanwendung mit der Demo-Teamwebsite. Anhand dieser Webanwendung wird die Konfiguration der Delegierung für Webanwendungen gezeigt, die auf nicht standardmäßigen Ports ausgeführt werden, im aktuellen Beispiel Port 5555.
.jpg "Webanwendungsdiagramm")
SSL-Konfiguration
In einigen der Szenarien mit exemplarischen Vorgehensweisen wird SSL verwendet, um zu veranschaulichen, wie die Delegierung mit HTTPS konfiguriert wird. Es wird davon ausgegangen, dass die verwendeten Zertifikate von einer (internen oder öffentlichen) vertrauenswürdigen Stammzertifizierungsstelle stammen oder dass Sie alle Computer so konfiguriert haben, dass den verwendeten Zertifikaten vertraut wird. Nicht erklärt wird in diesem Dokument, wie Sie die Vertrauensstellung für Zertifikate ordnungsgemäß konfigurieren oder wie Sie Probleme im Zusammenhang mit der Installation von SSL-Zertifikaten beheben. Wir empfehlen dringend, die einschlägige Dokumentation über diese Themen zu lesen und die SSL-Konfiguration zu testen, bevor Sie die eingeschränkte Kerberos-Delegierung mit SSL-geschützten Diensten konfigurieren. Weitere Informationen finden Sie in folgenden Artikeln:
Active Directory-Zertifikatdienste (Übersicht) (https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x407)
Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten (https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x407)
Konfigurieren von Serverzertifikaten in IIS 7 (https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x407)
Einrichten von SSL für IIS 7: Konfigurieren der Sicherheit : Installieren und Konfigurieren von IIS 7 (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x407) auf der offiziellen Microsoft IIS-Website
Hinzufügen einer Bindung zu einer Site (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x407)
Konfigurieren eines Hostheaders für eine Website (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x407) – (Verwenden von SSL mit Hostheadern)
Erstellen eines selbstsignierten Serverzertifikats in IIS 7 (https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x407)
Lastenausgleich
Der Lastenausgleich in den SharePoint Server-Front-End-Web und auf Servern mit SQL Server Reporting Services wurde mithilfe von Windows Server 2008-Netzwerklastenausgleich (Network Load Balancing, NLB) implementiert. Die Konfiguration von NLB sowie bewährte Methoden für NLB sind nicht Thema dieses Dokuments. Weitere Informationen zu NLB finden Sie unter Netzwerklastenausgleich (Übersicht).
SQL-Aliasing
Die Farm wurde unter Verwendung eines SQL-Client-Alias zum Herstellen einer Verbindung zum SQL-Cluster erstellt. Dies ist eine bewährte Methode und dient zur Veranschaulichung der Kerberos-Authentifizierung bei Verwendung von SQL-Aliasing. In Szenario 2 wird davon ausgegangen, dass die Umgebung auf diese Weise konfiguriert wurde. Die Verwendung von SQL-Aliasen ist jedoch keine Bedingung, um die unten beschriebenen Szenarien auszuführen. Weitere Informationen zum Konfigurieren von SQL-Aliasen finden Sie unter Vorgehensweise: Erstellen eines Serveralias für die Verwendung durch einen Client (SQL Server-Konfigurations-Manager).
Tipps zum Durcharbeiten der Szenarien
Die unten beschriebenen Szenarien leiten Sie durch die verschiedenen Aktivitäten, die Sie zum Konfigurieren der Kerberos-Delegierung für verschiedene Funktionen der SharePoint Server-Plattform ausführen müssen. Beachten Sie beim Durcharbeiten der einzelnen Abschnitte Folgendes:
Bei allen Szenarien wird davon ausgegangen, dass Sie die Webanwendungen für klassische eingehende Authentifizierung (Kerberos) konfiguriert haben. Manche der Szenarien erfordern die klassische Authentifizierung, d. h. sie funktionieren nicht wie hier dokumentiert, wenn eingehende Forderungsauthentifizierung verwendet wird.
Stellen Sie zuerst sicher, dass die SharePoint Server-Dienste ohne Delegierung funktionieren, um sicherzugehen, dass die Dienstanwendungen korrekt konfiguriert sind, bevor Sie komplexere Konfigurationen mit Delegierung angehen.
Führen Sie jeden Schritt sorgfältig durch, und überspringen Sie keinen Schritt.
Führen Sie Szenario 1 durch, und arbeiten Sie mit den im Szenario genannten Tools zum Debuggen, da Sie diese in anderen Szenarien für die Ursachenanalyse bei Konfigurationsproblemen verwenden können.
Arbeiten Sie unbedingt auch Szenario 2 durch. Sie brauchen einen Computer mit SQL Server, der für Kerberos-Authentifizierung konfiguriert ist. Die Testdatenbank, die Sie in diesem Szenario erstellen, werden Sie für einige der späteren Szenarien benötigen.
Überprüfen Sie in jedem Szenario stets mithilfe von SetSPN -X und SetSPN -Q die Konfiguration der Dienstprinzipalnamen. Weitere Informationen hierzu finden Sie im Anhang.
Überprüfen Sie unbedingt die Serverereignisprotokolle und die ULS-Protokolle, wenn Sie mit dem Debuggen eines Konfigurationsproblems beginnen. In diesen Protokollen finden Sie meist gute Hinweise auf die Ursachen möglicher Probleme.
Aktivieren Sie die Diagnoseprotokollierung für SharePoint Foundation->Forderungsauthentifizierung und jegliche Dienstanwendungen, die zu untersuchen sind, falls ein Problem auftritt.
Denken Sie daran, dass sich die Zwischenspeicherung für Dienstanwendungen auf jedes Szenario auswirken kann. Wenn Sie Änderungen an der Konfiguration vornehmen, aber keine Veränderung im Verhalten der Plattform feststellen können, starten Sie den Anwendungspool oder den Windows-Dienst des Dienstes neu. Wird das Problem dadurch behoben, hilft manchmal ein Neustart des Systems.
Bedenken Sie, dass Kerberos-Tickets nach der Anforderung zwischengespeichert werden. Wenn Sie ein Tool wie NetMon verwenden, um TGT- und TGS-Anforderungen anzuzeigen, müssen Sie u. U. den Ticketcache leeren, wenn der erwartete Anforderungsdatenverkehr nicht zu sehen ist. In Szenario 1, Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) wird erklärt, wie Sie diesen Schritt mithilfe der Hilfsprogramme KLIST und KerbTray ausführen.
Führen Sie NetMon unbedingt mit administrativen Berechtigungen aus, um Kerberos-Datenverkehr zu erfassen.
Bei komplexen Debuggingszenarien empfiehlt es sich u. U., die WIF-Ablaufverfolgung für den Forderungen-zu-Windows-Tokens-Dienst sowie für die SharePoint-Dienstanwendungen (WCF-Dienste). zu aktivieren. Weitere Informationen finden Sie in folgenden Artikeln: