Configuración de la autenticación Kerberos (Office SharePoint Server)

  • Artículo

En este artículo:

  • Acerca de la autenticación Kerberos

  • Antes de comenzar

  • Configuración de la autenticación Kerberos para las comunicaciones SQL

  • Configuración de Internet Explorer para incluir los números de puerto en los nombres principales de servicio

  • Creación de nombres principales de servicio para las aplicaciones web con la autenticación Kerberos

  • Implementación de la granja de servidores

  • Configuración de servicios en servidores de la granja de servidores

  • Creación de aplicaciones web con autenticación Kerberos

  • Creación de una colección de sitios mediante la plantilla del portal de colaboración en la aplicación web del sitio del portal

  • Creación de un proveedor de servicios compartidos para la granja de servidores

  • Confirmación del acceso correcto a las aplicaciones web con autenticación Kerberos

  • Confirmación de la funcionalidad de indización de búsqueda

  • Confirmación de la funcionalidad de consultas de búsqueda

  • Configuración de la infraestructura de SSP para la autenticación Kerberos

  • Registro de nuevos SPN con formato personalizado para la cuenta de servicio de SSP en Active Directory

  • Ejecución de la herramienta de línea de comandos Stsadm para establecer la infraestructura de SSP para el uso de la autenticación Kerberos

  • Adición de una nueva clave de registro a todos los servidores que ejecuten Office SharePoint Server para habilitar la generación de los nuevos SPN con formato personalizado

  • Confirmación de la autenticación Kerberos para el acceso a los servicios compartidos en el nivel raíz

  • Confirmación de la autenticación Kerberos para el acceso a los servicios compartidos en el nivel de directorio virtual

  • Limitaciones de la configuración

  • Recursos adicionales y guía para solucionar problemas

Acerca de la autenticación Kerberos

Kerberos es un protocolo seguro que admite la autenticación mediante vales. Un servidor de autenticación Kerberos concede un vale en respuesta a una solicitud de autenticación de un equipo cliente, si la solicitud contiene credenciales de usuario válidas y un nombre principal de servicio (SPN) válido. A continuación, el equipo cliente usa el vale para tener acceso a los recursos de la red. Para habilitar la autenticación Kerberos, los equipos cliente y servidor deben tener una conexión de confianza con el centro de distribución de claves (KDC) del dominio. El KDC distribuye claves secretas compartidas para habilitar el cifrado. Los equipos cliente y servidor también deben tener acceso a los servicios de directorio de Active Directory. Para Active Directory, el dominio raíz del bosque es el centro de las referencias de la autenticación Kerberos.

Para implementar una granja de servidores que ejecute Microsoft Office SharePoint Server 2007 y use la autenticación Kerberos, debe instalar y configurar varias aplicaciones en los equipos. En este artículo se describe un ejemplo de granja de servidores donde se ejecuta Office SharePoint Server 2007 y se proporcionan instrucciones para implementar y configurar la granja de servidores de modo que use la autenticación Kerberos para admitir la funcionalidad siguiente:

  • Comunicación entre Office SharePoint Server 2007 y el software de base de datos Microsoft SQL Server.

  • Acceso a la aplicación web de Administración central de SharePoint.

  • Acceso a otras aplicaciones web, incluidas una aplicación web del sitio del portal, una aplicación web de Mi sitio y una aplicación web del sitio de administración de SSP.

  • Acceso a los servicios compartidos de las aplicaciones web de Office SharePoint Server 2007 en la infraestructura del proveedor de servicios compartidos (SSP) de Office SharePoint Server 2007.

Antes de comenzar

Este artículo está dirigido a personal de nivel administrativo con conocimientos de:

  • Windows Server 2003

  • Active Directory

  • Internet Information Services (IIS) 6.0 (o IIS 7.0)

  • Windows SharePoint Services 3.0

  • Office SharePoint Server 2007

  • Windows Internet Explorer

  • Autenticación Kerberos, tal como se implementa en Active Directory para Windows Server 2003

  • Equilibro de carga de red (NLB) en Windows Server 2003

  • Cuentas de equipo en un dominio de Active Directory

  • Cuentas de usuario en un dominio de Active Directory

  • Sitios web de IIS y sus enlaces y configuración de autenticación

  • Identidades del grupo de aplicaciones de IIS para sitios web de IIS

  • Asistente para configuración de Productos y Tecnologías de SharePoint

  • Aplicaciones web de Windows SharePoint Services 3.0 y Office SharePoint Server 2007

  • Páginas de Administración central

  • Nombres principales de servicio (SPN) y su configuración en un dominio de Active Directory

Importante

Para crear SPN en un dominio de Active Directory, debe tener permisos de nivel administrativo en el dominio.

La autenticación Kerberos para la infraestructura de SSP de Office SharePoint Server 2007 requiere la instalación de la Actualización de infraestructura para servidores de Microsoft Office.

Nota

Un SSP es una agrupación lógica de un conjunto común de servicios y datos de servicio que se pueden proporcionar a las aplicaciones web y sus sitios web asociados. Una infraestructura de SSP permite compartir los servicios entre granjas de servidores, aplicaciones web y colecciones de sitios. El sitio web de servicios web de Office Server es la infraestructura de SSP. La infraestructura de SSP existe en cualquier servidor que ejecute Office SharePoint Server 2007 que se haya implementado mediante la opción de instalación Completa. La autenticación Kerberos no funciona con el sitio web de servicios web de Office Server a menos que esté instalada la Actualización de infraestructura para servidores de Microsoft Office.

En este artículo no se proporciona un examen en profundidad de la autenticación Kerberos. Kerberos es un método de autenticación estándar del sector que se implementa en Active Directory.

En este artículo no se proporcionan instrucciones detalladas paso a paso para instalar Office SharePoint Server 2007 o usar el Asistente para configuración de Productos y Tecnologías de SharePoint.

En este artículo no se proporcionan instrucciones detalladas paso a paso sobre cómo usar Administración central para crear aplicaciones web de Office SharePoint Server 2007.

Requisitos de la versión de software

La información que se proporciona en este artículo a modo de guía y las pruebas realizadas para confirmar dicha información se basan en resultados obtenidos con sistemas que ejecutan Windows Server 2003 e Internet Explorer con las últimas actualizaciones aplicadas desde el sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A). Se instalaron las siguientes versiones de software:

Debe asegurarse también de que los controladores de dominio de Active Directory ejecuten Windows Server 2003 SP2 con las últimas actualizaciones aplicadas del sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

Problemas conocidos

La autenticación Kerberos no se puede configurar para que funcione con la infraestructura de SSP en Office SharePoint Server 2007 a menos que la Actualización de infraestructura para servidores de Microsoft Office esté instalada. Por lo tanto, si no tiene instalada la Actualización de infraestructura para servidores de Microsoft Office, omita las instrucciones de este artículo para configurar la autenticación Kerberos para la infraestructura de SSP.

Office SharePoint Server 2007 puede rastrear aplicaciones web configuradas para usar la autenticación Kerberos si dichas aplicaciones web se hospedan en servidores virtuales de IIS enlazados a los puertos predeterminados, que son el puerto TCP 80 y el puerto SSL (Capa de sockets seguros) 443. Sin embargo, la búsqueda de Office SharePoint Server 2007 no puede rastrear las aplicaciones web de Office SharePoint Server 2007 que están configuradas para usar la autenticación Kerberos si las aplicaciones web se hospedan en servidores virtuales de IIS que se enlazan a puertos no predeterminados (puertos distintos de los puertos TCP 80 y SSL 443). Actualmente, la búsqueda de Office SharePoint Server 2007 solo puede rastrear aplicaciones web de Office SharePoint Server 2007 hospedadas en servidores virtuales de IIS enlazados a puertos no predeterminados que están configurados para usar autenticación NTLM o la autenticación básica.

Para que los usuarios finales obtengan acceso mediante la autenticación Kerberos, si necesita implementar aplicaciones web que solo se pueden hospedar en servidores virtuales de IIS que estén enlazados a puertos no predeterminados, y si desea que los usuarios finales obtengan resultados en las consultas de búsqueda:

  • Las mismas aplicaciones web deben hospedarse en otros servidores virtuales de IIS en puertos no predeterminados.

  • Las aplicaciones web deben configurarse para usar la autenticación NTLM o básica.

  • La indización de búsqueda debe rastrear las aplicaciones web mediante la autenticación NTLM o básica.

Este artículo proporciona instrucciones para:

  • Configurar la aplicación web de Administración central que usa la autenticación Kerberos y está hospedada en un servidor virtual de IIS enlazado a puertos no predeterminados.

  • Configurar las aplicaciones del portal y de Mi sitio y los servicios compartidos que usan la autenticación Kerberos y que están hospedados en servidores virtuales de IIS enlazados a puertos predeterminados y tienen un enlace de encabezado de host de IIS.

  • Garantizar que la indización de búsqueda rastrea correctamente las aplicaciones web de Office SharePoint Server 2007 que usen la autenticación Kerberos.

  • Garantizar que los usuarios que tengan acceso a aplicaciones web con autenticación Kerberos obtengan resultados de las consultas de búsqueda en esas aplicaciones web.

  • Configurar la autenticación Kerberos para la infraestructura de SSP (si la Actualización de infraestructura para servidores de Microsoft Office está instalada).

Información adicional

Es importante comprender que, cuando se usa la autenticación Kerberos, la funcionalidad de la autenticación en sí depende en parte del comportamiento del cliente que intenta autenticarse mediante Kerberos. En una implementación de granja de servidores de Office SharePoint Server 2007 donde se use la autenticación Kerberos, Office SharePoint Server 2007 no es el cliente. Antes de implementar una granja de servidores con Office SharePoint Server 2007 donde se use la autenticación Kerberos, debe comprender el comportamiento de los siguientes clientes:

  • El explorador (en el contexto de este artículo, el explorador es siempre Windows Internet Explorer).

  • Microsoft .NET Framework.

El explorador es el cliente que se usa al explorar una página web en una aplicación web de Office SharePoint Server 2007. Cuando Office SharePoint Server 2007 realiza tareas tales como rastrear los orígenes de contenido locales de Office SharePoint Server 2007 o realizar llamadas a la infraestructura de SSP, .NET Framework actúa como cliente.

Para que la autenticación Kerberos funcione correctamente, se deben crear SPN en Active Directory. Si los servicios a los que corresponden estos SPN están a la escucha en puertos no predeterminados, los SPN deben incluir los números de puerto. De este modo, se garantiza que los SPN son significativos. También es necesario para evitar la creación de SPN duplicados.

Cuando un cliente (Internet Explorer o .NET Framework) intenta obtener acceso a un recurso que usa la autenticación Kerberos, el cliente debe construir un SPN para usarlo como parte del proceso de autenticación Kerberos. Si el cliente no construye un SPN que coincida con el SPN configurado en Active Directory, se producirá un error en la autenticación Kerberos, normalmente un error del tipo "Acceso denegado".

Hay versiones de Internet Explorer que no crean SPN con números de puerto. Si usa aplicaciones web de Office SharePoint Server 2007 que están enlazadas a números de puertos no predeterminados en IIS, puede que tenga que ordenar a Internet Explorer que incluya los números de puerto en los SPN creados. En una granja de servidores que ejecute Office SharePoint Server 2007, la aplicación web de Administración central se hospeda, de forma predeterminada, en un servidor virtual de IIS que está enlazado a un puerto no predeterminado. Por lo tanto, en este artículo se tratan los sitios web enlazados a puertos IIS y a encabezados de host de IIS, y se proporciona un vínculo a instrucciones para ordenar a Internet Explorer que incluya los números de puerto en los SPN.

En una granja de servidores que ejecute Office SharePoint Server 2007, .NET Framework no crea de forma predeterminada SPN que contengan números de puerto. Esta es la razón por la cual la búsqueda no puede rastrear aplicaciones web que usen la autenticación Kerberos si esas aplicaciones web se hospedan en servidores virtuales de IIS que están enlazados a puertos no predeterminados. Es también la razón por la cual la autenticación Kerberos no se puede configurar correctamente para funcionar con la infraestructura de SSP a menos que la Actualización de infraestructura para servidores de Microsoft Office esté instalada.

Topología de granja de servidores

En este artículo se analiza la siguiente topología de granja de servidores de Office SharePoint Server 2007:

  • Dos equipos que ejecutan Windows Server 2003 que actúan como servidores cliente web, con NLB de Windows configurada.

  • Tres equipos que ejecutan Windows Server 2003 y que actúan como servidores de aplicaciones. Uno de los servidores de aplicaciones hospeda la aplicación web de Administración central. Otro ejecuta la consulta de búsqueda y el tercero ejecuta la indización de búsqueda.

  • Un equipo que ejecuta Windows Server 2003 y que se usa como el host de SQL para la granja de servidores que ejecuta Office SharePoint Server 2007. Para el escenario descrito en este artículo, se puede usar Microsoft SQL Server 2000 SP4 o Microsoft SQL Server 2005 SP2.

En este artículo se proporcionan instrucciones para configurar un SSP en la granja de servidores.

Convenciones de Active Directory, nomenclatura de equipos y NLB

El escenario descrito en este artículo usa las siguientes convenciones respecto a Active Directory, nomenclatura de los equipos y NLB:

Función de servidor Nombre de dominio

Active Directory

mydomain.net

Un servidor cliente web que ejecute Office SharePoint Server 2007

mossfe1.mydomain.net

Un servidor cliente web que ejecute Office SharePoint Server 2007

mossfe2.mydomain.net

Administración central de Office SharePoint Server 2007

mossadmin.mydomain.net

Indización de búsqueda que ejecuta Office SharePoint Server 2007

mosscrawl.mydomain.net

Consulta de búsqueda que ejecuta Office SharePoint Server 2007

mossquery.mydomain.net

Host de SQL Server que ejecuta Office SharePoint Server 2007

mosssql.mydomain.net

Una dirección VIP de NLB se asigna a mossfe1.mydomain.net y mossfe2.mydomain.net como resultado de configurar NLB en esos sistemas. Un conjunto de nombres de host DNS que señalan a esta dirección se registran en el sistema DNS. Por ejemplo, si la dirección VIP de NLB es 192.168.100.200, tiene un conjunto de registros DNS que resuelven los siguientes nombres DNS en esta dirección IP (192.168.100.200):

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

  • kerbsspadmin.mydomain.net

Convenciones de las cuentas de dominio de Active Directory

En el ejemplo de este artículo se usan las convenciones de nomenclatura que aparecen en la tabla siguiente para las cuentas de servicio y las identidades de grupo de aplicaciones en la granja de servidores que ejecuta Office SharePoint Server 2007.

Cuenta de dominio o identidad de grupo de aplicaciones Nombre

Cuenta de administrador local

  • En todos los servidores que ejecutan Office SharePoint Server 2007 (pero no en el equipo host que ejecuta SQL Server)

  • Para la instalación de Office SharePoint Server 2007 y el Asistente para configuración de Productos y Tecnologías de SharePoint ejecutados como usuario

mydomain\pscexec

Cuenta de administrador local en el equipo host de SQL Server

mydomain\sqladmin

Cuenta de servicio de SQL Server que se usa para ejecutar el servicio de SQL Server en el host de SQL

mydomain\mosssqlsvc

Cuenta de administrador de la granja de servidores de Office SharePoint Server 2007

mydomain\mossfarmadmin

Se usa como la identidad del grupo de aplicaciones para Administración central y como la cuenta de servicio para el servicio de temporizador de SharePoint.

Identidad del grupo de aplicaciones de Office SharePoint Server 2007 para la aplicación web del sitio del portal

mydomain\portalpool

Identidad del grupo de aplicaciones de Office SharePoint Server 2007 para la aplicación web de Mi sitio

mydomain\mysitepool

Identidad del grupo de aplicaciones de Office SharePoint Server 2007 para el sitio web de Administración de servicios compartidos

mydomain\sspadminpool

Cuenta de servicio del SSP de Office SharePoint Server 2007

mydomain\sspsvc

Cuenta de servicio de búsqueda de Windows SharePoint Services 3.0

mydomain\wsssearch

Cuenta de acceso al contenido de búsqueda de Windows SharePoint Services 3.0

mydomain\wsscrawl

Cuenta de servicio de búsqueda de Office SharePoint Server 2007

mydomain\mosssearch

Cuenta de acceso al contenido de Office SharePoint Server 2007

mydomain\mosscrawl

Requisitos de configuración preliminares

Antes de instalar Office SharePoint Server 2007 en los equipos de la granja de servidores, asegúrese de haber realizado los procedimientos siguientes:

  • Todos los servidores usados en la granja de servidores, incluido el host de SQL, tienen instalado Windows Server 2003 SP2, incluidas las últimas actualizaciones de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

  • Todos los servidores de la granja de servidores tienen instalado Internet Explorer 7 y las últimas actualizaciones del sitio de Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0xC0A).

  • SQL Server (SQL Server 2000 SP4 o SQL Server 2005 SP2) está instalado y en ejecución en el equipo host de SQL, y el servicio de SQL Server se ejecuta como la cuenta mydomain\sqlsvc. Hay una instancia predeterminada de SQL Server instalada y a la escucha en el puerto TCP 1433.

  • Se ha agregado el Asistente para configuración de Productos y Tecnologías de SharePoint ejecutado como usuario:

    • Como un inicio de sesión de SQL en el host de SQL.

    • En la función de SQL Server DBCreators en el host de SQL.

    • En la función de SQL Server Administradores de seguridad en el host de SQL.

Configuración de la autenticación Kerberos para las comunicaciones SQL

Configure la autenticación Kerberos para las comunicaciones SQL antes de instalar y configurar Office SharePoint Server 2007 en los servidores que ejecutan Office SharePoint Server 2007. Esto es necesario porque la autenticación Kerberos para las comunicaciones SQL se tiene que configurar y su funcionamiento ha de comprobarse antes de que los equipos que ejecutan Office SharePoint Server 2007 puedan conectarse a SQL Server.

El proceso de configurar la autenticación Kerberos para cualquier servicio instalado en un equipo host que ejecuta Windows Server 2003 incluye crear un SPN para la cuenta de dominio que se utiliza para ejecutar el servicio en el host. Los SPN constan de las siguientes partes:

  • Un nombre de servicio (por ejemplo, MSSQLSvc o HTTP)

  • Un nombre de host (ya sea real o virtual)

  • Un número de puerto

La lista siguiente contiene ejemplos de SPN para una instancia predeterminada de SQL Server que se ejecuta en un equipo denominado mosssql y que escucha en el puerto 1433:

  • MSSQLSvc/mosssql:1433

  • MSSQLSvc/mosssql.mydomain.com:1433

Estos son los SPN que va a crear para la instancia de SQL Server en el host de SQL que usará la granja de servidores descrita en este artículo. Siempre se deben crear SPN que tengan tanto un nombre NetBIOS como un nombre DNS completo para un host de la red.

Existen diferentes métodos que se pueden usar para establecer un SPN para una cuenta de un dominio de Active Directory. Un método consiste en usar la utilidad SETSPN.exe, que forma parte de las herramientas del Kit de recursos para Windows Server 2003. Otro método es usar el complemento ADSIEDIT.MSC en el controlador de dominio de Active Directory. En este artículo se explica el uso del complemento ADSIEDIT.MSC.

Hay dos pasos básicos para configurar la autenticación Kerberos para SQL Server:

  • Crear los SPN para la cuenta de servicio de SQL Server.

  • Confirmar que se usa la autenticación Kerberos para conectar los servidores que ejecutan Office SharePoint Server 2007 con los servidores que ejecutan SQL Server.

Creación de los SPN para la cuenta de servicio de SQL Server

  1. Inicie sesión en el controlador de dominio de Active Directory con las credenciales de un usuario que tenga permisos administrativos en el dominio.

  2. En el cuadro de diálogo Ejecutar, escriba ADSIEDIT.MSC.

  3. En el cuadro de diálogo de la consola de administración, expanda la carpeta del contenedor de dominio.

  4. Expanda la carpeta de contenedor donde se encuentran las cuentas de usuario; por ejemplo CN=Users.

  5. Busque el contenedor de la cuenta de servicio de SQL Server; por ejemplo CN=mosssqlsvc.

  6. Haga clic con el botón secundario en esta cuenta y, a continuación, haga clic en Propiedades.

  7. Desplácese hacia abajo por la lista de propiedades del cuadro de diálogo Cuenta de servicio de SQL Server hasta encontrar servicePrincipalName.

  8. Seleccione la propiedad servicePrincipalName y haga clic en Editar.

  9. En el campo Valor para agregar, en el cuadro de diálogo Editor de cadena multivalor, escriba el SPN MSSQLSvc/mosssql:1433 y haga clic en Agregar. A continuación, escriba el SPN MSSQLSvc/mosssql.mydomain.com:1433 en este campo y haga clic en Agregar.

  10. Haga clic en Aceptar en el cuadro de diálogo Editor de cadena multivalor y, a continuación, haga clic en Aceptar en el cuadro de diálogo de propiedades de la cuenta de servicio de SQL Server.

Confirmación de que se usa la autenticación Kerberos para conectar los servidores que ejecutan Office SharePoint Server 2007 a SQL Server

Instale las herramientas de cliente de SQL en uno de los servidores que ejecutan Office SharePoint Server 2007 y use las herramientas para conectarse desde el servidor que ejecuta Office SharePoint Server 2007 a los servidores que ejecutan SQL Server. En este artículo no se describen los pasos necesarios para instalar las herramientas de cliente de SQL en uno de los servidores que ejecutan Office SharePoint Server 2007. Los procedimientos de confirmación se basan en los siguientes supuestos:

  • Está usando SQL Server 2005 SP2 en el host de SQL.

  • Ha iniciado sesión en uno de los servidores que ejecutan Office SharePoint Server 2007, está usando la cuenta mydomain\pscexec y ha instalado las herramientas de cliente de SQL 2005 en el servidor que ejecuta Office SharePoint Server 2007.

  1. Ejecute SQL Server 2005 Management Studio.

  2. Cuando aparezca el cuadro de diálogo Conectar con el servidor, escriba el nombre del equipo host de SQL (en este ejemplo, el equipo host de SQL es mosssql) y haga clic en Conectar para conectar con el equipo host de SQL.

  3. Para confirmar que se usó la autenticación Kerberos para esta conexión, ejecute el Visor de eventos en el equipo host de SQL y examine el registro de eventos de seguridad. Debería ver un registro de auditoría de aciertos para un evento de categoría Inicio de sesión/cierre de sesión similar a los datos mostrados en las tablas siguientes:

    Tipo de evento

    Auditoría realizada correctamente

    Origen del evento

    Seguridad

    Categoría del evento

    Inicio/cierre de sesión

    Identificador de evento

    540

    Fecha

    31/10/2007

    Hora

    4:12:24 p.m.

    Usuario

    MYDOMAIN\pscexec

    Equipo

    MOSSSQL

    Descripción

    En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

    Nombre de usuario

    pscexec

    Dominio

    MYDOMAIN

    Identificador de inicio de sesión

    (0x0,0x6F1AC9)

    Tipo de inicio de sesión

    3

    Proceso de inicio de sesión

    Kerberos

    Nombre de la estación de trabajo

    GUID de inicio de sesión

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    Nombre de usuario del llamador

    Dominio del llamador

    Identificador de inicio de sesión del llamador

    Identificador de proceso del llamador

    Servicios transitados

    Dirección de red de origen

    192.168.100.100

    Puerto de origen

    2465

Examine la entrada del registro para confirmar que:

  1. El nombre de usuario es correcto. La cuenta mydomain\pscexec inició una sesión a través de la red en el host de SQL.

  2. El tipo de inicio de sesión es 3. Un inicio de sesión de tipo 3 es un inicio de sesión de red.

  3. Tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. Esto confirma que el servidor que ejecuta Office SharePoint Server 2007 usa la autenticación Kerberos para comunicarse con el host de SQL.

  4. La dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si se produce un error en la conexión con el host de SQL y aparece un mensaje de error similar a No se puede generar el contexto SSPI, es probable que haya un problema con el SPN que se está usando para la instancia de SQL Server. Para solucionar y corregir este problema, vea el artículo que trata acerca de la forma de solucionar el mensaje de error "No se puede generar el contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0xC0A) de Microsoft Knowledge Base.

Configuración de Internet Explorer para incluir los números de puerto en los nombres principales de servicio

Muchas versiones de Internet Explorer no incluyen los números de puerto en los SPN que crean. Para determinar si está usando una versión de Internet Explorer 6 que tiene este problema, así como los pasos necesarios para solucionarlo, vea el artículo que trata acerca de que Internet Explorer 6 no puede usar el protocolo de autenticación Kerberos para conectarse a un sitio web que use un puerto no estándar en Windows XP y en Windows Server 2003 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0xC0A) en Microsoft Knowledge Base. Debería examinar con sumo cuidado el número de versión de la DLL a la que se hace referencia en este artículo para determinar si la versión de Internet Explorer que usa necesita la revisión descrita en el artículo. Si su versión de Internet Explorer no crea un SPN con números de puerto, y usa aplicaciones web de Office SharePoint Server 2007 hospedadas en servidores virtuales de IIS enlazados a puertos no predeterminados, debe aplicar esta revisión para poder ir a las aplicaciones web que usan su versión de Internet Explorer. En el contexto de este artículo, debe asegurarse de que la versión de Internet Explorer que está usando incluye los números de puerto en los SPN que crea, ya que el SPN que se agregue a Active Directory para la aplicación web de Administración central contendrá un número de puerto.

Creación de nombres principales de servicio para las aplicaciones web con la autenticación Kerberos

En lo que respecta a la autenticación Kerberos, las aplicaciones web de Office SharePoint Server 2007 basadas en IIS no tienen nada especial: la autenticación Kerberos las trata como cualquier otro sitio web de IIS

Este proceso requiere conocimientos de los siguientes elementos:

  • La clase de servicio del SPN (en el contexto de este artículo, para las aplicaciones web de Office SharePoint Server 2007, siempre es HTTP).

  • La dirección URL de todas las aplicaciones web de Office SharePoint Server 2007 que usen la autenticación Kerberos.

  • La parte correspondiente al nombre de host del SPN (ya sea real o virtual; en este artículo se contemplan ambos casos).

  • La parte correspondiente al número de puerto del SPN (en el escenario descrito en este artículo, se usan aplicaciones web de Office SharePoint Server 2007 de IIS basadas tanto en puertos como en encabezados de host).

  • Las cuentas de Windows Active Directory para las que se deben crear los SPN.

En la siguiente tabla se enumera la información del escenario descrito en este artículo:

Dirección URL Cuenta de Active Directory SPN

http://mossadmin.mydomain.net:10000

mossfarmadmin

  • HTTP/mossadmin.mydomain.net:10000

  • HTTP/mossadmin.mydomain.net:10000

http://www.mydomain.com/

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://www.mydomain.com/

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

http://www.mydomain.com/ssp/admin

sspadminpool

  • HTTP/kerbsspadmin.mydomain.net

  • HTTP/kerbsspadmin

Notas sobre esta tabla:

  • La primera dirección URL que aparece en la tabla corresponde a Administración central y usa un número de puerto. No es necesario usar el puerto 10000, que en este artículo se usa a modo de ejemplo.

  • Las tres direcciones URL siguientes son para el sitio del portal, Mi sitio y el sitio de administración de servicios compartidos, respectivamente.

Use las instrucciones anteriores para crear los SPN que necesite en Active Directory para admitir la autenticación Kerberos en las aplicaciones web de Office SharePoint Server 2007. Debe iniciar sesión en un controlador de dominio del entorno con una cuenta que tenga permisos administrativos en el dominio. Para crear los SPN, puede usar la herramienta SETSPN.exe, o bien puede usar el complemento ADSIEDIT.MSC, ambos mencionados anteriormente. Si usa el complemento ADSIEDIT.MSC, lea las instrucciones ya proporcionadas en este artículo para crear los SPN. Asegúrese de crear los SPN adecuados para las cuentas apropiadas de Active Directory.

Implementación de la granja de servidores

La implementación de la granja de servidores incluye los pasos siguientes:

  1. Configure Office SharePoint Server 2007 en todos los servidores que ejecuten Office SharePoint Server 2007.

  2. Ejecute el Asistente para configuración de Productos y Tecnologías de SharePoint y cree una nueva granja de servidores. Este paso incluye la creación de una aplicación web de Administración central de Office SharePoint Server 2007 que se hospedará en un servidor virtual de IIS enlazado a un puerto no predeterminado y usará la autenticación Kerberos.

  3. Ejecute el Asistente para configuración de Productos y Tecnologías de SharePoint y una el resto de servidores a la granja de servidores.

  4. Configure los siguientes servicios en los servidores de la granja:

    • Servicio de búsqueda Windows SharePoint Services 3.0

    • Indización de búsqueda de Office SharePoint Server 2007

    • Consulta de búsqueda de Office SharePoint Server 2007

  5. Cree aplicaciones web para su uso en el sitio del portal, Mi sitio y el sitio de administración de servicios compartidos con autenticación Kerberos.

  6. Cree una colección de sitios mediante la plantilla del portal de colaboración en la aplicación web del sitio del portal.

  7. Cree un proveedor de servicios compartidos para la granja de servidores.

  8. Confirme el acceso correcto a las aplicaciones web con la autenticación Kerberos.

  9. Confirme la funcionalidad correcta de la indización de búsqueda.

  10. Confirme la funcionalidad correcta de las consultas de búsqueda.

  11. Configure la infraestructura de SSP para la autenticación Kerberos. Este es un paso opcional que requiere la instalación de la Actualización de infraestructura para servidores de Microsoft Office.

  12. Confirme la funcionalidad del SSP con la autenticación Kerberos. Este es un paso opcional que requiere la instalación de la Actualización de infraestructura para servidores de Microsoft Office.

Instalación de Office SharePoint Server 2007 en todos los servidores

Se trata de un sencillo proceso que consiste en ejecutar el programa de instalación de Office SharePoint Server 2007 para instalar los archivos binarios de Office SharePoint Server 2007 en los servidores que ejecuten Office SharePoint Server 2007. Inicie sesión en cada uno de los equipos que ejecuten Office SharePoint Server 2007 con la cuenta mydomain\pscexec. No se proporcionan instrucciones paso a paso de este proceso. Para el escenario descrito en este artículo, realice una instalación Completa de Office SharePoint Server 2007 en todos los servidores que requieran Office SharePoint Server 2007.

Ejecución del Asistente para configuración de Productos y Tecnologías de SharePoint y creación de una nueva granja de servidores

Para el escenario descrito en este artículo, ejecute en primer lugar el Asistente para configuración de Productos y Tecnologías de SharePoint desde el servidor de indización de búsqueda MOSSADMIN, de modo que MOSSADMIN hospede la aplicación web de Administración central de Office SharePoint Server 2007.

En el servidor denominado MOSSCRAWL, cuando se complete el programa de instalación, aparecerá un cuadro de diálogo Instalación finalizada con una casilla activada para ejecutar el Asistente para configuración de Productos y Tecnologías de SharePoint. Deje activada esta casilla y cierre el cuadro de diálogo de instalación para ejecutar el Asistente para configuración Productos y Tecnologías de SharePoint.

Cuando se ejecute el Asistente para configuración de Productos y Tecnologías de SharePoint en este equipo, indique al Asistente que cree una nueva granja de servidores con la siguiente configuración:

  • Proporcione el nombre del servidor de base de datos (en este artículo, es el servidor denominado MOSSSQL).

  • Proporcione un nombre de base de datos de configuración (puede usar el valor predeterminado, o especificar el nombre que desee).

  • Proporcione la información de la cuenta de acceso (administrador de granja de servidores) a la base de datos. En el escenario de este artículo, esa cuenta es mydomain\mossfarmadmin.

  • Proporcione la información necesaria para la aplicación web de Administración central de Office SharePoint Server 2007. En el escenario de este artículo, esa información es:

    • Número de puerto de la aplicación web de Administración central: 10000

    • Método de autenticación: Negociar

Cuando haya proporcionado toda la información necesaria, el Asistente para configuración de Productos y Tecnologías de SharePoint debería finalizar correctamente. Si se completa correctamente, compruebe que tiene acceso a la página principal de la aplicación web de Administración central de Office SharePoint Server 2007 mediante la autenticación Kerberos. Para ello, siga estos pasos:

  1. Inicie sesión en un servidor diferente que ejecute Office SharePoint Server 2007 o en otro equipo del dominio mydomain, como mydomain\pscexec. No debe comprobar el correcto comportamiento de la autenticación Kerberos directamente en el equipo que hospeda la aplicación web de Administración central de Office SharePoint Server 2007, pues tal comprobación se realiza desde un equipo independiente del dominio.

  2. Inicie Internet Explorer en este servidor e intente ir a la siguiente dirección URL: http://mossadmin.mydomain.net:10000. Se debería mostrar la página principal de Administración central.

  3. Para confirmar que se ha usado la autenticación Kerberos para tener acceso a Administración central, vuelva al equipo denominado MOSSADMIN, ejecute el Visor de eventos y vea el registro de seguridad. Debería ver un registro de auditoría de aciertos con una apariencia similar a la tabla siguiente:

    Tipo de evento

    Auditoría realizada correctamente

    Origen del evento

    Seguridad

    Categoría del evento

    Inicio/cierre de sesión

    Identificador de evento

    540

    Fecha

    1/11/2007

    Hora

    2:22:20 p.m.

    Usuario

    MYDOMAIN\pscexec

    Equipo

    MOSSADMIN

    Descripción

    En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

    Nombre de usuario

    pscexec

    Dominio

    MYDOMAIN

    Identificador de inicio de sesión

    (0x0,0x1D339D3)

    Tipo de inicio de sesión

    3

    Proceso de inicio de sesión

    Kerberos

    Paquete de autenticación

    Kerberos

    Nombre de la estación de trabajo

    GUID de inicio de sesión

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    Nombre de usuario del llamador

    Dominio del llamador

    Identificador de inicio de sesión del llamador

    Identificador de proceso del llamador

    Servicios transitados

    Dirección de red de origen

    192.168.100.100

    Puerto de origen

    2505

Al examinar este registro, se encuentra el mismo tipo de información que en la entrada de registro anterior:

  • Confirme que el nombre de usuario es correcto; se trata de la cuenta mydomain\pscexec que inició sesión a través de la red en el servidor que ejecuta Office SharePoint Server 2007 donde se hospeda Administración central.

  • Confirme que el tipo de inicio de sesión es 3; un tipo de inicio de sesión 3 es un inicio de sesión de red.

  • Confirme que tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. De esta forma se confirma que la autenticación Kerberos se usa para tener acceso a la aplicación web de Administración central.

  • Confirme que la dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si la página principal de Administración central no aparece y en su lugar se muestra un mensaje de error no autorizado, la autenticación Kerberos no se está realizando correctamente. Normalmente, este error se produce solo por dos causas:

  • El SPN en Active Directory no se registró para la cuenta correcta. Debía haberse registrado para mydomain\mossfarmadmin.

  • El SPN de Active Directory no coincide con el SPN que crea Internet Explorer o no es válido. La causa más común suele ser que Internet Explorer genere un SPN que contenga un número de puerto incorrecto. Vea la sección anterior titulada Configuración de Internet Explorer para incluir los números de puerto en los nombres principales de servicio para corregir este problema. También es posible que haya omitido el número de puerto en el SPN que registró en Active Directory. En cualquier caso, asegúrese de corregirlo y de que Administración central funcione, mediante la autenticación Kerberos, antes de continuar.

Nota

Una ayuda de diagnóstico que se puede usar para ver lo que ocurre en la red es un analizador de redes, como el Monitor de red de Microsoft, para realizar un seguimiento durante la navegación a Administración central. Tras el error, examine el seguimiento y busque entre los paquetes de protocolo KerberosV5 un paquete con un SPN creado por Internet Explorer. Si ese SPN no contiene un número de puerto, deberá aplicar la revisión que se describe en la sección titulada Configuración de Internet Explorer para incluir los números de puerto en los nombres principales de servicio. Si el SPN del seguimiento es correcto, el SPN de Active Directory no es válido o bien se ha registrado para la cuenta errónea.

Ejecución del Asistente para configuración de Productos y Tecnologías de SharePoint y unión del resto de servidores a la granja de servidores

Ahora que ha creado la granja de servidores y puede tener acceso a Administración central mediante la autenticación Kerberos sin problemas, debe ejecutar el Asistente para configuración de Productos y Tecnologías de SharePoint y unir el resto de los servidores a la granja de servidores.

En cada uno de los otros cuatro servidores que ejecutan Office SharePoint Server 2007 (mossfe1, mossfe2, mossquery y mosscrawl), la instalación de Office SharePoint Server 2007 debería haber finalizado, y debe aparecer el cuadro de diálogo Instalación completada con la casilla Asistente para configuración de Productos y Tecnologías de SharePoint activada. Deje activada esta casilla y cierre el cuadro de diálogo Instalación completada para ejecutar el Asistente para configuración de Productos y Tecnologías de SharePoint. Lleve a cabo el procedimiento para unir cada uno de estos servidores a la granja de servidores.

Al finalizar el Asistente para configuración de Productos y Tecnologías de SharePoint en cada servidor que agregue a la granja de servidores, compruebe que cada uno de estos servidores puede representar Administración central, que se ejecuta en el servidor MOSSADMIN. Si alguno de estos servidores no puede representar Administración central, siga los pasos adecuados para resolver el problema antes de continuar.

Configuración de servicios en servidores de la granja de servidores

Configure servicios específicos de Windows SharePoint Services 3.0 y Office SharePoint Server 2007 para que se ejecuten en servidores específicos que ejecuten Windows SharePoint Services 3.0 y Office SharePoint Server 2007 en la granja de servidores, con las cuentas que se indican en las secciones siguientes.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

Vaya a Administración central y realice los pasos siguientes para configurar los servicios en los servidores indicados, con las cuentas que se indican.

Búsqueda de Windows SharePoint Services

En la página Servicios del servidor de Administración central:

  1. Seleccione el servidor MOSSQUERY.

  2. En la lista de servicios que aparece, hacia la mitad de la página, busque el servicio Windows SharePoint Services 3.0 Search y, a continuación, haga clic en Inicio en la columna Acción.

  3. En la siguiente página, proporcione las credenciales para la cuenta del servicio Windows SharePoint Services 3.0 Search y para la cuenta de acceso al contenido de Windows SharePoint Services 3.0. En el escenario de este artículo, la cuenta del servicio Windows SharePoint Services 3.0 Search es mydomain\wsssearch y la cuenta de acceso al contenido de Windows SharePoint Services 3.0 es mydomain\wsscrawl. Escriba los nombres y las contraseñas de las cuentas en las ubicaciones correspondientes de la página y, a continuación, haga clic en Inicio.

Servidor de índices

En la página Servicios del servidor de Administración central:

  1. Seleccione el servidor MOSSCRAWL.

  2. En la lista de servicios que aparece, hacia la mitad de la página, busque el servicio Office SharePoint Server 2007 Search y, a continuación, haga clic en Inicio en la columna Acción.

En la siguiente página, active la casilla Usar este servidor para indizar contenido y proporcione las credenciales para la cuenta del servicio Office SharePoint Server 2007 Search. En el escenario de este artículo, la cuenta del servicio Office SharePoint Server 2007 Search es mydomain\mosssearch. Escriba los nombres y contraseñas de las cuentas en las ubicaciones correspondientes de la página y, a continuación, haga clic en Iniciar.

Servidor de consultas

En la página Servicios del servidor de Administración central:

  1. Seleccione el servidor MOSSQUERY.

  2. En la lista de servicios que aparece, hacia la mitad de la página, busque el servicio Office SharePoint Server 2007 Search y, a continuación, haga clic en el nombre de servicio en la columna Servicio.

En la página siguiente, active la casilla Usar este servidor para atender consultas de búsqueda y haga clic en Aceptar.

Creación de aplicaciones web con autenticación Kerberos

En esta sección, cree aplicaciones web que se usarán para el sitio del portal, Mi sitio y el sitio de administración de servicios compartidos en la granja de servidores.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

Creación de la aplicación web del sitio del portal

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

  2. En la página siguiente, haga clic en Crear una nueva aplicación web.

  3. En la página siguiente, asegúrese de que la casilla Crear un nuevo sitio web de IIS está activada.

    • En el campo Descripción, escriba PortalSite.

    • En el campo Puerto, escriba 80.

    • En el campo Encabezado de host, escriba kerbportal.mydomain.net.

  4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

  5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

  6. Asegúrese de que la casilla Crear nuevo grupo de aplicaciones está activada.

    • En el campo Nombre del grupo de aplicaciones, escriba PortalAppPool.

    • Asegúrese de que la casilla Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\portalpool.

  7. Haga clic en Aceptar.

  8. Confirme que la aplicación web se ha creado correctamente.

Nota

Si desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Utilizar Capa de sockets seguros (SSL) en la página Crear nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a encabezado de host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información sobre los encabezados de host de SSL en IIS, vea el artículo acerca de la configuración de encabezados de host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

Creación de la aplicación web de Mi sitio

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

  2. En la página siguiente, haga clic en Crear una nueva aplicación web.

  3. En la página siguiente, asegúrese de que la casilla Crear un nuevo sitio web de IIS está activada.

    • En el campo Descripción, escriba MySite.

    • En el campo Puerto, escriba 80.

    • En el campo Encabezado de host, escriba kerbmysite.mydomain.net.

  4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

  5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

  6. Asegúrese de que la casilla Crear nuevo grupo de aplicaciones está activada.

    • En el campo Nombre del grupo de aplicaciones, escriba MySiteAppPool.

    • Asegúrese de que la casilla Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\mysitepool.

  7. Haga clic en Aceptar.

  8. Confirme que la aplicación web se ha creado correctamente.

Nota

Si desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Utilizar Capa de sockets seguros (SSL) en la página Crear nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a encabezado de host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información sobre los encabezados de host de SSL en IIS, vea el artículo acerca de la configuración de encabezados de host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

Creación de la aplicación web del sitio de administración de servicios compartidos

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

  2. En la página siguiente, haga clic en Crear una nueva aplicación web.

  3. En la página siguiente, asegúrese de que la casilla Crear un nuevo sitio web de IIS está activada.

    • En el campo Descripción, escriba SSPAdminSite.

    • En el campo Puerto, escriba 80.

    • En el campo Encabezado de host, escriba kerbsspadminsite.mydomain.net.

  4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

  5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

  6. Asegúrese de que la casilla Crear nuevo grupo de aplicaciones está activada.

    • En el campo Nombre del grupo de aplicaciones, escriba SSPAdminSiteAppPool.

    • Asegúrese de que la casilla Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\sspadminpool.

  7. Haga clic en Aceptar.

  8. Confirme que la aplicación web se ha creado correctamente.

Nota

Si desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Utilizar Capa de sockets seguros (SSL) en la página Crear nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a encabezado de host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información sobre los encabezados de host de SSL en IIS, vea el artículo acerca de la configuración de encabezados de host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

Creación de una colección de sitios mediante la plantilla del portal de colaboración en la aplicación web del sitio del portal

En esta sección, creará una colección de sitios en el sitio del portal en la aplicación web que creó con este fin.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear colección de sitios.

  2. En la página siguiente, asegúrese de que selecciona la aplicación web correcta. Para continuar con el ejemplo de este artículo, seleccione http://www.mydomain.com/.

  3. Escriba el título y la descripción que desee usar para esta colección de sitios.

  4. No modifique la dirección del sitio web.

  5. En la sección Selección de plantilla bajo Seleccionar una plantilla, haga clic en la ficha Publicación y seleccione la plantilla Portal de publicación.

  6. En la sección Administrador de la colección de sitios primaria, escriba mydomain\pscexec.

  7. Especifique el administrador de la colección de sitios secundaria que desee usar.

  8. Haga clic en Aceptar.

  9. Confirme que la colección de sitios del portal se ha creado correctamente.

Creación de un proveedor de servicios compartidos para la granja de servidores

Cree un proveedor de servicios compartidos para la granja de servidores.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

  1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o configurar los servicios compartidos de esta granja de servidores.

  2. En la página siguiente, haga clic en Nuevo SSP.

  3. En la página siguiente, en la sección Nombre del SSP , escriba SSP1 en el campo Nombre del SSP. A continuación, en el campo Aplicación web, seleccione la aplicación web que creó para la aplicación web del sitio de administración de servicios compartidos. Siguiendo el ejemplo de este artículo, seleccione la aplicación web denominada SSPAdminSite.

    • En la sección Mi sitio, en el campo Aplicación web, seleccione la aplicación web que creó para el sitio web Mi sitio. Para continuar con el ejemplo de este artículo, seleccione la aplicación web denominada MySite.

    • En la sección Credenciales del servicio de SSP, en el campo Nombre de usuario, escriba mydomain\sspsvc.

  4. Haga clic en Aceptar.

  5. Confirme que el SSP de la granja de servidores se ha creado correctamente.

Confirmación del acceso correcto a las aplicaciones web con autenticación Kerberos

Confirme que la autenticación Kerberos funciona con las aplicaciones web que acaba de crear. Comience con el sitio del portal.

Para hacerlo, siga estos pasos:

  1. Inicie sesión en un servidor que ejecute Office SharePoint Server 2007 en vez de en uno de los dos servidores cliente web configurados para NLB como mydomain\pscexec. No debe comprobar el correcto comportamiento de la autenticación Kerberos directamente en uno de los equipos que hospeden los sitios web de carga equilibrada que usen autenticación Kerberos, pues tal comprobación debe realizarse desde un equipo independiente en el dominio.

  2. Inicie Internet Explorer en ese sistema e intente ir a la siguiente dirección URL: http://mossadmin.mydomain.net:10000.

Se debería mostrar la página principal del sitio del portal autenticado con Kerberos.

Para confirmar que la autenticación Kerberos se ha usado para tener acceso al sitio del portal, vaya a uno de los servidores cliente web de carga equilibrada, ejecute el Visor de eventos y busque en el registro de seguridad. Debería ver un registro de auditoría de aciertos similar a la tabla siguiente, en uno de los servidores cliente web. Tenga en cuenta que quizá deba buscar en ambos servidores cliente web antes de encontrar esta información, en función del sistema que haya procesado la solicitud de carga equilibrada.

Tipo de evento

Auditoría realizada correctamente

Origen del evento

Seguridad

Categoría del evento

Inicio/cierre de sesión

Identificador de evento

540

Fecha

1/11/2007

Hora

5:08:20 p.m.

Usuario

MYDOMAIN\pscexec

Equipo

mossfe1

Descripción

En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

Nombre de usuario

pscexec

Dominio

MYDOMAIN

Identificador de inicio de sesión

(0x0,0x1D339D3)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Autenticación Kerberos

Nombre de la estación de trabajo

GUID de inicio de sesión

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Nombre de usuario del llamador

Dominio del llamador

Identificador de inicio de sesión del llamador

Identificador de proceso del llamador

Servicios transitados

Dirección de red de origen

192.168.100.100

Puerto de origen

2505

Al examinar este registro, se encuentra el mismo tipo de información que en la entrada de registro anterior:

  • Confirme que el nombre de usuario es correcto; se trata de la cuenta mydomain\pscexec que inició sesión a través de la red en el servidor cliente web que ejecuta Office SharePoint Server 2007 donde se hospeda el sitio del portal.

  • Confirme que el tipo de inicio de sesión es 3; un tipo de inicio de sesión 3 es un inicio de sesión de red.

  • Confirme que tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. De esta forma se confirma que la autenticación Kerberos se usa para tener acceso al sitio del portal.

  • Confirme que la dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si la página principal del sitio del portal no aparece y en su lugar se muestra un mensaje de error "no autorizado", la autenticación Kerberos no se está realizando correctamente. Normalmente, este error se produce solo por dos causas:

  • El SPN de Active Directory no se registró para la cuenta correcta. Debía haberse registrado para mydomain\portalpool, para la aplicación web del sitio del portal.

  • El SPN en Active Directory no coincide con el SPN que crea Internet Explorer o no es válido por otro motivo. En este caso, dado que está usando encabezados de host de IIS sin números de puerto explícitos, el SPN registrado en Active Directory difiere del encabezado de host de IIS especificado cuando extendió la aplicación web. Deberá corregirlo para que la autenticación Kerberos funcione.

Nota

Una ayuda de diagnóstico que se puede usar para ver lo que ocurre en la red es un analizador de redes, como el Monitor de red de Microsoft, para realizar un seguimiento durante la navegación a Administración central. Tras el error, examine el seguimiento y busque entre los paquetes de protocolo KerberosV5. Debería encontrar un paquete con un SPN creado por Internet Explorer. Si ese SPN no contiene un número de puerto, entonces deberá aplicar la revisión que se describe en la sección titulada Configuración de Internet Explorer para incluir los números de puerto en los nombres principales de servicio . Si el SPN del seguimiento es correcto, entonces el SPN de Active Directory no es válido o bien se ha registrado para la cuenta errónea.

Una vez que la autenticación Kerberos funcione para el sitio del portal, use las siguientes direcciones URL para ir a Mi sitio y al sitio de administración de servicios compartidos, con autenticación Kerberos:

Nota

La primera vez que tenga acceso a la dirección URL de Mi sitio, Office SharePoint Server 2007 tardará algún tiempo en crear un sitio Mi sitio para el usuario que ha iniciado la sesión. Sin embargo, debería realizarse correctamente y el usuario debería poder ver la página Mi sitio.

En ambos casos, todo debería funcionar correctamente. De lo contrario, consulte los pasos anteriores para solucionar problemas.

Confirmación de la funcionalidad de indización de búsqueda

Confirme que la indización de búsqueda rastrea correctamente el contenido hospedado en esta granja de servidores. Este paso se debe realizar antes de confirmar los resultados de las consultas de búsqueda de los usuarios que tienen acceso a los sitios con autenticación Kerberos.

Nota

En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

  1. Vaya a la aplicación web del sitio de administración de servicios compartidos en http://www.mydomain.com/ssp/admin.

  2. En esta página, haga clic en Configuración de búsqueda.

  3. En la página siguiente, haga clic en Orígenes de contenido y programaciones de rastreo.

  4. En la página siguiente, tenga acceso al ECB de Orígenes de contenido de Office SharePoint Server y, en la lista desplegable, seleccione Iniciar rastreo completo.

  5. Espere a que se complete el rastreo. Si se produce un error en el rastreo, debe investigar y corregir los errores y, a continuación, ejecutar un rastreo completo. Si se produce un error de "acceso denegado" en el rastreo, se debe a que la cuenta de rastreo no tiene acceso a los orígenes de contenido o porque se ha producido un error en la autenticación Kerberos. Sea cual sea la causa, este error debe corregirse antes de continuar con los pasos siguientes.

Debe completar un rastreo completo de las aplicaciones web autenticadas con Kerberos antes de continuar.

Confirmación de la funcionalidad de consultas de búsqueda

Para confirmar que la consulta de búsqueda devuelve resultados a los usuarios que tienen acceso al sitio del portal con autenticación Kerberos:

  1. Inicie Internet Explorer en un sistema de mydomain.net y vaya a http://www.mydomain.com/.

  2. Cuando aparezca la página principal del sitio del portal, escriba una palabra clave de búsqueda en el campo Buscar y presione ENTRAR.

  3. Confirme que se devuelven resultados de la consulta de búsqueda. De lo contrario, confirme que la palabra clave que ha escrito es válida en la implementación, que la indización de búsqueda se ejecuta correctamente, que el servicio de búsqueda se ejecuta en los servidores de indización y consulta de búsqueda, y que no hay problemas con la propagación de la búsqueda desde el servidor de indización de búsqueda hasta el servidor de consultas de búsqueda.

Configuración de la infraestructura de SSP para la autenticación Kerberos

Nota

Este es un procedimiento opcional que requiere la instalación de la Actualización de infraestructura para servidores de Microsoft Office. Sin la instalación de la Actualización de infraestructura para servidores de Microsoft Office, la autenticación Kerberos no puede configurarse correctamente para Office SharePoint Server 2007.

La Actualización de infraestructura para servidores de Microsoft Office incluye un nuevo SPN con formato personalizado para la autenticación Kerberos de la infraestructura de SSP. Este SPN con formato personalizado presenta una nueva clase de servicio: MSSP. El SPN con formato personalizado tiene el siguiente formato: MSSP/<host:puerto>/<nombre de SSP>.

Este nuevo SPN con formato personalizado establece una propiedad de .NET Framework que ordena a .NET Framework usar un SPN específico para un URI determinado. Se usa .NET Framework para realizar llamadas entre servidores a los servicios web de la infraestructura de SSP de Office SharePoint Server 2007.

Si examina la infraestructura de SSP en un servidor de aplicaciones de Office SharePoint Server 2007, verá que hay un servicio compartido de búsqueda tanto en el nivel raíz como en el nivel de directorio virtual en IIS. Hay también un servicio compartido de Excel Calculation Services (ECS) en el nivel de directorio virtual de IIS. Una vez configurada la infraestructura de SSP para la autenticación Kerberos, Kerberos se usará para tener acceso a los servicios compartidos tanto en el nivel raíz como en el nivel de directorio virtual.

No es necesario registrar los SPN para los servicios web de nivel raíz: solo es necesario registrarlos para los servicios web de nivel de directorio virtual. Esto se debe a que, cuando se une un equipo a un dominio, un SPN de clase HOST se registra automáticamente para la cuenta del equipo en el dominio y el SPN funcionará para el servicio web de nivel raíz. Sin embargo, es necesario registrar los SPN correspondientes a los directorios virtuales que están realmente correlacionados con los SSP de la granja de servidores.

Para configurar correctamente la infraestructura de SSP para la autenticación Kerberos, debe realizar el siguiente procedimiento:

  1. Registrar los nuevos SPN con formato personalizado para la cuenta de servicio de SSP en Active Directory.

  2. Ejecutar la herramienta de línea de comandos Stsadm para establecer la infraestructura de SSP para el uso de la autenticación Kerberos.

  3. Agregar una nueva clave de registro a todos los servidores que ejecuten Office SharePoint Server 2007 para permitir que se generen nuevos SPN con formato personalizado.

  4. Confirmar la autenticación Kerberos para el acceso al servicio web compartido en el nivel raíz.

  5. Confirmar la autenticación Kerberos para el acceso al servicio web compartido en el nivel de directorio virtual.

Nota

En el procedimiento anterior, los pasos 4 y 5 están relacionados con el servicio web compartido searchadmin.asmx. Este servicio web compartido relacionado con la búsqueda se encuentra tanto en el nivel raíz como en el nivel de directorio virtual de la infraestructura de SSP. Se puede considerar el servicio compartido de búsqueda en el nivel raíz como un servicio web global que pertenece a la configuración del servicio de Office SharePoint Server 2007 Search en el nivel de servidor de Administración central de Office SharePoint Server 2007. El servicio compartido de búsqueda en el nivel de directorio virtual corresponde a un SSP específico de la granja de servidores y se usa al configurar las opciones de búsqueda específicas de ese SSP en el sitio de administración de servicios compartidos. Al realizar los pasos de comprobación de la autenticación Kerberos para el acceso a los servicios compartidos en el nivel raíz, no verá la generación ni el uso de los SPN con el nuevo formato. Solo verá los SPN con nuevo formato al tener acceso al servicio web del nivel de directorio virtual; sin embargo, debe comprobar que el acceso a los servicios compartidos funciona en ambos niveles.

Registro de nuevos SPN con formato personalizado para la cuenta de servicio de SSP en Active Directory

En este artículo, la cuenta de servicio de SSP es mydomain\sspsvc y el nombre del SSP que creó es SSP1. La infraestructura de SSP existe en todos los servidores de la granja de servidores; por lo tanto, se deben crear SPN que hagan referencia a todos los servidores que ejecutan Office SharePoint Server 2007. Debido a que la infraestructura de SSP está enlazada a los puertos TCP 56737 y SSL 56738, necesita SPN que incluyan ambos números de puerto. Por esta razón, cada servidor de aplicaciones necesita dos SPN. Para los ejemplos utilizados en este artículo, necesita crear 10 SPN.

Realice el procedimiento siguiente para crear los SPN para la infraestructura de SSP:

  1. Inicie sesión en el controlador de dominio de Active Directory con las credenciales de un usuario que tenga permisos administrativos de dominio.

  2. En el cuadro de diálogo Ejecutar, escriba ADSIEDIT.MSC.

  3. En el cuadro de diálogo de la consola de administración, expanda la carpeta del contenedor de dominio.

  4. Expanda la carpeta de contenedor donde se encuentran las cuentas de usuario; por ejemplo CN=Users.

  5. Busque el contenedor de la cuenta del servicio SSP; por ejemplo CN=mosssqlsvc.

  6. Haga clic con el botón secundario en la cuenta del servicio SSP y, a continuación, haga clic en Propiedades.

  7. Desplácese hacia abajo por la lista de propiedades del cuadro de diálogo de la cuenta de servicio del SSP hasta encontrar servicePrincipalName.

  8. Seleccione la propiedad servicePrincipalName y haga clic en Editar.

  9. En el campo Valor para agregar, en el cuadro de diálogo Editor de cadena multivalor, agregue los siguientes SPN:

    • MSSP/mossfe1:56737/SSP1

    • MSSP/mossfe1:56738/SSP1

    • MSSP/mossfe2:56737/SSP1

    • MSSP/mossfe2:56738/SSP1

    • MSSP/mossadmin:56737/SSP1

    • MSSP/mossadmin:56738/SSP1

    • MSSP/mosscrawl:56737/SSP1

    • MSSP/mosscrawl:56738/SSP1

    • MSSP/mossquery:56737/SSP1

    • MSSP/mossquery:56738/SSP1

Ejecución de la herramienta de línea de comandos Stsadm para establecer la infraestructura de SSP para el uso de la autenticación Kerberos

Para configurar la infraestructura de SSP para el uso de la autenticación Kerberos, realice el siguiente procedimiento:

  1. Inicie sesión en el controlador de dominio de Active Directory con las credenciales de un usuario que tenga permisos administrativos de dominio.

  2. En uno de los servidores que ejecutan Office SharePoint Server 2007, abra un símbolo del sistema.

  3. Cambie al siguiente directorio: %COMMONPROGRAMFILES%\microsoft shared\web server extensions\12\bin.

  4. Escriba el siguiente comando: stsadm –o setsharedwebserviceauthn –negotiate y, continuación, presione ENTRAR.

Asegúrese de que este comando se ejecuta correctamente antes de continuar.

Cuando haya completado este procedimiento, el comando se aplica a todos los SSP que se creen en la granja de servidores, incluidos los SSP creados después de haber ejecutado correctamente el comando.

Adición de una nueva clave de registro a todos los servidores que ejecuten Office SharePoint Server para habilitar la generación de los nuevos SPN con formato personalizado

La generación de los nuevos SPN con formato personalizado se controla mediante la configuración de una nueva clave del registro incluida con la Actualización de infraestructura para servidores de Microsoft Office. Para habilitar la generación de los nuevos SPN con formato personalizado, se debe agregar esta clave del registro a todos los servidores de la granja de servidores, y se deben reiniciar todos los servidores.

Siga estos pasos para habilitar el nuevo comportamiento. En cada servidor de la granja de servidores:

  1. Inicie sesión como administrador local.

  2. Ejecute el Editor del Registro y agregue esta nueva clave del Registro: HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat” (REG_DWORD) = 1

  3. Reinicie el servidor. Es importante tener en cuenta que debe reiniciar el servidor para que la nueva clave del Registro surta efecto.

Advertencia

La edición incorrecta del Registro puede causar graves daños al sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.

Confirmación de la autenticación Kerberos para el acceso a los servicios compartidos en el nivel raíz

Para confirmar la autenticación Kerberos para los servicios compartidos en el nivel raíz, realice el procedimiento siguiente:

  1. Inicie una sesión en el equipo donde se hospeda la aplicación web de Administración central. Si está usando el ejemplo de este artículo, inicie sesión en MOSSADMIN.

  2. Vaya a Administración central en http://mossadmin.mydomain.net:10000

  3. En la página principal de Administración central, haga clic en Operaciones.

  4. En la página Operaciones, haga clic en Servicios del servidor.

  5. En la sección Servidor, haga clic en la flecha de la lista desplegable para mostrar la lista de servidores de la granja de servidores y, a continuación, haga clic en el servidor de consultas de búsqueda. Si está usando el ejemplo de este artículo, seleccione MOSSQUERY.

  6. Una vez se actualiza la página, confirme que apunta al servidor de consultas correcto y, en la sección Servicio, haga clic en Office SharePoint Server Search.

  7. Confirme que se muestra la página Configuración del servicio de búsqueda de Office SharePoint Server en el servidor mossquery.

  8. Siga los pasos que se indican a continuación para confirmar que se usó la autenticación Kerberos para representar la página:

    • Inicie sesión en el servidor de consultas de búsqueda; para seguir con el ejemplo de este artículo, inicie sesión en el equipo de MOSS denominado MOSSQUERY.

    • Ejecute el Visor de eventos de Windows.

    • Examine el registro de eventos de seguridad.

    • Debería ver un registro con datos similares a los mostrados en la tabla siguiente:

      Tipo de evento

      Auditoría realizada correctamente

      Origen del evento

      Seguridad

      Categoría del evento

      Inicio/cierre de sesión

      Identificador de evento

      540

      Fecha

      6/5/2008

      Hora

      12:12:17 p.m.

      Usuario

      MYDOMAIN\pscexec

      Equipo

      MOSSQUERY

      Descripción

En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

Nombre de usuario

pscexec

Dominio

MYDOMAIN

Identificador de inicio de sesión

(0x0,0x7252B10)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Kerberos

Paquete de autenticación

Kerberos

Nombre de la estación de trabajo

GUID de inicio de sesión

{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49}

Nombre de usuario del llamador

Dominio del llamador

Identificador de inicio de sesión del llamador

Identificador de proceso del llamador

Servicios transitados

Dirección de red de origen

192.168.100.100

Puerto de origen

1964

Importante

Repita este procedimiento para el servidor de indización de búsqueda para confirmar que la página se muestra y que hay una entrada en el registro del Visor de eventos de seguridad que indica que el paquete de autenticación Kerberos se usa para tener acceso a la página.

Confirmación de la autenticación Kerberos para el acceso a los servicios compartidos en el nivel de directorio virtual

Este es el último paso para configurar e implementar una granja de servidores que ejecute Office SharePoint Server 2007 y use la autenticación Kerberos.

Para confirmar que se usa la autenticación Kerberos para tener acceso a los servicios compartidos en el nivel raíz, realice el procedimiento siguiente:

  1. Vaya a la página principal de administración de servicios compartidos.

  2. Determine cuál de los servidores cliente web de carga equilibrada está respondiendo a la solicitud.

  3. En el servidor cliente web que responde a la solicitud, ejecute el Monitor de red y aplique un filtro de captura para capturar paquetes de protocolo KerberosV5. Si usa la versión 3.2 del Monitor de red, este filtro de captura sería protocol.KerberosV5.

  4. Inicie un análisis en el Monitor de red.

  5. En la página principal del sitio de administración de servicios compartidos, haga clic en Configuración de búsquedas.

  6. Confirme que se muestra la página Configuración de búsquedas.

  7. Detenga el análisis y examine los paquetes capturados. Debe ver paquetes de protocolo Kerberos con descripciones similares a las que se muestran en el ejemplo siguiente:

KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET

KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET

KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1

KerberosV5:TGS Response Cname: sspadminpool

El valor Sname en el ejemplo anterior (MSSP/mosscrawl:56738/SSP1) es el SPN con nuevo formato que se genera y se envía al KDC de Kerberos como resultado de los cambios incluidos en la Actualización de infraestructura para servidores de Microsoft Office.

Inicie sesión en el servidor de índices (en el ejemplo de este artículo, el servidor de índices es MOSSCRAWL). Ejecute el Visor de eventos y examine el registro de seguridad. Debería ver una entrada con datos similares a los de la tabla siguiente:

Tipo de evento

Auditoría realizada correctamente

Origen del evento

Seguridad

Categoría del evento

Inicio/cierre de sesión

Identificador de evento

540

Fecha

6/5/2008

Hora

1:21:04 p.m.

Usuario

MYDOMAIN\sspadminpool

Equipo

MOSSCRAWL

Descripción

En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.

Nombre de usuario

sspadminpool

Dominio

MOSSCRAWL

Identificador de inicio de sesión

(0x0,0xD84A6)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Kerberos

Paquete de autenticación

Kerberos

Nombre de la estación de trabajo

GUID de inicio de sesión

{2f1cccb3-c10d-27e5-9896-0f918e8ad796}

Nombre de usuario del llamador

Dominio del llamador

Identificador de inicio de sesión del llamador

Identificador de proceso del llamador

Servicios transitados

Dirección de red de origen

192.168.150.100

Puerto de origen

1513

Limitaciones de la configuración

Existen algunas limitaciones de la configuración en cuanto al uso de la autenticación Kerberos para la infraestructura de SSP con la Actualización de infraestructura para servidores de Microsoft Office:

  • La parte correspondiente al nombre de host de los SPN con nuevo formato que se crean será el nombre NetBIOS del host que ejecuta el servicio; por ejemplo: MSSP/kerbtest4:56738/SSP1. Esto se debe a que los nombres de host se obtienen de la base de datos de configuración de Office SharePoint Server 2007 y solo los nombres de equipos NetBIOS se almacenan en la base de datos de configuración de Office SharePoint Server 2007. Esto puede resultar ambiguo en ciertos casos. Actualmente, la herramienta de línea de comandos Stsadm para cambiar el nombre de un servidor que ejecute Office SharePoint Server 2007 no puede usarse para cambiar el nombre de un servidor que ejecute Office SharePoint Server 2007, por lo que hay ninguna solución para este problema.

  • No use nombres de SSP que contengan caracteres extendidos. Un SPN con un nombre de SSP que tenga caracteres extendidos no se puede seleccionar como destino para la delegación. Por lo tanto, evite utilizar caracteres extendidos en los nombres de SSP.

Recursos adicionales y guía para solucionar problemas

Producto/Tecnología Recurso

Windows Server 2003

En el registro del sistema se registran mensajes de error con identificador de evento 10017 después de instalar Windows SharePoint Services 3.0 (https://go.microsoft.com/fwlink/?linkid=120456&clcid=0xC0A)

SQL Server

Cómo asegurarse de que está usando la autenticación Kerberos al crear una conexión remota a una instancia de SQL Server 2005 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0xC0A)

SQL Server

Solución para el mensaje de error "No se puede generar el contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0xC0A)

SQL Server

Configuración de SQL Server 2005 Analysis Services para el uso de la autenticación Kerberos (https://go.microsoft.com/fwlink/?linkid=120459&clcid=0xC0A)

.NET Framework

Propiedad AuthenticationManager.CustomTargetNameDictionary (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0xC0A)

Windows Internet Explorer

Internet Explorer 6 no puede usar el protocolo de autenticación Kerberos para conectarse a un sitio web que use un puerto no estándar en Windows XP y en Windows Server 2003 (https://go.microsoft.com/fwlink/?linkid=99681&clcid=0xC0A)

Windows Internet Explorer

Mensaje de error en Internet Explorer cuando se intenta tener acceso a un sitio web que requiere autenticación Kerberos en un equipo basado en Windows XP: "HTTP Error 401 - No autorizado: acceso denegado debido a credenciales no válidas" (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0xC0A)

Autenticación Kerberos

Referencia técnica de la autenticación Kerberos (en inglés) (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0xC0A) (en inglés)

Autenticación Kerberos

Solución de errores de Kerberos (en inglés) (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0xC0A) (en inglés)

Autenticación Kerberos

Transición al protocolo Kerberos y delegación delimitada (en inglés) (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0xC0A) (en inglés)

IIS

Configuración de encabezados de host de SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0xC0A)

Acerca del autor

Marcar Grossbard es un ingeniero de pruebas básicas de MOSS para Office SharePoint Server en Microsoft.

Descarga de este libro

En este tema se incluye el siguiente libro descargable para facilitar la lectura y la impresión:

Vea la lista completa de libros disponibles en la biblioteca técnica de Office SharePoint Server.