Configurare l'autenticazione Kerberos (SharePoint Foundation 2010)
Si applica a: SharePoint Foundation 2010
Ultima modifica dell'argomento: 2016-11-30
Contenuto dell'articolo:
Informazioni sull'autenticazione Kerberos
Prima di iniziare
Configurare l'autenticazione Kerberos per le comunicazioni con SQL
Creare nomi SPN per le applicazioni Web con l'autenticazione Kerberos
Distribuire la server farm
Configurare i servizi nei server della farm
Creare le applicazioni Web con l'autenticazione Kerberos
Creare una raccolta siti con il modello Portale di collaborazione nell'applicazione Web per il sito portale
Verificare che riesca l'accesso alle applicazioni Web con l'autenticazione Kerberos
Verificare il corretto funzionamento del servizio di indicizzazione della ricerca
Verificare il corretto funzionamento del servizio query di ricerca
Limitazioni di configurazione
Risorse aggiuntive e informazioni per la risoluzione dei problemi
Informazioni sull'autenticazione Kerberos
Kerberos è un protocollo sicuro che supporta l'autenticazione tramite ticket. Un server di autenticazione Kerberos concede un ticket in risposta a una richiesta di autenticazione inviata da un computer client, se tale richiesta contiene credenziali utente valide e un nome dell'entità servizio (SPN) valido. Il computer client quindi utilizza il ticket per accedere alle risorse in rete. Perché l'autenticazione Kerberos sia possibile, i computer client e server devono disporre di una connessione di tipo trusted al centro distribuzione chiavi del dominio. Tale centro distribuisce chiavi segrete condivise per consentire la crittografia. I computer client e server devono inoltre essere in grado di accedere a Servizi di dominio Active Directory. Per Servizi di dominio Active Directory il dominio radice della foresta è il centro dei riferimenti di autenticazione Kerberos.
Per distribuire una server farm che esegue Microsoft SharePoint Foundation 2010 con l'autenticazione Kerberos, è necessario installare e configurare diverse applicazioni nei computer. In questo articolo viene descritta una server farm di esempio che esegue SharePoint Foundation 2010 e vengono fornite istruzioni per distribuirla e configurarla in modo che l'autenticazione Kerberos venga utilizzata per supportare le funzionalità seguenti:
Comunicazione tra SharePoint Foundation 2010 e il software di database Microsoft SQL Server.
Accesso all'applicazione Web Amministrazione centrale SharePoint.
Accesso ad altre applicazioni Web, tra cui un'applicazione Web per il sito portale e un'applicazione Web per il sito personale.
Prima di iniziare
Questo articolo è specifico per personale di livello amministrativo con familiarità con gli argomenti seguenti:
Windows Server 2008
Active Directory
Internet Information Services (IIS) 6.0 o IIS 7.0
SharePoint Foundation 2010
Windows Internet Explorer
Autenticazione Kerberos, così com'è implementata in Servizi di dominio Active Directory per Windows Server 2008
Bilanciamento carico di rete in Windows Server 2008
Account computer in un dominio di Active Directory
Account utente in un dominio di Active Directory
Siti Web IIS e relative associazioni e impostazioni di autenticazione
Identità del pool di applicazioni IIS per siti Web IIS
Configurazione guidata Prodotti SharePoint
Applicazioni Web di SharePoint Foundation 2010
Pagine di Amministrazione centrale
Nomi SPN e relativa procedura di configurazione in un dominio di Active Directory
Importante
Per poter creare nomi SPN in un dominio di Active Directory, è necessario disporre di autorizzazioni di livello amministrativo.
In questo articolo non viene offerto un esame approfondito dell'autenticazione Kerberos. Kerberos è un metodo di autenticazione standard del settore che viene implementato in Servizi di dominio Active Directory.
Non vengono fornite istruzioni dettagliate per l'installazione di SharePoint Foundation 2010 o l'utilizzo della Configurazione guidata Prodotti SharePoint.
Non vengono fornite istruzioni dettagliate per l'utilizzo di Amministrazione centrale per la creazione di applicazioni Web di SharePoint Foundation 2010.
Versioni software richieste
Le istruzioni fornite in questo articolo e il testing eseguito a verifica di tali istruzioni si basano su risultati ottenuti con sistemi che eseguono Windows Server 2008 e Internet Explorer a cui sono stati applicati gli ultimi aggiornamenti disponibili nel sito Windows Update (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410) (le informazioni potrebbero essere in lingua inglese). Sono state installate le versioni software seguenti:
Windows Server 2008, con gli ultimi aggiornamenti disponibili nel sito Windows Update (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Internet Explorer
Versione rilasciata di SharePoint Foundation 2010
È inoltre consigliabile verificare che i controller di dominio di Active Directory eseguano Windows Server 2008 con gli ultimi aggiornamenti disponibili nel sito Windows Update (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Problemi noti
SharePoint Foundation 2010 può eseguire la ricerca per indicizzazione nelle applicazioni Web configurate per utilizzare l'autenticazione Kerberos se tali applicazioni Web sono ospitate in server virtuali IIS associati a porte predefinite, ovvero la porta TCP 80 e la porta SSL (Secure Sockets Layer) 443. La funzionalità di ricerca di SharePoint Foundation 2010 non è invece in grado di eseguire la ricerca per indicizzazione nelle applicazioni Web di SharePoint Foundation 2010 configurate per utilizzare l'autenticazione Kerberos se tali applicazioni Web sono ospitate in server virtuali IIS associati a porte non predefinite, ovvero porte diverse dalla porta TCP 80 e dalla porta SSL 443. La funzionalità di ricerca di SharePoint Foundation 2010 attualmente è in grado di eseguire la ricerca per indicizzazione solo nelle applicazioni Web di SharePoint Foundation 2010 ospitate in server virtuali IIS associati a porte non predefinite configurate per l'utilizzo dell'autenticazione NTLM o dell'autenticazione di base.
Per l'accesso degli utenti finali con l'autenticazione Kerberos, se è necessario distribuire applicazioni Web ospitabili solo in server virtuali IIS associati a porte non predefinite e se si desidera che gli utenti finali ottengano i risultati delle query di ricerca:
Le stesse applicazioni Web devono essere ospitate in altri server virtuali IIS su porte non predefinite.
Le applicazioni Web devono essere configurate per l'utilizzo dell'autenticazione NTLM o dell'autenticazione di base.
Il servizio di indicizzazione della ricerca deve eseguire la ricerca per indicizzazione nelle applicazioni Web con l'autenticazione NTLM o di base.
In questo articolo sono incluse istruzioni per:
Configurare l'applicazione Web Amministrazione centrale con l'autenticazione Kerberos ospitata in un server virtuale IIS associato a porte non predefinite.
Configurare l'applicazione per il portale e l'applicazione per il sito personale con l'autenticazione Kerberos ospitate in server virtuali IIS associati a porte predefinite e con un'associazione di intestazioni host IIS.
Assicurarsi che il servizio di indicizzazione della ricerca esegua correttamente la ricerca per indicizzazione nelle applicazioni Web di SharePoint Foundation 2010 con l'autenticazione Kerberos.
Assicurarsi che gli utenti che accedono alle applicazioni Web autenticate tramite Kerberos possano ottenere correttamente i risultati delle query di ricerca per tali applicazioni Web.
Ulteriori informazioni di base
È importante capire che, durante l'utilizzo dell'autenticazione Kerberos, il corretto funzionamento dell'autenticazione dipende in parte dal comportamento del client che tenta di eseguire l'autenticazione tramite Kerberos. Nel caso di una distribuzione in una farm di SharePoint Foundation 2010 con l'autenticazione Kerberos, SharePoint Foundation 2010 non è il client. Prima di distribuire una server farm che esegue SharePoint Foundation 2010 con l'autenticazione Kerberos, è necessario conoscere il comportamento dei client seguenti:
Browser (nel contesto di questo articolo il browser è sempre Internet Explorer)
Microsoft .NET Framework
Il browser è il client utilizzato per accedere a una pagina Web in un'applicazione Web di SharePoint Foundation 2010. Quando SharePoint Foundation 2010 esegue attività come la ricerca per indicizzazione nelle origini di contenuto di SharePoint Foundation 2010 locali, .NET Framework opera come client.
Per un corretto funzionamento dell'autenticazione Kerberos, è necessario creare nomi SPN in Servizi di dominio Active Directory. Se i servizi corrispondenti a tali nomi sono in ascolto su porte non predefinite, nei nomi SPN devono essere inclusi i numeri di porta. Lo scopo è quello di assicurare che i nomi SPN siano significativi, nonché di impedire la creazione di nomi di questo tipo duplicati.
Quando un client tenta di accedere a una risorsa con l'autenticazione Kerberos, il client deve generare un nome SPN da utilizzare come parte del processo di autenticazione Kerberos. Se il client non genera un nome SPN corrispondente a quello configurato in Servizi di dominio Active Directory, l'autenticazione Kerberos avrà esito negativo e generalmente verrà visualizzato un errore "Accesso negato".
Alcune versioni di Internet Explorer non generano nomi SPN con numeri di porta. Se si utilizzano applicazioni Web di SharePoint Foundation 2010 associate a numeri di porta non predefiniti in IIS, potrebbe essere necessario indicare a Internet Explorer di includere i numeri di porta nei nomi SPN che genera. In una farm che esegue SharePoint Foundation 2010 l'applicazione Web Amministrazione centrale viene ospitata, per impostazione predefinita, in un server virtuale IIS associato a una porta non predefinita. In questo articolo vengono pertanto trattati sia i siti Web IIS associati a porte sia i siti Web IIS associati a intestazioni host.
Per impostazione predefinita, in una farm che esegue SharePoint Foundation 2010 i nomi SPN generati da .NET Framework non contengono numeri di porta. La funzionalità di ricerca non sarà pertanto in grado di eseguire la ricerca per indicizzazione nelle applicazioni Web con l'autenticazione Kerberos se queste ultime sono ospitate in server virtuali IIS associati a porte non predefinite.
Topologia della server farm
Questo articolo è relativo alla topologia di server farm di SharePoint Foundation 2010 seguente:
Due computer che eseguono Windows Server 2008 e che operano come server Web front-end, con Bilanciamento carico di rete di Windows configurato.
Tre computer che eseguono Windows Server 2008 e che operano come server applicazioni. In uno di tali server è ospitata l'applicazione Web Amministrazione centrale. Nel secondo server è in esecuzione il servizio query di ricerca, mentre nel terzo è in esecuzione il servizio di indicizzazione della ricerca.
Un computer che esegue Windows Server 2008 e che viene utilizzato come host SQL per la farm in cui è in esecuzione SharePoint Foundation 2010. Per lo scenario illustrato in questo articolo, è possibile utilizzare Microsoft SQL Server 2008.
Convenzioni di Servizi di dominio Active Directory, di denominazione dei computer e di Bilanciamento carico di rete
Per lo scenario illustrato in questo articolo vengono utilizzate le convenzioni di Active Directory, di denominazione dei computer e di Bilanciamento carico di rete seguenti:
| Ruolo del server | Nome del dominio |
|---|---|
Servizi di dominio Active Directory |
mydomain.net |
Un server Web front-end in cui è in esecuzione SharePoint Foundation 2010 |
wssfe1.mydomain.net |
Un server Web front-end in cui è in esecuzione SharePoint Foundation 2010 |
wssfe2.mydomain.net |
Amministrazione centrale SharePoint Foundation 2010 |
wssadmin.mydomain.net |
Servizio di indicizzazione della ricerca che esegue SharePoint Foundation 2010 |
wsscrawl.mydomain.net |
Servizio query di ricerca che esegue SharePoint Foundation 2010 |
wssquery.mydomain.net |
Host SQL Server che esegue SharePoint Foundation 2010 |
wsssql.mydomain.net |
A wssfe1.mydomain.net e wssfe2.mydomain.net viene assegnato un indirizzo IP virtuale di Bilanciamento carico di rete a seguito della configurazione di tale bilanciamento in questi sistemi. Nel sistema DNS viene registrato un insieme di nomi host DNS che puntano a tale indirizzo. Se ad esempio l'indirizzo IP virtuale di Bilanciamento carico di rete è 192.168.100.200, si avrà un insieme di record DNS per cui i nomi DNS seguenti vengono risolti in tale indirizzo IP (192.168.100.200):
kerbportal.mydomain.net
kerbmysite.mydomain.net
Convenzioni degli account di dominio di Active Directory
Nell'esempio di questo articolo vengono utilizzate le convenzioni di denominazione riportate nella tabella seguente per gli account di servizio e le identità del pool di applicazioni utilizzati nella farm in cui è in esecuzione SharePoint Foundation 2010.
| Account di dominio o identità del pool di applicazioni | Nome |
|---|---|
Account amministratore locale
|
mydomain\pscexec |
Account amministratore locale nel computer host SQL Server |
mydomain\sqladmin |
Account di servizio di SQL Server utilizzato per eseguire il servizio SQL Server |
mydomain\wsssqlsvc |
Account amministratore della farm di SharePoint Foundation 2010 |
mydomain\wssfarmadmin Da utilizzare come identità del pool di applicazioni per Amministrazione centrale e come account di servizio per il servizio Timer di SharePoint. |
Identità del pool di applicazioni di SharePoint Foundation 2010 per l'applicazione Web per il sito portale |
mydomain\portalpool |
Identità del pool di applicazioni di SharePoint Foundation 2010 per l'applicazione Web per il sito personale |
mydomain\mysitepool |
Account del servizio di ricerca di SharePoint Foundation 2010 |
mydomain\wsssearch |
Account di accesso al contenuto di ricerca di SharePoint Foundation 2010 |
mydomain\wsscrawl |
Account del servizio di ricerca di SharePoint Foundation 2010 |
mydomain\wsssearch |
Account di accesso al contenuto di SharePoint Foundation 2010 |
mydomain\wsscrawl |
Requisiti di configurazione preliminari
Prima di installare SharePoint Foundation 2010 nei computer della server farm, verificare di aver eseguito le procedure seguenti:
In tutti i server utilizzati nella farm, incluso l'host SQL, deve essere stato installato Windows Server 2008, compresi gli ultimi aggiornamenti disponibili nel sito Windows Update (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
In tutti i server della farm devono essere stati installati Internet Explorer e gli ultimi aggiornamenti a esso relativi disponibili nel sito Windows Update (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
SQL Server 2008 deve essere stato installato e risultare in esecuzione nel computer host SQL e il servizio SQL Server deve essere eseguito come account mydomain\sqlsvc. Un'istanza predefinita di SQL Server deve essere installata e in ascolto sulla porta TCP 1433.
L'utente Esegui come della Configurazione guidata Prodotti SharePoint deve essere stato aggiunto:
Come account di accesso SQL nell'host SQL.
Al ruolo Database Creators di SQL Server nell'host SQL.
Al ruolo Security Administrators di SQL Server nell'host SQL.
Configurare l'autenticazione Kerberos per le comunicazioni con SQL
Configurare l'autenticazione Kerberos per le comunicazioni con SQL prima di installare e configurare SharePoint Foundation 2010 nei server che eseguono SharePoint Foundation 2010. Ciò è necessario perché l'autenticazione Kerberos per le comunicazioni con SQL deve essere configurata e risultare funzionante prima che i computer che eseguono SharePoint Foundation 2010 possano connettersi a SQL Server.
Il processo di configurazione dell'autenticazione Kerberos per qualsiasi servizio installato in un computer host che esegue Windows Server 2008 prevede la creazione di un nome SPN per l'account di dominio utilizzato per eseguire il servizio nell'host. I nomi SPN sono costituiti dalle parti seguenti:
Il nome di un servizio, ad esempio MSSQLSvc o HTTP
Un nome host reale o virtuale
Un numero di porta
Nell'elenco seguente sono riportati esempi di nomi SPN per un'istanza predefinita di SQL Server in esecuzione in un computer denominato wsssql e in ascolto sulla porta 1433:
MSSQLSvc/wsssql:1433
MSSQLSvc/wsssql.mydomain.com:1433
Questi sono i nomi SPN da creare per l'istanza di SQL Server nell'host SQL che verrà utilizzato dalla farm descritta in questo articolo. È sempre consigliabile creare nomi SPN costituiti sia da un nome NetBIOS che da un nome DNS completo per un host in rete.
Per impostare un nome SPN per un account in un dominio di Active Directory, è possibile ricorrere a diversi metodi. Uno di questi consiste nell'eseguire l'utilità SETSPN.EXE inclusa negli strumenti del Resource Kit di Windows Server 2008. Un altro metodo consiste nell'utilizzare lo snap-in ADSIEDIT.MSC nel controller di dominio di Active Directory. In questo articolo viene trattato l'utilizzo dello snap-in ADSIEDIT.MSC.
Per configurare l'autenticazione Kerberos per SQL Server sono due le operazioni di base da eseguire:
Creare i nomi SPN per l'account del servizio SQL Server.
Verificare che l'autenticazione Kerberos venga utilizzata per connettere i server che eseguono SharePoint Foundation 2010 ai server che eseguono SQL Server.
Creare i nomi SPN per l'account del servizio SQL Server
Eseguire l'accesso al controller di dominio di Active Directory utilizzando le credenziali di un utente con autorizzazioni amministrative per il dominio.
Nella finestra di dialogo Esegui digitare ADSIEDIT.MSC.
Nella finestra di dialogo della console di gestione espandere la cartella contenitore di dominio.
Espandere la cartella contenitore con gli account utente, ad esempio CN=Utenti.
Individuare il contenitore dell'account del servizio SQL Server, ad esempio CN=wsssqlsvc.
Fare clic con il pulsante destro del mouse su questo account e quindi scegliere Proprietà.
Nella finestra di dialogo dell'account del servizio SQL Server scorrere verso il basso l'elenco delle proprietà fino alla proprietà servicePrincipalName.
Selezionare la proprietà servicePrincipalName e fare clic su Modifica.
Nel campo Valore da aggiungere della finestra di dialogo Editor stringa multivalore digitare il nome SPN MSSQLSvc/wsssql:1433 e fare clic su Aggiungi. Digitare quindi il nome SPN MSSQLSvc/wsssql.mydomain.com:1433 in tale campo e fare clic su Aggiungi.
Fare clic su OK nella finestra di dialogo Editor stringa multivalore e quindi su OK nella finestra di dialogo delle proprietà per l'account del servizio SQL Server.
Verificare che l'autenticazione Kerberos venga utilizzata per connettere i server che eseguono SharePoint Foundation 2010 a SQL Server
Installare gli strumenti client di SQL in uno dei server che eseguono SharePoint Foundation 2010 e utilizzare gli strumenti per connettersi dal server che esegue SharePoint Foundation 2010 a quelli che eseguono SQL Server. In questo articolo non vengono illustrati i passaggi per installare gli strumenti client di SQL in uno dei server che eseguono SharePoint Foundation 2010. Le procedure di verifica si basano sui presupposti seguenti:
Nell'host SQL viene utilizzato SQL Server 2008.
È stato eseguito l'accesso a uno dei server che eseguono SharePoint Foundation 2010 utilizzando l'account mydomain\pscexec ed è stata effettuata l'installazione degli strumenti client di SQL 2005 nel server che esegue SharePoint Foundation 2010.
Eseguire SQL Server 2005 Management Studio.
Quando viene visualizzata la finestra di dialogo Connetti al server, digitare il nome del computer host SQL (che in questo esempio è wsssql) e fare clic su Connetti per connettersi al computer host SQL.
Per verificare che per tale connessione sia stata utilizzata l'autenticazione Kerberos, eseguire il visualizzatore eventi nel computer host SQL ed esaminare il registro eventi di sicurezza. Dovrebbe risultare un record Controllo con esito positivo per un evento di categoria Accesso/Disconnessione simile ai dati riportati nelle tabelle seguenti:
Tipo di evento
Controllo con esito positivo
Origine evento
Sicurezza
Categoria di evento
Accesso/Disconnessione
ID evento
540
Data
31/10/07
Ora
16.12.24
Utente
MYDOMAIN\pscexec
Computer
WSSQL
Descrizione
Nella tabella seguente è riportato un esempio di accesso in rete riuscito.
Nome utente
pscexec
Dominio
MYDOMAIN
ID accesso
(0x0,0x6F1AC9)
Tipo di accesso
3
Processo di accesso
Kerberos
Nome workstation
GUID accesso
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Nome utente chiamante
Dominio chiamante
ID accesso chiamante
ID processo chiamante
Servizi con transito
Indirizzo di rete di origine
192.168.100.100
Porta di origine
2465
Esaminare la voce del registro per verificare che:
Il nome utente sia corretto. L'account mydomain\pscexec ha eseguito l'accesso in rete all'host SQL.
Il tipo di accesso sia 3. Un accesso di tipo 3 corrisponde a un accesso in rete.
Il processo di accesso e il pacchetto di autenticazione utilizzino entrambi l'autenticazione Kerberos. Ciò conferma che il server che esegue SharePoint Foundation 2010 stia utilizzando l'autenticazione Kerberos per comunicare con l'host SQL.
L'indirizzo di rete di origine corrisponda all'indirizzo IP del computer da cui è stata effettuata la connessione.
Se la connessione all'host SQL non riesce e viene visualizzato il messaggio di errore Impossibile generare il contesto SSPI o un messaggio simile, è probabile che vi sia un problema con il nome SPN utilizzato per l'istanza di SQL Server. Per identificare e risolvere il problema, fare riferimento all'articolo Risoluzione del messaggio di errore "Impossibile generare il contesto SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x410) della Microsoft Knowledge Base.
Creare nomi SPN per le applicazioni Web con l'autenticazione Kerberos
Dal punto di vista dell'autenticazione Kerberos, non si verifica alcun comportamento specifico per le applicazioni Web di SharePoint Foundation 2010 basate su IIS. Vengono infatti gestite dall'autenticazione Kerberos come qualsiasi altro sito Web IIS.
Per tale processo devono essere noti gli elementi seguenti:
La classe di servizio per il nome SPN. Nel contesto di questo articolo è sempre HTTP per le applicazioni Web di SharePoint Foundation 2010.
L'URL di tutte le applicazioni Web di SharePoint Foundation 2010 che utilizzano l'autenticazione Kerberos.
La parte nome host del nome SPN, che sia reale o virtuale. In questo articolo vengono trattati entrambi.
La parte numero di porta del nome SPN. Nello scenario illustrato in questo articolo vengono utilizzate applicazioni Web di SharePoint Foundation 2010 basate sia su porte IIS che su intestazioni host IIS.
Gli account di Windows Active Directory per i quali è necessario creare i nomi SPN.
Nella tabella seguente sono riportate le informazioni relative allo scenario illustrato in questo articolo:
| URL | Account di Active Directory | Nome SPN |
|---|---|---|
http://wssadmin.mydomain.net:10000 |
wssfarmadmin |
|
http://kerbportal.mydomain.net |
portalpool |
|
http://kerbmysite.mydomain.net |
mysitepool |
|
Note per questa tabella:
Il primo URL sopra riportato è per Amministrazione centrale e utilizza un numero di porta. Non è indispensabile utilizzare la porta 10000. Si tratta semplicemente di un esempio utilizzato per uniformità all'interno dell'articolo.
I due URL successivi sono rispettivamente per il sito portale e per il sito personale.
Utilizzare le istruzioni sopra indicate per creare i nomi SPN necessari in Servizi di dominio Active Directory per supportare l'autenticazione Kerberos per le applicazioni Web di SharePoint Foundation 2010. È necessario eseguire l'accesso a un controller di dominio dell'ambiente corrente utilizzando un account con autorizzazioni amministrative per il dominio. Per creare i nomi SPN, è possibile eseguire l'utilità SETSPN.EXE o utilizzare lo snap-in ADSIEDIT.MSC, entrambi citati in precedenza. Se si utilizza lo snap-in ADSIEDIT.MSC, fare riferimento alle istruzioni riportate più indietro nell'articolo per creare i nomi SPN. Prestare attenzione a creare i nomi SPN corretti per gli account corretti in Servizi di dominio Active Directory.
Distribuire la server farm
La distribuzione della server farm prevede i passaggi seguenti:
Installare SharePoint Foundation 2010 in tutti i server che eseguono SharePoint Foundation 2010.
Eseguire la Configurazione guidata Prodotti SharePoint e creare una nuova farm. In questo passaggio è inclusa la creazione di un'applicazione Web Amministrazione centrale SharePoint Foundation 2010 che verrà ospitata in un server virtuale IIS associato a una porta non predefinita e che utilizzerà l'autenticazione Kerberos.
Eseguire la Configurazione guidata Prodotti SharePoint e aggiungere gli altri server alla farm.
Nei server della farm configurare i servizi seguenti:
Servizio di ricerca di SharePoint Foundation 2010
Servizio di indicizzazione della ricerca di SharePoint Foundation 2010
Servizio query di ricerca di SharePoint Foundation 2010
Creare le applicazioni Web da utilizzare per il sito portale e il sito personale con l'autenticazione Kerberos.
Creare una raccolta siti utilizzando il modello Portale di collaborazione nell'applicazione Web per il sito portale.
Verificare che riesca l'accesso alle applicazioni Web con l'autenticazione Kerberos.
Verificare il corretto funzionamento del servizio di indicizzazione della ricerca.
Verificare il corretto funzionamento del servizio query di ricerca.
Installare SharePoint Foundation 2010 in tutti i server
Questo processo consiste semplicemente nell'eseguire il programma di installazione di SharePoint Foundation 2010 per installare i file binari di SharePoint Foundation 2010 nei server che eseguono SharePoint Foundation 2010. Eseguire l'accesso a ognuno dei computer che eseguono SharePoint Foundation 2010 utilizzando l'account mydomain\pscexec. Non vengono fornite istruzioni dettagliate. Per lo scenario illustrato in questo articolo, eseguire un'installazione completa di SharePoint Foundation 2010 in tutti i server in cui è necessario SharePoint Foundation 2010.
Creare una nuova farm
Per lo scenario illustrato in questo articolo, eseguire la Configurazione guidata Prodotti SharePoint innanzitutto dal server di indicizzazione della ricerca WSSADMIN, in modo che in WSSADMIN venga ospitata l'applicazione Web Amministrazione centrale SharePoint Foundation 2010.
Nel server denominato WSSCRAWL, al termine dell'installazione, viene visualizzata una finestra di dialogo Installazione completata con una casella di controllo selezionata per eseguire la Configurazione guidata Prodotti SharePoint. Lasciare selezionata tale casella di controllo e chiudere la finestra di dialogo di installazione per eseguire la Configurazione guidata Prodotti SharePoint.
Quando si esegue la Configurazione guidata Prodotti SharePoint in tale computer, creare una nuova farm utilizzando le impostazioni seguenti:
Specificare il nome del server di database, che in questo articolo è WSSSQL.
Specificare il nome di un database di configurazione. È possibile utilizzare quello predefinito oppure utilizzare un nome a scelta.
Specificare le informazioni dell'account di accesso ai database, ovvero dell'account dell'amministratore della farm. Nel caso dello scenario di questo articolo, tale account è mydomain\wssfarmadmin.
Specificare le informazioni necessarie per l'applicazione Web Amministrazione centrale SharePoint Foundation 2010. Nel caso dello scenario di questo articolo, tali informazioni sono le seguenti:
Numero di porta dell'applicazione Web Amministrazione centrale: 10000
Metodo di autenticazione: Negozia
Dopo che sono state specificate tutte le informazioni necessarie, la Configurazione guidata Prodotti SharePoint dovrebbe venire completata correttamente. In tal caso, verificare di poter accedere alla home page dell'applicazione Web Amministrazione centrale SharePoint Foundation 2010 utilizzando l'autorizzazione Kerberos. A tale scopo, eseguire la procedura seguente:
Eseguire l'accesso a un altro server che esegue SharePoint Foundation 2010 o a un altro computer del dominio mydomain come mydomain\pscexec. Non verificare il corretto comportamento dell'autenticazione Kerberos direttamente nel computer in cui è ospitata l'applicazione Web Amministrazione centrale SharePoint Foundation 2010. Tale operazione deve essere effettuata da un computer diverso del dominio.
Avviare Internet Explorer in tale server e tentare di accedere all'URL seguente: http://wssadmin.mydomain.net:10000. Dovrebbe venire visualizzata la home page di Amministrazione centrale.
Per verificare che per accedere ad Amministrazione centrale sia stata utilizzata l'autenticazione Kerberos, tornare al computer denominato WSSADMIN, eseguire il visualizzatore eventi ed esaminare il registro di sicurezza. Dovrebbe risultare un record Controllo con esito positivo simile a quello della tabella seguente:
Tipo di evento
Controllo con esito positivo
Origine evento
Sicurezza
Categoria di evento
Accesso/Disconnessione
ID evento
540
Data
01/11/07
Ora
14.22.20
Utente
MYDOMAIN\pscexec
Computer
WSSADMIN
Descrizione
Nella tabella seguente è riportato un esempio di accesso in rete riuscito.
Nome utente
pscexec
Dominio
MYDOMAIN
ID accesso
(0x0,0x1D339D3)
Tipo di accesso
3
Processo di accesso
Kerberos
Pacchetto di autenticazione
Kerberos
Nome workstation
GUID accesso
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Nome utente chiamante
Dominio chiamante
ID accesso chiamante
ID processo chiamante
Servizi con transito
Indirizzo di rete di origine
192.168.100.100
Porta di origine
2505
Dall'esame di questo record del registro risulta lo stesso tipo di informazioni della voce precedente del registro:
Verificare che il nome utente sia corretto. È l'account mydomain\pscexec che ha eseguito l'accesso in rete al server che esegue SharePoint Foundation 2010 in cui è ospitata l'applicazione Amministrazione centrale.
Verificare che il tipo di accesso sia 3, che corrisponde a un accesso in rete.
Verificare che il processo di accesso e il pacchetto di autenticazione utilizzino entrambi l'autenticazione Kerberos. Ciò conferma che per accedere all'applicazione Web Amministrazione centrale venga utilizzata l'autenticazione Kerberos.
Verificare che l'indirizzo di rete di origine corrisponda all'indirizzo IP del computer da cui è stata effettuata la connessione.
Se invece della home page di Amministrazione centrale viene visualizzato un messaggio di errore non autorizzato, l'autenticazione Kerberos non funziona. Tale problema in genere può avere due cause:
Il nome SPN in Servizi di dominio Active Directory non è stato registrato per l'account corretto. Dovrebbe essere stato registrato per mydomain\wssfarmadmin.
Il nome SPN in Servizi di dominio Active Directory non corrisponde a quello generato da Internet Explorer o è comunque non valido. Per il nome SPN registrato in Servizi di dominio Active Directory potrebbe essere stato omesso il numero di porta. Apportare la correzione e verificare che Amministrazione centrale funzioni utilizzando l'autenticazione Kerberos prima di procedere.
Nota
Un ausilio diagnostico che è possibile utilizzare per monitorare le operazioni in rete è uno sniffer, come Microsoft Network Monitor, che consente di tenere traccia degli accessi ad Amministrazione centrale. Dopo il problema, esaminare la traccia generata e ricercare i pacchetti KerberosV5. Individuare un pacchetto con un nome SPN generato da Internet Explorer. Se tale nome SPN risulta corretto, significa che non è valido in Servizi di dominio Active Directory oppure che è stato registrato per l'account errato.
Aggiungere gli altri server alla farm
Ora che la farm è stata creata e che è possibile accedere senza problemi ad Amministrazione centrale utilizzando l'autenticazione Kerberos, è necessario eseguire la Configurazione guidata Prodotti SharePoint e aggiungere gli altri server alla farm.
In ognuno degli altri quattro server che eseguono SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery e wsscrawl) dovrebbe risultare completata l'installazione di SharePoint Foundation 2010 e dovrebbe essere visualizzata la relativa finestra di dialogo con la casella di controllo della Configurazione guidata Prodotti SharePoint selezionata. Lasciare selezionata tale casella di controllo e chiudere la finestra di dialogo di completamento dell'installazione per eseguire la Configurazione guidata Prodotti SharePoint. Eseguire la procedura per aggiungere ognuno di questi server alla farm.
Dopo avere completato la Configurazione guidata Prodotti SharePoint in tutti i server da aggiungere alla farm, verificare che ognuno sia in grado di visualizzare Amministrazione centrale, che è in esecuzione nel server WSSADMIN. Se uno qualsiasi di tali server non riesce a visualizzare Amministrazione centrale, intraprendere le azioni appropriate per risolvere il problema prima di procedere.
Configurare i servizi nei server della farm
Configurare i servizi specifici di SharePoint Foundation 2010 per l'esecuzione in server specifici che eseguono SharePoint Foundation 2010 nella farm utilizzando gli account indicati nelle sezioni seguenti.
Nota
In questa sezione non è disponibile una descrizione approfondita dell'interfaccia utente. Vengono fornite solo istruzioni di carattere generale. Prima di procedere, è consigliabile acquisire familiarità con Amministrazione centrale e con l'esecuzione dei passaggi necessari.
Accedere ad Amministrazione centrale ed eseguire la procedura seguente per configurare i servizi nei server indicati utilizzando gli account specificati.
Servizio di ricerca di Windows SharePoint Services
Nella pagina Servizi nel server di Amministrazione centrale:
Selezionare il server WSSQUERY.
Nell'elenco dei servizi che viene visualizzato, all'incirca nella parte centrale della pagina, individuare il servizio di ricerca di SharePoint Foundation 2010 e quindi fare clic su Avvia nella colonna Azione.
Nella pagina successiva specificare le credenziali per l'account del servizio di ricerca di SharePoint Foundation 2010 e per l'account di accesso al contenuto di SharePoint Foundation 2010. Nello scenario di questo articolo l'account del servizio di ricerca di SharePoint Foundation 2010 è mydomain\wsssearch, mentre l'account di accesso al contenuto di SharePoint Foundation 2010 è mydomain\wsscrawl. Digitare i nomi e le password degli account nelle posizioni appropriate della pagina e quindi fare clic su Avvia.
Server di indicizzazione
Nella pagina Servizi nel server di Amministrazione centrale:
Selezionare il server WSSCRAWL.
Nell'elenco dei servizi che viene visualizzato, all'incirca nella parte centrale della pagina, individuare il servizio di ricerca di SharePoint Foundation 2010 e quindi fare clic su Avvia nella colonna Azione.
Nella pagina successiva selezionare la casella di controllo Utilizza questo server per l'indicizzazione del contenuto e quindi specificare le credenziali per l'account del servizio di ricerca di SharePoint Foundation 2010. Nello scenario di questo articolo l'account del servizio di ricerca di SharePoint Foundation 2010 è mydomain\wsssearch. Digitare i nomi e le password degli account nelle posizioni appropriate della pagina e quindi fare clic su Avvia.
Server di query
Nella pagina Servizi nel server di Amministrazione centrale:
Selezionare il server WSSQUERY.
Nell'elenco dei servizi che viene visualizzato, all'incirca nella parte centrale della pagina, individuare il servizio di ricerca di SharePoint Foundation 2010 e quindi fare clic sul nome del servizio nella colonna Servizio.
Nella pagina successiva selezionare la casella di controllo Utilizza questo server per la gestione delle query di ricerca e fare clic su OK.
Creare le applicazioni Web con l'autenticazione Kerberos
In questa sezione creare le applicazioni Web utilizzate per il sito portale e per un sito personale nella farm.
Nota
In questa sezione non è disponibile una descrizione approfondita dell'interfaccia utente. Vengono fornite solo istruzioni di carattere generale. Prima di procedere, è consigliabile acquisire familiarità con Amministrazione centrale e con l'esecuzione dei passaggi necessari.
Creare l'applicazione Web per il sito portale
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea o estendi applicazione Web.
Nella pagina successiva fare clic su Crea nuova applicazione Web.
Nella pagina successiva verificare che sia selezionata l'impostazione Crea un nuovo sito Web IIS.
Nel campo Descrizione digitare Sito portale.
Nel campo Porta digitare 80.
Nel campo Intestazione host digitare kerbportal.mydomain.net.
Verificare che sia selezionata l'impostazione Negozia come provider di autenticazione per l'applicazione Web.
Creare l'applicazione Web nell'area predefinita. Non modificare l'area per l'applicazione Web.
Verificare che sia selezionata l'impostazione Crea nuovo pool di applicazioni.
Nel campo Nome pool di applicazioni digitare Pool applicazioni sito portale.
Verificare che l'impostazione Configurabile sia selezionata. Nel campo Nome utente specificare l'account mydomain\portalpool.
Fare clic su OK.
Verificare che l'applicazione Web sia stata creata correttamente.
Nota
Se si desidera utilizzare una connessione SSL e associare l'applicazione Web alla porta 443, digitare 443 nel campo Porta e selezionare Usa SSL nella pagina Crea nuova applicazione Web. È inoltre necessario installare un certificato con caratteri jolly SSL. Quando si utilizza un'associazione di intestazioni host IIS in un sito Web IIS configurato per SSL, è infatti necessario avvalersi di un certificato di questo tipo. Per ulteriori informazioni sulle intestazioni host SSL in IIS, vedere Configurazione delle intestazioni host SSL (IIS 6.0) (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Creare l'applicazione Web per il sito personale
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea o estendi applicazione Web.
Nella pagina successiva fare clic su Crea nuova applicazione Web.
Nella pagina successiva verificare che sia selezionata l'impostazione Crea un nuovo sito Web IIS.
Nel campo Descrizione digitare Sito personale.
Nel campo Porta digitare 80.
Nel campo Intestazione host digitare kerbmysite.mydomain.net.
Verificare che sia selezionata l'impostazione Negozia come provider di autenticazione per l'applicazione Web.
Creare l'applicazione Web nell'area predefinita. Non modificare l'area per l'applicazione Web.
Verificare che sia selezionata l'impostazione Crea nuovo pool di applicazioni.
Nel campo Nome pool di applicazioni digitare Pool applicazioni sito personale.
Verificare che l'impostazione Configurabile sia selezionata. Nel campo Nome utente specificare l'account mydomain\mysitepool.
Fare clic su OK.
Verificare che l'applicazione Web sia stata creata correttamente.
Nota
Se si desidera utilizzare una connessione SSL e associare l'applicazione Web alla porta 443, digitare 443 nel campo Porta e selezionare Usa SSL nella pagina Crea nuova applicazione Web. È inoltre necessario installare un certificato con caratteri jolly SSL. Quando si utilizza un'associazione di intestazioni host IIS in un sito Web IIS configurato per SSL, è infatti necessario avvalersi di un certificato di questo tipo. Per ulteriori informazioni sulle intestazioni host SSL in IIS, vedere Configurazione delle intestazioni host SSL (IIS 6.0) (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).
Creare una raccolta siti con il modello Portale di collaborazione nell'applicazione Web per il sito portale
In questa sezione è possibile creare una raccolta siti per il sito portale nell'applicazione Web creata a tale scopo.
Nota
In questa sezione non è disponibile una descrizione approfondita dell'interfaccia utente. Vengono fornite solo istruzioni di carattere generale. Prima di procedere, è consigliabile acquisire familiarità con Amministrazione centrale e con l'esecuzione dei passaggi necessari.
Nella pagina Gestione applicazioni di Amministrazione centrale fare clic su Crea raccolta siti.
Nella pagina successiva prestare attenzione a selezionare l'applicazione Web corretta. Nel caso dell'esempio di questo articolo, selezionare http://kerbportal.mydomain.net.
Specificare il titolo e la descrizione desiderati per la raccolta siti.
Lasciare invariato l'indirizzo del sito Web.
Nella sezione Selezione modello, in Selezionare un modello, fare clic sulla scheda Pubblicazione e selezionare il modello Portale di collaborazione.
Nella sezione Amministratore principale raccolta siti digitare mydomain\pscexec.
Specificare l'amministratore secondario che si desidera utilizzare per la raccolta siti.
Fare clic su OK.
Verificare che la raccolta siti del portale sia stata creata correttamente.
Verificare che riesca l'accesso alle applicazioni Web con l'autenticazione Kerberos
Verificare che l'autenticazione Kerberos funzioni per le applicazioni Web appena create. Iniziare con il sito portale.
A tale scopo, eseguire la procedura seguente:
Eseguire l'accesso come mydomain\pscexec a un server che esegue SharePoint Foundation 2010 anziché a uno dei due server Web front-end configurati per Bilanciamento carico di rete. Non verificare il corretto comportamento dell'autenticazione Kerberos direttamente in uno dei computer che ospitano i siti Web con bilanciamento del carico con l'autenticazione Kerberos. Tale operazione deve essere effettuata da un computer diverso del dominio.
Avviare Internet Explorer in questo altro sistema e tentare di accedere all'URL seguente: http://kerbportal.mydomain.net.
Dovrebbe venire visualizzata la home page del sito portale autenticato tramite Kerberos.
Per verificare che sia stata utilizzata l'autenticazione Kerberos per accedere al sito portale, spostarsi su uno dei server Web front-end con bilanciamento del carico, eseguire il visualizzatore eventi ed esaminare il registro di sicurezza. Dovrebbe risultare un record Controllo con esito positivo, simile a quello della tabella seguente, in uno dei server Web front-end. Si noti che, per trovare tale record, potrebbe essere necessario esaminare il registro di entrambi i server Web front-end, a seconda di quale sistema ha gestito la richiesta con bilanciamento del carico.
Tipo di evento |
Controllo con esito positivo |
Origine evento |
Sicurezza |
Categoria di evento |
Accesso/Disconnessione |
ID evento |
540 |
Data |
01/11/07 |
Ora |
17.08.20 |
Utente |
MYDOMAIN\pscexec |
Computer |
wssfe1 |
Descrizione |
Nella tabella seguente è riportato un esempio di accesso in rete riuscito.
Nome utente |
pscexec |
Dominio |
MYDOMAIN |
ID accesso |
(0x0,0x1D339D3) |
Tipo di accesso |
3 |
Processo di accesso |
Autenticazione Kerberos |
Nome workstation |
|
GUID accesso |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Nome utente chiamante |
|
Dominio chiamante |
|
ID accesso chiamante |
|
ID processo chiamante |
|
Servizi con transito |
|
Indirizzo di rete di origine |
192.168.100.100 |
Porta di origine |
2505 |
Dall'esame di questo record del registro risulta lo stesso tipo di informazioni della voce precedente del registro:
Verificare che il nome utente sia corretto. È l'account mydomain\pscexec che ha eseguito l'accesso in rete al server Web front-end che esegue SharePoint Foundation 2010 in cui è ospitato il sito portale.
Verificare che il tipo di accesso sia 3, che corrisponde a un accesso in rete.
Verificare che il processo di accesso e il pacchetto di autenticazione utilizzino entrambi l'autenticazione Kerberos. Ciò conferma che per accedere al sito portale venga utilizzata l'autenticazione Kerberos.
Verificare che l'indirizzo di rete di origine corrisponda all'indirizzo IP del computer da cui è stata effettuata la connessione.
Se invece della home page del sito portale viene visualizzato un messaggio di errore "non autorizzato", l'autenticazione Kerberos non funziona. Tale problema in genere può avere due cause:
Il nome SPN in Servizi di dominio Active Directory non è stato registrato per l'account corretto. Dovrebbe essere stato registrato per mydomain\portalpool, per l'applicazione Web del sito portale.
Il nome SPN in Servizi di dominio Active Directory non corrisponde a quello generato da Internet Explorer o non è valido per un altro motivo. In questo caso, poiché si stanno utilizzando intestazioni host IIS senza numeri di porta espliciti, il nome SPN in Servizi di dominio Active Directory differisce dall'intestazione host IIS specificata quando l'applicazione Web è stata estesa. È necessario risolvere il problema per far funzionare l'autenticazione Kerberos.
Nota
Un ausilio diagnostico che è possibile utilizzare per monitorare le operazioni in rete è uno sniffer, come Microsoft Network Monitor, che consente di tenere traccia degli accessi ad Amministrazione centrale. Dopo il problema, esaminare la traccia generata e ricercare i pacchetti KerberosV5. Si dovrebbe individuare un pacchetto con un nome SPN generato da Internet Explorer. Se tale nome SPN risulta corretto, significa che non è valido in Servizi di dominio Active Directory oppure che è stato registrato per l'account errato.
Dopo che l'autenticazione Kerberos inizia a funzionare per il sito portale, passare al sito personale autenticato tramite Kerberos accedendo all'URL seguente:
Nota
La prima volta che si accede all'URL del sito personale, sarà necessario un po' di tempo perché SharePoint Foundation 2010 crei un sito personale per l'utente connesso. L'operazione dovrebbe comunque avere esito positivo e dovrebbe venire visualizzata la pagina Sito personale relativa all'utente in questione.
L'operazione dovrebbe riuscire. Se non riesce, fare riferimento alle istruzioni per la risoluzione dei problemi riportate più indietro.
Verificare il corretto funzionamento del servizio di indicizzazione della ricerca
Verificare che il servizio di indicizzazione della ricerca esegua correttamente la ricerca per indicizzazione nel contenuto ospitato nella farm. Questo è il passaggio da eseguire prima di verificare i risultati di query di ricerca per gli utenti che accedono ai siti utilizzando l'autenticazione Kerberos.
Nota
In questa sezione non è disponibile una descrizione approfondita dell'interfaccia utente. Vengono fornite solo istruzioni di carattere generale. Prima di procedere, è consigliabile acquisire familiarità con Amministrazione centrale e con l'esecuzione dei passaggi necessari.
Per verificare il funzionamento del servizio di indicizzazione della ricerca, accedere a un'applicazione Web e avviare una ricerca per indicizzazione completa. Attenderne la fine. Se ha esito negativo, sarà necessario identificare e risolvere il problema e quindi eseguire di nuovo una ricerca per indicizzazione completa. Se la ricerca ha esito negativo con errori di tipo "accesso negato", l'account di ricerca per indicizzazione non ha accesso alle origini di contenuto oppure l'autenticazione Kerberos non funziona. Quale che sia la causa, è necessario correggere l'errore prima di procedere con i passaggi successivi.
Prima di continuare, è necessario eseguire una ricerca per indicizzazione completa nelle applicazioni Web autenticate tramite Kerberos.
Verificare il corretto funzionamento del servizio query di ricerca
Per verificare che il servizio query di ricerca restituisca risultati per gli utenti che accedono al sito portale con l'autenticazione Kerberos:
Avviare Internet Explorer in un sistema in mydomain.net e accedere a http://kerbportal.mydomain.net.
Quando viene visualizzata la home page del sito portale, digitare una parola chiave di ricerca nel campo Cerca e premere INVIO.
Verificare che vengano restituiti risultati del servizio query di ricerca. In caso negativo, assicurarsi che la parola chiave immessa sia valida nella distribuzione, che il servizio di indicizzazione della ricerca venga eseguito correttamente, che il servizio di ricerca sia in esecuzione nei server di indicizzazione della ricerca e di query di ricerca e che non vi siano problemi con la propagazione della ricerca dal server di indicizzazione della ricerca al server di query di ricerca.
Limitazioni di configurazione
La parte nome host dei nomi SPN nel nuovo formato che vengono creati corrisponderà al nome NetBIOS dell'host che esegue il servizio, ad esempio MSSP/kerbtest4:56738/SSP1. Ciò avviene perché i nomi host vengono recuperati dal database di configurazione di SharePoint Foundation 2010 e nel database di configurazione di SharePoint Foundation 2010 sono archiviati solo nomi computer NetBIOS. In alcuni scenari questa situazione potrebbe essere ambigua.