Configurazione della delega Kerberos: configurazione dettagliata (SharePoint Server 2010)
Si applica a: SharePoint Server 2010
Ultima modifica dell'argomento: 2016-11-30
Negli articoli degli scenari che seguono viene creato un ambiente SharePoint Server 2010 per illustrare come configurare la delega in numerosi scenari comuni che possono essere presenti in un'azienda. Nelle procedure dettagliate si presuppone che venga creata una farm di SharePoint con scalabilità orizzontale simile a quanto viene descritto nella sezione seguente.
Nota
Alcuni dei passaggi di configurazione possono variare o non funzionare in alcune topologie di farm. Un'installazione a server singolo ad esempio non supporta i servizi Attestazioni per il servizio token Windows di Windows Identity Foundation e pertanto gli scenari con attestazioni per la delega dei token Windows non sono consentiti con questa configurazione di farm.
Topologia di farm e ambiente
Nella figura seguente viene illustrata la topologia di farm utilizzata per la configurazione degli scenari nelle sezioni che seguono. Alla topologia della farm sono stati applicati il bilanciamento del carico e la scalabilità orizzontale tra più livelli per illustrare il funzionamento della delega dell'identità in scenari multihp con più server.
Nota
La configurazione della farm nelle dimostrazioni non deve essere intesa come architettura di riferimento o come esempio per la progettazione di una topologia per ambienti di produzione. Nella topologia della dimostrazione ad esempio tutte le applicazioni di servizio di SharePoint Server 2010 vengono eseguite in un unico server, che crea un singolo punto di errore per tali servizi. Per ulteriori informazioni su come progettare e creare un ambiente SharePoint Server di produzione, vedere SharePoint Server 2010 - Architettura fisica e logica (le informazioni potrebbero essere in lingua inglese) e Topologie per SharePoint Server 2010 (le informazioni potrebbero essere in lingua inglese).
.jpg "Diagramma della topologia di una farm di esempio")
Nota
Nelle procedure dettagliate degli scenari si presuppone che tutti i computer in cui sono in esecuzione SharePoint Server e le origini dati utilizzate nello scenario sottostante siano presenti in un singolo dominio. In questo documento non vengono fornite una spiegazione e una procedura dettagliata per la configurazione multidominio/a più foreste.
Specifica dell'ambiente
Tutti i computer dell'ambiente della dimostrazione sono virtualizzati con l'esecuzione in Hyper-V di Windows Server 2008 R2. I computer sono inclusi in un singolo dominio di Windows, vmlab.local, in esecuzione nei livelli di funzione di foresta e di dominio di Windows Server 2008.
Computer client
- Windows 7 Professional a 64 bit
Server Web front-end SharePoint Server
Windows Server 2008 R2 Enterprise a 64 bit
Servizi:
- Servizio applicazione Web
Carico bilanciato con Bilanciamento carico di rete di Windows
Server applicazioni SharePoint Server
Windows Server 2008 R2 Enterprise a 64 bit
Microsoft SharePoint Server 2010 (RTM)
Servizi:
Attestazioni per il servizio token Windows di WIF
Servizio metadati gestiti
Indice di SharePoint
Query di SharePoint
Excel Services
Servizio grafica di Visio
Servizi di integrazione applicativa
PerformancePoint Services
Servizi SQL Server
Windows Server 2008 R2 Enterprise a 64 bit
Microsoft SQL Server 2008 R2 Enterprise a 64 bit
Configurazione attiva/passiva
Servizi di SQL Server:
Motore dei dati SQL
SQL Server Analysis Services
Agente SQL
SQL Browser
SQL Reporting Services
Windows Server 2008 R2 Enterprise a 64 bit (RTM)
Microsoft SQL 2008 R2 Enterprise a 64 bit (RTM)
Microsoft SharePoint Server 2010 (RTM)
Bilanciamento carico di rete di Windows, carico bilanciato
Modalità di integrazione SharePoint con Reporting Services
Reporting Services, modalità con scalabilità orizzontale
Specifica di applicazioni Web
Gli scenari della procedura dettagliata fanno riferimento a un insieme di applicazioni Web di SharePoint Server 2010 che verranno configurate nello scenario 1. Nelle applicazioni Web seguenti il carico è bilanciato tramite Bilanciamento carico di rete di Windows tra i due server Web front-end SharePoint Server nell'ambiente della dimostrazione:
http://sp10CA Applicazione Web Amministrazione centrale della farm. Nello scenario 1 non viene illustrata la configurazione di questa applicazione Web.
http://portal and https://portal Applicazione Web con portale di pubblicazione della dimostrazione. Viene utilizzata per illustrare come configurare la delega per le applicazioni Web in esecuzione su porte standard (HTTP 80, HTTPS 443)
http://teams:5555 Applicazione Web con il sito del team della dimostrazione. Viene utilizzata per illustrare come configurare la delega per le applicazioni Web in esecuzione sulle porte non standard, in questo esempio la porta 5555.
.jpg "Diagramma di un'applicazione Web")
Configurazione SSL
In alcuni degli scenari di procedure dettagliate verrà utilizzato SSL per illustrare come configurare la delega con HTTPS. Si presuppone che i certificati utilizzati provengano da un'autorità di certificazione radice attendibile interna o pubblica oppure che tutti i computer siano stati configurati per considerare attendibili i certificati utilizzati. Nel documento non verrà illustrato come configurare correttamente gli scopi consentiti ai certificati né verranno fornite indicazioni sui problemi di debug correlati all'installazione di certificati SSL. È consigliabile leggere gli argomenti elencati di seguito e testare la configurazione SSL prima di configurare la delega vincolata Kerberos con servizi protetti da SSL. Per ulteriori informazioni, vedere:
Panoramica di Servizi certificati Active Directory (https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x410)
Guida dettagliata di Servizi certificati Active Directory di Windows Server (https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x410)
Configurazione dei certificati del server in IIS 7 (https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x410)
Come configurare SSL in IIS 7 - Configurazione della sicurezza - Installazione e configurazione di IIS 7 - Sito ufficiale di Microsoft IIS (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x410) (le informazioni potrebbero essere in lingua inglese)
Aggiungere un binding a un sito (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x410)
Configurare un'intestazione host per un sito Web (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x410) - (Come utilizzare SSL con le intestazioni host)
Creare un certificato del server autofirmato in IIS 7 (https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x410)
Bilanciamento del carico
Il bilanciamento del carico nei server Web front-end di SharePoint Server e nei server SQL Server Reporting Services è stato implementato tramite Bilanciamento carico di rete di Windows Server 2008. In questo documento non viene descritto come configurare Bilanciamento carico di rete e non vengono fornite le procedure consigliate per tale operazione. Per ulteriori informazioni su Bilanciamento carico di rete, vedere Panoramica di Bilanciamento carico di rete.
Aliasing SQL
La farm è stata creata utilizzando un alias per client SQL per la connessione al cluster di SQL. Questa in genere è una procedura consigliata ed è stata eseguita per illustrare come viene configurata l'autenticazione Kerberos quando viene utilizzato l'aliasing SQL. Nello scenario 2 si presuppone che l'ambiente sia configurato in questo modo, ma non è necessario utilizzare alias SQL per completare gli scenari che seguono. Per ulteriori informazioni su come configurare gli alias SQL, vedere Procedura: Creazione di un alias server per l'utilizzo da parte di un client (SQL Server Configuration Manager).
Suggerimenti per l'applicazione degli scenari
Negli scenari che seguono vengono esaminate le diverse attività necessarie per configurare la delega Kerberos nelle diverse funzioni della piattaforma di SharePoint Server. Man mano che viene esaminata ogni sezione, tenere conto di quanto segue:
In tutti gli scenari si presuppone che le applicazioni Web siano state configurate per l'autenticazione classica in ingresso (Kerberos). Per alcuni degli scenari che seguono è necessaria l'autenticazione classica e non verrà garantito il funzionamento documentato con l'autenticazione basata sulle attestazioni in ingresso.
Verificare innanzitutto il funzionamento dei servizi di SharePoint Server senza delega per controllare che le applicazioni di servizio siano configurate correttamente prima di passare a configurazioni più sofisticate con delega.
Prestare particolare attenzione a ogni passaggio ed evitare di saltare qualche operazione.
Eseguire lo scenario 1 e dedicare tempo all'utilizzo degli strumenti di debug in esso menzionati, poiché possono essere utilizzati in altri scenari per la diagnosi di problemi di configurazione.
Ricordarsi di eseguire lo scenario 2. Sarà necessario un computer con SQL Server configurato per accettare l'autenticazione Kerberos e il database di prova configurato in questo scenario sarà utile per alcuni degli scenari successivi.
Verificare sempre accuratamente la configurazione SPN in ogni scenario utilizzando SetSPN -X e SetSPN -Q. Per ulteriori informazioni, vedere l'appendice.
Consultare sempre i registri eventi e i registri ULS del server quando si tenta di eseguire il debug di un problema di configurazione. In questi registri in genere sono presenti puntatori utili per individuare rapidamente i problemi che si verificano.
Attivare la registrazione diagnostica per SharePoint Foundation->Autenticazione attestazioni e qualsiasi applicazione di servizio che si tenta di esaminare in caso di problemi.
Ricordarsi che su ogni scenario può influire la memorizzazione nella cache delle applicazioni di servizio. Se si apportano modifiche alla configurazione ma non si osservano cambiamenti nel comportamento della piattaforma, provare a riavviare il pool di applicazioni del servizio o il servizio Windows. Se il problema persiste, provare a riavviare il sistema.
Ricordarsi che i ticket Kerberos vengono memorizzati nella cache dopo essere stati richiesti. Se si utilizza uno strumento come NetMon per visualizzare le richieste TGT e TGS, potrebbe essere necessario svuotare la cache dei ticket se non è possibile osservare il traffico di richieste previsto. Nello scenario 1 Configurazione dell'autenticazione Kerberos: configurazione di base (SharePoint Server 2010) viene illustrata questa procedura con le utilità KLIST e KerbTray.
Ricordarsi di eseguire NetMon con privilegi di amministratore per acquisire il traffico Kerberos.
Per scenari di debug avanzati è possibile attivare la traccia WIF per Attestazioni per il servizio token Windows e la traccia WCF per le applicazioni di servizio di SharePoint (servizi WCF). Vedere: