Configurazione della delega Kerberos: configurazione dettagliata (SharePoint Server 2010)

SharePoint 2010
 

Si applica a: SharePoint Server 2010

Ultima modifica dell'argomento: 2016-11-30

Negli articoli degli scenari che seguono viene creato un ambiente SharePoint Server 2010 per illustrare come configurare la delega in numerosi scenari comuni che possono essere presenti in un'azienda. Nelle procedure dettagliate si presuppone che venga creata una farm di SharePoint con scalabilità orizzontale simile a quanto viene descritto nella sezione seguente.

NotaNote
Alcuni dei passaggi di configurazione possono variare o non funzionare in alcune topologie di farm. Un'installazione a server singolo ad esempio non supporta i servizi Attestazioni per il servizio token Windows di Windows Identity Foundation e pertanto gli scenari con attestazioni per la delega dei token Windows non sono consentiti con questa configurazione di farm.

Nella figura seguente viene illustrata la topologia di farm utilizzata per la configurazione degli scenari nelle sezioni che seguono. Alla topologia della farm sono stati applicati il bilanciamento del carico e la scalabilità orizzontale tra più livelli per illustrare il funzionamento della delega dell'identità in scenari multihp con più server.

NotaNote
La configurazione della farm nelle dimostrazioni non deve essere intesa come architettura di riferimento o come esempio per la progettazione di una topologia per ambienti di produzione. Nella topologia della dimostrazione ad esempio tutte le applicazioni di servizio di SharePoint Server 2010 vengono eseguite in un unico server, che crea un singolo punto di errore per tali servizi. Per ulteriori informazioni su come progettare e creare un ambiente SharePoint Server di produzione, vedere SharePoint Server 2010 - Architettura fisica e logica (le informazioni potrebbero essere in lingua inglese) e Topologie per SharePoint Server 2010 (le informazioni potrebbero essere in lingua inglese).
Diagramma della topologia di una farm di esempio
NotaNote
Nelle procedure dettagliate degli scenari si presuppone che tutti i computer in cui sono in esecuzione SharePoint Server e le origini dati utilizzate nello scenario sottostante siano presenti in un singolo dominio. In questo documento non vengono fornite una spiegazione e una procedura dettagliata per la configurazione multidominio/a più foreste.

Tutti i computer dell'ambiente della dimostrazione sono virtualizzati con l'esecuzione in Hyper-V di Windows Server 2008 R2. I computer sono inclusi in un singolo dominio di Windows, vmlab.local, in esecuzione nei livelli di funzione di foresta e di dominio di Windows Server 2008.

  • Computer client

    • Windows 7 Professional a 64 bit

  • Server Web front-end SharePoint Server

    • Windows Server 2008 R2 Enterprise a 64 bit

    • Servizi:

      • Servizio applicazione Web

    • Carico bilanciato con Bilanciamento carico di rete di Windows

  • Server applicazioni SharePoint Server

    • Windows Server 2008 R2 Enterprise a 64 bit

    • Microsoft SharePoint Server 2010 (RTM)

    • Servizi:

      • Attestazioni per il servizio token Windows di WIF

      • Servizio metadati gestiti

      • Indice di SharePoint

      • Query di SharePoint

      • Excel Services

      • Servizio grafica di Visio

      • Servizi di integrazione applicativa

      • PerformancePoint Services

  • Servizi SQL Server

    • Windows Server 2008 R2 Enterprise a 64 bit

    • Microsoft SQL Server 2008 R2 Enterprise a 64 bit

    • Configurazione attiva/passiva

    • Servizi di SQL Server:

      • Motore dei dati SQL

      • SQL Server Analysis Services

      • Agente SQL

      • SQL Browser

  • SQL Reporting Services

    • Windows Server 2008 R2 Enterprise a 64 bit (RTM)

    • Microsoft SQL 2008 R2 Enterprise a 64 bit (RTM)

    • Microsoft SharePoint Server 2010 (RTM)

    • Bilanciamento carico di rete di Windows, carico bilanciato

    • Modalità di integrazione SharePoint con Reporting Services

    • Reporting Services, modalità con scalabilità orizzontale

Gli scenari della procedura dettagliata fanno riferimento a un insieme di applicazioni Web di SharePoint Server 2010 che verranno configurate nello scenario 1. Nelle applicazioni Web seguenti il carico è bilanciato tramite Bilanciamento carico di rete di Windows tra i due server Web front-end SharePoint Server nell'ambiente della dimostrazione:

  • http://sp10CA Applicazione Web Amministrazione centrale della farm. Nello scenario 1 non viene illustrata la configurazione di questa applicazione Web.

  • http://portal and https://portal Applicazione Web con portale di pubblicazione della dimostrazione. Viene utilizzata per illustrare come configurare la delega per le applicazioni Web in esecuzione su porte standard (HTTP 80, HTTPS 443)

  • http://teams:5555 Applicazione Web con il sito del team della dimostrazione. Viene utilizzata per illustrare come configurare la delega per le applicazioni Web in esecuzione sulle porte non standard, in questo esempio la porta 5555.

Diagramma di un'applicazione Web

In alcuni degli scenari di procedure dettagliate verrà utilizzato SSL per illustrare come configurare la delega con HTTPS. Si presuppone che i certificati utilizzati provengano da un'autorità di certificazione radice attendibile interna o pubblica oppure che tutti i computer siano stati configurati per considerare attendibili i certificati utilizzati. Nel documento non verrà illustrato come configurare correttamente gli scopi consentiti ai certificati né verranno fornite indicazioni sui problemi di debug correlati all'installazione di certificati SSL. È consigliabile leggere gli argomenti elencati di seguito e testare la configurazione SSL prima di configurare la delega vincolata Kerberos con servizi protetti da SSL. Per ulteriori informazioni, vedere:

Il bilanciamento del carico nei server Web front-end di SharePoint Server e nei server SQL Server Reporting Services è stato implementato tramite Bilanciamento carico di rete di Windows Server 2008. In questo documento non viene descritto come configurare Bilanciamento carico di rete e non vengono fornite le procedure consigliate per tale operazione. Per ulteriori informazioni su Bilanciamento carico di rete, vedere Panoramica di Bilanciamento carico di rete.

La farm è stata creata utilizzando un alias per client SQL per la connessione al cluster di SQL. Questa in genere è una procedura consigliata ed è stata eseguita per illustrare come viene configurata l'autenticazione Kerberos quando viene utilizzato l'aliasing SQL. Nello scenario 2 si presuppone che l'ambiente sia configurato in questo modo, ma non è necessario utilizzare alias SQL per completare gli scenari che seguono. Per ulteriori informazioni su come configurare gli alias SQL, vedere Procedura: Creazione di un alias server per l'utilizzo da parte di un client (SQL Server Configuration Manager).

Negli scenari che seguono vengono esaminate le diverse attività necessarie per configurare la delega Kerberos nelle diverse funzioni della piattaforma di SharePoint Server. Man mano che viene esaminata ogni sezione, tenere conto di quanto segue:

In tutti gli scenari si presuppone che le applicazioni Web siano state configurate per l'autenticazione classica in ingresso (Kerberos). Per alcuni degli scenari che seguono è necessaria l'autenticazione classica e non verrà garantito il funzionamento documentato con l'autenticazione basata sulle attestazioni in ingresso.

  • Verificare innanzitutto il funzionamento dei servizi di SharePoint Server senza delega per controllare che le applicazioni di servizio siano configurate correttamente prima di passare a configurazioni più sofisticate con delega.

  • Prestare particolare attenzione a ogni passaggio ed evitare di saltare qualche operazione.

  • Eseguire lo scenario 1 e dedicare tempo all'utilizzo degli strumenti di debug in esso menzionati, poiché possono essere utilizzati in altri scenari per la diagnosi di problemi di configurazione.

  • Ricordarsi di eseguire lo scenario 2. Sarà necessario un computer con SQL Server configurato per accettare l'autenticazione Kerberos e il database di prova configurato in questo scenario sarà utile per alcuni degli scenari successivi.

  • Verificare sempre accuratamente la configurazione SPN in ogni scenario utilizzando SetSPN -X e SetSPN -Q. Per ulteriori informazioni, vedere l'appendice.

  • Consultare sempre i registri eventi e i registri ULS del server quando si tenta di eseguire il debug di un problema di configurazione. In questi registri in genere sono presenti puntatori utili per individuare rapidamente i problemi che si verificano.

  • Attivare la registrazione diagnostica per SharePoint Foundation->Autenticazione attestazioni e qualsiasi applicazione di servizio che si tenta di esaminare in caso di problemi.

  • Ricordarsi che su ogni scenario può influire la memorizzazione nella cache delle applicazioni di servizio. Se si apportano modifiche alla configurazione ma non si osservano cambiamenti nel comportamento della piattaforma, provare a riavviare il pool di applicazioni del servizio o il servizio Windows. Se il problema persiste, provare a riavviare il sistema.

  • Ricordarsi che i ticket Kerberos vengono memorizzati nella cache dopo essere stati richiesti. Se si utilizza uno strumento come NetMon per visualizzare le richieste TGT e TGS, potrebbe essere necessario svuotare la cache dei ticket se non è possibile osservare il traffico di richieste previsto. Nello scenario 1 Configurazione dell'autenticazione Kerberos: configurazione di base (SharePoint Server 2010) viene illustrata questa procedura con le utilità KLIST e KerbTray.

  • Ricordarsi di eseguire NetMon con privilegi di amministratore per acquisire il traffico Kerberos.

  • Per scenari di debug avanzati è possibile attivare la traccia WIF per Attestazioni per il servizio token Windows e la traccia WCF per le applicazioni di servizio di SharePoint (servizi WCF). Vedere:

Mostra: