Share via

Configurar a autenticação Kerberos (SharePoint Foundation 2010)

  • Artigo

 

Aplica-se a: SharePoint Foundation 2010

Tópico modificado em: 2016-11-30

Neste artigo:

  • Sobre a autenticação Kerberos

  • Antes de começar

  • Configurar a autenticação Kerberos para comunicações SQL

  • Criar nomes de entidades de serviço para seus aplicativos Web usando a autenticação Kerberos

  • Implantar o farm de servidores

  • Configurar serviços em servidores do seu farm

  • Criar aplicativos Web usando a autenticação Kerberos

  • Criar um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site de portal

  • Confirmar o acesso bem-sucedido aos aplicativos Web usando a autenticação Kerberos

  • Confirmar a funcionalidade de Indexação de Pesquisa correta

  • Confirmar a funcionalidade de Consulta de Pesquisa correta

  • Limitações de configuração

  • Recursos adicionais e orientação para solução de problemas

Sobre a autenticação Kerberos

O Kerberos é um protocolo seguro que dá suporte à autenticação com tíquetes. Um servidor de autenticação Kerberos concede um tíquete em resposta a uma solicitação de autenticação de um computador cliente, caso essa solicitação contenha credenciais do usuário válidas e um SPN (nome da entidade de serviço). Em seguida, o computador cliente usa o tíquete para acessar recursos da rede. Para habilitar a autenticação Kerberos, os computadores cliente e servidor devem ter uma conexão confiável com o KDC (centro de distribuição de chaves) do domínio. O KDC distribui chaves secretas compartilhadas para habilitar a criptografia. Os computadores cliente e servidor também devem ser capazes de acessar o AD DS (Serviços de Domínio Active Directory). No AD DS, o domínio raiz da floresta é o centro de referências da autenticação Kerberos.

Para implantar um farm de servidores que execute o Microsoft SharePoint Foundation 2010 usando a autenticação Kerberos, instale e configure vários aplicativos nos seus computadores. Este artigo descreve um exemplo de farm de servidores que executa o SharePoint Foundation 2010 e oferece orientações para implantar e configurar o farm de forma a utilizar a autenticação Kerberos para oferecer suporte à seguinte funcionalidade:

  • Comunicação entre o SharePoint Foundation 2010 e o software de banco de dados Microsoft SQL Server.

  • Acesso ao aplicativo Web da Administração Central do SharePoint.

  • Acesso a outros aplicativos Web, incluindo um aplicativo Web de site de portal e um aplicativo Web de Meu Site.

Antes de começar

Este artigo está direcionado ao pessoal de nível administrativo com os seguintes conhecimentos:

  • Windows Server 2008

  • Active Directory

  • IIS (Serviços de Informações da Internet) 6.0 (ou IIS 7.0)

  • SharePoint Foundation 2010

  • Windows Internet Explorer

  • Autenticação Kerberos, implementada no AD DS (Serviços de Domínio Active Directory) para o Windows Server 2008

  • NLB (Balanceamento de Carga de Rede) no Windows Server 2008

  • Contas de computador em um domínio do Active Directory

  • Contas de usuário em um domínio do Active Directory

  • Sites do IIS e suas associações e configurações de autenticação

  • Identidades de pool de aplicativos do IIS para sites do IIS

  • O Assistente de Configuração de Produtos do SharePoint

  • Aplicativos Web do SharePoint Foundation 2010

  • Páginas da Administração Central

  • SPNs (nomes de entidade de serviço) e como configurá-los em um domínio do Active Directory

Importante

Para criar SPNs em um domínio do Active Directory, você precisa ter permissões administrativas nesse domínio.

Este artigo não proporciona um exame detalhado da autenticação Kerberos. O Kerberos é um método de autenticação padrão do setor implementado no AD DS.

Este artigo não oferece instruções detalhadas e passo a passo para a instalação do SharePoint Foundation 2010 ou para o uso do Assistente de Configuração de Produtos do SharePoint.

Este artigo não oferece instruções detalhadas e passo a passo para o uso da Administração Central com o objetivo de criar aplicativos Web do SharePoint Foundation 2010.

Requisitos de versão de software

A orientação oferecida neste artigo e os testes executados para confirmar essa orientação se baseiam nos resultados do uso de sistemas que estejam executando o Windows Server 2008 e o Internet Explorer com as atualizações mais recentes aplicadas a partir do site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416). As seguintes versões de software foram instaladas:

Verifique também se os seus controladores de domínio do Active Directory estão executando o Windows Server 2008 com as atualizações mais recentes aplicadas a partir do site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416).

Problemas conhecidos

O SharePoint Foundation 2010 pode rastrear aplicativos Web configurados para usar a autenticação Kerberos se estes estiverem hospedados em servidores virtuais do IIS associados a portas padrão (porta TCP 80 e porta SSL 443). No entanto, a Pesquisa do SharePoint Foundation 2010 não conseguirá rastrear aplicativos Web do SharePoint Foundation 2010 configurados para usar a autenticação Kerberos se esses aplicativos Web estiverem hospedados em servidores virtuais do IIS associados a portas não padrão (portas diferentes da porta TCP 80 e da porta SSL 443). Atualmente, a Pesquisa do SharePoint Foundation 2010 só pode rastrear aplicativos Web do SharePoint Foundation 2010 hospedados em servidores virtuais do IIS associados a portas não padrão que estejam configuradas para usar a autenticação NTLM ou a autenticação Básica.

Para acesso de usuários finais usando a autenticação Kerberos, se você precisar implantar aplicativos Web que só possam ser hospedados em servidores virtuais do IIS que estejam associados a portas não padrão e se você quiser que os usuários finais obtenham resultados da consulta de pesquisa:

  • Os mesmos aplicativos Web devem ser hospedados em outros servidores virtuais do IIS em portas não padrão.

  • Os aplicativos Web devem ser configurados para usar a autenticação NTLM ou Básica.

  • A Indexação de Pesquisa deve rastrear os aplicativos Web usando a autenticação NTLM ou Básica.

Este artigo oferece orientação para:

  • Como configurar o aplicativo Web da Administração Central usando a autenticação Kerberos hospedada em um servidor virtual do IIS associado a portas não padrão.

  • Como configurar aplicativos de portal e Meu Site usando a autenticação Kerberos hospedada em servidores virtuais do IIS associados a portas padrão e com uma associação de cabeçalho de host do IIS.

  • Como verificar se a Indexação de Pesquisa rastreia com sucesso aplicativos Web do SharePoint Foundation 2010 usando a autenticação Kerberos.

  • Como verificar se os usuários que estão acessando aplicativos Web autenticados por Kerberos conseguem obter resultados da consulta de pesquisa para esses aplicativos Web.

Histórico adicional

É importante compreender que, quando você usa a autenticação Kerberos, a funcionalidade de autenticação precisa dependerá em parte do comportamento do cliente que esteja tentando autenticar-se usando Kerberos. Em uma implantação de farm do SharePoint Foundation 2010 usando a autenticação Kerberos, o SharePoint Foundation 2010 não é o cliente. Antes de implantar um farm de servidores que esteja executando o SharePoint Foundation 2010 usando a autenticação Kerberos, é preciso compreender o comportamento dos seguintes clientes:

  • O navegador (no contexto deste artigo, o navegador sempre será o Internet Explorer)

  • O Microsoft .NET Framework

O navegador é o cliente usado para navegação até uma página da Web em um aplicativo Web do SharePoint Foundation 2010. Quando o SharePoint Foundation 2010 executa tarefas como o rastreamento das fontes de conteúdo locais do SharePoint Foundation 2010, o .NET Framework funciona como o cliente.

Para que a autenticação Kerberos funcione corretamente, é necessário criar SPNs no AD DS. Se os serviços aos quais esses SPNs correspondem estiverem escutando em portas não padrão, os SPNs deverão incluir números de porta. Isso serve para garantir que os SPNs sejam significativos e também é necessário para impedir a criação de SPNs duplicados.

Quando um cliente tenta acessar um recurso usando a autenticação Kerberos, ele deve criar um SPN a ser usado como parte do processo da autenticação Kerberos. Se o cliente não criar um SPN que corresponda ao SPN configurado no AD DS, a autenticação Kerberos falhará, normalmente com um erro de "Acesso negado".

Existem versões do Internet Explorer que não criam SPNs com números de porta. Se você estiver usando aplicativos Web do SharePoint Foundation 2010 associados a números de porta não padrão no IIS, talvez seja necessário direcionar o Internet Explorer de forma a incluir números de porta nos SPNs criados por ele. Em um farm que esteja executando o SharePoint Foundation 2010, o aplicativo Web da Administração Central é hospedado, por padrão, em um servidor virtual do IIS associado a uma porta não padrão. Portanto, este artigo trata dos sites do IIS associados por porta e dos sites do IIS associados a cabeçalhos de host.

Por padrão, em um farm que esteja executando o SharePoint Foundation 2010, o .NET Framework não cria SPNs com números de porta. É por isso que a Pesquisa não consegue rastrear aplicativos Web usando a autenticação Kerberos caso esses aplicativos Web estejam hospedados em servidores virtuais do IIS associados a portas não padrão.

Topologia do farm de servidores

Este artigo refere-se à seguinte topologia de farm de servidores do SharePoint Foundation 2010:

  • Dois computadores executando o Windows Server 2008 que estejam atuando como servidores Web front-end com o Windows NLB configurado.

  • Três computadores executando o Windows Server 2008 que estejam atuando como servidores de aplicativos. Um dos servidores de aplicativos hospeda o aplicativo Web da Administração Central. O segundo servidor de aplicativos está executando a Consulta de Pesquisa, enquanto o terceiro está executando a Indexação de Pesquisa.

  • Um computador executando o Windows Server 2008 usado como o host SQL para o farm executando o SharePoint Foundation 2010. Para o cenário descrito neste artigo, você pode usar qualquer Microsoft SQL Server 2008.

Serviços de Domínio Active Directory, nomenclatura de computador e convenções NLB

O cenário descrito neste artigo usa o Active Directory, a nomenclatura de computador e as convenções NLB a seguir:

Função de servidor Nome do domínio

Serviços de Domínio Active Directory

mydomain.net

Um servidor Web front-end executando o SharePoint Foundation 2010

wssfe1.mydomain.net

Um servidor Web front-end executando o SharePoint Foundation 2010

wssfe2.mydomain.net

Administração Central do SharePoint Foundation 2010

wssadmin.mydomain.net

Indexação de Pesquisa executando o SharePoint Foundation 2010

wsscrawl.mydomain.net

Consulta de Pesquisa executando o SharePoint Foundation 2010

wssquery.mydomain.net

Host do SQL Server que executa o SharePoint Foundation 2010

wsssql.mydomain.net

Um NLB VIP é atribuído a wssfe1.mydomain.net e a wssfe2.mydomain.net como resultado da configuração do NLB nesses sistemas. Um conjunto de nomes de host DNS apontando para esse endereço é registrado no seu sistema DNS. Por exemplo, se o NLB VIP for 192.168.100.200, você terá um conjunto de registros DNS que resolverá os seguintes nomes de DNS para esse endereço IP (192.168.100.200):

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

Convenções de conta de domínio do Active Directory

O exemplo neste artigo usa as convenções de nomenclatura listadas na tabela a seguir para contas de serviço e identidades de pool de aplicativos usadas no farm que executa o SharePoint Foundation 2010.

Conta de domínio ou identidade do pool de aplicativos Nome

Conta de administrador local

  • Em todos os servidores que executam o SharePoint Foundation 2010 (mas não no computador host que executa o SQL Server)

  • Para a instalação do SharePoint Foundation 2010 e para o usuário Executar como do Assistente de Configuração de Produtos do SharePoint

mydomain\pscexec

Conta de administrador local no computador host do SQL Server

mydomain\sqladmin

A conta de serviço do SQL Server usada para executar o serviço SQL Server

mydomain\wsssqlsvc

Conta de administrador do farm do SharePoint Foundation 2010

mydomain\wssfarmadmin

Usada como a identidade do pool de aplicativos da Administração Central e como a conta de serviço do Serviço de Timer do SharePoint.

A identidade do pool de aplicativos do SharePoint Foundation 2010 para o aplicativo Web do site de portal

mydomain\portalpool

A identidade do pool de aplicativos do SharePoint Foundation 2010 para o aplicativo Web Meu Site

mydomain\mysitepool

Conta do serviço de pesquisa do SharePoint Foundation 2010

mydomain\wsssearch

Conta de acesso ao conteúdo de pesquisa do SharePoint Foundation 2010

mydomain\wsscrawl

Conta do serviço de pesquisa do SharePoint Foundation 2010

mydomain\wsssearch

Conta de acesso ao conteúdo do SharePoint Foundation 2010

mydomain\wsscrawl

Requisitos de configuração preliminar

Antes de instalar o SharePoint Foundation 2010 nos computadores do farm de servidores, verifique se você executou os seguintes procedimentos:

  • Todos os servidores usados no farm, incluindo o host SQL, estão configurados com o Windows Server 2008, incluindo as últimas atualizações aplicadas a partir do site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416).

  • Todos os servidores no farm têm o Internet Explorer (e as últimas atualizações para esse programa) instaladas no site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x416).

  • O SQL Server 2008 está instalado e em execução no computador host SQL, e o serviço SQL Server está sendo executado como a conta mydomain\sqlsvc. Uma instância padrão do SQL Server está instalada e escutando na porta TCP 1433.

  • O usuário Executar como do Assistente de Configuração de Produtos do SharePoint foi adicionado:

    • Como Logon do SQL no host SQL.

    • À função DBCreators do SQL Server no host SQL.

    • À função Administradores de Segurança do SQL Server no host SQL.

Configurar a autenticação Kerberos para comunicações SQL

Configure a autenticação Kerberos para comunicações SQL antes de instalar e configurar o SharePoint Foundation 2010 nos servidores em executam o SharePoint Foundation 2010. Isso é necessário porque a autenticação Kerberos para comunicações SQL precisa ser configurada e ter o seu funcionamento confirmado para que os computadores que executam o SharePoint Foundation 2010 possam se conectar ao SQL Server.

O processo de configurar a autenticação Kerberos para qualquer serviço instalado em um computador host que execute o Windows Server 2008 inclui a criação de um SPN para a conta de domínio usada para executar o serviço no host. SPNs são formados pelas seguintes partes:

  • Um Nome de Serviço (por exemplo, MSSQLSvc ou HTTP)

  • Um nome de host (real ou virtual)

  • Um número de porta

A lista a seguir contém exemplos de SPNs para uma instância padrão do SQL Server em execução em um computador chamado wsssql e que escuta na porta 1433:

  • MSSQLSvc/wsssql:1433

  • MSSQLSvc/wsssql.mydomain.com:1433

Esses são os SPNs que você criará para a instância do SQL Server no host SQL que será usado pelo farm descrito neste artigo. Você sempre deve criar SPNs que tenham um nome NetBIOS e um nome DNS completo para um host na rede.

Há métodos diferentes que você pode usar para definir um SPN para uma conta no domínio do Active Directory. Um deles é usar o utilitário SETSPN.EXE, que faz parte das ferramentas do kit de recursos para o Windows Server 2008. Outro método é usar o snap-in ADSIEDIT.MSC no controlador de domínio do Active Directory. Este artigo aborda o uso do snap-in ADSIEDIT.MSC.

Há duas etapas principais para a configuração da autenticação Kerberos para o SQL Server:

  • Crie SPNs para a sua conta de serviço do SQL Server.

  • Confirme se a autenticação Kerberos é usada para conectar servidores que executam o SharePoint Foundation 2010 a servidores que executam o SQL Server.

Criar os SPNs para a sua conta de serviço do SQL Server

  1. Faça logon no controlador de domínio do Active Directory usando as credenciais de um usuário que tenha permissões administrativas de domínio.

  2. Na caixa de diálogo Executar, digite ADSIEDIT.MSC.

  3. Na caixa de diálogo Console de Gerenciamento, expanda a pasta Contêiner de Domínio.

  4. Expanda a pasta Contêiner que contém as contas dos usuários, por exemplo, CN=Users.

  5. Localize o contêiner da conta Serviço SQL Server; por exemplo, CN=wsssqlsvc.

  6. Clique com o botão direito do mouse nessa conta e clique em Propriedades.

  7. Percorra a lista de propriedades na caixa de diálogo Conta de serviço do SQL Server até encontrar servicePrincipalName.

  8. Selecione a propriedade servicePrincipalName e clique em Editar.

  9. No campo Valor a Adicionar, na caixa de diálogo Editor de Cadeia de Caracteres com Valores Múltiplos, digite o SPN MSSQLSvc/wsssql:1433 e clique em Adicionar. Em seguida, digite o SPN MSSQLSvc/wsssql.mydomain.com:1433 nesse campo e clique em Adicionar.

  10. Clique em OK na caixa de diálogo Editor de Cadeia de Caracteres com Valores Múltiplos e clique em OK na caixa de diálogo Propriedades da conta de serviço do SQL Server.

Confirme se a autenticação Kerberos é usada para conectar servidores que executam o SharePoint Foundation 2010 ao SQL Server

Instale as Ferramentas de Cliente SQL em um dos servidores que executam o SharePoint Foundation 2010 e use as ferramentas para se conectar a partir do servidor que executa o SharePoint Foundation 2010 aos servidores que executam o SQL Server. Esse artigo não aborda as etapas de instalação das Ferramentas de Cliente SQL em um dos servidores que executam o SharePoint Foundation 2010. Os procedimentos de confirmação se baseiam nas seguintes suposições:

  • Você está usando o SQL Server 2008 no host SQL.

  • Você se conectou a um dos servidores que executam o SharePoint Foundation 2010 usando a conta mydomain\pscexec e instalou as Ferramentas de Cliente SQL 2005 no servidor que executa o SharePoint Foundation 2010.

  1. Execute o SQL Server 2005 Management Studio.

  2. Quando a caixa de diálogo Conectar ao Servidor for exibida, digite o nome do computador host do SQL (neste exemplo, esse computador é wsssql) e clique em Conectar para se conectar ao computador host do SQL.

  3. Para confirmar se a autenticação Kerberos foi usada para essa conexão, execute o visualizador de eventos no computador host SQL e examine o log de eventos de Segurança. Você deve ver um registro de Auditoria com Êxito para um evento de categoria de Logon/Logoff semelhante aos dados mostrados nas seguintes tabelas:

    Tipo de Evento

    Auditoria com Êxito

    Origem do Evento

    Segurança

    Categoria do Evento

    Logon/Logoff

    ID do Evento

    540

    Data

    31.10.07

    Hora

    16:12:24

    Usuário

    MYDOMAIN\pscexec

    Computador

    WSSQL

    Descrição

    Um exemplo de um logon de rede bem-sucedido está descrito na tabela a seguir.

    Nome do Usuário

    pscexec

    Domínio

    MYDOMAIN

    ID de Logon

    (0x0,0x6F1AC9)

    Tipo de Logon

    3

    Processo de Logon

    Kerberos

    Nome da Estação de Trabalho

    GUID de Logon

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    Nome do Usuário Chamador

    Domínio do Chamador

    ID de Logon do Chamador

    ID de Processo do Chamador

    Serviços Transitados

    Endereço de Rede de Origem

    192.168.100.100

    Porta de Origem

    2465

Examine a entrada de log para confirmar se:

  1. O nome do usuário está correto. A conta mydomain\pscexec foi conectada pela rede ao host SQL.

  2. O tipo de logon é 3. Um logon do tipo 3 é um logon de rede.

  3. O processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma se o servidor que executa o SharePoint Foundation 2010 está usando a autenticação Kerberos para se comunicar com o host SQL.

  4. O Endereço de Rede de Origem corresponde ao endereço IP do computador a partir do qual a conexão foi feita.

Se a sua conexão com o host SQL falhar com uma mensagem de erro semelhante a Não é possível gerar contexto SSPI, é provável que haja um problema com o SPN usado para a sua instância do SQL Server. Para solucionar o problema e corrigir isso, consulte o artigo sobre como solucionar a mensagem de erro "Não é possível gerar contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x416), na Base de Dados de Conhecimento Microsoft.

Criar nomes da entidade de serviço para os aplicativos Web usando a autenticação Kerberos

No que diz respeito à autenticação Kerberos, não há nada de especial em relação aos aplicativos Web do SharePoint Foundation 2010 baseados no IIS: a autenticação Kerberos trata esses aplicativos como qualquer outro site do IIS.

Esse processo requer conhecimento dos seguintes itens:

  • A Classe de Serviço do SPN (no contexto desse artigo, para aplicativos Web do SharePoint Foundation 2010, essa classe é sempre HTTP).

  • A URL de todos os aplicativos Web do SharePoint Foundation 2010 que usam a autenticação Kerberos.

  • A parte do nome de host do SPN (real ou virtual; este artigo aborda as duas opções).

  • A parte do número de porta do SPN (no cenário descrito neste artigo, são usados aplicativos Web do SharePoint Foundation 2010 baseados na porta do IIS e no cabeçalho de host).

  • As contas do Windows Active Directory para as quais é necessário criar SPNs.

A tabela a seguir lista as informações do cenário descrito neste artigo:

URL Conta do Active Directory SPN

http://wssadmin.mydomain.net:10000

wssfarmadmin

  • HTTP/wssadmin.mydomain.net:10000

  • HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

Observações sobre esta tabela:

  • A primeira URL listada acima é da Administração Central e usa um número de porta. Você não precisa usar a porta 10000. Este é apenas um exemplo utilizado para manter a consistência neste artigo.

  • As duas URLs seguintes destinam-se ao site do portal e ao Meu Site, respectivamente.

Use as diretrizes fornecidas acima para criar os SPNs necessários no AD DS para dar suporte à autenticação Kerberos para seus aplicativos Web do SharePoint Foundation 2010. Você precisa fazer logon em um controlador de domínio no seu ambiente usando uma conta que tenha permissões administrativas de domínio. Para criar os SPNs, use o utilitário SETSPN.EXE ou o snap-in ADSIEDIT.MSC mencionados antes. Se estiver usando o snap-in ADSIEDIT.MSC, consulte as instruções fornecidas anteriormente neste artigo sobre a criação de SPNs. Certifique-se de criar os SPNs corretos para as contas certas no AD DS.

Implantar o farm de servidores

A implantação do farm de servidores inclui as seguintes etapas:

  1. Instale o SharePoint Foundation 2010 em todos os servidores que executam o SharePoint Foundation 2010.

  2. Execute o Assistente de Configuração de Produtos do SharePoint e crie um novo farm. Essa etapa inclui a criação de um aplicativo Web da Administração Central do SharePoint Foundation 2010 que será hospedado em um servidor virtual do IIS associado a uma porta não padrão e que usará a autenticação Kerberos.

  3. Execute o Assistente de Configuração de Produtos do SharePoint e ingresse os outros servidores no farm.

  4. Configure Serviços nos Servidores do farm para:

    • Serviço de Pesquisa do SharePoint Foundation 2010

    • Indexação de Pesquisa do SharePoint Foundation 2010

    • Consulta de Pesquisa do SharePoint Foundation 2010

  5. Crie aplicativos Web que sejam usados para o site de portal e Meu Site, usando a autenticação Kerberos.

  6. Crie um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site de portal.

  7. Confirme o acesso bem-sucedido aos aplicativos Web usando a autenticação Kerberos.

  8. Confirme a funcionalidade de Indexação de Pesquisa correta.

  9. Confirme a funcionalidade de Consulta de Pesquisa correta.

Instalar o SharePoint Foundation 2010 em todos os servidores

Este é o processo direto de execução da configuração do SharePoint Foundation 2010 para instalar os binários do SharePoint Foundation 2010 nos servidores que executam o SharePoint Foundation 2010. Faça logon em todos os computadores que executam o SharePoint Foundation 2010 usando a conta mydomain\pscexec. Nenhuma instrução passo a passo é fornecida para isso. Para o cenário descrito neste artigo, execute uma instalação Completa do SharePoint Foundation 2010 em todos os servidores que exijam o SharePoint Foundation 2010.

Criar um novo farm

Para o cenário descrito neste artigo, primeiro execute o Assistente de Configuração de Produtos do SharePoint no servidor de Indexação de Pesquisa, WSSADMIN, para que o WSSADMIN hospede o aplicativo Web da Administração Central no SharePoint Foundation 2010.

No servidor chamado WSSCRAWL, quando a instalação estiver concluída, uma caixa de diálogo Instalação Concluída será apresentada, contendo uma caixa de seleção marcada para executar o Assistente de Configuração de Produtos do SharePoint. Mantenha a caixa de seleção marcada e feche a caixa de diálogo de instalação para poder executar o Assistente de Configuração de Produtos do SharePoint.

Ao executar o Assistente de Configuração de Produtos do SharePoint neste computador, siga estas etapas para criar um novo farm:

  • Forneça o nome do servidor de banco de dados (neste artigo, este é o servidor chamado WSSSQL).

  • Forneça um nome de banco de dados de configuração (você pode usar o padrão ou estipular um nome de sua escolha).

  • Forneça as informações da conta (administrador de farm) de acesso ao banco de dados. Usando o cenário deste artigo, essa conta é a mydomain\wssfarmadmin.

  • Forneça as informações necessárias para o aplicativo Web da Administração Central do SharePoint Foundation 2010. Usando o cenário neste artigo, essas informações são as seguintes:

    • Número de porta do aplicativo Web da Administração Central: 10000

    • Método de autenticação: Negociar

Depois que você fornecer todas as informações necessárias, o Assistente de Configuração de Produtos do SharePoint será concluído com êxito. Se esse for o caso, confirme se você pode acessar a home page do aplicativo Web da Administração Central do SharePoint Foundation 2010 usando a autenticação Kerberos. Para fazer isso, siga estas etapas:

  1. Faça logon em um servidor diferente que execute o SharePoint Foundation 2010 ou em outro computador do domínio mydomain como mydomain\pscexec. Você não deve verificar o comportamento de autenticação Kerberos correto diretamente no computador que hospeda o aplicativo Web da Administração Central do SharePoint Foundation 2010. Isso deve ser feito em outro computador do domínio.

  2. Inicie o Internet Explorer nesse servidor e tente ir até a URL: http://wssadmin.mydomain.net:10000. A home page da Administração Central será renderizada.

  3. Para confirmar se a autenticação Kerberos foi usada para acessar a Administração Central, volte ao computador chamado WSSADMIN, execute o visualizador de eventos e examine o log de segurança. Você verá um registro Auditoria de Êxitos, cuja aparência é similar à seguinte tabela:

    Tipo de Evento

    Auditoria com Êxito

    Origem do Evento

    Segurança

    Categoria do Evento

    Logon/Logoff

    ID do Evento

    540

    Data

    01.11.07

    Hora

    14:22:20

    Usuário

    MYDOMAIN\pscexec

    Computador

    WSSADMIN

    Descrição

    Um exemplo de um logon de rede bem-sucedido está descrito na tabela a seguir.

    Nome do Usuário

    pscexec

    Domínio

    MYDOMAIN

    ID de Logon

    (0x0,0x1D339D3)

    Tipo de Logon

    3

    Processo de Logon

    Kerberos

    Pacote de Autenticação

    Kerberos

    Nome da Estação de Trabalho

    GUID de Logon

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    Nome do Usuário Chamador

    Domínio do Chamador

    ID de Logon do Chamador

    ID de Processo do Chamador

    Serviços Transitados

    Endereço de Rede de Origem

    192.168.100.100

    Porta de Origem

    2505

O exame desse registro de log mostra o mesmo tipo de informação da entrada de log anterior:

  • Confirme se o nome do usuário está correto; trata-se da conta mydomain\pscexec conectada pela rede ao servidor que executa o SharePoint Foundation 2010 e que está hospedando a Administração Central.

  • Confirme se o tipo de logon é 3; um tipo de logon 3 é um logon de rede.

  • Confirme se o processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma se a autenticação Kerberos está sendo usada para acessar o aplicativo Web da Administração Central.

  • Confirme se o Endereço de Rede de Origem corresponde ao endereço IP do computador a partir do qual a conexão foi feita.

Se a home page da Administração Central não for renderizada e uma mensagem de erro não autorizado for exibida, significa que a autenticação Kerberos está falhando. Em geral, há apenas duas causas para essa falha:

  • O SPN do AD DS não foi registrado para a conta correta. Ele deveria ter sido registrado para mydomain\wssfarmadmin.

  • O SPN no AD DS não corresponde ao SPN que está sendo criado pelo Internet Explorer ou é inválido de alguma forma. Talvez você tenha omitido o número de porta do SPN registrado no AD DS. Verifique se essa informação está correta e se a Administração Central está funcionando, usando a autenticação Kerberos, antes de continuar.

Observação

Um auxiliar de diagnóstico que você pode usar para verificar o que está acontecendo na rede é um sniffer (farejador) de rede, como o Microsoft Network Monitor, para criar um rastreamento durante a navegação para a Administração Central. Após a falha, examine o rastreamento e procure pacotes do Protocolo KerberosV5. Encontre um pacote com um SPN criado pelo Internet Explorer. Se o SPN no rastreamento parecer correto, significa que o SPN no AD DS é inválido ou foi registrado para a conta errada.

Ingresse os outros servidores no farm

Agora que o farm foi criado e você pode acessar com êxito a Administração Central usando a autenticação Kerberos, é necessário executar o Assistente de Configuração de Produtos do SharePoint e ingressar os outros servidores no farm.

Em cada um dos quatro servidores que executam o SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery e wsscrawl), a instalação do SharePoint Foundation 2010 deve estar concluída, e a caixa de diálogo de conclusão da instalação deve ser apresentada com a caixa de seleção Assistente de Configuração de Produtos do SharePoint marcada. Mantenha a caixa de seleção marcada e feche a caixa de diálogo de conclusão da instalação para poder executar o Assistente de Configuração de Produtos do SharePoint. Execute o procedimento para ingressar cada um desses servidores no farm.

Depois de concluir o Assistente de Configuração de Produtos do SharePoint em cada servidor adicionado ao farm, verifique se cada um deles pode renderizar a Administração Central que está em execução no servidor WSSADMIN. Se algum deles não conseguir renderizar a Administração Central, tome as providências necessárias para resolver o problema antes de continuar.

Configurar serviços nos servidores do farm

Configure serviços específicos do SharePoint Foundation 2010 para execução em servidores específicos que executem o SharePoint Foundation 2010 no farm, usando as contas indicadas nas próximas seções.

Observação

Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.

Acesse a Administração Central e execute as seguintes etapas para configurar os serviços nos servidores indicados, usando as contas especificadas.

Pesquisa do Windows SharePoint Services

Na página Serviços no Servidor da Administração Central:

  1. Selecione o servidor WSSQUERY.

  2. Na lista de serviços exibida, próximo ao meio da página, localize o serviço de Pesquisa do SharePoint Foundation 2010 e clique em Iniciar na coluna Ação.

  3. Na página seguinte, forneça as credenciais da conta do serviço de pesquisa do SharePoint Foundation 2010 e da conta de Acesso ao Conteúdo do SharePoint Foundation 2010. No cenário deste artigo, a conta do serviço de pesquisa do SharePoint Foundation 2010 é mydomain\wsssearch, e a conta de acesso ao conteúdo do SharePoint Foundation 2010 é mydomain\wsscrawl. Digite os nomes das contas e as senhas nos locais apropriados na página e clique em Iniciar.

Servidor de indexação

Na página Serviços no Servidor da Administração Central:

  1. Selecione o servidor WSSCRAWL.

  2. Na lista de serviços exibida, próximo ao meio da página, localize o serviço de Pesquisa do SharePoint Foundation 2010 e clique em Iniciar na coluna Ação.

Na página subsequente, marque a caixa de seleção Use este servidor para indexação de conteúdo e depois forneça as credenciais da conta de serviço de pesquisa do SharePoint Foundation 2010. No cenário deste artigo, a conta de serviço de pesquisa do SharePoint Foundation 2010 é mydomain\wsssearch. Digite os nomes das contas e as senhas nos locais apropriados na página e clique em Iniciar.

Servidor de consulta

Na página Serviços no Servidor da Administração Central:

  1. Selecione o servidor WSSQUERY.

  2. Na lista de serviços exibida, próximo ao meio da página, localize o serviço de Pesquisa do SharePoint Foundation 2010 e clique no nome do serviço na coluna Serviço.

Na página seguinte, marque a caixa de seleção Usar este servidor para fazer consultas de pesquisa e clique em OK.

Criar aplicativos Web usando a autenticação Kerberos

Nesta seção, crie aplicativos Web usados para o site de portal e um Meu Site no farm.

Observação

Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.

Criar o aplicativo Web do site de portal

  1. Na página Gerenciamento de Aplicativos na Administração Central, clique em Criar ou estender aplicativo Web.

  2. Na página seguinte, clique em Criar um novo aplicativo Web.

  3. Na página seguinte, verifique se a opção Criar um novo site do IIS está selecionada.

    • No campo Descrição, digite PortalSite.

    • No campo Porta, digite 80.

    • No campo Cabeçalho de Host, digite kerbportal.mydomain.net.

  4. Verifique se a opção Negociar está selecionada como o provedor de autenticação desse aplicativo Web.

  5. Crie esse aplicativo Web na zona Padrão. Não modifique a zona desse aplicativo Web.

  6. Verifique se a opção Criar novo pool de aplicativos está selecionada.

    • No campo Nome do Pool de Aplicativos, digite PortalAppPool.

    • Verifique se a opção Configurável está selecionada. No campo Nome de usuário, digite a conta mydomain\portalpool.

  7. Clique em OK.

  8. Confirme se o aplicativo Web foi criado com êxito.

Observação

Se você quiser usar uma conexão SSL e associar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você deve instalar um certificado SSL curinga. Ao usar uma associação de cabeçalho de host do IIS em um site do IIS configurado para SSL, você deve usar um certificado SSL curinga. Para obter mais informações sobre cabeçalhos de host SSL no IIS, consulte o artigo sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416).

Criar o aplicativo Web Meu Site

  1. Na página Gerenciamento de Aplicativos na Administração Central, clique em Criar ou estender aplicativo Web.

  2. Na página seguinte, clique em Criar um novo aplicativo Web.

  3. Na página seguinte, verifique se a opção Criar um novo site do IIS está selecionada.

    • No campo Descrição, digite MySite.

    • No campo Porta, digite 80.

    • No campo Cabeçalho de Host, digite kerbmysite.mydomain.net.

  4. Verifique se a opção Negociar está selecionada como o provedor de autenticação desse aplicativo Web.

  5. Crie esse aplicativo Web na zona Padrão. Não modifique a zona desse aplicativo Web.

  6. Verifique se a opção Criar novo pool de aplicativos está selecionada.

    • No campo Nome do Pool de Aplicativos, digite MySiteAppPool.

    • Verifique se a opção Configurável está selecionada. No campo Nome de usuário, digite a conta mydomain\mysitepool.

  7. Clique em OK.

  8. Confirme se o aplicativo Web foi criado com êxito.

Observação

Se você quiser usar uma conexão SSL e associar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você deve instalar um certificado SSL curinga. Ao usar uma associação de cabeçalho de host do IIS em um site do IIS configurado para SSL, você deve usar um certificado SSL curinga. Para obter mais informações sobre cabeçalhos de host SSL no IIS, consulte o artigo sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416).

Criar um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site de portal

Nesta seção, você cria um conjunto de sites no site de portal do aplicativo Web que criou para esse propósito.

Observação

Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.

  1. Na página Gerenciamento de Aplicativos da Administração Central, clique em Criar conjunto de sites.

  2. Na página seguinte, selecione o aplicativo Web correto. Para o exemplo neste artigo, selecione http://kerbportal.mydomain.net.

  3. Forneça o título e a descrição que você deseja usar para esse conjunto de sites.

  4. Deixe o endereço do site inalterado.

  5. Na seção Seleção de Modelo, em Selecionar um Modelo, clique na guia Publicação e selecione o modelo Portal de Colaboração.

  6. Na seção Administrador Principal do Conjunto de Sites, digite mydomain\pscexec.

  7. Especifique o Administrador do Conjunto de Sites Secundário que você deseja usar.

  8. Clique em OK.

  9. Confirme se o conjunto de sites do portal foi criado com êxito.

Confirmar o acesso bem-sucedido aos aplicativos Web usando a autenticação Kerberos

Confirme se a autenticação Kerberos está funcionando para os aplicativos Web recém-criados. Comece com o site de portal.

Para fazer isso, siga estas etapas:

  1. Faça logon em um servidor que executa o SharePoint Foundation 2010, em vez de em um dos dois servidores Web front-end configurados para NLB como mydomain\pscexec. Você não deve verificar o comportamento da autenticação Kerberos correto diretamente em um dos computadores que hospedam sites com balanceamento de carga usando a autenticação Kerberos. Isso deve ser feito em outro computador do domínio.

  2. Inicie o Internet Explorer nesse outro sistema e tente acessar a seguinte URL: http://kerbportal.mydomain.net.

A home page do site do portal com autenticação Kerberos deve ser renderizada.

Para confirmar se a autenticação Kerberos foi usada para acessar o site de portal, acesse um dos servidores Web front-end com balanceamento de carga, execute o visualizador de eventos e examine o log de segurança. Você deverá ver um registro de Auditoria com Êxito, semelhante à tabela a seguir, em um dos servidores Web front-end. Observe que talvez seja necessário examinar os dois servidores Web front-end antes de encontrar essas informações, dependendo do sistema que administrou a solicitação de balanceamento de carga.

Tipo de Evento

Auditoria com Êxito

Origem do Evento

Segurança

Categoria do Evento

Logon/Logoff

ID do Evento

540

Data

01.11.07

Hora

17:08:20

Usuário

MYDOMAIN\pscexec

Computador

wssfe1

Descrição

Um exemplo de um logon de rede bem-sucedido está descrito na tabela a seguir.

Nome do Usuário

pscexec

Domínio

MYDOMAIN

ID de Logon

(0x0,0x1D339D3)

Tipo de Logon

3

Processo de Logon

Autenticação Kerberos

Nome da Estação de Trabalho

GUID de Logon

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Nome do Usuário Chamador

Domínio do Chamador

ID de Logon do Chamador

ID de Processo do Chamador

Serviços Transitados

Endereço de Rede de Origem

192.168.100.100

Porta de Origem

2505

O exame desse registro de log mostra o mesmo tipo de informação da entrada de log anterior:

  • Confirme se o nome do usuário está correto; trata-se da conta mydomain\pscexec conectada pela rede ao servidor Web front-end que executa o SharePoint Foundation 2010 e que está hospedando o site de portal.

  • Confirme se o tipo de logon é 3; um tipo de logon 3 é um logon de rede.

  • Confirme se o processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma se a autenticação Kerberos está sendo usada para acessar o site de portal.

  • Confirme se o Endereço de Rede de Origem corresponde ao endereço IP do computador a partir do qual a conexão foi feita.

Se a home page do site de portal não for renderizada e exibir uma mensagem de erro “não autorizado”, significa que a autenticação Kerberos está falhando. Em geral, há apenas algumas causas para isso:

  • O SPN no AD DS não foi registrado para a conta correta. Ele deveria ter sido registrado para mydomain\portalpool, para o aplicativo Web do site de portal.

  • O SPN no AD DS não corresponde ao SPN que está sendo criado pelo Internet Explorer ou é inválido por outro motivo. Nesse caso, como você está usando cabeçalhos de host do IIS sem explicitar números de porta, o SPN registrado no AD DS é diferente do cabeçalho de host do IIS especificado quando você estendeu o aplicativo Web. É necessário corrigir isso para fazer a autenticação Kerberos funcionar.

Observação

Um auxiliar de diagnóstico que você pode usar para verificar o que está acontecendo na rede é um sniffer (farejador) de rede, como o Microsoft Network Monitor, para criar um rastreamento durante a navegação para a Administração Central. Após a falha, examine o rastreamento e procure pacotes do Protocolo KerberosV5. Você deverá encontrar um pacote com um SPN criado pelo Internet Explorer. Se o SPN no rastreamento parecer correto, significa que o SPN no AD DS é inválido ou foi registrado para a conta errada.

Quando a autenticação Kerberos estiver funcionando no site de portal, acesse Meu Site com autenticação Kerberos, usando a seguinte URL:

Observação

Na primeira vez que você acessar a URL de Meu Site, será necessário algum tempo para que o SharePoint Foundation 2010 crie um Meu Site para o usuário conectado. No entanto, essa operação será bem-sucedida, e a página Meu Site do usuário será renderizada.

Isso deve funcionar corretamente. Se isso não acontecer, consulte as etapas de solução de problemas anterior.

Confirmar a funcionalidade de Indexação de Pesquisa correta

Confirme se a Indexação de Pesquisa está rastreando com êxito o conteúdo hospedado nesse farm. Essa é a etapa que você deve executar antes de confirmar os resultados da consulta de Pesquisa para os usuários que acessam os sites usando a autenticação Kerberos.

Observação

Esta seção não fornece uma descrição detalhada da interface do usuário. Somente instruções de genéricas são fornecidas. Você deve estar familiarizado com a Administração Central e o modo como executar as etapas necessárias antes de continuar.
Para confirmar a funcionalidade de Índice de Pesquisa, acesse um aplicativo Web e inicie um rastreamento completo. Aguarde a conclusão do rastreamento. Se essa operação falhar, investigue e corrija a falha e execute um rastreamento completo. Se o rastreamento falhar com erros do tipo "acesso negado", significa que a conta de rastreamento não tem acesso às fontes de conteúdo ou que a autenticação Kerberos falhou. Qualquer que seja a causa, esse erro deve ser corrigido antes de se prosseguir para as etapas seguintes.

Você deve concluir um rastreamento completo dos aplicativos Web com autenticação Kerberos antes de continuar.

Confirmar a funcionalidade de Consulta de Pesquisa correta

Para confirmar se a Consulta de Pesquisa retorna resultados para os usuários que acessam o site de portal que utiliza a autenticação Kerberos:

  1. Inicie o Internet Explorer em um sistema em mydomain.net e acesse http://kerbportal.mydomain.net.

  2. Quando a home page do site de portal for renderizada, digite uma palavra-chave de pesquisa no campo Pesquisar e pressione ENTER.

  3. Confirme se os resultados da Consulta de Pesquisa são retornados. Se não forem, confirme se a palavra-chave inserida é válida na sua implantação, se a Indexação de Pesquisa está sendo executada corretamente, se o serviço de Pesquisa está sendo executado nos servidores de Indexação de Pesquisa e de Consulta de Pesquisa e se não há problemas com a propagação de pesquisa do seu servidor de Indexação de Pesquisa para o servidor de Consulta de Pesquisa.

Limitações de configuração

A parte do nome de host dos SPNs com novo formato (que são criados) corresponde ao nome do NetBIOS do host que executa o serviço; por exemplo: MSSP/kerbtest4:56738/SSP1. Isso ocorre porque os nomes de host são buscados no banco de dados de configuração do SharePoint Foundation 2010 e somente os nomes de computador do NetBIOS são armazenados nesse banco de dados do SharePoint Foundation 2010. Em alguns cenários, isso pode ser ambíguo.

Recursos adicionais e diretrizes para a solução de problemas

Produto/tecnologia Recurso

SQL Server

Artigo sobre como assegurar que você esteja usando a autenticação Kerberos ao criar uma conexão remota com uma instância do SQL Server 2005 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x416)

SQL Server

Artigo sobre como solucionar a mensagem de erro "Não é possível gerar contexto SSPI" (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x416)

.NET Framework

Artigo sobre a propriedade AuthenticationManager.CustomTargetNameDictionary (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x416)

Internet Explorer

Artigo sobre a Mensagem de erro no Internet Explorer quando você tenta acessar um site que requer a autenticação Kerberos em um computador com Windows XP: "Erro HTTP 401 - Não autorizado: acesso negado devido a credenciais inválidas" (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x416)

Autenticação Kerberos

Artigo de referência técnica da autenticação Kerberos (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x416)

Autenticação Kerberos

Artigo sobre solução de problemas para erros Kerberos (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x416)

Autenticação Kerberos

Artigo sobre a transição do protocolo Kerberos e delegação restrita (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x416)

IIS

Artigo sobre como configurar cabeçalhos de host SSL (IIS 6.0) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x416)