Планирование Office Online Server
Сводка. В этой статье рассматриваются требования, предъявляемые сервером Office Online Server, такие как протокол HTTPS, сертификаты, виртуализация, балансировка нагрузки, топологии и безопасность.
Аудитория: ИТ-специалисты
Office Online Server предоставляет браузерные версии приложений Office в локальной среде, предоставляя пользователям большую гибкость и возможности для совместной работы. В этой статье описаны требования и действия, необходимые для установки Office Online Server в организации.
Очень важно тщательно разработать план, чтобы все узлы, такие как SharePoint Server и Exchange Server, могли взаимодействовать с Office Online Server.
Проверьте Office Online Server списке совместимости версий, чтобы убедиться, что узлы совместимы.
Требования сервера Office Online Server к программному обеспечению, оборудованию и конфигурации
Вы можете установить Office Online Server как ферму с одним сервером или как многосерверную ферму с балансировкой нагрузки. Можно использовать физические серверы или виртуальные машины.
В средах, содержащих фактические данные пользователя, мы всегда рекомендуем использовать ПРОТОКОЛ HTTPS, для которого необходимо получить сертификат. Если в ферме используется несколько серверов, необходимо настроить аппаратное или программное решение для балансировки нагрузки. В следующих разделах описываются предварительные требования для этих сценариев.
Требования сервера Office Online Server к оборудованию
Office Online Server использует те же минимальные требования к оборудованию, что и SharePoint Server 2016.
Операционные системы, поддерживаемые сервером Office Online Server
Office Online Server может работать в следующих операционных системах:
64-разрядный выпуск Windows Server 2012 R2
64-разрядный выпуск Windows Server 2016 (требуется Office Online Server ноября 2018 г. или более поздней версии).
64-разрядная версия Windows Server 2019 (требуется исправление Office Online Server июля 2021 г. или более поздней версии).
64-разрядная версия Windows Server 2022 (требуется исправление Office Online Server ноября 2021 г. или более поздней версии).
Примечание.
Office Online Server поддерживает только вариант установки "Сервер с возможностями рабочего стола" для Windows Server 2016, Windows Server 2019 и Windows Server 2022. Дополнительную информацию о предложениях Windows Server см. в статье Обзор Semi-Annual Channel для Windows Server.
Требования сервера Office Online Server к домену
Все серверы в ферме Office Online Server должны быть частью домена. Они могут находиться в одном и том же домене (рекомендуется) или в доменах одного и того же леса.
Если вы планируете использовать какие-либо функции Excel Online, использующие доступ к внешним данным (например, модели данных, Power Pivot или Power View), Office Online Server должен находиться в одном лесу Active Directory с его пользователями, а также любыми источниками внешних данных, к которым вы планируете получить доступ с использованием проверки подлинности Windows.
Требования к расписанию поддержки и обновлению
Корпорация Майкрософт выпускает новую сборку Office Online Server каждые шесть месяцев или более. После выпуска новой сборки критические обновления для предыдущей сборки больше не создаются. Мы настоятельно рекомендуем обновить ферму Office Online Server по мере выпуска новых сборок. Дополнительные сведения см. в разделе расписание выпуска Office Online Server.
Совместимость с другими рабочими нагрузками и службами
Ниже приведены некоторые замечания, которые следует учитывать при установке Office Online Server.
Не устанавливайте другие серверные приложения на сервере, на котором выполняется Office Online Server. Сюда входят Exchange Server, SharePoint Server, Skype для бизнеса Server и SQL Server. Если у вас не хватает серверов, попробуйте запустить Office Online Server на виртуальной машине на одном из серверов.
Не устанавливайте службы или роли, зависящие от роли веб-сервера IIS, в порт 80, 443 или 809, так как Office Online Server регулярно удаляет веб-приложения, расположенные в этих портах.
Не устанавливайте версию Office. Если он уже установлен, его необходимо удалить перед установкой Office Online Server.
Не устанавливайте Office Online Server на контроллере домена. Он не будет выполняться на сервере с доменные службы Active Directory (AD DS).
Поддержка виртуализации на сервере Office Online Server
Office Online Server поддерживается при развертывании с помощью Windows Server Hyper-V или другой технологии виртуализации в локальном центре обработки данных. Если вы планируете виртуализировать Office Online Server, следуйте приведенным ниже рекомендациям.
Установите Office Online Server на собственной виртуальной машине. Не устанавливайте на этой виртуальной машине другие серверные приложения, например SharePoint Server.
При использовании Hyper-V для ферм с несколькими серверами Office Online Server каждая виртуальная машина должна находиться на отдельном узле виртуальной машины. Таким образом, ферма Office Online Server по-прежнему будет доступна в случае сбоя одного из узлов.
Требования сервера Office Online Server к брандмауэру
Брандмауэры могут вызвать проблемы, блокируя обмен данными между веб-браузером, серверами, на которые выполняются Office Online Server, и серверами с SharePoint Server. Это доставляет особые проблемы, когда данные серверы размещены в разных сегментах сети.
Убедитесь, что брандмауэр не блокирует следующие порты на сервере с Office Online Server или в подсистеме балансировки нагрузки:
порт 443 для трафика HTTPS;
порт 80 для трафика HTTP;
порт 809 для закрытого трафика между серверами с Office Online Server в ферме с несколькими серверами.
Требования сервера Office Online Server к подсистеме балансировки нагрузки
Мы рекомендуем использовать решение для балансировки нагрузки при запуске Office Online Server на двух или более серверах. Будет работать любое решение балансировки нагрузки, в том числе сервер, на котором выполняется роль веб-сервера (IIS), выполняющая маршрутизацию запросов приложений (ARR). Фактически вы можете запустить ARR на одном из серверов, на котором выполняется Office Online Server.
В идеальном случае выбранное вами решение для балансировки нагрузки должно поддерживать следующие функции:
маршрутизация уровня 7;
поддержка сходства клиентов и интерфейсных компонентов.
Если вы используете подсистему балансировки нагрузки, необходимо установить сертификат в подсистему балансировки нагрузки, как описано в разделе Защита Office Online Server связи с помощью ПРОТОКОЛА HTTPS .
Требования сервера Office Online Server к службе доменных имен
В средах с протоколом HTTPS и балансировкой нагрузки вам необходимо настроить службу доменных имен на сопоставление полного доменного имени сертификата с IP-адресом сервера с Office Online Server или IP-адресом, назначенным подсистеме балансировки нагрузки в ферме Office Online Server.
Планирование языковых пакетов для сервера Office Online Server
языковые пакеты Office Online Server позволяют пользователям просматривать веб-файлы Office на нескольких языках из библиотек документов SharePoint Server, Outlook Web App (как предварительные версии вложений) и Skype для бизнеса Server (в виде трансляций PowerPoint). Обратите внимание, что эти возможности зависят от настроенных на узле языков. Чтобы просматривать с помощью браузера файлы Office с узлов на нескольких языках, необходимо соблюдать следующие условия:
Узел (например, SharePoint Server или Exchange Server) настроен для запуска приложений на дополнительных языках. Процесс установки и настройки языковых пакетов на узле не зависит от установки языкового пакета на ферме Office Online Server.
Языки должны быть установлены и доступны на всех серверах в ферме Office Online Server.
Вот где можно скачать языковые пакеты для Office веб-приложения Server.
Планирование топологии для сервера Office Online Server
Как минимум, топология Office Online Server будет включать одну физическую или виртуальную машину под управлением Office Online Server и по крайней мере один узел (например, сервер под управлением Exchange Server или SharePoint Server). И, конечно, вам потребуется клиентский компьютер или устройство, чтобы подключиться к одному из узлов и использовать эту функцию. Благодаря этой минимальной топологии можно добавить дополнительные узлы и серверы в ферму Office Online Server по мере необходимости в соответствии с потребностями вашей организации.
Ниже приведен список рекомендаций на случай, если топология Office Online Server становится более сложной.
Планирование избыточности. Если вы используете виртуальные машины, убедитесь, что они размещены на отдельных узлах виртуальных машин для обеспечения избыточности.
Используйте один центр обработки данных. Серверы в ферме Office Online Server должны находиться в одном центре обработки данных. Не распространяйте их географически. Как правило, требуется только одна ферма, если у вас нет требований безопасности, для которых требуется изолированная сеть с собственной фермой Office Online Server.
Чем ближе узлы друг к другу, тем лучше. Ферма Office Online Server не обязательно должна находиться в том же центре обработки данных, что и узлы, которые она обслуживает, но для интенсивного использования редактирования рекомендуется разместить Office Online Server ферму как можно ближе к узлам. Это менее важно для организаций, которые используют Office Online в основном для просмотра файлов Office.
Спланируйте подключения. Подключите все серверы в ферме Office Online Server только друг к другу. Чтобы подключить их к расширенной сети, используйте брандмауэр подсистемы балансировки нагрузки обратного прокси-сервера.
Настройте брандмауэр для запросов HTTP или HTTPS. Убедитесь, что брандмауэр разрешает серверам под управлением Office Online Server инициировать HTTP- или HTTPS-запросы к узлам.
Спланируйте потоки входящих и исходящих данных. В развертывании для Интернета маршрутизируйте все исходящие данные через устройство NAT. В ферме с несколькими серверами включите обработку всех входящих данных с подсистемой балансировки нагрузки.
Убедитесь, что все серверы в ферме Office Online Server присоединены к домену и входят в одно подразделение. Используйте параметр FarmOU в командлете New-OfficeWebAppsFarm, чтобы запретить другим серверам, не входящим в это подразделение, присоединяться к ферме.
Используйте HTTPS для всех входящих запросов.
Если в вашей сети развернут протокол IPsec, используйте его для шифрования трафика, передаваемого между серверами.
Спланируйте функции Office, для работы которых необходимо подключение к Интернету. Если требуются такие функции, как картинки и службы перевода, а серверы фермы не могут инициировать запросы к Интернету, необходимо настроить прокси-сервер для фермы Office Online Server. Это позволит отправлять запросы внешним сайтам по протоколу HTTP.
Планирование подключения Excel Online к внешним данным
Excel Online включает функции подключения к внешним данным и обновления данных, аналогичные функциям службы Excel в SharePoint Server 2013. службы Excel удален из SharePoint в SharePoint Server 2016. Вместо этого вы используете Excel Online.
Обновление данных для встроенных подключений к данным работает со стандартной установкой Office Online Server. Однако для более сложных функций, включая поддержку файлов подключения к данным Office (ODC) и панель мониторинга управления ИТ(часть SQL Server Power Pivot для SharePoint), необходимо настроить проверку подлинности между Office Online Server и SharePoint Server 2016.
Планирование системы безопасности для сервера Office Online Server
Следующие сведения представляют собой руководство по безопасности для Office Online Server.
Защита данных, передаваемых сервером Office Online Server, с помощью протокола HTTPS
Office Online Server могут взаимодействовать с SharePoint Server, Skype для бизнеса Server и Exchange Server по протоколу HTTPS. Мы настоятельно советуем использовать именно этот протокол в рабочих средах. Необходимо установить сертификат Internet Server, который можно назначить серверу, который выполняется Office Online Server (если используется один сервер) или подсистеме балансировки нагрузки (если используется несколько серверов, на которых выполняется Office Online Server).
В тестовых средах, не содержащих пользовательских данных, можно использовать HTTP для SharePoint Server и Exchange Server и пропустить требование к сертификату. Skype для бизнеса Server поддерживает только ПРОТОКОЛ HTTPS.
Сертификаты, используемые Office Online Server, должны удовлетворять перечисленным ниже требованиям.
Сертификат должен поступать из доверенного центра сертификации и включать полное доменное имя (FQDN) фермы Office Online Server в поле SAN (альтернативное имя субъекта). (Если полное доменное имя отсутствует в san при попытке использовать сертификат, браузер либо отобразит предупреждения системы безопасности, либо не обработает ответ.)
Сертификат должен содержать экспортируемый закрытый ключ. В фермах, состоящих из одного сервера, этот параметр будет выбран по умолчанию, если для импорта сертификата используется оснастка диспетчера Службы IIS.
Поле "Понятное имя" должно содержать значение, уникальное на уровне хранилища доверенных корневых центров сертификации. Если у вас есть несколько сертификатов с общим полем Понятное имя, создание фермы завершится ошибкой, так как командлет New-OfficeWebAppsFarm не будет знать, какой из этих сертификатов следует использовать.
Office Online Server не требует специальных свойств или расширений сертификата. Например, расширения расширенного использования ключей клиента (EKU) или расширения EKU сервера не требуются.
В Windows Server необходимо установить функцию "Разрешить HTTP-активацию" для Windows Communication Foundation (WCF).
Вот как необходимо импортировать сертификат.
Для ферм с одним сервером Необходимо импортировать сертификат непосредственно на сервер, на котором выполняется Office Online Server. Не привязывайте сертификат вручную. Используйте для этой цели командлет New-OfficeWebAppsFarm. Если привязать сертификат вручную, он будет удаляться при каждом перезапуске сервера.
Для ферм с балансировкой нагрузки При разгрузке SSL сертификат должен быть импортирован в аппаратную подсистему балансировки нагрузки. Если вы не разгрузите SSL, необходимо установить сертификат на каждом сервере в ферме Office Online Server.
Примечание.
Не используйте самозаверяющие сертификаты. Их можно использовать только в некритических тестовых средах.
Использование разгрузки SSL для устройств балансировки нагрузки
При настройке новой фермы Office Online Server разгрузка SSL по умолчанию имеет значение Выкл. Если вы используете аппаратную подсистему балансировки нагрузки, рекомендуется установить для разгрузки SSL значение Включено, чтобы каждый Office Online Server в ферме могли взаимодействовать с подсистемой балансировки нагрузки по протоколу HTTP. Настройка разгрузки SSL в положение Включено также обеспечивает следующие преимущества.
Упрощенное управление сертификатами
Усовершенствованное мягкое сходство
Повышенная производительность
Примечание.
При использовании ПРОТОКОЛА HTTP трафик от подсистемы балансировки нагрузки к серверам, на которые выполняются Office Online Server, не шифруется, поэтому необходимо убедиться, что сама сеть безопасна. Чтобы защитить трафик, можно использовать частную подсеть.
Запрет на присоединение серверов к ферме Office Online Server на основании их принадлежности к подразделениям
Вы можете предотвратить присоединение несанкционированных серверов к ферме Office Online Server, создав для них подразделение, а затем указав параметр FarmOU при создании фермы. Дополнительные сведения о параметре FarmOU см. в статье New-OfficeWebAppsFarm.
Ограничение доступа узлов к серверу Office Online Server с помощью списка разрешений
Список разрешений — это функция безопасности, которая предотвращает подключение нежелательных узлов к ферме Office Online Server и использование ее для файловых операций без вашего согласия. Добавив домены, содержащие утвержденные узлы, в список разрешенных узлов можно ограничить узлы, которыми Office Online Server разрешает выполнение запросов на операции с файлами, таких как извлечение файлов, извлечение метаданных и изменение файлов.
Вы можете добавить домены в список разрешений после создания фермы Office Online Server. Дополнительные сведения о добавлении доменов в список разрешенных см. в статье New-OfficeWebAppsHost.
Важно!
Если домены не добавляются в список разрешений, Office Online Server разрешает запросы файлов размещаться в любом домене. Не оставляйте этот список пустым, если к вашей ферме Office Online Server можно получить доступ из Интернета. В противном случае любой пользователь может использовать вашу ферму Office Online Server для просмотра и редактирования содержимого.
Планирование Online Viewers с использованием сервера Office Online Server
По умолчанию функция Online Viewers включена после установки Office Online Server. Ознакомьтесь со следующими рекомендациями, если вы планируете использовать веб-средства просмотра в своей организации. В некоторых случаях может потребоваться отключить некоторые возможности Online Viewers. Эти рекомендации относятся к параметрам, которые задаются с помощью командлетов Microsoft PowerShell New-OfficeWebAppsFarm и Set-OfficeWebAppsFarm.
Рекомендации по обеспечению безопасности для Online Viewers
Файлы, которые предназначены для просмотра в веб-браузере с помощью Online Viewers, не должны требовать проверки подлинности. Другими словами, файлы должны быть общедоступными, так как веб-средства просмотра не могут выполнять проверку подлинности при получении файлов. Настоятельно рекомендуется, чтобы ферма Office Online Server, используемая для веб-зрителей, смогла получить доступ только к интрасети или Интернету, но не к обоим. Это связано с тем, что Office Online Server не различает запросы для URL-адресов интрасети и Интернета. Соответственно, при поступлении из Интернета запроса к URL-адресу в интрасети возможна утечка данных в результате передачи документа для внутреннего пользования сторонним лицам.
По той же причине, если вы настроили Office Online Server для подключения только к Интернету, настоятельно рекомендуется отключить поддержку UNC в online Viewers. Чтобы отключить поддержку UNC, задайте для параметра OpenFromUncEnabled значение False с помощью командлетов Microsoft PowerShell New-OfficeWebAppsFarm (для новых ферм) или Set-OfficeWebAppsFarm (для существующих ферм).
В качестве дополнительных мер безопасности с помощью Online Viewers можно просматривать файлы Office размером не более 10 МБ.
Настройка параметров Online Viewers
Вы можете настроить online Viewers с помощью следующих параметров Microsoft PowerShell в команде New-OfficeWebAppsFarm (для новых ферм) или Set-OfficeWebAppsFarm (для существующих ферм).
OpenFromUrlEnabled Включает или выключает веб-средства просмотра. Этот параметр управляет функцией Online Viewers для файлов с URL-адресами и UNC-путями. По умолчанию этот параметр имеет значение False (отключено) при создании фермы Office Online Server.
OpenFromUncEnabled Если веб-средства просмотра включены (для параметра Значение True с помощью OpenFromUrlEnabled) этот параметр включает или отключает возможность для веб-зрителей отображать файлы в UNC-путях. По умолчанию этот параметр имеет значение True, но перед включением открытия файлов из UNC-путей убедитесь, что параметр OpenFromUrlEnabled также имеет значение True. Как описано ранее, рекомендуется задать для этого параметра значение False, если вы настроили Office Online Server для подключения к Интернету.
OpenFromUrlThrottlingEnabled Регулирует количество запросов "открыть из URL-адреса" с любого сервера за период времени. Значения регулирования по умолчанию, которые не настраиваются, позволяют убедиться, что ферма Office Online Server не перегружает один сервер, отправляя запросы на просмотр содержимого в online viewers.
Планирование обновлений сервера Office Online Server
Перед развертыванием Office Online Server необходимо решить, как ваша организация будет управлять обновлениями программного обеспечения для фермы Office Online Server. Хотя обновления программного обеспечения помогают повысить безопасность, производительность и надежность сервера, неправильное установка обновлений может вызвать проблемы с Office Online Server.
Применение обновлений Office Online Server с помощью процесса автоматического обновления Майкрософт не поддерживается в Office Online Server. Обновления к Office Online Server должны применяться определенным образом, как описано в разделе Применение обновлений программного обеспечения к Office Online Server. Если Office Online Server обновления применяются автоматически, пользователи могут не иметь возможности просматривать или редактировать документы в Office Online. В этом случае необходимо перестроить ферму Office Online Server.
Мы рекомендуем управлять обновлениями с помощью Windows Server Update Services (WSUS) или с помощью Configuration Manager конечной точки Майкрософт, которая использует WSUS. WSUS позволяет полностью управлять распределением обновлений, выпущенных через Центр обновления Майкрософт, для каждого сервера в ферме Office Online Server. С помощью WSUS можно решить, какие обновления можно автоматически применять к ферме серверов, а какие обновления, например обновления Office Online Server, применять вручную. Дополнительные сведения о WSUS см. в разделе Windows Server Update Services.
Если вы не используете WSUS или Microsoft Endpoint Configuration Manager, установите автоматические обновления Майкрософт на каждом сервере фермы Office Online Server значение Автоматически скачивать, но уведомлять пользователя об установке. Когда вы получите уведомление об обновлении Office Online Server, выполните действия, описанные в разделе Применение обновлений программного обеспечения к Office Online Server. Чтобы применить обновления Windows и обеспечить безопасность серверов, примите обновления Windows, когда вы получите уведомление о доступности обновлений.
Изменения журналов ULS после обновления 2018 г.
В 2018 г. обновление Office Online Server увидит следующие изменения формата журналов ULS:
| Столбец | Изменения |
|---|---|
| TimestampUtc |
|
| Process |
|
| ThreadId |
|
| Area |
|
| Category |
|
| EventId |
|
| Level | Без изменений |
| Message |
|
| Correlation |
|