Share via

設定 Kerberos 驗證 (SharePoint Foundation 2010)

  • 發行項

 

適用版本: SharePoint Foundation 2010

上次修改主題的時間: 2016-11-30

本文內容:

  • 關於 Kerberos 驗證

  • 開始之前

  • 為 SQL 通訊設定 Kerberos 驗證

  • 為使用 Kerberos 驗證的 Web 應用程式建立服務主要名稱

  • 部署伺服器陣列

  • 在伺服器陣列中的伺服器上設定服務

  • 建立使用 Kerberos 驗證的 Web 應用程式

  • 使用入口網站 Web 應用程式中的共同作業入口網站範本來建立網站集合

  • 確認能否成功存取使用 Kerberos 驗證的 Web 應用程式

  • 確認搜尋索引功能是否正確

  • 確認搜尋查詢功能是否正確

  • 設定限制

  • 其他資源和疑難排解指引

關於 Kerberos 驗證

Kerberos 是支援票證驗證的安全通訊協定。如果用戶端電腦驗證要求包含有效使用者認證和有效服務主要名稱 (SPN),Kerberos 驗證伺服器就會授與票證,以回應這些要求,然後用戶端電腦便可使用票證存取網路資源。若要啟用 Kerberos 驗證,用戶端與伺服器電腦必須擁有網域金鑰發佈中心 (KDC) 的信任連線。KDC 會發佈共用秘密金鑰來啟用加密。用戶端與伺服器電腦還必須能夠存取 Active Directory 網域服務 (AD DS)。在 AD DS 中,樹系根網域即是 Kerberos 驗證轉介的中心。

若要將執行 Microsoft SharePoint Foundation 2010 的伺服器陣列,部署成使用 Kerberos 驗證,必須在電腦上安裝並設定許多應用程式。本文說明執行 SharePoint Foundation 2010 的伺服器陣列範例,並提供指導,讓伺服器陣列部署及設定成使用 Kerberos 驗證,以支援下列功能:

  • 讓 SharePoint Foundation 2010 與 Microsoft SQL Server 資料庫軟體之間進行通訊。

  • 存取 SharePoint 管理中心 Web 應用程式。

  • 存取其他 Web 應用程式,包括入口網站 Web 應用程式及「我的網站」Web 應用程式。

開始之前

本文主要針對具備以下知識之管理層級人員所寫:

  • Windows Server 2008

  • Active Directory

  • Internet Information Services (IIS) 6.0 (或 IIS 7.0)

  • SharePoint Foundation 2010

  • Windows Internet Explorer

  • Kerberos 驗證 (實作於 Windows Server 2008 的 Active Directory 目錄服務 (AD DS))

  • Windows Server 2008 中的網路負載平衡 (NLB)

  • Active Directory 網域中的電腦帳戶

  • Active Directory 網域中的使用者帳戶

  • IIS 網站與其繫結和驗證設定

  • IIS 網站的 IIS 應用程式集區身分識別

  • 和 [SharePoint 產品設定精靈]

  • SharePoint Foundation 2010 Web applications

  • 管理中心頁面

  • 服務主要名稱 (SPN),以及如何在 Active Directory 網域中設定此名稱

重要

若要在 Active Directory 網域中建立 SPN,必須具有網域管理層級的權限。

本文不提供檢查 Kerberos 驗證的深入說明。Kerberos 為實作於 AD DS 的業界標準驗證方法。

本文不提供安裝 SharePoint Foundation 2010 或使用 [SharePoint 產品設定精靈] 的詳細逐步說明。

本文不提供在管理中心建立 SharePoint Foundation 2010 Web 應用程式的詳細逐步說明。

軟體版本需求

本文所述之指引,以及確認本指引執行結果的測試,均以執行 Windows Server 2008 的系統和套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上最新更新的 Internet Explorer 所獲得之結果為基礎。所安裝的軟體版本如下:

您還必須確認貴組織的 Active Directory 網域控制站上,是否執行 Windows Server 2008 並套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上最新更新。

已知問題

如果設定使用 Kerberos 驗證的 Web 應用程式,是架設在繫結預設連接埠 (TCP 連接埠 80 和安全通訊端階層 (SSL) 連接埠 443) 的 IIS 虛擬伺服器上,SharePoint Foundation 2010 就可以對這些 Web 應用程式進行編目。但是,設定使用 Kerberos 驗證的 Web 應用程式,若架設在繫結非預設連接埠 (TCP 連接埠 80 和安全通訊端階層 (SSL) 連接埠 443 之外的連接埠) 的 IIS 虛擬伺服器上,SharePoint Foundation 2010 搜尋就無法對這些 SharePoint Foundation 2010 Web 應用程式進行編目;目前 SharePoint Foundation 2010 搜尋所能編目的 SharePoint Foundation 2010 Web 應用程式,其所在 IIS 虛擬伺服器需繫結使用 NTLM 驗證或基本驗證的非預設連接埠。

對於使用 Kerberos 驗證進行存取的使用者來說,如果所需部署的 Web 應用程式僅能架設在繫結非預設連接埠的 IIS 虛擬伺服器上,或者您希望使用者可以取得搜尋查詢結果,則請謹記下列事項:

  • 這些 Web 應用程式必須也同時架設在其他繫結非預設連接埠的 IIS 虛擬伺服器上。

  • 這些 Web 應用程式必須設定成使用 NTLM 或基本驗證。

  • 搜尋索引必須對這些使用 NTLM 或基本驗證的 Web 應用程式進行編目。

本文提供下列作業的指引:

  • 設定管理中心 Web 應用程式使用 Kerberos 驗證,並架設在繫結非預設連接埠的 IIS 虛擬伺服器上。

  • 設定入口網站、「我的網站」應用程式使用 Kerberos 驗證,並架設在繫結預設連接埠、具有 IIS 主機標頭繫結的 IIS 虛擬伺服器上。

  • 確認搜尋索引功能是否可對使用 Kerberos 驗證的 SharePoint Foundation 2010 Web 應用程式編目成功。

  • 確認使用者存取 Kerberos 驗證過的 Web 應用程式後,能否成功獲得這些 Web 應用程式的搜尋查詢結果。

其他背景資訊

請務必了解使用 Kerberos 驗證時,能否獲得正確驗證功能,在某種程度上,需視嘗試使用 Kerberos 進行驗證的用戶端行為而定。在使用 Kerberos 驗證的 SharePoint Foundation 2010 伺服器陣列部署環境中,SharePoint Foundation 2010 並非用戶端。在您將執行 SharePoint Foundation 2010 的伺服器陣列部署成使用 Kerberos 驗證之前,必須先了解下列用戶端的行為:

  • 瀏覽器 (本文所指的瀏覽器一律為 Internet Explorer)。

  • Microsoft .NET Framework

在 SharePoint Foundation 2010 Web 應用程式中瀏覽網頁時,所用的用戶端為瀏覽器。當 SharePoint Foundation 2010 執行一些工作 (例如對本機 SharePoint Foundation 2010 內容來源進行編目) 時,用戶端則為 .NET Framework。

若要 Kerberos 驗證正常運作,您必須在 AD DS 中建立 SPN。如果這些 SPN 所對應的服務接聽非預設連接埠,這些 SPN 就該加上連接埠號碼。這是為了確保 SPN 是有意義的,且可防止建立重複的 SPN。

如果用戶端嘗試使用 Kerberos 驗證存取資源,用戶端必須建構 Kerberos 驗證過程中所要用的 SPN。如果用戶端所建構的 SPN 與 AD DS 中所設定的 SPN 不相符,Kerberos 驗證就會失敗,通常出現的是「拒絕存取」錯誤。

有些 Internet Explorer 版本所建構的 SPN 並未加上連接埠號碼。如果使用的 SharePoint Foundation 2010 Web 應用程式是繫結 IIS 中非預設連接埠號碼,就可能需使 Internet Explorer 在其建構的 SPN 中加上連接埠號碼。在執行 SharePoint Foundation 2010 的伺服器陣列中,管理中心 Web 應用程式預設是架設在繫結非預設連接埠的 IIS 虛擬伺服器上。因此,對於繫結連接埠的網站,和繫結 IIS 主機標頭的網站,本文都會加以說明。

根據預設,在執行 SharePoint Foundation 2010 的伺服器陣列中,.NET Framework 並不會建構加上連接埠號碼的 SPN。這就是為什麼使用 Kerberos 驗證的 Web 應用程式若架設在繫結非預設連接埠的 IIS 虛擬伺服器上,搜尋無法對這些應用程式進行編目。

伺服器陣列拓撲

本文所談的是下列 SharePoint Foundation 2010 伺服器陣列拓撲:

  • 兩部執行 Windows Server 2008、當成前端網頁伺服器的電腦,其中設定 Windows NLB。

  • 三部執行 Windows Server 2008、當成應用程式伺服器的電腦。這三部電腦中,一部應用程式伺服器架設管理中心 Web 應用程式;一部應用程式伺服器負責執行搜尋查詢;一部應用程式伺服器則執行搜尋索引。

  • 一部執行 Windows Server 2008、當成執行 SharePoint Foundation 2010 伺服器陣列的 SQL 主機。以本文所述的案例而言,您可以使用 Microsoft SQL Server 2008。

Active Directory 網域服務、電腦命名慣例及 NLB 慣例

本文所述案例使用下列 Active Directory、電腦命名慣例及 NLB 慣例:

伺服器角色 網域名稱

Active Directory 網域服務

mydomain.net

執行 SharePoint Foundation 2010 的前端網頁伺服器

wssfe1.mydomain.net

執行 SharePoint Foundation 2010 的前端網頁伺服器

wssfe2.mydomain.net

SharePoint Foundation 2010 管理中心

wssadmin.mydomain.net

執行 SharePoint Foundation 2010 的搜尋索引

wsscrawl.mydomain.net

執行 SharePoint Foundation 2010 的搜尋查詢

wssquery.mydomain.net

執行 SharePoint Foundation 2010 的 SQL Server 主機

wsssql.mydomain.net

在這些系統上設定 NLB,就會將 NLB VIP 指派給 wssfe1.mydomain.net 及 wssfe2.mydomain.net。指向此位址的一組 DNS 主機名稱會登錄在 DNS 系統中。例如,若 NLB VIP 是 192.168.100.200,則您會有一組 DNS 記錄將下列 DNS 名稱解析成這個 IP 位址 (192.168.100.200):

  • kerbportal.mydomain.net

  • kerbmysite.mydomain.net

Active Directory 網域帳戶慣例

本文範例針對執行 SharePoint Foundation 2010 之伺服器陣列所用的服務帳戶和應用程式集區身分識別,使用下表的命名慣例。

網域帳戶或應用程式集區身分識別 名稱

本機管理員帳戶

  • 在所有執行 SharePoint Foundation 2010 的伺服器上 (但不是在執行 SQL Server 的主機電腦上)

  • 用於 SharePoint Foundation 2010 安裝程式和 SharePoint 產品設定精靈 執行身分使用者

mydomain\pscexec

SQL Server 主機電腦上的本機管理員帳戶

mydomain\sqladmin

用於執行 SQL Server 服務的SQL Server 服務帳戶

mydomain\wsssqlsvc

SharePoint Foundation 2010 伺服器陣列管理員帳戶

mydomain\wssfarmadmin

這是做為管理中心應用程式集區身分識別,以及 SharePoint Timer Service 的服務帳戶。

入口網站 Web 應用程式的 SharePoint Foundation 2010 應用程式集區身分識別

mydomain\portalpool

「我的網站」Web 應用程式的 SharePoint Foundation 2010 應用程式集區身分識別

mydomain\mysitepool

SharePoint Foundation 2010 搜尋服務帳戶

mydomain\wsssearch

SharePoint Foundation 2010 搜尋內容存取帳戶

mydomain\wsscrawl

SharePoint Foundation 2010 搜尋服務帳戶

mydomain\wsssearch

SharePoint Foundation 2010 內容存取帳戶

mydomain\wsscrawl

初步設定需求

在伺服器陣列中的電腦上安裝 SharePoint Foundation 2010 之前,請先確認是否已執行下列程序:

  • 伺服器陣列中所用的所有伺服器 (包括 SQL 主機),都已安裝成 Windows Server 2008 環境,包括套用 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 上的最新更新。

  • 伺服器陣列中的所有伺服器已從 Windows Update 網站 (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x404) 安裝 Internet Explorer (並套用最新更新)。

  • SQL 主機電腦上已安裝了 SQL Server 2008 且為正常運作,且 SQL Server 服務是以 mydomain\sqlsvc 帳戶執行;也安裝了 SQL Server 預設執行個體且接聽 TCP 連接埠 1433。

  • 已將 SharePoint 產品設定精靈 執行身分使用者新增為/新增至:

    • 新增為 SQL 主機的 SQL 登入。

    • 新增至 SQL 主機的 SQL Server DBCreators 角色。

    • 新增至 SQL 主機的 SQL Server 安全性管理員角色。

為 SQL 通訊設定 Kerberos 驗證

在執行 SharePoint Foundation 2010 的伺服器上安裝及設定 SharePoint Foundation 2010 之前,請先為 SQL 通訊設定 Kerberos 驗證。之所以必須執行此動作,是因為用於 SQL 通訊的 Kerberos 驗證必須先完成設定並確認可運作,執行 SharePoint Foundation 2010 的電腦才能與 SQL Server 連線。

在執行 Windows Server 2008 的主機電腦上,為任何所安裝的服務設定 Kerberos 驗證時,需針對主機上執行服務時所用的網域帳戶建立 SPN。SPN 由下列部分所組成:

  • 服務名稱 (例如,MSSQLSvc 或 HTTP)

  • 主機名稱 (可為實際或虛擬)

  • 連接埠號碼

下列清單中的 SPN 範例,是針對執行於名為 wsssql 電腦上的 SQL Server 預設執行個體,且接聽連接埠 1433:

  • MSSQLSvc/wsssql:1433

  • MSSQLSvc/wsssql.mydomain.com:1433

這兩個 SPN,即是您要為本文所述伺服器陣列所用之 SQL 主機上的 SQL 執行個體而建立的 SPN。建立 SPN 時,一定同時要有 NetBIOS 名稱及您網路上主機的完整 DNS 名稱。

要為 Active Directory 網域中的帳戶設定 SPN,其實有一些不同方法可用。一種方法是使用 SETSPN.EXE 公用程式,它是含在 Windows Server 2008 資源套件工具中。另一方法是使用 Active Directory 網域控制站中的 ADSIEDIT.MSC 嵌入式管理單元。本文即是使用 ADSIEDIT.MSC 嵌入式管理單元。

設定 SQL Server 的 Kerberos 驗證分成兩個核心步驟:

  • 為 SQL Server 服務帳戶建立 SPN。

  • 確認執行 SharePoint Foundation 2010 的伺服器連線到執行 SQL Server 的伺服器時,是否可用 Kerberos 驗證。

為 SQL Server 服務帳戶建立 SPN

  1. 登入 Active Directory 網域控制站;請使用具有網域管理權限之使用者的認證來登入。

  2. 在 [執行] 對話方塊中,輸入 ADSIEDIT.MSC

  3. 在管理主控台對話方塊中,展開網域容器資料夾。

  4. 展開包含使用者帳戶 (例如「CN=Users」) 的容器資料夾。

  5. 找出 SQL Server 服務帳戶 (例如 CN=wsssqlsvc) 的容器。

  6. 以滑鼠右鍵按一下此帳戶,然後按一下 [內容]。

  7. 向下捲動 [SQL Server 服務帳戶] 對話方塊中的屬性清單,直到找到 [servicePrincipalName] 為止。

  8. 選取 [servicePrincipalName] 屬性,然後按一下 [編輯]。

  9. 在 [多重值字串編輯器] 對話方塊的 [要新增的值] 欄位中,輸入 SPN 為 MSSQLSvc/wsssql:1433,然後按一下 [新增]。接著,在相同欄位中輸入 SPN 為 MSSQLSvc/wsssql.mydomain.com:1433,然後按一下 [新增]。

  10. 在 [多重值字串編輯器] 對話方塊中按一下 [確定],然後在 SQL Server 服務帳戶的屬性對話方塊中按一下 [確定]。

確認執行 SharePoint Foundation 2010 的伺服器連線到執行 SQL Server 的伺服器時,是否使用 Kerberos 驗證

在執行 SharePoint Foundation 2010 的伺服器之一上安裝 SQL 用戶端工具,然後使用這些工具從執行 SharePoint Foundation 2010 的伺服器連線到執行 SQL Server 的伺服器。本文並不說明在執行 SharePoint Foundation 2010 的伺服器之一上安裝 SQL 用戶端工具的步驟。這些確認程序是基於以下假設:

  • 在 SQL 主機上使用的是 SQL Server 2008。

  • 您已使用 mydomain\pscexec 帳戶登入執行 SharePoint Foundation 2010 的伺服器之一,且已在執行 SharePoint Foundation 2010 的伺服器上安裝 SQL 2005 用戶端工具。

  1. 執行 SQL Server 2005 Management Studio。

  2. [連接到伺服器] 對話方塊出現後,輸入 SQL 主機電腦名稱 (本範例的 SQL 主機電腦為 wsssql),然後按一下 [連接] 以連接 SQL 主機電腦。

  3. 若要確認此連線是否使用 Kerberos 驗證,請在 SQL 主機電腦上執行事件檢視器,然後檢查安全性事件記錄檔。您應該會看到 [登入/登出] 類別事件的「稽核成功」記錄,類似下表所示資料:

    事件類型

    稽核成功

    事件來源

    安全性

    事件類別

    登入/登出

    事件識別碼

    540

    日期

    10/31/2007

    時間

    4:12:24 PM

    使用者

    MYDOMAIN\pscexec

    電腦

    WSSQL

    描述

    成功的網路登入範例如下表所示:

    使用者名稱

    pscexec

    網域

    MYDOMAIN

    登入識別碼

    (0x0,0x6F1AC9)

    登入類型

    3

    登入程序

    Kerberos

    工作站名稱

    登入 GUID

    {36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

    呼叫者使用者名稱

    呼叫者網域

    呼叫者登入識別碼

    呼叫者處理程序識別碼

    轉送的服務

    來源網路位址

    192,168,100,100

    來源連接埠

    2465

檢查記錄檔項目,確認以下事項:

  1. 使用者是否正確,是否在網路上以 mydomain\pscexec 帳戶登入 SQL 主機。

  2. 登入類型是否為 3。類型 3 表示網路登入。

  3. 登入程序與驗證封裝是否都使用 Kerberos 驗證。這可確認執行 SharePoint Foundation 2010 的伺服器是否使用 Kerberos 驗證與 SQL 主機通訊。

  4. [來源網路位址] 是否與發起連線的電腦 IP 位址相符。

如果與 SQL 主機連線失敗,並出現類似「無法產生 SSPI 內容」的錯誤訊息,表示可能是 SQL Server 執行個體所用的 SPN 有問題。若要對此問題進行疑難排解並修正,請參閱 Microsoft 知識庫中如何疑難排解「無法產生 SSPI 內容」錯誤訊息 (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x404) (機器翻譯) 一文。

為使用 Kerberos 驗證的 Web 應用程式建立服務主要名稱

對 Kerberos 驗證來說,IIS 架構的 SharePoint Foundation 2010 Web 應用程式並沒有特別例外之處,Kerberos 驗證會將這些應用程式當成另一個 IIS 網站。

您需了解下列事項,才能執行這個程序:

  • SPN 的服務類別 (在本文所述內容前提下,SharePoint Foundation 2010 Web 應用程式的這項服務類別一律是 HTTP)。

  • 您所有使用 Kerberos 驗證之 SharePoint Foundation 2010 Web 應用程式的 URL。

  • SPN 中的主機名稱 (可為實際或虛擬;本文會述及這兩種)。

  • SPN 中的連接埠號碼 (在本文所述案例中,使用 IIS 連接埠和使用 IIS 主機標頭的這兩種 SharePoint Foundation 2010 Web 應用程式都會用到)。

  • 必須建立 SPN 的 Windows Active Directory 帳戶。

下表所列資訊是用於本文所述之案例:

URL Active Directory 帳戶 SPN

http://wssadmin.mydomain.net:10000

wssfarmadmin

  • HTTP/wssadmin.mydomain.net:10000

  • HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

  • HTTP/kerbportal.mydomain.net

  • HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

  • HTTP/kerbmysite.mydomain.net

  • HTTP/kerbmysite

本表附註:

  • 上述第一個 URL 是管理中心的 URL,它使用了連接埠號碼。您不必真的使用 10000,這只是本文為了全文統一而用的範例。

  • 後兩個 URL 分別是入口網站及「我的網站」的 URL。

請利用上述指引在 AD DS 中建立所需的 SPN,以支援 SharePoint Foundation 2010 Web 應用程式的 Kerberos 驗證。在登入您環境中的網域控制站時,需使用具有網域管理權限的帳戶。若要建立 SPN,可以使用前述的 SETSPN.EXE 公用程式,或使用前述的 ADSIEDIT.MSC 嵌入式管理單元。如果使用 ADSIEDIT.MSC 嵌入式管理單元,請參閱前文中建立 SPN 的指示。請務必為正確帳戶在 AD DS 中建立正確 SPN。

部署伺服器陣列

部署伺服器陣列包含下列步驟:

  1. 在所有執行 SharePoint Foundation 2010 的伺服器上設定 SharePoint Foundation 2010。

  2. 執行 [SharePoint 產品設定精靈],並建立新的伺服器陣列。這個步驟包含建立 SharePoint Foundation 2010 管理中心,將其架設在繫結非預設連接埠的 IIS 虛擬伺服器上,且使用 Kerberos 驗證。

  3. 執行 [SharePoint 產品設定精靈],並將其他伺服器加入伺服器陣列中。

  4. 針對下列項目,在伺服器陣列中的伺服器上設定服務:

    • SharePoint Foundation 2010 搜尋服務

    • SharePoint Foundation 2010 搜尋索引

    • SharePoint Foundation 2010 搜尋查詢

  5. 建立入口網站及「我的網站」所用的 Web 應用程式,且使這些 Web 應用程式使用 Kerberos 驗證。

  6. 使用入口網站 Web 應用程式中的共同作業入口網站範本來建立網站集合。

  7. 確認能否成功存取使用 Kerberos 驗證的 Web 應用程式。

  8. 確認搜尋索引功能是否正確。

  9. 確認搜尋查詢功能是否正確。

在所有伺服器上安裝 SharePoint Foundation 2010

這個程序很簡單,您只要執行 SharePoint Foundation 2010 安裝程式,就可在執行 SharePoint Foundation 2010 的伺服器上安裝 SharePoint Foundation 2010 二進位檔案。請以 mydomain\pscexec 帳戶登入每部執行 SharePoint Foundation 2010 的電腦。關於此程序的逐步指引不再贅述。以本文所述的案例而言,請在所有需要 SharePoint Foundation 2010 的伺服器上執行 SharePoint Foundation 2010 的 [完整] 安裝。

建立新的伺服器陣列

以本文所述的案例而言,請先從 WSSADMIN 搜尋索引伺服器開始執行 [SharePoint 產品設定精靈],這樣可使 WSSADMIN 架設 SharePoint Foundation 2010 管理中心 Web 應用程式。

當安裝程式在名為 WSSCRAWL 的伺服器上完成安裝時,會出現 [安裝完成] 對話方塊,其中有個要執行 [SharePoint 產品設定精靈] 的核取方塊為已勾選。請保留勾選此核取方塊,然後關閉安裝程式對話方塊,以執行 [SharePoint 產品設定精靈]。

當此電腦上執行 [SharePoint 產品設定精靈] 時,請使用下列設定以建立新伺服器陣列:

  • 提供資料庫伺服器名稱 (以本文而言,即是名為 WSSSQL 的伺服器)。

  • 提供設定資料庫名稱 (您可以使用預設值,或自行設定所需名稱)。

  • 提供資料庫存取 (伺服器陣列管理員) 帳戶資訊。以本文案例而言,此帳戶為 mydomain\wssfarmadmin。

  • 提供 SharePoint Foundation 2010 管理中心 Web 應用程式所需的資訊。以本文案例而言,所需的資訊為:

    • 管理中心 Web 應用程式連接埠號碼:10000

    • 驗證方法:交涉

只要您提供了所有必要資訊,[SharePoint 產品設定精靈] 就應會成功完成。如果成功完成,請確認是否可使用 Kerberos 驗證存取 SharePoint Foundation 2010 管理中心 Web 應用程式首頁。若要執行這項操作,請執行下列步驟:

  1. 以 mydomain\pscexec 登入另一部執行 SharePoint Foundation 2010 的伺服器,或是 mydomain 網域中另一部電腦。您不可以直接在架設 SharePoint Foundation 2010 管理中心 Web 應用程式的電腦上,驗證 Kerberos 驗證行為是否正確。這項驗證應從網域中另一部電腦上執行。

  2. 在此伺服器上啟動 Internet Explorer,然後嘗試移至下列 URL:http://wssadmin.mydomain.net:10000。這應會呈現管理中心的首頁。

  3. 若要確認在存取管理中心時是否使用 Kerberos 驗證,請回到名為 WSSADMIN 的電腦上並執行事件檢視器,然後檢視安全性記錄檔。您應該會看到類似下表的「稽核成功」記錄:

    事件類型

    稽核成功

    事件來源

    安全性

    事件類別

    登入/登出

    事件識別碼

    540

    日期

    11/1/2007

    時間

    2:22:20 PM

    使用者

    MYDOMAIN\pscexec

    電腦

    WSSADMIN

    描述

    成功的網路登入範例如下表所示:

    使用者名稱

    pscexec

    網域

    MYDOMAIN

    登入識別碼

    (0x0,0x1D339D3)

    登入類型

    3

    登入程序

    Kerberos

    驗證封裝

    Kerberos

    工作站名稱

    登入 GUID

    {fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

    呼叫者使用者名稱

    呼叫者網域

    呼叫者登入識別碼

    呼叫者處理程序識別碼

    轉送的服務

    來源網路位址

    192,168,100,100

    來源連接埠

    2505

檢查此項記錄檔記錄所顯示的資訊類型是否與先前記錄檔項目相同:

  • 確認使用者名稱是否正確;是否在網路上以 mydomain\pscexec 帳戶登入執行 SharePoint Foundation 2010 並架設管理中心的伺服器。

  • 確認登入類型是否為 3。登入類型 3 表示網路登入。

  • 確認登入程序與驗證封裝是否都使用 Kerberos 驗證。這可確認存取管理中心 Web 應用程式時是否使用 Kerberos 驗證。

  • 確認 [來源網路位址] 是否與發起連線的電腦 IP 位址相符。

如果無法呈現管理中心首頁,反而顯示「未經授權」 錯誤訊息,這表示 Kerberos 驗證失敗。這個的失敗原因通常只有兩個:

  • AD DS 中的 SPN 不是為正確帳戶登錄。應該是要為 mydomain\wssfarmadmin 登錄。

  • AD DS 中的 SPN,與 Internet Explorer 所建構的 SPN 不相符,或是無效。您可能也忽略了AD DS 所登錄 SPN 中的連接埠號碼。請務必解決此問題,讓管理中心可以使用 Kerberos 驗證正確運作,然後才繼續執行後續作業。

注意

您可以透過網路 Sniffer 這類診斷協助工具 (例如 Microsoft Network Monitor,),查看網路上正在執行的狀況,以追蹤瀏覽管理中心過程所發生的一切動作。因此,出現失敗後,您可以檢查追蹤記錄,查看 KerberosV5 通訊協定封包,找出具有 Internet Explorer 所建構 SPN 的封包。如果追蹤記錄中的 SPN 看起來正確無誤,則可能是 AD DS 中的 SPN 無效,或是為錯誤帳戶而登錄。

將其他伺服器加入伺服器陣列中

現在您已經完成建立伺服器陣列,且可順利使用 Kerberos 驗證存取管理中心,接下來則需執行 [SharePoint 產品設定精靈],並將其他伺服器加入伺服器陣列中。

在其他四部執行 SharePoint Foundation 2010 的每一部伺服器上 (wssfe1、wssfe2、wssquery 及 wsscrawl),應已經完成安裝 SharePoint Foundation 2010,安裝完成對話方塊中應會顯示 [SharePoint 產品設定精靈] 的核取方塊已勾選。請保留勾選此核取方塊,然後關閉安裝完成對話方塊,以執行 [SharePoint 產品設定精靈]。請執行此程序,將這些伺服器全都加入伺服器陣列中。

在每一部加入伺服器陣列的電腦執行完 [SharePoint 產品設定精靈] 後,請確認是否每一部伺服器都能呈現 WSSADMIN 伺服器上執行的管理中心。如果其中有任何一部伺服器無法呈現管理中心,請執行適當步驟以解決問題,然後再繼續執行後續步驟。

在伺服器陣列中的伺服器上設定服務

您可以使用下列各節所示之帳戶,設定要在伺服器陣列中執行 SharePoint Foundation 2010 的特定伺服器上執行的特定 SharePoint Foundation 2010 服務。

注意

本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並了解如何執行必要步驟。

請使用所述帳戶,存取管理中心並執行下列步驟,在所述伺服器上設定服務。

在管理中心的 [伺服器上的服務] 頁面上:

  1. 選取 WSSQUERY 伺服器。

  2. 在所出現的服務清單中 (接近頁面中間位置),找出 SharePoint Foundation 2010 Search Service,然後按一下 [動作] 欄中的 [啟動]。

  3. 在隨後出現的頁面中,提供 SharePoint Foundation 2010 搜尋服務帳戶和 SharePoint Foundation 2010 內容存取帳戶的認證。在本文所述的案例中,SharePoint Foundation 2010 搜尋服務帳戶為 mydomain\wsssearch,SharePoint Foundation 2010 內容存取帳戶為 mydomain\wsscrawl。請在此頁面的適當位置上輸入帳戶名稱和密碼,然後按一下 [啟動]。

索引伺服器

在管理中心的 [伺服器上的服務] 頁面上:

  1. 選取 WSSCRAWL 伺服器。

  2. 在所出現的服務清單中 (接近頁面中間位置),找出 SharePoint Foundation 2010 Search Service,然後按一下 [動作] 欄中的 [啟動]。

在隨後出現的頁面中,勾選 [使用此伺服器為內容編製索引] 核取方塊,然後提供 SharePoint Foundation 2010 搜尋服務帳戶的認證。在本文所述的案例中,SharePoint Foundation 2010 搜尋服務帳戶為 mydomain\wsssearch。請在此頁面的適當位置上輸入帳戶名稱和密碼,然後按一下 [啟動]。

查詢伺服器

在管理中心的 [伺服器上的服務] 頁面上:

  1. 選取 WSSQUERY 伺服器。

  2. 在所出現的服務清單中 (接近頁面中間位置),找出 SharePoint Foundation 2010 Search Service,然後按一下 [服務] 欄中的服務名稱。

在隨後出現的頁面中,選取 [使用此伺服器服務搜尋查詢] 核取方塊,然後按一下 [確定]。

建立使用 Kerberos 驗證的 Web 應用程式

本節將在您伺服器陣列中建立入口網站及「我的網站」所用的 Web 應用程式。

注意

本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並了解如何執行必要步驟。

建立入口網站 Web 應用程式

  1. 在管理中心的 [應用程式管理] 頁面上,按一下 [建立或擴充 Web 應用程式]。

  2. 在隨後出現的頁面上,按一下 [建立新的 Web 應用程式]。

  3. 在隨後出現的頁面上,請確認已選取 [建立新的 IIS 網站]。

    • 在 [描述] 欄位中,輸入 PortalSite

    • 在 [連接埠] 欄位中,輸入 80

    • 在 [主機標頭] 欄位中,輸入 kerbportal.mydomain.net

  4. 請確認為此 Web 應用程式所選的驗證提供者為 [交涉]。

  5. 在預設區域建立此 Web 應用程式。請勿修改此 Web 應用程式的區域。

  6. 請確認已選取 [建立新的應用程式集區]。

    • 在 [應用程式集區名稱] 欄位中,輸入 PortalAppPool

    • 請確認已選取 [可設定]。在 [使用者名稱] 欄位中,輸入 mydomain\portalpool 帳戶。

  7. 按一下 [確定]。

  8. 請確認已成功建立 Web 應用程式。

注意

如果要使用 SSL 連線並將 Web 應用程式繫結至連接埠 443,請在 [連接埠] 欄位中輸入 443,並在 [建立新的 Web 應用程式] 頁面上選取 [使用 SSL]。此外,您必須安裝 SSL 萬用字元憑證。如果在設定使用 SSL 的 IIS 網站上使用 IIS 主機標頭繫結,就必須使用 SSL 萬用字元憑證。如需 IIS 的 SSL 主機標頭詳細資訊,請參閱設定 SSL 主機標頭 (IIS 6.0)(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x404)(可能為英文網頁)。

設定我的網站 Web 應用程式

  1. 在管理中心的 [應用程式管理] 頁面上,按一下 [建立或擴充 Web 應用程式]。

  2. 在隨後出現的頁面上,按一下 [建立新的 Web 應用程式]。

  3. 在隨後出現的頁面上,請確認已選取 [建立新的 IIS 網站]。

    • 在 [描述] 欄位中,輸入 MySite

    • 在 [連接埠] 欄位中,輸入 80

    • 在 [主機標頭] 欄位中,輸入 kerbmysite.mydomain.net

  4. 請確認為此 Web 應用程式所選的驗證提供者為 [交涉]。

  5. 在預設區域建立此 Web 應用程式。請勿修改此 Web 應用程式的區域。

  6. 請確認已選取 [建立新的應用程式集區]。

    • 在 [應用程式集區名稱] 欄位中,輸入 MySiteAppPool

    • 請確認已選取 [可設定]。在 [使用者名稱] 欄位中,輸入 mydomain\mysitepool 帳戶。

  7. 按一下 [確定]。

  8. 請確認已成功建立 Web 應用程式。

注意

如果要使用 SSL 連線並將 Web 應用程式繫結至連接埠 443,請在 [連接埠] 欄位中輸入 443,並在 [建立新的 Web 應用程式] 頁面上選取 [使用 SSL]。此外,您必須安裝 SSL 萬用字元憑證。如果在設定使用 SSL 的 IIS 網站上使用 IIS 主機標頭繫結,就必須使用 SSL 萬用字元憑證。如需 IIS 的 SSL 主機標頭詳細資訊,請參閱設定 SSL 主機標頭 (IIS 6.0)(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x404)(可能為英文網頁)。

使用入口網站 Web 應用程式中的共同作業入口網站範本來建立網站集合

本節將在為網站集合所建立之 Web 應用程式的入口網站上,建立網站集合。

注意

本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並了解如何執行必要步驟。

  1. 在管理中心的 [應用程式管理] 頁面上,按一下 [建立網站集合]。

  2. 在隨後出現的頁面上,請務必選取正確的 Web 應用程式。以本文範例而言,請選取 [http://kerbportal.mydomain.net]。

  3. 提供此網站集合要使用的標題和描述。

  4. 保留原本的網站位址不變。

  5. 在 [範本選擇] 區段中,按一下 [選取範本] 底下的 [發佈] 索引標籤,然後選取 [共同作業入口網站] 範本。

  6. 在 [主要網站集合管理員] 區段中,輸入 mydomain\pscexec

  7. 指定要使用的 [次要網站集合管理員]。

  8. 按一下 [確定]。

  9. 請確認已成功建立入口網站集合。

確認能否成功存取使用 Kerberos 驗證的 Web 應用程式

請確認 Kerberos 驗證是否可對最近建立的 Web 應用程式正常運作。請先從入口網站開始。

若要執行這項操作,請執行下列步驟:

  1. 登入執行 SharePoint Foundation 2010 的伺服器,而不是登入針對 NLB 環境而設定為 mydomain\pscexec 的兩部前端網頁伺服器。您不可以直接在架設負載平衡網站且使用 Kerberos 驗證之一的電腦上,驗證 Kerberos 驗證行為是否正確。這項驗證應從網域中另一部電腦上執行。

  2. 從另一個系統上啟動 Internet Explorer,並嘗試移至下列 URL:http://kerbportal.mydomain.net。

應會呈現 Kerberos 驗證過的入口網站首頁。

若要確認在存取入口網站時是否使用 Kerberos 驗證,請移至負載平衡的前端網頁伺服器並執行事件檢視器,然後檢視安全性記錄檔。您應該會在其中一部前端網頁伺服器上看到類似下表的「稽核成功」記錄。請注意,可能兩部前端伺服器都必須查看,才能知道哪一部是處理負載平衡要求的系統,並從中找到此記錄。

事件類型

稽核成功

事件來源

安全性

事件類別

登入/登出

事件識別碼

540

日期

11/1/2007

時間

5:08:20 PM

使用者

MYDOMAIN\pscexec

電腦

wssfe1

描述

成功的網路登入範例如下表所示:

使用者名稱

pscexec

網域

MYDOMAIN

登入識別碼

(0x0,0x1D339D3)

登入類型

3

登入程序

Kerberos 驗證

工作站名稱

登入 GUID

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

呼叫者使用者名稱

呼叫者網域

呼叫者登入識別碼

呼叫者處理程序識別碼

轉送的服務

來源網路位址

192,168,100,100

來源連接埠

2505

檢查此項記錄檔記錄所顯示的資訊類型是否與先前記錄檔項目相同:

  • 確認使用者是否正確;是否在網路上以 mydomain\pscexec 帳戶登入執行 SharePoint Foundation 2010 並架設入口網站的前端網頁伺服器。

  • 確認登入類型是否為 3。登入類型 3 表示網路登入。

  • 確認登入程序與驗證封裝是否都使用 Kerberos 驗證。這可確認存取入口網站時是否使用 Kerberos 驗證。

  • 確認 [來源網路位址] 是否與發起連線的電腦 IP 位址相符。

如果無法呈現入口網站首頁,反而顯示「未經授權」錯誤訊息,這表示 Kerberos 驗證失敗。這個的失敗原因通常有好幾個:

  • AD DS 中的 SPN 不是為正確帳戶登錄。應該是要為入口網站的 Web 應用程式 mydomain\portalpool 登錄。

  • AD DS 中的 SPN,與 Internet Explorer 所建構的 SPN 不相符,或是因為其他原因而無效。在這種狀況下,由於您所用的 IIS 主機標頭沒有明確的連接埠號碼,因此,當您擴充這個 Web 應用程式時,AD DS 中登錄的 SPN 會與指定的 IIS 主機標頭不同。您需修正此問題,才能讓 Kerberos 驗證正常運作。

注意

您可以透過網路 Sniffer 這類診斷協助工具 (例如 Microsoft Network Monitor),查看網路上正在執行的狀況,以追蹤瀏覽管理中心過程所發生的一切動作。因此,出現失敗後,您可以檢查追蹤記錄,查看 KerberosV5 通訊協定封包,找出具有 Internet Explorer 所建構 SPN 的封包。如果追蹤記錄中的 SPN 看起來正確無誤,則可能是 AD DS 中的 SPN 無效,或 SPN 是為錯誤帳戶而登錄。

Kerberos 驗證可對入口網站正常運作之後,請移至 Kerberos 驗證過的「我的網站」,這個網站的 URL 如下:

注意

第一次存取「我的網站」URL 時,SharePoint Foundation 2010 會需要一些時間為登入使用者建立「我的網站」。不過,應該會成功,並會呈現該使用者的「我的網站」。

這個 URL 應該可以正常運作。如果無法正常運作,請參閱前文的疑難排解步驟。

確認搜尋索引功能是否正確

請確認搜尋索引功能可順利對此伺服器陣列上的內容進行編目。您必須先執行這個步驟,才能確認使用 Kerberos 驗證存取這些網站的使用者能否獲得搜尋查詢結果。

注意

本節並不深入說明使用者介面,僅提供大方向指示。您應該在繼續執行後續步驟之前,先熟悉管理中心,並了解如何執行必要步驟。
若要確認搜尋索引功能是否正確,請存取 Web 應用程式並啟動完整編目。靜待編目完成。如果編目失敗,您必須找出失敗原因,並加以修正,然後執行完整編目。如果編目失敗出現「拒絕存取」的錯誤,表示可能是編目帳戶沒有存取內容來源的權限,或是 Kerberos 驗證失敗。無論原因為何,都必須先加以修正,才能繼續執行後續步驟。

您必須先對 Kerberos 驗證過的 Web 應用程式進行完整編目,才能繼續後續步驟。

確認搜尋查詢功能是否正確

若要確認搜尋查詢是否對存取使用 Kerberos 驗證之入口網站的使用者傳回結果,請執行下列作業:

  1. 在 mydomain.net 中的系統上,啟動 Internet Explorer,然後移至 http://kerbportal.mydomain.net。

  2. 呈現入口網站首頁後,在 [搜尋] 欄位中輸入搜尋關鍵字,然後按 ENTER。

  3. 確認是否傳回搜尋查詢結果。如果沒有,請確認所輸入的關鍵字是否為部署環境的有效關鍵字、搜尋索引功能是否正確運作、搜尋索引伺服器與搜尋查詢伺服器上是否執行搜尋服務,以及搜尋索引伺服器傳播到搜尋查詢伺服器的搜尋傳播是否正常。

設定限制

所建立新格式 SPN 中的主機名稱部分,會是執行服務之主機的 NetBIOS 名稱,例如:MSSP/kerbtest4:56738/SSP1。這是因為主機名稱是從 SharePoint Foundation 2010 設定資料庫擷取,而只有 NetBIOS 電腦名稱是儲存在 SharePoint Foundation 2010 設定資料庫中。這在某些案例中可能會不明確。

其他資源和疑難排解指引

產品/技術 資源

SQL Server

如何在您建立遠端連接至 SQL Server 2005 執行個體時,確認您使用的是 Kerberos 驗證 (https://go.microsoft.com/fwlink/?linkid=85942&clcid=0x404)

SQL Server

如何疑難排解「無法產生 SSPI 內容」錯誤訊息 (https://go.microsoft.com/fwlink/?linkid=82932&clcid=0x404) (機器翻譯)

.NET Framework

AuthenticationManager.CustomTargetNameDictionary 屬性 (https://go.microsoft.com/fwlink/?linkid=120460&clcid=0x404)

Internet Explorer

當您在 Windows XP 電腦上嘗試存取需要 Kerberos 驗證的網站時,Internet Explorer 出現錯誤訊息:「HTTP 錯誤 401 - 未經授權:因為認證不正確而拒絕存取」 (https://go.microsoft.com/fwlink/?linkid=120462&clcid=0x404) (機器翻譯)

Kerberos 驗證

Kerberos 驗證技術參考(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=78646&clcid=0x404)(可能為英文網頁)

Kerberos 驗證

疑難排解 Kerberos 錯誤(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=93730&clcid=0x404)(可能為英文網頁)

Kerberos 驗證

Kerberos 通訊協定轉換和限制委派(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=100941&clcid=0x404)(可能為英文網頁)

IIS

設定 SSL 主機標頭 (IIS 6.0)(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=120463&clcid=0x404)(可能為英文網頁)