規劃 Office Web Apps Server

適用版本： Office Web Apps Server

摘要： 描述 Office Web Apps Server 需求和先決條件，包括 HTTPS、憑證、虛擬化、負載平衡、拓撲及安全性。

對象： IT 專業人員

Office Web Apps Server 會在內部部署環境中提供以瀏覽器為基礎的 Office 應用程式版本，為使用者提供更多彈性和共同作業機會。 本文說明在組織中安裝 Office Web Apps Server 所需的需求和步驟。

請務必仔細規劃，讓 SharePoint 2013 和 Lync Server 2013 等所有主機都能與 Office Web Apps Server 通訊。 如需設定主機的其他指引，請參閱下列資源：

• 規劃 Office Web Apps (與 SharePoint 2013 搭配使用)

• 部署 Office Web Apps Server 及 Lync Server 2013

本文內容：

• Office Web Apps Server 的軟體、硬體及設定需求

• Office Web Apps Server 的虛擬化支援

• Office Web Apps Server 的防火牆需求

• Office Web Apps Server 的負載平衡器需求

• Office Web Apps Server 的 DNS 需求

• 規劃 Office Web Apps Server 的語言套件

• Office Web Apps Server 的拓撲規劃

• Office Web Apps Server 的安全性規劃

• 規劃 Office Web Apps Server 的線上檢視程式

• 規劃 Office Web Apps Server 的更新

Office Web Apps Server 的軟體、硬體及設定需求

您可以將 Office Web Apps Server 安裝為單一伺服器 Office Web Apps 伺服器數位，或安裝為多伺服器、負載平衡的 Office Web Apps 伺服器數位。 您可以使用實體伺服器或虛擬機實例，但無法在 Office Web Apps Server 的相同伺服器上安裝其他伺服器應用程式 (例如 SharePoint 2013 或 SQL Server) 。

在包含實際用戶數據的環境中，我們一律建議您使用 HTTPS，您必須取得憑證。 如果您在伺服器陣列中使用多部伺服器，則必須設定硬體或軟體負載平衡解決方案。 您可以在下列各節深入瞭解這些情況。

Office Web Apps Server 的硬體需求

Office Web Apps Server 使用與 SharePoint Server 2013 相同的最低硬體需求。 您可以在硬體需求中找到完整的 SharePoint 2013 需求：網頁伺服器、應用程式伺服器和單一伺服器安裝。

支援 Office Web Apps Server 的作業系統

您可以在下列作業系統上執行 Office Web Apps Server：

• 64 位元版本 Windows Server 2012 Standard 或 Datacenter

• 64 位元版本 Windows Server 2012 R2。 若要使用這個作業系統，您必須使用 Office Web Apps Server Service Pack 1 (SP1)。

Office Web Apps Server 的網域需求

Office Web Apps Server 伺服器陣列中的所有伺服器都必須是網域的一部分。 它們可以在同一個網域 (建議作法) 或者在同一個樹系的網域中。 不過，如果您嘗試在域控制器上安裝 Office Web Apps Server，則無法運作。

Office Web Apps Server 所需的伺服器角色、服務及其他軟體

首先，以下是部署 Office Web Apps Server 時不應執行的一些動作。

• 請勿在執行 Office Web Apps Server 的伺服器上安裝任何其他伺服器應用程式。 這包括 Exchange Server、SharePoint Server、Lync Server 和 SQL Server。 如果您的伺服器不足，請考慮在您擁有的其中一部伺服器上的虛擬機實例中執行 Office Web Apps Server。

• 請勿在埠 80、443 或 809 上安裝任何相依於 Web 伺服器 (IIS) 角色的服務或角色，因為 Office Web Apps Server 會定期移除這些埠上的 Web 應用程式。

• 請勿安裝任何版本的 Office。 如果已經安裝，您必須先將它卸載，才能安裝 Office Web Apps Server。

• 請勿在域控制器上安裝 Office Web Apps Server。 它不會在執行 Active Directory 網域服務 (AD DS) 的伺服器上執行。

以下是「確實」需要安裝的項目。 如需詳細資料，請參閱下列表格。

Office Web Apps Server 所需的下載、伺服器角色及功能

Office Web Apps Server 的虛擬化支援

當您使用 Windows Server Hyper-V 技術進行部署時，會完全支援 Office Web Apps Server。 如果您打算將 Office Web Apps Server 虛擬化，請遵循下列指導方針：

• 在自己的虛擬機實例中安裝 Office Web Apps Server。 請勿在此實例中安裝任何其他伺服器應用程式，例如 SharePoint 2013。

• 您可以在執行 SharePoint 2013 的伺服器所裝載的虛擬機器實例中安裝 Office Web Apps Server。

• 針對多伺服器 Office Web Apps 伺服器數位，每個實例都應該位於不同的虛擬機主機上。 如此一來，如果其中一部主機失敗，Office Web Apps Server 伺服器陣列仍可使用。

Office Web Apps Server 的防火牆需求

防火牆可能會因為封鎖網頁瀏覽器、執行 Office Web Apps Server 的伺服器，以及執行 SharePoint 2013 的伺服器之間的通訊而造成問題。 伺服器位在網路的不同部分時，這些問題會更加複雜。

請確定執行 Office Web Apps Server 或負載平衡器之伺服器上的防火牆不會封鎖下列埠：

• 連接埠 443，用於 HTTPS 流量

• 連接埠 80，用於 HTTP 流量

• 如果您要設定多伺服器數位伺服器數位，則執行 Office Web Apps Server (之伺服器之間的私人流量埠 809)

Office Web Apps Server 的負載平衡器需求

在兩部以上伺服器上執行 Office Web Apps Server 時，建議您使用負載平衡解決方案。 任何負載平衡解決方案均可，其中包括執行網頁伺服器 (IIS) 角色的伺服器 (執行應用程式要求路由 (ARR))。 事實上，您可以在執行 Office Web Apps Server 的其中一部伺服器上執行 ARR。 如果您沒有負載平衡解決方案，請查看這些資源以搭配ARR使用 IIS：

• 安裝應用程式要求路由

• 應用程式要求路由說明

在理想的情況下，請嘗試找出支援下列功能的負載平衡解決方案：

• 第 7 層路由

• 啟用用戶端相關性或前端相關性

• 啟用 SSL 卸載

如果您使用負載平衡器，必須在負載平衡器上安裝憑證，如使用 HTTPS 保護 Office Web Apps Server 通訊所述。

Office Web Apps Server 的 DNS 需求

在使用 HTTPS 和負載平衡的環境中，您必須更新 DNS，讓憑證 (FQDN) 的完整功能變數名稱解析為執行 Office Web Apps Server 之伺服器的 IP 位址，或指派給 Office Web Apps Server 伺服器數位負載平衡器的 IP 位址。

規劃 Office Web Apps Server 的語言套件

Office Web Apps Server 2013 語言套件可讓使用者從 SharePoint 2013 文檔庫檢視多種語言的 Web 型 Office 檔案、Outlook Web App (為附件預覽) ，以及 Lync 2013 (PowerPoint 廣播) 。 不過，這需視主機上設定的語言而定。 若要從主機以多種語言檢視 Web Office 檔案，必須滿足下列條件：

• 主機 (例如 SharePoint Server 2013 或 Lync Server 2013) 設定為以其他語言執行應用程式。 在主機上安裝和設定語言套件的程式與在 Office Web Apps Server 伺服器數位上安裝語言套件無關。

• 這些語言會安裝在 Office Web Apps 伺服器陣列中的所有伺服器上，並可供使用。

以下是下載 Office Web Apps Server 語言套件的位置。

Office Web Apps Server 的拓撲規劃

Office Web Apps Server 拓撲至少會包含一部執行 Office Web Apps Server 的實體或虛擬機，以及至少一個主機 (例如，執行 Lync Server 2013 或 SharePoint 2013 的伺服器) 。 當然，您需要用戶端電腦或裝置來連線到其中一部主機，並使用 Office Web Apps 功能。 從該最小拓撲中，您可以視需要將更多主機和更多伺服器新增至 Office Web Apps Server 伺服器陣列，以符合組織的需求。

以下是當 Office Web Apps Server 拓撲變得更複雜時，您應該記住的建議清單。

• 規劃備援。 如果您使用虛擬機實例，請務必將它們放在不同的虛擬機主機上以進行備援。 如果主機上的其他實例執行伺服器應用程式，就沒關係，只是不要在 Office Web Apps Server 的相同實例上執行其他伺服器應用程式。

• 遵循一個資料中心的原則。 Office Web Apps 伺服器數位中的伺服器必須位於相同的數據中心。 請勿將它們分散各地。 一般而言，您只需要一個伺服器數位，除非您有需要獨立網路的安全性需求，且該網路有自己的 Office Web Apps 伺服器數位。

• 主機愈靠近愈好。 Office Web Apps Server 伺服器陣列不必和它所提供主機位於相同的數據中心，但為了大量編輯使用，建議您盡可能將 Office Web Apps Server 伺服器陣列放在主機附近。 這對於使用 Office Web Apps 主要用於檢視 Office 檔案的組織而言較不重要。

• 規劃連線。 僅將 Office Web Apps Server 伺服器陣列中的所有伺服器連線到另一個伺服器數位。 若要將這些伺服器連結到頻寬更寬的網路，請透過反向 Proxy 負載平衡器防火牆。

• 對於 HTTP 或 HTTPS 要求設定防火牆。 請確定防火牆允許執行 Office Web Apps Server 的伺服器對主機起始 HTTP 或 HTTPS 要求。

• 規劃傳入和傳出的通訊。 在網際網路對向部署中，透過 NAT 裝置路由傳送所有傳出的通訊。 在多伺服器陣列中，使用負載平衡器處理所有傳入的通訊。

• 請確定 Office Web Apps Server 伺服器陣列中的所有伺服器都已加入網域，且屬於相同的組織單位 (OU) 。 使用 New-OfficeWebAppsFarm Cmdlet 中的 FarmOU 參數，防止不在此 OU 中的其他伺服器加入伺服器陣列。

• 針對所有傳入的要求使用超文字安全傳輸通訊協定 (HTTPS)。

• 如果在網路上部署 IPsec，請用它來加密伺服器之間的流量。

• 規劃使用網際網路的 Office 功能。 如果需要美工圖案和翻譯服務等功能，且伺服器陣列中的伺服器無法起始對因特網的要求，您必須為 Office Web Apps Server 伺服器陣組設定 Proxy 伺服器。 這樣可以允許將 HTTP 要求傳送至外部網站。

Office Web Apps Server 的安全性規劃

下列資訊介紹 Office Web Apps Server 的安全性指引。

使用 HTTPS 保護 Office Web Apps Server 通訊

Office Web Apps Server 可以使用 HTTPS 通訊協定與 SharePoint 2013 和 Lync Server 2013 通訊。 在實際執行環境中，強烈建議您使用 HTTPS。 如果您使用單一伺服器) 或負載平衡器 (如果您使用執行 Office Web Apps Server) 的多部伺服器，則必須安裝可指派給執行 Office Web Apps Server (之伺服器的因特網伺服器憑證。

在不包含任何用戶數據的測試環境中，您可以使用 HTTP for SharePoint 2013 並略過憑證需求。 Lync Server 2013 僅支援 HTTPS。

Office Web Apps Server 使用的憑證必須符合下列需求：

• 憑證必須來自受信任的證書頒發機構單位，並在 [SAN (主體別名) ] 字段中包含 Office Web Apps Server 伺服器陣列的完整功能變數名稱 (FQD) N) 。 (如果 [SAN] 中沒有 FQDN，當您嘗試使用憑證時，瀏覽器將會顯示安全性警告，或者不處理回應)。

• 憑證必須要有可匯出的私密金鑰。 在單一伺服器的伺服器陣列上，當您使用 Internet Information Services (IIS) Manager 嵌入式管理單元匯入憑證時，預設會選取此選項。

• [易記名稱] 欄位在信任的根憑證授權單位存放區中必須是唯一的。 如果您有多個共用 [易記名稱] 欄位的憑證，伺服器陣列建立將會失敗，因為 New-OfficeWebAppsFarm Cmdlet 會不知道要使用哪一個憑證。

• Office Web Apps Server 不需要任何特殊的憑證屬性或擴充功能。 用戶端增強金鑰使用方法 (EKU) 延伸或伺服器 EKU 延伸就不需要。

• 在 Windows Server 2012 或 Windows Server 2012 R2 上，您必須安裝 [允許 HTTP 啟用] Windows Communication Foundation (WCF) 功能。

憑證必須匯入如下：

• 針對單一伺服器陣列您必須直接在執行 Office Web Apps Server 的伺服器上匯入憑證。 請勿手動繫結憑證。 您稍後執行的 New-OfficeWebAppsFarm Cmdlet 會為您執行此作業。 如果您手動繫結憑證，每次伺服器重新啟動時，都會將其刪除。

• 針對負載平衡的伺服器陣列 如果您要卸除 SSL，則必須在硬體負載平衡器上匯入憑證。 如果您未卸除 SSL，則必須在 Office Web Apps Server 伺服器陣列的每部伺服器上安裝憑證。

如需憑證的詳細資訊，請參閱 如何取得 SSL 憑證。

針對硬體負載平衡器使用 SSL 卸載

當您設定新的 Office Web Apps 伺服器陣列時，SSL 卸除預設會設定為 [關閉]。 如果您使用硬體負載平衡器，建議您將SSL卸載設定為 [開啟]，讓伺服器數位中的每個 Office Web Apps Server 都可以使用 HTTP 與負載平衡器通訊。 將 SSL 卸載設定為「開啟」也會有下列優點：

• 簡化憑證管理

• 改善軟性親和性

• 改善效能

請注意，當您使用 HTTP 時，從負載平衡器到執行 Office Web Apps Server 之伺服器的流量不會加密，因此您必須確定網路本身是安全的。 使用私人子網路可以協助保護流量。

依據 OU 成員資格，限制哪些伺服器可以加入 Office Web Apps Server 伺服器陣列

您可以建立這些伺服器的組織單位，然後在建立伺服器陣列時指定 FarmOU 參數，以防止未經授權的伺服器加入 Office Web Apps Server 伺服器陣列。 如需 FarmOU 參數的詳細資訊，請參閱 New-OfficeWebAppsFarm。

使用允許清單限制 Office Web Apps Server 的主機存取

[允許清單] 是一項安全性功能，可防止不想要的主機連線到 Office Web Apps Server 伺服器陣列，並在未經您同意的情況下將它用於檔案作業。 藉由將包含已核准主機的網域新增至允許清單，您可以限制 Office Web Apps Server 允許檔案作業要求的主機，例如檔案擷取、元數據擷取和檔案變更。

建立 Office Web Apps Server 伺服器陣列之後，您可以將網域新增至 [允許清單]。 若要瞭解如何將網域新增至允許清單，請參閱 New-OfficeWebAppsHost。

規劃 Office Web Apps Server 的線上檢視程式

根據預設，在線檢視者功能會在您安裝 Office Web Apps Server 之後啟用。 如果您計劃要在組織中使用線上檢視程式，請檢閱下列指引。 在某些情況下，您可能會想要停用線上檢視程式中的部分功能。 這些指導方針指的是使用 Windows PowerShell Cmdlet New-OfficeWebAppsFarm 和 Set-OfficeWebAppsFarm 設定的參數。

線上檢視程式的安全性考量

檔案若要使用線上檢視程式透過網頁瀏覽器來檢視，絕不能要求驗證。 換句話說，檔案必須可以公開使用，因為線上檢視程式在擷取檔案時，不能執行驗證。 強烈建議您用於在線檢視者的 Office Web Apps Server 伺服器陣列只能存取內部網路或因特網，但不能同時存取兩者。 這是因為 Office Web Apps Server 不會區分內部網路和因特網 URL 的要求。 這樣網際網路上的某人就可要求內部 URL 來檢視內部文件，因此造成安全性漏洞。

基於相同原因，如果您已將 Office Web Apps Server 設定為僅連線到因特網，強烈建議您停用在線查看器中的 UNC 支援。 若要停用 UNC 支援，請針對現有伺服器陣列) 使用新伺服器數位的 Windows PowerShell Cmdlet New-OfficeWebAppsFarm (或 Set-OfficeWebAppsFarm (，將 OpenFromUncEnabled 參數設定) 為 False。

另外為預防安全性問題，線上檢視程式限制為只能檢視 10 MB 以下的 Office 檔案。

線上檢視程式的設定選項

您可以在 New-OfficeWebAppsFarm (中使用下列 Windows PowerShell 參數來設定在線檢視者) 或現有伺服器陣列) 的 Set-OfficeWebAppsFarm (。

• OpenFromUrlEnabled：開啟或關閉線上檢視程式。 此參數可以為具有 URL 和 UNC 路徑的檔案，控制線上檢視程式。 根據預設，當您建立新的 Office Web Apps 伺服器陣列時，此參數會設定為 False (停用) 。

• OpenFromUncEnabled 當線上檢視程式開啟時 (使用 OpenFromUrlEnabled 設為 True)，此參數會開啟或關閉線上檢視程式顯示 UNC 路徑中檔案的功能。 根據預設，此參數設為 True，但是在您允許從 UNC 路徑開啟檔案之前，請確定 OpenFromUrlEnabled 也設為 True。 如先前所述，如果您已設定 Office Web Apps Server 連線到因特網，建議您將此參數設定為 False。

• OpenFromUrlThrottlingEnabled 在一段時間內節流任何指定伺服器的「從 URL 開啟」要求數目。 無法設定的預設節流值，請確定 Office Web Apps Server 伺服器陣列不會藉由傳送要在在線檢視者中檢視內容的要求，讓單一伺服器重疊。

規劃 Office Web Apps Server 的更新

在部署 Office Web Apps Server 之前，您必須決定組織如何管理 Office Web Apps Server 伺服器陣列的軟體更新。 雖然軟體更新有助於改善伺服器安全性、效能和可靠性，但不正確安裝更新可能會導致 Office Web Apps Server 發生問題。

Office Web Apps Server 不支援使用 Microsoft 自動更新程式套用 Office Web Apps Server 更新。 匯報 至 Office Web Apps Server 必須以特定方式套用，如將軟體更新套用至 Office Web Apps Server 中所述。 如果自動套用 Office Web Apps Server 更新，使用者可能無法在 Office Web Apps 中檢視或編輯檔。 如果發生此情況，您必須重建 Office Web Apps Server 伺服器陣列。

建議您使用 Windows Server Update Services (WSUS) 或使用使用 WSUS 的 Microsoft 端點 Configuration Manager 來管理更新。 WSUS 可讓您針對 Office Web Apps Server 伺服器陣列中的每個伺服器，完全管理透過 Microsoft Update 發行的更新散發。 藉由使用 WSUS，您可以決定哪些更新可以自動套用至伺服器陣列，以及哪些更新，例如 Office Web Apps Server 更新，必須手動套用。 如需 WSUS 的詳細資訊，請參閱 Windows Server Update Services。

如果您未使用 WSUS 或 Microsoft 端點 Configuration Manager，請將 Office Web Apps Server 伺服器陣列中每部伺服器上的 Microsoft 自動更新設定為 [自動下載]，但通知用戶進行安裝。 當您收到 Office Web Apps Server 更新的通知時，請遵循將軟體更新套用至 Office Web Apps Server 中的步驟。 若要套用 Windows 更新並且保護伺服器的安全，請在收到可用更新的通知時接受 Windows 更新。

另請參閱

Office Web Apps Server 的內容藍圖
Office Web Apps Server 概觀
部署 Office Web Apps Server
套用軟體更新至 Office Web Apps Server

Office.com (提供桌上型電腦或行動裝置的 Office Web Apps 說明)