本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

設定 SharePoint 2013 伺服器陣列間的伺服器對伺服器驗證

SharePoint 2013
 

適用版本:SharePoint Foundation 2013, SharePoint Server 2013 Enterprise, SharePoint Server 2013 Standard

上次修改主題的時間:2016-12-16

摘要:了解如何設定 SharePoint 2013 伺服器陣列間的伺服器對伺服器驗證。

本文的設定詳細資料說明如何設定 SharePoint 2013 伺服器陣列間的伺服器對伺服器驗證。有關伺服器對伺服器驗證的背景資訊,請參閱<在 SharePoint 2013 中規劃伺服器對伺服器的驗證>。

重要事項 重要事項:
內含伺服器對伺服器驗證端點,用以處理內送伺服器對伺服器要求的 Web 應用程式,或是提出外送伺服器對伺服器要求的 Web 應用程式,皆應該加以設定,以便使用安全通訊端層 (SSL)。建立 Web 應用程式以使用 SSL 的相關資訊,請參閱<在 SharePoint 2013 中建立宣告式 Web 應用程式>。如需有關設定伺服器對伺服器要求的 HTTP 支援,請參閱<設定 HTTP 的 STS>。
注意事項 附註:
因為 SharePoint 2013 在 Internet Information Services (IIS) 中以網站形式運作,所以管理員與使用者均依賴瀏覽器提供的協助工具功能。SharePoint 2013 支援所支援瀏覽器的協助工具功能。如需詳細資訊,請參閱下列資源:

要服務其他 SharePoint 2013 伺服器陣列的內送伺服器對伺服器要求,您必須設定讓 SharePoint 2013 伺服器信任傳送的伺服器陣列。指定傳送伺服器陣列的 JavaScript Object Notation (JSON) 中繼資料端點,即可使用 SharePoint 2013 的 Windows PowerShell New-SPTrustedSecurityTokenIssuer Cmdlet 設定信任關係。

設定與其他伺服器陣列的 SharePoint 2013 信任關係
  1. 確認您是正在執行 Windows PowerShell Cmdlet 所在伺服器上的管理員群組成員。

    • SQL Server 執行個體上的 Securityadmin 固定伺服器角色。

    • 待更新之所有資料庫上的 db_owner 固定資料庫角色。

    管理員可使用 Add-SPShellAdmin Cmdlet 以授權使用 SharePoint 2013 Cmdlet。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  2. 在 SharePoint 2013 環境中接收伺服器對伺服器要求的伺服器陣列上,啟動 SharePoint 2013 管理命令介面。

    • 若為 Windows Server 2008 R2:

      • 在 SharePoint 2013 環境中的 [開始] 功能表上,依序按一下 [所有程式]、[Microsoft SharePoint 2013 產品]、[SharePoint 2013 管理命令介面]。

    • 若為 Windows Server 2012:

      • 在 SharePoint 2013 環境的 [開始] 畫面上,按一下 [SharePoint 2013 管理命令介面]。

        如果 [SharePoint 2013 管理命令介面] 不在 [開始] 畫面上:

      • 在 [電腦] 上按一下滑鼠右鍵,按一下 [所有應用程式],然後按一下 [SharePoint 2013 管理命令介面]。

    如需如何與Windows Server 2012互動的詳細資訊,請參閱 <常見管理工作及 Windows Server 2012 中的導覽

  3. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

    New-SPTrustedSecurityTokenIssuer -MetadataEndpoint "https://<HostName>/_layouts/15/metadata/json/1" -Name "<FriendlyName>"
    

    其中:

    • <HostName> 是伺服器陣列 (將傳送伺服器對伺服器要求) 中任何已啟用 SSL 的 Web 應用程式之名稱和連接埠。

    • <FriendlyName> 是用於傳送 SharePoint 2013 伺服器陣列的易記名稱。

  4. 針對所有要傳送伺服器對伺服器要求的 SharePoint 2013 伺服器陣列重複執行步驟 3。

    注意事項 附註:
    如需詳細資訊,請參閱<New-SPTrustedSecurityTokenIssuer>。

如果您具有僅限服務的伺服器陣列或其他不具有 Web 應用程式類型的伺服器陣列,請遵循下列步驟使用該伺服器陣列設定信任關係。

使用不具有 Web 應用程式的伺服器陣列設定信任關係
  1. 在不具有 Web 應用程式之伺服器陣列的伺服器上,將電腦憑證存放區中的 SharePoint Security Token Service 憑證匯出為 .CER 檔 (不包含私密金鑰)。

  2. 將 .CER 檔複製到可以從不具有 Web 應用程式之 SharePoint 伺服器陣列進行存取的位置。

  3. 確認您是正在執行 Windows PowerShell Cmdlet 之所在伺服器上的管理員群組。

    • SQL Server 執行個體上的 Securityadmin 固定伺服器角色。

    • 待更新之所有資料庫上的 db_owner 固定資料庫角色。

    系統管理員可使用 Add-SPShellAdmin Cmdlet 以授權使用 SharePoint 2013 Cmdlet。

    注意事項 附註:
    如果您不具備上述權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員要求權限。如需 Windows PowerShell 權限的其他資訊,請參閱<Add-SPShellAdmin>。
  4. 在不具有 Web 應用程式之伺服器陣列的 SharePoint 2013 環境中,啟動 SharePoint 2013 管理命令介面。

    • 若為 Windows Server 2008 R2:

      • 在 SharePoint 2013 環境中的 [開始] 功能表上,依序按一下 [所有程式]、[Microsoft SharePoint 2013 產品]、[SharePoint 2013 管理命令介面]。

    • 若為 Windows Server 2012:

      • 在 SharePoint 2013 環境的 [開始] 畫面上,按一下 [SharePoint 2013 管理命令介面]。

        如果 [SharePoint 2013 管理命令介面] 不在 [開始] 畫面上:

      • 在 [電腦] 上按一下滑鼠右鍵,按一下 [所有應用程式],然後按一下 [SharePoint 2013 管理命令介面]。

    如需如何與Windows Server 2012互動的詳細資訊,請參閱 <常見管理工作及 Windows Server 2012 中的導覽

  5. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

    Get-SPSecurityTokenServiceConfig
    
  6. 在顯示 Get-SPSecurityTokenServiceConfig 命令之處,請注意 "@" 符號後的 [NameIdentifier] 欄位,這是此 SharePoint 伺服器陣列 STS 的 NameID。

  7. 在信任不具有 Web 應用程式之伺服器陣列的 SharePoint 伺服器陣列伺服器上,啟動 SharePoint 2013 管理命令介面。

  8. 若要將不具有 Web 應用程式之 SharePoint 伺服器陣列的 SharePoint STS 新增為受信任的安全性權杖簽發者,請使用下列 Windows PowerShell 命令:

    New-SPTrustedSecurityTokenIssuer -name <hostname> -Certificate "<CERLocation>" -RegisteredIssuerName "00000003-0000-0ff1-ce00-000000000000@<NameID>" -Description "<FriendlyName>" -IsTrustBroker:$false
    

    其中:

    • <HostName> 是不具有 Web 應用程式的伺服器陣列名稱。

    • <CERLocation> 是步驟 2 中匯出 .CER 檔的位置。

    • <NameID> 是步驟 6 中不具有 Web 應用程式之伺服器陣列的 STS NameID 字串。

    • <FriendlyName> 是不具有 Web 應用程式之伺服器陣列的易記名稱

建議使用 SSL 和 HTTPS URL 進行傳送和接收,這是伺服器對伺服器驗證的最佳做法。如果您無法在 SSL 主控 Web 應用程式,下列程序會說明如何將 SharePoint 伺服器陣列的 STS 設定為使用 HTTP。

將 STS 設定為使用 HTTP
  1. 確認您是執行 Windows PowerShell Cmdlet 之伺服器上系統管理員群組的成員。

    • SQL Server 執行個體上的 Securityadmin 固定伺服器角色。

    • 待更新之所有資料庫上的 db_owner 固定資料庫角色。

    系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用權限,以使用 SharePoint 2013 Cmdlet。

    注意事項 附註:
    如果您沒有權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員以要求權限。如需有關 Windows PowerShell 權限的詳細資訊,請參閱<Add-SPShellAdmin>。
  2. 在伺服器陣列中其一伺服器的 SharePoint 2013 環境上,啟動 SharePoint 2013 管理命令介面。

    • 若為 Windows Server 2008 R2:

      • 在 SharePoint 2013 環境中的 [開始] 功能表上,依序按一下 [所有程式]、[Microsoft SharePoint 2013 產品]、[SharePoint 2013 管理命令介面]。

    • 若為 Windows Server 2012:

      • 在 SharePoint 2013 環境中的 [開始] 畫面上,按一下 [SharePoint 2013 管理命令介面]。

        如果 [開始] 畫面上沒有出現 [SharePoint 2013 管理命令介面]:

      • 在 [電腦] 上按滑鼠右鍵,按一下 [所有應用程式],然後按一下 [SharePoint 2013 管理命令介面]。

    如需如何與Windows Server 2012互動的詳細資訊,請參閱 <常見管理工作及 Windows Server 2012 中的導覽

  3. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

    $c = Get-SPSecurityTokenServiceConfig
    $c.AllowMetadataOverHttp = $true
    $c.AllowOAuthOverHttp= $true
    $c.Update()
    

建議讓使用 SharePoint 伺服器陣列建立信任關係的各個伺服器對伺服器應用程式,使用不同的憑證,這是伺服器對伺服器驗證的最佳做法。在跨伺服器陣列 SharePoint 拓撲中,若您必須在整個伺服器陣列中使用同一個憑證,您也必須將整個伺服器陣列中的 SharePoint Security Token Service (STS) 的名稱識別碼全都設成一樣的。下列程序說明如何同步處理兩個 SharePoint 伺服器陣列中的 STS 名稱識別碼。

同步處理 SharePoint 陣列中的 STS 名稱識別碼
  1. 確認您是執行 Windows PowerShell Cmdlet 之伺服器上系統管理員群組的成員。

    • SQL Server 執行個體上的 Securityadmin 固定伺服器角色。

    • 待更新之所有資料庫上的 db_owner 固定資料庫角色。

    系統管理員可以使用 Add-SPShellAdmin Cmdlet 授與使用權限,以使用 SharePoint 2013 Cmdlet。

    注意事項 附註:
    如果您沒有權限,請連絡安裝程式系統管理員或 SQL Server 系統管理員以要求權限。如需有關 Windows PowerShell 權限的詳細資訊,請參閱<Add-SPShellAdmin>。
  2. 在 SharePoint 2013 環境中的其中一個伺服器陣列上,啟動 SharePoint 2013 管理命令介面。

    • 若為 Windows Server 2008 R2:

      • 在 SharePoint 2013 環境中的 [開始] 功能表上,依序按一下 [所有程式]、[Microsoft SharePoint 2013 產品]、[SharePoint 2013 管理命令介面]。

    • 若為 Windows Server 2012:

      • 在 SharePoint 2013 環境中的 [開始] 畫面上,按一下 [SharePoint 2013 管理命令介面]。

        如果 [開始] 畫面上沒有出現 [SharePoint 2013 管理命令介面]:

      • 在 [電腦] 上按滑鼠右鍵,按一下 [所有應用程式],然後按一下 [SharePoint 2013 管理命令介面]。

    如需如何與Windows Server 2012互動的詳細資訊,請參閱 <常見管理工作及 Windows Server 2012 中的導覽

  3. 在 Windows PowerShell 命令提示字元處,輸入下列命令:

    Get-SPSecurityTokenServiceConfig
    
  4. 在 Get-SPSecurityTokenServiceConfig 命令顯示處,記下 [NameIdentifier] 欄位的值,其開頭為 "00000003-0000-0ff1-ce00-000000000000@"。這是 SharePoint STS 的名稱識別碼。

  5. 要在其他 SharePoint 伺服器陣列設定 SharePoint STS 的名稱識別碼,請在該伺服器陣列的伺服器上使用下列 Windows PowerShell 命令:

    $config = Get-SPSecurityTokenServiceConfig
    $config.NameIdentifier=<CommonNameIdentifier>
    $config.Update();
    

    其中 <CommonNameIdentifier> 是步驟 4 [NameIdentifier] 欄位中的數值。

https://technet.microsoft.com/zh-tw/library/jj219546.aspx
顯示: