步驟 3 – 準備 PAM 伺服器

 

適用於: Microsoft Identity Manager

在第三個虛擬機器上,安裝 Windows Server 2012 R2,特別是 Windows Server 2012 R2 Standard (Server 含 GUI) x64,以建立新的電腦 “PAMSRV”

注意:因為這部電腦上將安裝 SQL Server 和 SharePoint 2013,至少需要 8GB 的 RAM。

  1. 指定 Windows Server 2012 R2 Standard (Server 含 GUI) x64

  2. 檢閱並接受授權條款。

  3. 由於磁碟會為空,請選取 [自訂:僅安裝]**** 並使用未初始化的磁碟空間

  4. 以系統管理員身分登入新的電腦。 使用 [控制台]****,提供虛擬網路上的靜態 IP 位址,設定該網路介面將 DNS 查詢傳送至 PRIVDC 的 IP 位址,並將電腦名稱設定為 PAMSRV。 這將需要重新啟動伺服器。

  5. 如果虛擬網路並未提供網際網路連線,請將可連線至網際網路的額外網路介面加入至電腦。 SharePoint 安裝時需要此介面,而在完成這個步驟之後可以停用。

  6. 在伺服器重新啟動之後,以系統管理員的身分登入。 使用 [控制台]**** 設定電腦來檢查更新,並安裝所需的任何更新。 這可能需要重新啟動伺服器。

  7. 在伺服器重新啟動之後,以系統管理員身分登入,開啟 [控制台]****,將 PAMSRV 加入至 PRIV 網域 (priv.contoso.local)。 這將需要提供 PRIV 網域系統管理員的使用者名稱和認證,例如 PRIV\Administrator。 出現歡迎訊息之後,關閉對話方塊並重新啟動此伺服器。

  8. 啟動電腦 PAMSRV,以 PRIV 網域系統管理員身分登入,例如 PRIV\Administrator

新增網頁伺服器 (IIS) 和應用程式伺服器角色、.NET Framework 3.5 功能、適用於 Windows PowerShell 的 Active Directory 模組,以及 SharePoint 所需的其他功能

  1. 以系統管理員身分登入時,啟動 PowerShell

  2. 輸入下列命令。 注意:可能需要為 .NET Framework 3.5 功能的原始程式檔指定不同的位置。 當 Windows 伺服器安裝時,這些功能通常不會出現,而是放在 OS 安裝磁碟來源資料夾的並存 (SxS) 資料夾中,例如 “d:\Sources\SxS\”

import-module ServerManager
Install-WindowsFeature Web-WebServer, Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Application-Server,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeature -restart -source d:\\sources\\SxS

設定伺服器的安全性原則,以允許新建立的帳戶以服務方式執行。

  1. 啟動 [本機安全性原則]**** 程式。

  2. 瀏覽至 [本機原則]**** » [使用者權利指派]****。

  3. 在 [詳細資料]**** 窗格中,以滑鼠右鍵按一下 [以服務方式登入]****,然後選取 [屬性]****。

  4. 按一下 [新增使用者或群組]****,在 [使用者和群組名稱] 中輸入 priv\mimmonitor; priv\MIMService; priv\SharePoint; priv\mimcomponent; priv\SqlServer,按一下 [檢查名稱]****,然後按一下 [確定]****。

  5. 按一下 [確定]****,關閉 [以服務方式登入]**** » [屬性]**** 視窗。

  6. 在 [詳細資料]**** 窗格中,以滑鼠右鍵按一下 [拒絕從網路存取這台電腦]****,然後選取 [屬性]****。

  7. 按一下 [新增使用者或群組]****,在 [使用者和群組名稱]**** 中輸入 priv\mimmonitor; priv\MIMService; priv\mimcomponent,然後按一下 [確定]****。

  8. 按一下 [確定]****,關閉 [拒絕從網路存取這台電腦]**** » [屬性]**** 視窗。

  9. 在 [詳細資料窗格]**** 中,以滑鼠右鍵按一下 [拒絕本機登入]****,然後選取 [屬性]****。

  10. 按一下 [新增使用者或群組]****,在 [使用者和群組名稱]**** 中輸入 priv\mimmonitor; priv\MIMService; priv\mimcomponent,然後按一下 [確定]****。

  11. 按一下 [確定]****,關閉 [拒絕本機登入]**** » [屬性]**** 視窗。

  12. 關閉 [本機安全性原則]**** 視窗。

  13. 開啟 [控制台]****,並切換至 [使用者帳戶]****。

  14. 按一下 [讓其他人存取這台電腦]****。

  15. 按一下 [新增]****,輸入 PRIV 網域中的使用者 MIMAdmin,在精靈中下一個畫面上,按一下 [將此使用者新增為系統管理員]****。

  16. 按一下 [新增]****,輸入 PRIV 網域中的使用者 sharepoint,在精靈中下一個畫面上,按一下 [將此使用者新增為系統管理員]****。

  17. 按一下 [新增]****,輸入 PRIV 網域中的使用者 mimservice,在精靈中下一個畫面上,按一下 [將此使用者新增為系統管理員]****。

  18. 按一下 [新增]****,輸入 PRIV 網域中的使用者 mimcomponent,在精靈中下一個畫面上,按一下 [將此使用者新增為系統管理員]****。

  19. 關閉 [控制台]****。

變更 IIS 設定以允許應用程式使用 Windows 驗證模式。

  1. 以使用者 MIMAdmin 身分登入。 以滑鼠右鍵按一下 PowerShell,按一下 [以系統管理員身分執行]****。

  2. 使用下列命令,停止 IIS 並解除鎖定應用程式主機設定:

iisreset /STOP C:\\Windows\\System32\\inetsrv\\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /START

  1. 或者,使用 [記事本] 之類的文字編輯器開啟這個檔案:
    C:\Windows\System32\inetsrv\config\applicationHost.config,並將該檔案第 82 行的 overrideModeDefault 標記值取代為:

\<section name="windowsAuthentication" overrideModeDefault="Deny" /\>

取代為

\<section name="windowsAuthentication" overrideModeDefault="Allow" /\>

然後儲存檔案,並使用以下命令重新啟動 IIS:

iisreset /START

安裝 SQL Server 2012 Service Pack 1 或更新版本,或 SQL Server 2014。 下列步驟假設使用 SQL 2014。

  1. 以使用 MIMAdmin 身分登入,以滑鼠右鍵按一下 PowerShell,按一下 [以系統管理員身分執行]****。

  2. 切換至 SQL Server 安裝程式所在的目錄。

  3. 輸入下列命令:

.\\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL,SSMS /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="PRIV\\SqlServer" /SQLSVCPASSWORD="Pass@word1" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\\Network Service" //SQLSYSADMINACCOUNTS="PRIV\MIMAdmin"

使用 SharePoint Foundation 2013 SP1 安裝程式,在 PAMSRV 上安裝 SharePoint 的軟體必要元件。 注意:這會使伺服器重新啟動,而這台電腦也需要網際網路連線,才能下載必要元件。

  1. 以滑鼠右鍵按一下 PowerShell,按一下 [以系統管理員身分執行]****。

  2. 切換至解壓縮 SharePoint 的目錄。

  3. 輸入下列命令。

.\\prerequisiteinstaller.exe

安裝 SharePoint 必要元件之後,安裝 SharePoint Foundation 2013 SP1。

  1. 以滑鼠右鍵按一下 PowerShell,按一下 [以系統管理員身分執行]****。

  2. 切換至解壓縮 SharePoint 的目錄。

  3. 輸入下列命令。

.\\setup.exe

  1. 選取完整伺服器類型。

  2. 安裝完成後,選擇執行精靈。

執行 [SharePoint 產品設定精靈] 來設定 SharePoint。

  1. 在 [連線至伺服器陣列]**** 索引標籤上,變更為建立新的伺服器陣列。

  2. 指定 PAMSRV 做為組態資料庫的資料庫伺服器,並指定 PRIV\SharePoint 做為供 SharePoint 使用的資料庫存取帳戶。

  3. 指定密碼做為伺服器陣列安全性複雜密碼 (稍後不會用於本實驗室環境中)。

  4. 針對這個測試實驗室環境,接受 SharePoint 組態精靈的其餘預設設定,以產生單一伺服器的伺服器陣列。

  5. 當組態精靈完成組態工作 10/10 時,按一下 [完成],網頁瀏覽器將會開啟。

  6. 在 Internet Explorer 快顯視窗中,以 PRIV\MIMAdmin 身分驗證繼續行。

  7. 啟動精靈 (在 Web 應用程式內) 來設定 SharePoint 伺服器陣列。

  8. 選擇使用現有的受管理帳戶 (PRIV\SharePoint),取消核取以顯示任何選擇性服務,然後按 [下一步]****。

  9. [建立網站集合] 視窗出現時,按一下 [略過]****。 然後按一下 [完成]****。

精靈完成之後,使用 PowerShell 建立 SharePoint Foundation 2013 Web 應用程式來裝載 MIM 入口網站。 注意:因為這是測試實驗室環境,將不會啟用 SSL。

  1. 以滑鼠右鍵按一下 [SharePoint 2013 管理命令介面]****,按一下 [以系統管理員身分執行]****,然後執行下列 PowerShell 指令碼:

$dbManagedAccount = Get-SPManagedAccount -Identity PRIV\\SharePoint

New-SpWebApplication -Name "MIM Portal" -ApplicationPool "MIMAppPool" -ApplicationPoolAccount $dbManagedAccount -AuthenticationMethod "Kerberos" -Port 82 -URL http://PAMSRV.priv.contoso.local

注意:將會出現警告訊息,指出正在使用 Windows 傳統驗證方法,而且可能需要幾分鐘的時間,最後一個命令才會傳回。 完成時,輸出會指出新入口網站的 URL。 後續工作中需要 SharePoint 2013 管理命令介面視窗,請將它保持開啟。

接下來,建立與該 Web 應用程式相關聯的 SharePoint 網站集合,以裝載 MIM 入口網站。

  1. 啟動 [SharePoint 2013 管理命令介面]**** (如果尚未開啟),然後執行下列 PowerShell 指令碼:

$t = Get-SPWebTemplate -compatibilityLevel 14 -Identity "STS\#1"

$w = Get-SPWebApplication http://pamsrv.priv.contoso.local:82

New-SPSite -Url $w.Url -Template $t -OwnerAlias PRIV\\MIMAdmin -CompatibilityLevel 14 -Name "MIM Portal" -SecondaryOwnerAlias PRIV\\BackupAdmin

$s = SpSite($w.Url)

$s.AllowSelfServiceUpgrade = $false

$s.CompatibilityLevel

  1. 確認 CompatibilityLevel 變數的結果為 "14"。 (如需詳細資訊,請參閱這篇文章。) 如果結果為 "15",表示建立的網站集合不適用於 2010 體驗版,請刪除網站集合並重新建立。

  2. 在 SharePoint 2013 管理命令介面中執行下列 PowerShell 命令,以停用 SharePoint 伺服器端 Viewstate 和 SharePoint 工作 [狀況分析工作 (每小時,Microsoft SharePoint Foundation Timer,所有伺服器]:

$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService;

$contentService.ViewStateOnServer = $false;

$contentService.Update();

Get-SPTimerJob hourly-all-sptimerservice-health-analysis-job | disable-SPTimerJob

  1. 開啟 [控制台]****,瀏覽至 [Windows Update]****,然後按一下以變更設定。 變更設定以從 Microsoft Update 接收 Windows Update 和其他產品的更新。 然後重新檢查更新,並先確定已安裝任何擱置的重要更新再繼續執行。
  1. 啟動 Internet Explorer 並開啟網頁瀏覽器索引標籤。
  2. 瀏覽至 http://pamsrv.priv.contoso.local:82/ 並以 PRIV\MIMAdmin 身分登入。 將會顯示名為「MIM 入口網站」**的空白 SharePoint 網站。
  3. 然後,在 Internet Explorer 中,開啟 [網際網路選項]****,切換至 [安全性]**** 索引標籤,選取 [近端內部網路]****,然後新增網站。 注意:如果登入失敗,稍早在步驟 2 中建立的 Kerberos SPN 可能需要更新。

使用 [服務]**** (位於 [系統管理工具]),啟動 SharePoint Administration 服務 (如果尚未執行)。

顯示: