Konfigurieren der Kerberos-Authentifizierung: Schritt-für-Schritt-Anleitung (SharePoint Server 2010)

 

Gilt für: SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2016-11-30

In den folgenden Szenarioartikeln bauen wir eine SharePoint Server 2010-Umgebung auf, um zu demonstrieren, wie in einer Reihe von Szenarien, die in Unternehmen häufig vorkommen, die Delegierung konfiguriert wird. Bei den exemplarischen Vorgehensweisen wird davon ausgegangen, dass Sie eine horizontal skalierte SharePoint-Farm ähnlich der im folgenden Abschnitt beschriebenen Farm erstellen.

Hinweis

Manche Konfigurationsschritte können variieren oder sind u. U. in bestimmten Farmtopologien nicht anwendbar. Beispielsweise unterstützt eine Installation mit einem einzelnen Server nicht den Forderungen-zu-Windows-Tokens-Dienst (C2WTS) in Windows Identity Foundation, sodass Szenarien mit Delegierung von Forderungen an Windows-Tokens in dieser Farmkonfiguration nicht möglich sind.

Umgebung und Farmtopologie

Das folgende Diagramm veranschaulicht die Farmtopologie, die beim Konfigurieren der Szenarien in den folgenden Abschnitten verwendet wurde. Die Farmtopologie wurde mit Lastenausgleich konfiguriert und zwischen mehreren Ebenen horizontal skaliert, um zu demonstrieren, wie die Identitätsdelegierung in Szenarien mit mehreren Servern und in Szenarien mit mehreren Schritten funktioniert.

Hinweis

Die Farmkonfiguration in den Demos ist nicht als Referenzarchitektur oder als Modell für das Entwerfen einer Topologie für Produktionsumgebungen gedacht. Beispielsweise werden in der Demo-Topologie alle SharePoint Server 2010-Dienstanwendungen auf einem einzigen Server ausgeführt, sodass für diese Dienste eine einzige Fehlerquelle vorhanden ist. Weitere Informationen zum Entwerfen und Erstellen einer SharePoint Server-Produktionsumgebung finden Sie unter SharePoint Server 2010 – physische und logische Architektur und Topologien für SharePoint Server 2010.

Hinweis

Bei den exemplarischen Vorgehensweisen für die Szenarien wird davon ausgegangen, dass sich alle Computer, auf denen SharePoint Server ausgeführt wird, und die im unten beschriebenen Szenario verwendeten Datenquellen in einer einzigen Domäne befinden. Eine Erklärung und eine exemplarische Vorgehensweise zur Konfiguration mit mehreren Domänen bzw. mit mehreren Gesamtstrukturen ist nicht Gegenstand dieses Dokuments.

Spezifikation der Umgebung

Alle Computer in der Demo-Umgebung werden als virtualisierte Computer unter Windows Server 2008 R2 Hyper-V ausgeführt. Die Computer gehören einer einzigen Windows-Domäne an, vmlab.local, die in den Funktionsebenen für Windows Server 2008-Gesamtstrukturen und -Domänen ausgeführt werden.

• Clientcomputer

  • Windows 7 Professional, 64-Bit

• SharePoint Server-Front-End-Webs

  • Windows Server 2008 R2 Enterprise, 64-Bit

  • Dienste:

    • Webanwendungsdienst

  • Lastenausgleich mit Windows NLB

• SharePoint Server-Anwendungsserver

  • Windows Server 2008 R2 Enterprise, 64-Bit

  • Microsoft SharePoint Server 2010 (RTM)

  • Dienste:

    • WIF-Forderungen-zu-Windows-Tokens-Dienst

    • Verwalteter Metadatendienst

    • SharePoint-Index

    • SharePoint-Abfrage

    • Excel Services

    • Visio-Grafikdienst

    • Business Connectivity Services

    • PerformancePoint-Dienste

• SQL-Dienste

  • Windows Server 2008 R2 Enterprise, 64-Bit

  • Microsoft SQL Server 2008 R2 Enterprise, 64-Bit

  • Aktiv-Passiv-Konfiguration

  • SQL Server-Dienste:

    • SQL Data Engine

    • SQL Server Analysis Services

    • SQL Agent

    • SQL-Browser

• SQL Reporting Server

  • Windows Server 2008 R2 Enterprise, 64-Bit (RTM)

  • Microsoft SQL 2008 R2 Enterprise, 64-Bit (RTM)

  • Microsoft SharePoint Server 2010 (RTM)

  • Lastenausgleich mit Windows NLB

  • Reporting Services im integrierten SharePoint-Modus

  • Reporting Services im Modus für horizontale Skalierung

Spezifikation der Webanwendung

In den Szenarien in der exemplarischen Vorgehensweise wird Bezug genommen auf eine Reihe von SharePoint Server 2010-Webanwendungen, die Sie in Szenario 1 konfigurieren werden. Für die folgenden Webanwendungen wird mithilfe von Windows NLB ein Lastenausgleich zwischen den zwei SharePoint Server-Web-Front-Ends in der Demo-Umgebung durchgeführt:

• http://sp10CA   Die Webanwendung der Zentraladministration für die Farm. In Szenario 1 wird die Konfiguration dieser Webanwendung nicht Schritt für Schritt erklärt.

• http://portal und https://portal   Die Webanwendung mit dem Demo-Veröffentlichungsportal. Anhand dieser Webanwendung wird gezeigt, wie Sie die Delegierung für Webanwendungen konfigurieren, die auf Standardports (HTTP 80, HTTPS 443) ausgeführt werden.

• http://teams:5555   Die Webanwendung mit der Demo-Teamwebsite. Anhand dieser Webanwendung wird die Konfiguration der Delegierung für Webanwendungen gezeigt, die auf nicht standardmäßigen Ports ausgeführt werden, im aktuellen Beispiel Port 5555.

SSL-Konfiguration

In einigen der Szenarien mit exemplarischen Vorgehensweisen wird SSL verwendet, um zu veranschaulichen, wie die Delegierung mit HTTPS konfiguriert wird. Es wird davon ausgegangen, dass die verwendeten Zertifikate von einer (internen oder öffentlichen) vertrauenswürdigen Stammzertifizierungsstelle stammen oder dass Sie alle Computer so konfiguriert haben, dass den verwendeten Zertifikaten vertraut wird. Nicht erklärt wird in diesem Dokument, wie Sie die Vertrauensstellung für Zertifikate ordnungsgemäß konfigurieren oder wie Sie Probleme im Zusammenhang mit der Installation von SSL-Zertifikaten beheben. Wir empfehlen dringend, die einschlägige Dokumentation über diese Themen zu lesen und die SSL-Konfiguration zu testen, bevor Sie die eingeschränkte Kerberos-Delegierung mit SSL-geschützten Diensten konfigurieren. Weitere Informationen finden Sie in folgenden Artikeln:

• Active Directory-Zertifikatdienste (Übersicht) (https://go.microsoft.com/fwlink/?linkid=196660&clcid=0x407)

• Schrittweise Anleitung zu den Windows Server Active Directory-Zertifikatdiensten (https://go.microsoft.com/fwlink/?linkid=196661&clcid=0x407)

• Konfigurieren von Serverzertifikaten in IIS 7 (https://go.microsoft.com/fwlink/?linkid=196662&clcid=0x407)

• Einrichten von SSL für IIS 7: Konfigurieren der Sicherheit : Installieren und Konfigurieren von IIS 7 (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x407) auf der offiziellen Microsoft IIS-Website

• Hinzufügen einer Bindung zu einer Site (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196663&clcid=0x407)

• Konfigurieren eines Hostheaders für eine Website (IIS 7) (https://go.microsoft.com/fwlink/?linkid=196664&clcid=0x407) – (Verwenden von SSL mit Hostheadern)

• Erstellen eines selbstsignierten Serverzertifikats in IIS 7 (https://go.microsoft.com/fwlink/?linkid=196665&clcid=0x407)

Lastenausgleich

Der Lastenausgleich in den SharePoint Server-Front-End-Web und auf Servern mit SQL Server Reporting Services wurde mithilfe von Windows Server 2008-Netzwerklastenausgleich (Network Load Balancing, NLB) implementiert. Die Konfiguration von NLB sowie bewährte Methoden für NLB sind nicht Thema dieses Dokuments. Weitere Informationen zu NLB finden Sie unter Netzwerklastenausgleich (Übersicht).

SQL-Aliasing

Die Farm wurde unter Verwendung eines SQL-Client-Alias zum Herstellen einer Verbindung zum SQL-Cluster erstellt. Dies ist eine bewährte Methode und dient zur Veranschaulichung der Kerberos-Authentifizierung bei Verwendung von SQL-Aliasing. In Szenario 2 wird davon ausgegangen, dass die Umgebung auf diese Weise konfiguriert wurde. Die Verwendung von SQL-Aliasen ist jedoch keine Bedingung, um die unten beschriebenen Szenarien auszuführen. Weitere Informationen zum Konfigurieren von SQL-Aliasen finden Sie unter Vorgehensweise: Erstellen eines Serveralias für die Verwendung durch einen Client (SQL Server-Konfigurations-Manager).

Tipps zum Durcharbeiten der Szenarien

Die unten beschriebenen Szenarien leiten Sie durch die verschiedenen Aktivitäten, die Sie zum Konfigurieren der Kerberos-Delegierung für verschiedene Funktionen der SharePoint Server-Plattform ausführen müssen. Beachten Sie beim Durcharbeiten der einzelnen Abschnitte Folgendes:

Bei allen Szenarien wird davon ausgegangen, dass Sie die Webanwendungen für klassische eingehende Authentifizierung (Kerberos) konfiguriert haben. Manche der Szenarien erfordern die klassische Authentifizierung, d. h. sie funktionieren nicht wie hier dokumentiert, wenn eingehende Forderungsauthentifizierung verwendet wird.

• Stellen Sie zuerst sicher, dass die SharePoint Server-Dienste ohne Delegierung funktionieren, um sicherzugehen, dass die Dienstanwendungen korrekt konfiguriert sind, bevor Sie komplexere Konfigurationen mit Delegierung angehen.

• Führen Sie jeden Schritt sorgfältig durch, und überspringen Sie keinen Schritt.

• Führen Sie Szenario 1 durch, und arbeiten Sie mit den im Szenario genannten Tools zum Debuggen, da Sie diese in anderen Szenarien für die Ursachenanalyse bei Konfigurationsproblemen verwenden können.

• Arbeiten Sie unbedingt auch Szenario 2 durch. Sie brauchen einen Computer mit SQL Server, der für Kerberos-Authentifizierung konfiguriert ist. Die Testdatenbank, die Sie in diesem Szenario erstellen, werden Sie für einige der späteren Szenarien benötigen.

• Überprüfen Sie in jedem Szenario stets mithilfe von SetSPN -X und SetSPN -Q die Konfiguration der Dienstprinzipalnamen. Weitere Informationen hierzu finden Sie im Anhang.

• Überprüfen Sie unbedingt die Serverereignisprotokolle und die ULS-Protokolle, wenn Sie mit dem Debuggen eines Konfigurationsproblems beginnen. In diesen Protokollen finden Sie meist gute Hinweise auf die Ursachen möglicher Probleme.

• Aktivieren Sie die Diagnoseprotokollierung für SharePoint Foundation->Forderungsauthentifizierung und jegliche Dienstanwendungen, die zu untersuchen sind, falls ein Problem auftritt.

• Denken Sie daran, dass sich die Zwischenspeicherung für Dienstanwendungen auf jedes Szenario auswirken kann. Wenn Sie Änderungen an der Konfiguration vornehmen, aber keine Veränderung im Verhalten der Plattform feststellen können, starten Sie den Anwendungspool oder den Windows-Dienst des Dienstes neu. Wird das Problem dadurch behoben, hilft manchmal ein Neustart des Systems.

• Bedenken Sie, dass Kerberos-Tickets nach der Anforderung zwischengespeichert werden. Wenn Sie ein Tool wie NetMon verwenden, um TGT- und TGS-Anforderungen anzuzeigen, müssen Sie u. U. den Ticketcache leeren, wenn der erwartete Anforderungsdatenverkehr nicht zu sehen ist. In Szenario 1, Konfigurieren der Kerberos-Authentifizierung: Kernkonfiguration (SharePoint Server 2010) wird erklärt, wie Sie diesen Schritt mithilfe der Hilfsprogramme KLIST und KerbTray ausführen.

• Führen Sie NetMon unbedingt mit administrativen Berechtigungen aus, um Kerberos-Datenverkehr zu erfassen.

• Bei komplexen Debuggingszenarien empfiehlt es sich u. U., die WIF-Ablaufverfolgung für den Forderungen-zu-Windows-Tokens-Dienst sowie für die SharePoint-Dienstanwendungen (WCF-Dienste). zu aktivieren. Weitere Informationen finden Sie in folgenden Artikeln:

  • WIF-Ablaufverfolgung

  • Vorgehensweise: Aktivieren der Ablaufverfolgung

  • Konfigurieren der Ablaufverfolgung