Configurar a autenticação Kerberos (Office SharePoint Server)
Atualizado em: 2009-03-26
Neste artigo:
Sobre autenticação Kerberos
Antes de começar
Configurar autenticação Kerberos para comunicações SQL
Configurar o Explorer Internet para incluir números porta em SPNs
Criar nomes principais de serviço para seus aplicativos Web usando autenticação Kerberos
Implantar farm de servidor
Configurar Serviços em Servidores no farm.
Criar aplicativos Web usando autenticação Kerberos
Criar conjunto de sites usando o modelo do Portal de Colaboração do aplicativo Web do site do portal
Criar um SSP para seu farm
Confirmar acesso bem-sucedido aos aplicativos Web usando autenticação Kerberos
Confirmar funcionalidade de indexação de pesquisa correta
Confirmar funcionalidade de consulta de pesquisa correta
Configurar a infraestrutura SSP para autenticação Kerberos
Registrar novos SPNs de formato personalizado para sua conta de serviço de SSP no Active Directory
Executar a ferramenta de linha de comando Stsadm para definir que a infraestrutura de SSP use Kerberos autenticação
Adicionar nova chave de Registro a todos os servidores executando o Office SharePoint Server para habilitar geração de novos SPNs de formato personalizado
Confirmar autenticação Kerberos para acesso a serviços compartilhados de nível de raiz
Confirmar autenticação Kerberos para acesso a serviços compartilhados de nível de diretório virtual
Limitações de configuração
Recursos adicionais e orientação sobre solução de problemas
Sobre a autenticação Kerberos
O Kerberos é um protocolo seguro que oferece suporte a autenticação por tíquete. O servidor de autenticação Kerberos concede um tíquete em resposta a solicitação de autenticação do computador cliente quando ela contém credenciais e SPNs válidos. Depois, o computador cliente usa o tíquete para acessar recursos da rede. Para habilitar a autenticação Kerberos, os computadores servidor e cliente devem ter uma conexão de confiança ao domínio do KDC (centro de distribuição de chaves). O KDC distribui chaves secretas compartilhadas para habilitar a criptografia. Os computadores cliente e servidor também devem ser capazes de acessar os serviços de diretório do Active Directory. Para o Active Directory, o domínio de raiz da floresta é o centro das referências de autenticação do Kerberos.
Para implantar um farm de servidor que executa o Microsoft Office SharePoint Server 2007 usando autenticação Kerberos, você deve instalar e configurar uma variedade de aplicativos em seus computadores. Este artigo descreve um exemplo de farm servidor que executa o Office SharePoint Server 2007 e oferece orientações para implantar e configurar o farm para usar a autenticação Kerberos para oferecer suporte à seguinte funcionalidade:
Comunicação entre o Office SharePoint Server 2007 e o software de banco de dados do Microsoft SQL Server.
Acesso ao aplicativo Web da Administração Central do SharePoint.
Acesso a outros aplicativos Web, incluindo aplicativo Web do site do portal, aplicativo Web Meu Site e aplicativo Web de Administração do SSP.
Acesso a serviços compartilhados dos aplicativos Web do Office SharePoint Server 2007 na infraestrutura do SSP do Office SharePoint Server 2007.
Antes de começar
Este artigo destina-se ao pessoal de nível administrativo que tenha conhecimento do seguinte:
Windows Server 2003
Active Directory
Internet Information Services (IIS) 6.0 (ou IIS 7.0)
Windows SharePoint Services 3.0
Office SharePoint Server 2007
Windows Internet Explorer
Autenticação Kerberos, como implementada no Active Directory para Windows Server 2003
Balanceamento de carga da rede (NLB) no Windows Server 2003
Contas de computador em domínio do Active Directory
Contas de usuário em domínio do Active Directory
Sites IIS e suas ligações e configurações de autenticação
Identidades do pool de aplicativos IIS para sites IIS
O Assistente de Configuração de Produtos e Tecnologias do SharePoint
Aplicativos Web do Windows SharePoint Services 3.0 e do Office SharePoint Server 2007
Páginas da Administração Central
Nomes de Entidades de Serviço (SPNs) e como configurá-los em domínio do Active Directory
Importante
Para criar SPNs em domínio do Active Directory, você deve permissões de nível administrativo de domínio.
Autenticação Kerberos para a infraestrutura SSP no Office SharePoint Server 2007 requer a instalação do Atualização de infraestrutura para os Microsoft Office Servers.
Dica
O SSP é um agrupamento lógico de conjunto comum de serviços e dados que pode ser fornecido a aplicativos Web e sites associados. A infraestrutura SSP permite compartilhar serviços entre farms de servidor, aplicativos Web e conjuntos de sites. O site Office Server Web Services é uma infraestrutura SSP. A infraestrutura SSP existe em qualquer servidor que execute o Office SharePoint Server 2007 implantado usando a opção instalação Completa. A autenticação Kerberos não funciona com o site Office Server Web Services, a menos que o Atualização de infraestrutura para os Microsoft Office Servers esteja instalado.
Este artigo não fornece exame profundo da autenticação Kerberos. O Kerberos é um método de de autenticação padrão do mercado implementado no Active Directory.
Este artigo não fornece instruções passo a passo detalhadas para instalar o Office SharePoint Server 2007 ou usar o Assistente para Configuração dos Produtos e Tecnologias do SharePoint.
Este artigo não fornece instruções passo a passo detalhadas sobre como usar a Administração Central para criar aplicativos Web do Office SharePoint Server 2007.
Requisitos de versão do software
As orientações oferecidas neste artigo e os testes realizados para confirmá-las são baseados em resultados que usam sistemas que executam o Windows Server 2003 e o Internet Explorer com as atualizações mais recentes aplicadas do site do Windows Update (https://go.microsoft.com/fwlink/?linkid=101614\&clcid=0x416). As seguintes versões de software foram instaladas:
Windows Server 2003 Service Pack 2 (SP2) com as atualizações mais recentes do site do Windows Update (https://go.microsoft.com/fwlink/?linkid=101614\&clcid=0x416)
Windows Internet Explorer 7, versão 7.0.5730.11
A versão lançada do Office SharePoint Server 2007
Verifique também se os controladores de domínio do Active Directory excutam o Windows Server 2003 SP2 com as atualizações mais recentes do site do Windows Update (https://go.microsoft.com/fwlink/?linkid=101614\&clcid=0x416) aplicadas.
Problemas conhecidos
A autenticação Kerberos não pode ser configurada para funcionar com a infraestrutura SSP no Office SharePoint Server 2007, a menos que a Atualização de infraestrutura para os Microsoft Office Servers esteja instalada. Portanto, se você não tiver a Atualização de infraestrutura para os Microsoft Office Servers instalada, desconsidere as orientações deste artigo para configurar a autenticação Kerberos para a infraestrutura SSP.
O Office SharePoint Server 2007 pode rastrear aplicativos Web configurados para usar a autenticação Kerberos se estiverem hospedados em servidores virtuais IIS ligados às portas padrão (porta 80 do TCP e porta 443 do Secure Sockets Layer - SSL). Contudo, a Pesquisa do Office SharePoint Server 2007 não pode rastrear aplicativos Web do Office SharePoint Server 2007 configurados para usar a autenticação Kerberos se os aplicativos Web estiverem hospedados em servidores virtuais IIS ligados a portas não padrão (que não sejam a porta 80 no TCP e porta 443 no SSL). Atualmente, a Pesquisa do Office SharePoint Server 2007 pode apenas rastrear aplicativos Web Office SharePoint Server 2007 hospedados em servidores virtuais IIS ligados a portas não padrão configuradas para usar autenticação NTLM ou Basic.
Para acesso de usuário final usando a autenticação Kerberos, se precisar implantar aplicativos Web que somente podem ser hospedados em servidores virtuais IIS ligados a portas não padrão, se desejar que usuários finais obtenham resultados de consulta de pesquisa:
Os mesmos aplicativos Web devem ser hospedados em outros servidores virtuais IIS em portas não-padrão.
Os aplicativos Web devem ser configurados para usar autenticação NTLM ou Basic.
A Indexação de Pesquisa deve rastrear os aplicativos Web usando autenticação NTLM ou Basic.
Este artigo fornece orientações para:
Configurar o aplicativo Web da Administração Central usando autenticação Kerberos hospedado em servidor virtual IIS ligado a portas não-padrão.
Configurar aplicativos do portal, Meu Site e serviços compartilhados usando autenticação Kerberos hospedada em servidores virtuais IIS ligados a portas padrão e com ligação a cabeçalho de host IIS.
Garantir que a Indexação de Pesquisa rastreie com êxito aplicativos Web do Office SharePoint Server 2007usando a autenticação Kerberos.
Garantir que usuários que acessem aplicativos Web autenticados com êxito via Kerberos possam obter resultados de consulta de pesquisa para esses aplicativos Web.
Configurar a autenticação Kerberos para a infraestrutura SSP (se a Atualização de infraestrutura para os Microsoft Office Servers estiver instalada).
Histórico adicional
É importante entender que quando você usa a autenticação Kerberos, a funcionalidade de autenticação exata depende em parte do comportamento do cliente que está tenta autenticar via Kerberos. Em uma implantação de farm do Office SharePoint Server 2007 com autenticação Kerberos, o Office SharePoint Server 2007 não é o cliente. Antes de implantar um farm servidor que executa o Office SharePoint Server 2007 usando autenticação Kerberos, você deve compreender o comportamento dos seguintes clientes:
O navegador (no contexto deste artigo, o navegador é sempre o Windows Internet Explorer)
O Microsoft .NET Framework
O navegador é o cliente usado para navegar até uma página da Web em aplicativo Web do Office SharePoint Server 2007. Quando o Office SharePoint Server 2007 executa tarefas, como o rastrear fontes de conteúdo local do Office SharePoint Server 2007 ou fazer chamadas à infraestrutura SSP, o .NET Framework atua como o cliente.
Para que a autenticação Kerberos funcionar corretamente, você deve criar SPNs no Active Directory. Se os serviços aos quais SPNs correspondem estiverem escutando em portas não-padrão, os SPNs devem incluir números de porta. Isso serve para garantir que os SPNs sejam significativos. Além disso, é necessário para evitar a criação de SPNs duplicados.
Quando um cliente (Explorer Internet ou o .NET Framework) tenta acessar um recurso usando autenticação Kerberos, o cliente deve criar um SPN a ser usado como parte de processo de autenticação Kerberos. Se o cliente não criar um SPN que corresponda ao SPN configurado no Active Directory, a autenticação Kerberos falhará, geralmente com erro “acesso negado”.
Há versões do Internet Explorer que não criam SPNs com números de porta. Se você estiver usando o aplicativos Web do Office SharePoint Server 2007 ligados a para números de porta não padrão no IIS, talvez precise direcionar o Explorer Internet a incluir números de porta nos SPNs que ele cria. Em farms que executam o Office SharePoint Server 2007, o aplicativo Web da Administração Central fica hospedado, por padrão, em um servidor virtual IIS ligado a uma porta não padrão. Portanto, este artigo aborda sites IIS ligados a portas e sites IIS ligados a cabeçalho de host e fornece um link a instruções para direcionar o Internet Explorer para incluir números de porta nos SPNs.
Em um farm que executa o Office SharePoint Server 2007, por padrão, o .NET Framework não cria SPNs que contêm números de porta. Por isso, a Pesquisa não pode rastrear aplicativos Web usando a autenticação Kerberos caso sejam hospedados em servidores virtuais IIS ligados portas não-padrão. Isso também é o motivo pelo qual a autenticação Kerberos não pode ser corretamente configurada e forçada a funcionar para a infraestrutura do SSP, a menos que a Atualização de infraestrutura para os Microsoft Office Servers esteja instalada.
Topologia do farm de servidor
Este artigo tem por objetivo abordar a seguinte topologia de farm de servidor do Office SharePoint Server 2007:
Computadores que executam o Windows Server 2003 e agem com servidores Web de front-end, com Windows NLB configurado.
Três computadores que executam Windows Server 2003 e agem como servidores de aplicativos. Um dos servidores de aplicativos hospeda o aplicativo da Administração Central. O segundo servidor de aplicativos executa a Consulta de Pesquisa e o terceiro servidor de aplicativo executa a Indexação de Pesquisa.
Um computador que executa o Windows Server 2003 usado como host SQL do farm que executa o Office SharePoint Server 2007. Para o cenário descrito neste artigo, você pode usar o Microsoft SQL Server 2000 SP4 ou o Microsoft SQL Server 2005 SP2.
Este artigo fornece orientações para configurar um SSP no farm.
Convenções do Active Directory, de nomeação do computador e do NLB
O cenário descrito neste artigo usa as seguintes convenções do Active Directory, de nomeação do computador e do NLB:
| Função de servidor | Nome de domínio |
|---|---|
Active Directory |
mydomain.net |
Um servidor Web front-end que executa o Office SharePoint Server 2007 |
mossfe1.mydomain.net |
Um servidor Web front-end que executa o Office SharePoint Server 2007 |
mossfe2.mydomain.net |
Administração Central do Office SharePoint Server 2007 |
mossadmin.mydomain.net |
Indexação de Pesquisa executando o Office SharePoint Server 2007 |
mosscrawl.mydomain.net |
Consulta de Pesquisa executando o Office SharePoint Server 2007 |
mossquery.mydomain.net |
Host SQL Server executando o Office SharePoint Server 2007 |
mosssql.mydomain.net |
O NLB VIP é atribuído ao mossfe1.mydomain.net e mossfe2.mydomain.net como resultado da configuração do NLB nesses sistemas. Um conjunto de nomes de host DNS que apontam para esse endereço é registrado no sistema DNS. Por exemplo, se o seu NLB VIP for 192.168.100.200, você terá um conjunto de registros DNS que resolvem os seguintes nomes DNS para este endereço IP (192.168.100.200):
kerbportal.mydomain.net
kerbmysite.mydomain.net
kerbsspadmin.mydomain.net
Convenções de conta de domínio do Active Directory
O exemplo deste artigo usa as convenções de nomeação da seguinte tabela para contas de serviço e identidades de pool de aplicativos usadas no farm que executa o Office SharePoint Server 2007.
| Conta de domínio ou identidade de pool de aplicativos | Nome |
|---|---|
Conta de administrador local
|
mydomain\pscexec |
Conta do administrador local no computador host do SQL Server |
mydomain\sqladmin |
A conta de serviço do SQL Server usada para executar o serviço do SQL Server no host do SQL |
mydomain\mosssqlsvc |
Conta do administrador do farm do Office SharePoint Server 2007 |
mydomain\mossfarmadmin Usada como identidade de pool de aplicativos da Administração Central e como conta de serviço do Serviço de Timer do SharePoint. |
Identidade do pool de aplicativos do Office SharePoint Server 2007 do aplicativo Web do site do portal |
mydomain\portalpool |
Identidade do pool de aplicativos do Office SharePoint Server 2007 do aplicativo Web do Meu Site |
mydomain\mysitepool |
Identidade pool de aplicativos Office SharePoint Server 2007 do site da Administração dos Serviços Compartilhados |
mydomain\sspadminpool |
Conta de serviço do SSP do Office SharePoint Server 2007 |
mydomain\sspsvc |
Conta de serviço de pesquisa do Windows SharePoint Services 3.0 |
mydomain\wsssearch |
Conta de acesso ao conteúdo de pesquisa do Windows SharePoint Services 3.0 |
mydomain\wsscrawl |
Conta de serviço de pesquisa do Office SharePoint Server 2007 |
mydomain\mosssearch |
Conta de acesso ao conteúdo de pesquisa do Office SharePoint Server 2007 |
mydomain\mosscrawl |
Requisitos de configuração preliminares
Antes de instalar o Office SharePoint Server 2007 nos computadores do seu farm de servidor, verifique se executou os seguintes procedimentos:
Todos os servidores usados no farm, inclusive o host do SQL, são configurados com o Windows Server 2003 SP2, incluindo as últimas atualizações aplicadas do site do Windows Update (https://go.microsoft.com/fwlink/?linkid=101614\&clcid=0x416).
Todos os servidores do farm contam com o Internet Explorer 7 (e todas as atualizações mais recentes) instalado do site do Windows Update (https://go.microsoft.com/fwlink/?linkid=101614\&clcid=0x416).
O SQL Server (SQL Server 2000 SP4 ou SQL Server 2005 SP2) está instalado e é executado no computador host do SQL, e o serviço do SQL Server é executado na conta mydomain\sqlsvc. Uma instância padrão do SQL Server está instalada e escuta na porta 1433 do TCP.
O Assistente de Configuração de Produtos e Tecnologias do SharePoint executado como usuário foi incluído:
Como logon do SQL no seu host do SQL.
Na função DBCreators do SQL Server no seu host do SQL.
Na função dos Administradores de Segurança do SQL Server no seu host do SQL.
Configurar autenticação Kerberos para comunicações do SQL
Configure a autenticação Kerberos para comunicações do SQL antes de instalar e configurar o Office SharePoint Server 2007 em seus servidores que executam o Office SharePoint Server 2007. Isso é necessário porque a autenticação Kerberos das comunicações do SQL precisam ser configuradas e seu funcionamento confirmado, antes que os computadores que executam o Office SharePoint Server 2007 possam se conectar ao SQL Server.
O processo de configurar a autenticação Kerberos de qualquer serviço instalado no computador host que executa o Windows Server 2003 inclui criar um SPN para a conta de domínio usada para executar o serviço no host. SPNs são criados para as seguintes partes:
Nome de Serviço (por exemplo, MSSQLSvc ou HTTP)
Nome de host (real ou virtual)
Número de porta
A lista a seguir contém exemplos de SPNs de uma instância padrão do SQL Server executada em um computador chamado mosssql e e escutando na porta 1433:
MSSQLSvc/mosssql:1433
MSSQLSvc/mosssql.mydomain.com:1433
Esses são os SPNs que você criará para a instância do SQL Server no host do SQL que será usado pelo farm descrito neste artigo. É recomendável criar sempre SPNs que tenham um nome de NetBIOS e um nome DNS completo total para um host de sua rede.
Há diferentes métodos para definir um SPN para uma conta em um domínio Active Directory. Um deles é usar o utilitário SETSPN.EXE que faz parte do recurso kit Ferramentas para Windows Server 2003. Outro método é usar o snap-in ADSIEDIT.MSC no seu controlador de domínio Active Directory. Este artigo aborda endereços que usam o snap-in ADSIEDIT.MSC.
Há duas etapas centrais para configurar a autenticação Kerberos do SQL Server:
Criar SPNs para a conta de serviço do SQL Server.
Confirmar a autenticação Kerberos usada para conectar servidores que executam o Office SharePoint Server 2007 para servidores que executam o SQL Server.
Criar SPNs para a conta de serviço do SQL Server.
Faça logon no controlador de domínio do Active Directory usando as credenciais de um usuário que tenha permissões administrativas de domínio.
Na caixa de diálogo Executar, digite ADSIEDIT.MSC.
Na caixa diálogo do console de gerenciamento, expanda a pasta-contêiner do domínio.
Expanda a pasta-contêiner que contém contas de usuário, por exemplo CN=Users.
Localize o contêiner da Conta de Serviço do SQL Server, por exemplo CN=mosssqlsvc.
Clique com o botão direito do mouse na conta e clique em Propriedades.
Role para baixo a lista de propriedades da caixa de diálogo Conta de Serviço do SQL Server até encontrar servicePrincipalName.
Selecione a propriedade servicePrincipalName e clique em Editar.
No campo Valor a ser adicionado da caixa de diálogo Editor de Cadeia de Caracteres com Valores Múltiplos, digite o SPN MSSQLSvc/mosssql:1433 e clique em Adicionar. Depois, digite o SPN MSSQLSvc/mosssql.mydomain.com:1433 no campo e clique em Adicionar.
Clique em OK na caixa de diálogo Editor de Cadeia de Caracteres com Valores Múltiplos e clique em OK na caixa de diálogo das propriedades da conta de serviço do SQL Server.
Confirmar se a autenticação Kerberos é usada para conectar os servidores que executam o Office SharePoint Server 2007 para SQL Server
Instale as Ferramentas de Cliente do SQL em um dos servidores que executa o Office SharePoint Server 2007 e use-as para conectar-se do seu servidor que executa o Office SharePoint Server 2007 àqueles que executam o SQL Server. Este artigo não aborda as etapas de instalação das Ferramentas de Cliente do SQL em um dos servidores que executa o Office SharePoint Server 2007. Os procedimentos de confirmação são baseados nas seguintes suposições:
Você usa o SQL Server 2005 SP2 no host do SQL.
Você está conectado em um dos seus servidores que executa o Office SharePoint Server 2007, usando a conta mydomain\pscexec e instalou as Ferramentas de Cliente do SQL 2005 no servidor que executa o Office SharePoint Server 2007.
Execute o SQL Server 2005 Management Studio.
Quando a caixa de diálogo Conectar-se ao Servidor aparecer, digite o nome do computador host do SQL (neste exemplo, o computador host do SQL é o mosssql) e clique em Conectar para conectar-se ao computador host do SQL.
Para confirmar que a autenticação Kerberos tenha sido usada nesta conexão, execute o visualizador de eventos no computador host do SQL e examine o Log de eventos de segurança. Veja se há um registro de Auditoria com êxito para um evento da categoria Logon/Logoff similar aos dados mostrados nas tabelas a seguir:
Tipo de Evento
Auditoria com êxito
Fonte do evento
Segurança
Categoria de Evento
Logon/Logoff
ID de evento
540
Data
31.10.07
Hora
16:12:24
Usuário
MYDOMAIN\pscexec
Computador
MOSSSQL
Descrição
Um exemplo de um logon de rede bem-sucedido é descrito na tabela a seguir.
Nome do usuário
pscexec
Domínio
MYDOMAIN
ID de logon
(0x0,0x6F1AC9)
Tipo de logon
3
Processo de logon
Kerberos
Nome da estação de trabalho
GUID de logon
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Nome de usuário do chamador
Domínio do chamador
ID de logon do chamador
ID de processo do chamador
Serviços transitados
Endereço de rede de origem
192.168.100.100
Porta de origem
2465
Examine a entrada do log para confirmar se:
O nome de usuário está correto. A conta mydomain\pscexec efetuou o logon através da no host do SQL.
O tipo de logon é 3. Um logon tipo 3 é um logon de rede.
O processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma que o servidor que executa o Office SharePoint Server 2007 está usando a autenticação Kerberos para se comunicar com o host do SQL.
O endereço de rede de origem corresponde ao endereço IP do computador do qual a conexão foi feita.
Se sua conexão para hospedar o SQL falha com mensagem de erro semelhante a Impossível gerar contexto de SSPI, é provável que haja um problema com o SPN usado para a instância do SQL Server. Para solucionar problemas e corrigir isso, consulte o artigo Como solucionar problemas de mensagem de erro "Impossível gerar contexto de SSPI" (https://go.microsoft.com/fwlink/?LinkId=76621) do Microsoft Knowledge Base.
Configurar o Explorer Internet para incluir números de porta nos SPNs
Muitas versões do Internet Explorer não incluem os números de porta dos SPNs que criam. Para determinar se você está usando uma versão do Internet Explorer 6 que tenha esse problema, e as etapas necessárias para corrigi-lo, consulte o artigo O Internet Explorer 6 não pode usar o protocolo de autenticação Kerberos para conectar-se a sites que usam portas não padrão em Windows XP e Windows Server 2003 (https://go.microsoft.com/fwlink/?linkid=99681\&clcid=0x416) do Microsoft Knowledge Base. Você deve examinar muito cuidadosamente o número de versão da DLL relacionada neste artigo para determinar se a versão do Internet Explorer que você está usando exige a correção aqui descrita. Se a sua versão do Internet Explorer não criar um SPN com números de porta e você estiver usando aplicativos Web do Office SharePoint Server 2007 hospedados em servidores virtuais IIS ligados a portas não-padrão, você deve aplicar essa correção para poder acessar os aplicativos Web que usam a sua versão do Internet Explorer. No contexto deste artigo, você precisa garantir que a versão do Internet Explorer que você usa inclui números de porta nos SPNs que cria, porque o SPN que você adiciona ao Active Directory do aplicativo Web da Administração Central conterá um número de porta.
Criar SPNs para seus aplicativos Web usando a autenticação Kerberos
Em relação à autenticação Kerberos, não há nada especial com relação aos aplicativos Web do Office SharePoint Server 2007 baseado em IIS; a autenticação Kerberos os trata da mesma forma que qualquer outro site IIS.
Este processo exige conhecimento dos seguinte itens:
A classe de serviço do SPN (no contexto deste artigo, para aplicativos Web do Office SharePoint Server 2007, será sempre HTTP).
A URL de todos os aplicativos Web do Office SharePoint Server 2007 que usam autenticação Kerberos.
A parte do nome do host do SPN (real ou virtual; este artigo aborda os dois).
A parte do número da porta do SPN (no cenário aqui descrito, são usados aplicativos Web do Office SharePoint Server 2007 baseados em porta IIS e baseados em cabeçalho do host IIS).
As contas do Windows Active Directory para as quais os SPNs devem ser criados.
A tabela a seguir lista as informações do cenário descrito neste artigo:
| URL | Conta do Active Directory | SPN |
|---|---|---|
http://mossadmin.mydomain.net:10000 |
mossfarmadmin |
|
http://kerbportal.mydomain.net |
portalpool |
|
http://www.mydomain.com/ |
mysitepool |
|
http://www.mydomain.com/ |
sspadminpool |
|
Observações da tabela:
A primeira URL listada acima é da Administração Central e usa um número de porta. Você não precisa usar a porta 10000. Esse é apenas um exemplo usado para consistência em todo o artigo.
As três URLs seguintes são do site do portal, Meu Site e site Administração de Serviços Compartilhados, respectivamente.
Usar as orientações fornecidas acima para criar os SPNs necessários no Active Directory para oferecer suporte a autenticação Kerberos de seus aplicativos Web do Office SharePoint Server 2007. Você precisa efetuar logon em um controlador de domínio no seu ambiente usando uma conta que tenha permissões administrativas do domínio. Para criar os SPNs, você pode usar o utilitário SETSPN.EXE ou o snap-in ADSIEDIT.MSC mencionados anteriormente. Se usar o snap-in ADSIEDIT.MSC, consulte as instruções fornecidas anteriormente neste artigo para criar os SPNs. Certifique-se de criar os SPNs corretos para as contas corretas no Active Directory.
Implantar o farm de servidor
Implantar o farm servidor inclui as seguintes etapas:
Configurar o Office SharePoint Server 2007 em todos os servidores que executam o Office SharePoint Server 2007.
Executar o Assistente de Configuração dos Produtos e Tecnologias do SharePoint e criar um novo farm. Esta etapa inclui criar um aplicativo Web da Administração Central do Office SharePoint Server 2007 que ficará hospedado em um servidor virtual IIS ligado a uma porta não padrão e usará autenticação Kerberos.
Executar o Assistente de Configuração dos Produtos e Tecnologias do SharePoint e juntar os outros servidores ao farm.
Configurar Serviços em Servidores de seu farm para:
Serviço de pesquisa do Windows SharePoint Services 3.0
Indexação de Pesquisa do Office SharePoint Server 2007
Consulta de Pesquisa do Office SharePoint Server 2007
Criar aplicativos Web usados para o site do portal, Meu Site e o site Administração de Serviços Compartilhados usando autenticação Kerberos.
Criar um conjunto de sites usando o modelo do Portal de Colaboração no aplicativo Web do site do portal.
Criar um SSP para seu farm
Confirmar acesso bem-sucedido a aplicativos Web usando autenticação Kerberos.
Confirmar funcionalidade de Indexação de Pesquisa correta.
Confirmar funcionalidade de Consulta de Pesquisa correta.
Configurar sua infraestrutura de SSP para autenticação Kerberos. Essa etapa é opcional e exige a instalação da Atualização de infraestrutura para os Microsoft Office Servers.
Confirmar a funcionalidade do SSP usando autenticação Kerberos. Essa etapa é opcional e exige a instalação da Atualização de infraestrutura para os Microsoft Office Servers.
Instalar o Office SharePoint Server 2007 em todos os seus servidores
Trata-se do processo simples de executar a configuração do Office SharePoint Server 2007 para instalar os binários do Office SharePoint Server 2007 em seus servidores que executam o Office SharePoint Server 2007. Efetue logon em todos os computadores que executam o Office SharePoint Server 2007 usando a conta mydomain\pscexec. Não há instruções passo a passo para isso. Para o cenário descrito neste artigo, faça a instalação Completa do Office SharePoint Server 2007 em todos os servidores que exigem o Office SharePoint Server 2007.
Executar o Assistente de Configuração dos Produtos e Tecnologias do SharePoint e criar um novo farm
Para o cenários descritos neste artigo, primeiro execute o Assistente de Configuração de Produtos e Tecnologias do SharePoint do servidor de Indexação de Pesquisa MOSSADMIN, para que o MOSSADMIN hospede o aplicativo Web da Administração Central do Office SharePoint Server 2007.
No servidor MOSSCRAWL, depois da conclusão da instalação, a caixa de diálogo Instalação Concluída é exibida trazendo uma caixa de seleção marcada para executar o Assistente de Configuração de Produtos e Tecnologias do SharePoint. Deixe-a marcada e feche a caixa de diálogo para executar o Assistente de Configuração de Produtos e Tecnologias do SharePoint.
Ao executar o Assistente de Configuração de Produtos e Tecnologias do SharePoint neste computador, instrua o Assistente para criar um novo farm usando as seguintes configurações:
Forneça o nome do servidor do banco de dados (neste artigo, o nome do servidor é MOSSSQL).
Forneça o nome do banco de dados de configuração (você pode usar o padrão ou estipular um nome de sua escolha).
Forneça as informações da conta de acesso do banco de dados (administrador do farm). Usando o cenário deste artigo, a conta é mydomain\mossfarmadmin.
Forneça as informações exigidas pelo aplicativo Web da Administração Central do Office SharePoint Server 2007. Usando o cenário deste artigo, as informações são:
Número da porta do aplicativo Web da Administração Central: 10000
Método de autenticação: Negociar
Depois que você fornece todas as informações necessárias, o Assistente de Configuração de Produtos e Tecnologias do SharePoint deveria concluir com êxito. Neste caso, confirme se você consegue acessar a home page do aplicativo Web da Administração Central do Office SharePoint Server 2007 usando a autenticação Kerberos. Para isso, realize as etapas a seguir:
Efetue logon em outro servidor que execute o Office SharePoint Server 2007 ou outro computador do domínio mydomain como mydomain\pscexec. Não é recomendável verificar o comportamento correto da autenticação Kerberos diretamente no computador que hospeda o aplicativo Web da Administração Central do Office SharePoint Server 2007. Isso deve ser feito de outro computador do domínio.
Inicie o Explorer Internet no servidor e tente entrar na URL: http://mossadmin.MYDOMAIN.net:10000. A home page da Administração Central deve processar.
Para confirmar que a autenticação Kerberos foi usada para acessar a Administração Central, volte para o computador chamado MOSSADMIN, execute o visualizador de eventos e observe o log de segurança. Você deveria ver um registro de Auditoria com êxito similar à tabela a seguir:
Tipo de Evento
Auditoria com êxito
Fonte do evento
Segurança
Categoria de Evento
Logon/Logoff
ID de evento
540
Data
01.11.07
Hora
14:22:20
Usuário
MYDOMAIN\pscexec
Computador
MOSSADMIN
Descrição
Um exemplo de um logon de rede bem-sucedido é descrito na tabela a seguir.
Nome do usuário
pscexec
Domínio
MYDOMAIN
ID de logon
(0x0,0x1D339D3)
Tipo de logon
3
Processo de logon
Kerberos
Pacote de autenticação
Kerberos
Nome da estação de trabalho
Logon GUID
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Nome de usuário do chamador
Domínio do chamador
ID de logon do chamador
ID de processo do chamador
Serviços transitados
Endereço de rede de origem
192.168.100.100
Porta de origem
2505
Exame deste registro de log mostra o mesmo tipo de informações que na entrada do log anterior:
Confirme se o nome de usuário está correto; a conta mydomain\pscexec conectada pela rede ao servidor que executa o Office SharePoint Server 2007 hospeda a Administração Central.
Confirme se o tipo de logon é 3. Um tipo de logon 3 é um logon de rede.
Confirme se o processo de logon e o pacote de autenticação usam a autenticação Kerberos. Isso confirma que a autenticação Kerberos é usada para acessar o aplicativo Web da Administração Central.
Confirme se o endereço de rede de origem corresponde ao endereço IP do computador do qual a conexão foi feita.
Se a home page da Administração Central falhar ao processar e uma mensagem de erro não autorizada aparecer, há alguma falha na autenticação Kerberos. Geralmente, há duas causas para essa falha:
O SPN do Active Directory não foi registrado para a conta correta. Ele deveria ter sido registrado para mydomain\mossfarmadmin.
O SPN do Active Directory não corresponde ao SPN criado pelo Internet Explorer ou pode estar inválido. A causa mais comum para isso é o Internet Explorer não criar um SPN que contenha o número de porta correto. Consulte a seção anterior chamada Configurar o Explorer Internet para incluir números de porta nos SPNs para corrigir esse problema. Talvez você tenha omitido o número de porta do SPN que você registrou no Active Directory. De qualquer forma, corrija o problema e e verifique se a Administração Central está funcionando, usando a autenticação Kerberos, antes de proceder.
Dica
Um farejador de rede, como o Microsoft Network Monitor, pode ser usado como auxílio de diagnóstico para saber o que acontece na rede, fazendo um rastreamento durante a navegação da Administração Central. Depois da falha, examine o rastreamento e procure os pacotes do protocolo KerberosV5. Tente achar o pacote com SPN criado pelo Internet Explorer. Se o SPN não contiver um número de porta, você precisa aplicar a correção descrita na seção Configurar o Explorer Internet para incluir números de porta nos SPNs. Se o SPN do rastreamento estiver correto, pode ser que o SPN do Active Directory seja inválido ou tenha sido registrado para a conta errada.
Execute o Assistente de Configuração de Produtos e Tecnologias do SharePoint e junte os outros servidores ao farm
Agora que o farm foi criado e que você consegue acessar a Administração Central com êxito usando a autenticação Kerberos, você precisa executar o Assistente de Configuração de Produtos e Tecnologias do SharePoint e juntar os outros servidores ao farm.
Em cada um dos outros quatro servidores que executam o Office SharePoint Server 2007 (mossfe1, mossfe2, mossquery e mosscrawl), a instalação do Office SharePoint Server 2007 deveria ter sido concluída e a caixa de diálogo deveria aparecer com a caixa de seleção do Assistente de Configuração de Produtos e Tecnologias do SharePoint marcada. Deixe-a marcada e feche a caixa de diálogo de conclusão para executar o Assistente de Configuração de Produtos e Tecnologias do SharePoint. Realize o procedimento para juntar cada uma dos servidores ao farm.
Depois da conclusão do Assistente de Configuração de Produtos e Tecnologias do SharePoint em cada servidor que você adiciona ao farm, verifique se cada um dos servidores pode processar a Administração Central, que é executada no servidor MOSSADMIN. Se algum dos servidores falhar ao processar a Administração Central, realize as etapas apropriadas para solucionar o problema antes de prosseguir.
Configurar serviços dos servidores de seu farm
Configure serviços específicos do Windows SharePoint Services 3.0 e do Office SharePoint Server 2007 para executar em servidores específicos que executam o Windows SharePoint Services 3.0 e o Office SharePoint Server 2007 no farm, usando as contas indicadas nas seções a seguir.
Dica
Esta seção não fornece descrição aprofundada da interface do usuário. Somente instruções de nível elevado são fornecidas. Você deveria estar familiarizado com a Administração Central e como realizar as etapas necessárias antes de prosseguir.
Acesse a Administração Central e realize as etapas a seguir para configurar os serviços nos servidores indicados, usando as contas indicadas.
Pesquisa do Windows SharePoint Services
Na página do Serviços no Servidor da Administração Central:
Selecione o servidor MOSSQUERY.
Na lista de serviços que aparece próxima à parte central da página, localize o serviço de Pesquisa do Windows SharePoint Services 3.0 e clique em Iniciar na coluna Ação.
Na página seguinte, forneça as credenciais da conta de serviço de pesquisa do Windows SharePoint Services 3.0 e da conta de Acesso a Conteúdo do Windows SharePoint Services 3.0. No cenário deste artigo, a conta de serviço de pesquisa do Windows SharePoint Services 3.0 é mydomain\wsssearch e a conta de acesso a conteúdo do Windows SharePoint Services 3.0 é mydomain\wsscrawl. Digite os nomes das contas e as senhas nos locais designados na página e clique em Iniciar.
Servidor de indexação
Na página Serviços no Servidor da Administração Central:
Selecione o servidor MOSSCRAWL.
Na lista de serviços que aparece próxima à parte central da página, localize o serviço de Pesquisa do Office SharePoint Server 2007 e clique em Iniciar na coluna Ação.
Na página seguinte, marque a caixa de seleção Use este servidor para indexação de conteúdo e forneça as credenciais da conta de serviço de pesquisa do Office SharePoint Server 2007. No cenário deste artigo, a conta de serviço de pesquisa do Office SharePoint Server 2007 é mydomain\mosssearch. Digite os nomes das conta e as senhas nos locais designados na página e clique em Iniciar.
Servidor de consulta
Na página Serviços no Servidor da Administração Central:
Selecione o servidor MOSSQUERY.
Na lista de serviços que aparece próxima à parte central da página, localize o serviço de Pesquisa do Office SharePoint Server 2007 e clique no nome do serviço da coluna Serviço.
Na página seguinte, marque a caixa de seleção Use este servidor para fazer consultas de pesquisa e clique em OK.
Criar aplicativos Web usando a autenticação Kerberos
Nesta seção crie aplicativos que são usados no site do portal, Meu Site e site Administração de Serviços Compartilhados no farm.
Dica
Esta seção não fornece descrição aprofundada da interface do usuário. Somente instruções de nível elevado são fornecidas. Você deveria estar familiarizado com a Administração Central e como realizar as etapas necessárias antes de prosseguir.
Criar o aplicativo Web do site do portal
Na página Gerenciamento de Aplicativo da Administração Central, clique em Criar ou Estender Aplicativo Web.
Na página seguinte, clique em Criar Novo Aplicativo Web.
Na página seguinte, verifique se a opção Criar um Novo Site do IIS está selecionada.
No campo Descrição, digite PortalSite.
No campo Porta , digite 80.
No campo Cabeçalho de Host, digite kerbportal.mydomain.net.
Certifique-se de que Negociar esteja selecionado como provedor da autenticação do aplicativo Web.
Crie o aplicativo Web na zona Padrão. Não modifique a zona do aplicativo Web.
Certifique-se de que Criar novo pool de aplicativos esteja selecionado.
No campo Nome do Pool de Aplicativos, digite PortalAppPool.
Certifique-se de que Configurável esteja selecionado. No campo Nome do usuário, digite a conta mydomain\portalpool.
Clique em OK.
Confirme se o aplicativo Web foi criado com êxito.
Dica
Se quiser usar uma conexão SSL e ligar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você precisa instalar o certificado curinga do SSL. Ao usar uma ligação do cabeçalho do host IIS em um site IIS configurado para SSL, você precisa usar um certificado curinga do SSL. Para obter mais informações sobre cabeçalhos de host do SSL, consulte Configurando Cabeçalhos de Host do SSL (IIS 6.0) (em inglês) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416) (em inglês).
Criar o aplicativo Web Meu Site
Na página Gerenciamento de Aplicativos da Administração Central, clique em Criar ou Estender Aplicativo Web.
Na página seguinte, clique em Criar Novo Aplicativo Web.
Na página seguinte, verifique se a opção Criar um Novo Site do IIS está selecionada.
No campo Descrição, digite Meu Site.
No campo Porta , digite 80.
No campo Cabeçalho de Host, digite kerbmysite.mydomain.net.
Certifique-se de que Negociar esteja selecionado como provedor da autenticação do aplicativo Web.
Crie o aplicativo Web na zona Padrão. Não modifique a zona do aplicativo Web.
Certifique-se de que Criar novo pool de aplicativos esteja selecionado.
No campo Nome do Pool de Aplicativos, digite MySiteAppPool.
Certifique-se de que Configurável esteja selecionado. No campo Nome do usuário, digite a conta mydomain\mysitepool.
Clique em OK.
Confirme se o aplicativo Web foi criado com êxito.
Dica
Se quiser usar uma conexão SSL e ligar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você precisa instalar o certificado curinga do SSL. Ao usar uma ligação do cabeçalho do host IIS em um site IIS configurado para SSL, você precisa usar um certificado curinga do SSL. Para obter mais informações sobre cabeçalhos de host do SSL, consulte Configurando Cabeçalhos de Host do SSL (IIS 6.0) (em inglês) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416) (em inglês).
Criar o aplicativo Web do site Administração de Serviços Compartilhados
Na página Gerenciamento de Aplicativo da Administração Central, clique em Criar ou Estender Aplicativo Web.
Na página seguinte, clique em Criar Novo Aplicativo Web.
Na página seguinte, verifique se a opção Criar um Novo Site do IIS está selecionada.
No campo Descrição, digite SSPAdminSite.
No campo Porta , digite 80.
No campo Cabeçalho de Host, digite kerbportal.mydomain.net.
Certifique-se de que Negociar esteja selecionado como provedor da autenticação do aplicativo Web.
Crie o aplicativo Web na zona Padrão. Não modifique a zona do aplicativo Web.
Certifique-se de que Criar novo pool de aplicativos esteja selecionado.
No campo Nome do Pool de Aplicativos, digite SSPAdminSiteAppPool.
Certifique-se de que Configurável esteja selecionado. No campo Nome do usuário, digite a conta mydomain\sspadminpool.
Clique em OK.
Confirme se o aplicativo Web foi criado com êxito.
Dica
Se quiser usar uma conexão SSL e ligar o aplicativo Web à porta 443, digite 443 no campo Porta e selecione Usar SSL na página Criar Novo Aplicativo Web. Além disso, você precisa instalar o certificado curinga do SSL. Ao usar uma ligação do cabeçalho do host IIS em um site IIS configurado para SSL, você precisa usar um certificado curinga do SSL. Para obter mais informações sobre cabeçalhos de host do SSL, consulte Configurando Cabeçalhos de Host do SSL (IIS 6.0) (em inglês) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x416) (em inglês).
Criar um conjunto de sites usando o modelo Portal de Colaboração no aplicativo Web do site do portal
Nesta seção, você cria um conjunto de sites no site do portal do aplicativo Web criado para este fim.
Dica
Esta seção não fornece descrição aprofundada da interface do usuário. Somente instruções de nível elevado são fornecidas. Você deveria estar familiarizado com a Administração Central e como realizar as etapas necessárias antes de prosseguir.
Na página Gerenciamento de Aplicativos da Administração Central, clique em Criar Conjunto de Sites.
Na página seguinte, certifique-se de que tenha selecionado o aplicativo Web correto. Para o exemplo deste artigo, selecione http://kerbportal.mydomain.net.
Forneça o título e a descrição que deseja usar para este conjunto de sites.
Deixe o endereço do site inalterado.
Na seção Seleção de Modelo em Selecione um Modelo, clique na guia Publicação e selecione o modelo Portal de Colaboração.
Na seção Administrador do Conjunto de Sites Primário, digite mydomain\pscexec.
Especifique o Administrador do Conjunto de Sites Secundário que deseja usar.
Clique em OK.
Confirme se o conjunto de sites do portal foi criado com êxito.
Criar um SSP para seu farm
Crie um SSP para o farm
Dica
Esta seção não fornece descrição aprofundada da interface do usuário. Somente instruções de nível elevado são fornecidas. Você deveria estar familiarizado com a Administração Central e como realizar as etapas necessárias antes de prosseguir.
Na página Gerenciamento de Aplicativos da Administração Central, clique em Criar ou configurar os serviços compartilhados deste farm.
Na página seguinte, clique em Novo SSP.
Na página seguinte, na seção Nome do SSP, digite SSP1 no campo Nome do SSP. No campo Aplicativo Web, selecione o aplicativo Web criado para o aplicativo Web do site Administração de Serviços Compartilhados. Para o exemplo deste artigo, selecione o aplicativo Web chamado SSPAdminSite.
Na seção MySite, campo aplicativo Web, selecione o aplicativo Web criado para o site Meu Site. Para o exemplo deste artigo, selecione o aplicativo Web chamado MySite.
Na seção Credenciais dos Serviços do SSP, campo Nome do usuário, digite mydomain\sspsvc.
Clique em OK.
Confirme se o SSP do farm foi criado com êxito.
Confirmar o acesso bem-sucedido a aplicativos Web usando a autenticação Kerberos
Confirme se a a autenticação Kerberos está funcionando para os aplicativos Web criados recentemente. Comece pelo site do portal.
Para isso, realize as etapas a seguir:
Efetue logon no servidor que executa o Office SharePoint Server 2007 e não nos servidores Web de front-end configurados no NLB como mydomain\pscexec. Não é recomendável verificar o comportamento correto da autenticação Kerberos diretamente nos computadores que hospedam os sites de balanceamento de carga que usam autenticação Kerberos. Isso deve ser feito de outro computador do domínio.
Inicie o Explorer Internet no outro sistema e tente entrar na URL: http://kerbportal.MYDOMAIN.NET.
A home page do site do portal autenticado por Kerberos deveria processar.
Para confirmar que a autenticação Kerberos tenha sido usada para acessar o site do portal, em um dos servidores Web front-end de balanceamento de carga, execute o visualizador de eventos e examine o log de segurança. Veja se há um registro de Auditoria com êxito, similar à tabelas a seguir, em um dos servidores Web front-end. Talvez seja necessário procurar nos dois servidores Web front-end, dependendo do sistema que atendeu a solicitação do balanceamento de carga.
Tipo de Evento |
Auditoria com êxito |
Fonte do evento |
Segurança |
Categoria de Evento |
Logon/Logoff |
ID de evento |
540 |
Data |
01.11.07 |
Hora |
17:08:20 |
Usuário |
MYDOMAIN\pscexec |
Computador |
mossfe1 |
Descrição |
Um exemplo de um logon de rede bem-sucedido é descrito na tabela a seguir.
Nome do usuário |
pscexec |
Domínio |
MYDOMAIN |
ID de logon |
(0x0,0x1D339D3) |
Tipo de logon |
3 |
Processo de logon |
Autenticação Kerberos |
Nome da estação de trabalho |
|
GUID de logon |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Nome de usuário do chamador |
|
Domínio do chamador |
|
ID de logon do chamador |
|
ID de processo do chamador |
|
Serviços transitados |
|
Endereço de rede de origem |
192.168.100.100 |
Porta de origem |
2505 |
Exame deste registro de log mostra o mesmo tipo de informações que na entrada do log anterior:
Confirme se o nome de usuário está correto; a conta mydomain\pscexec conectada pela rede ao servidor Web front-end que executa o Office SharePoint Server 2007 hospeda o site do portal.
Confirme se o tipo de logon é 3. Um tipo de logon 3 é um logon de rede.
Confirme se o processo de logon e o pacote de autenticação usam autenticação Kerberos. Isso confirma que a autenticação Kerberos é usada par acessar o site do portal.
Confirme se o endereço de rede de origem corresponde ao endereço IP do computador do qual a conexão foi feita.
Se a home page da Administração Central falhar ao processar e uma mensagem de erro “não autorizada” aparecer, há alguma falha na autenticação Kerberos. Geralmente, há duas causas para essa falha:
O SPN do Active Directory não foi registrado para a conta correta. Ele deveria ter sido registrado para mydomain\portalpool, o aplicativo Web do site do portal.
O SPN do Active Directory não corresponde ao SPN criado pelo Internet Explorer ou pode estar inválido. Neste caso, como você usa os cabeçalhos de host do IIS sem números de porta explícitos, o SPN registrado no Active Directory é diferente do cabeçalho de host do IIS especificado quando você estendeu o aplicativo Web. Você precisa corrigir isso para fazer a autenticação Kerberos funcionar.
Dica
Um farejador de rede, como o Microsoft Network Monitor, pode ser usado como auxílio de diagnóstico para saber o que acontece na rede, fazendo um rastreamento durante a navegação da Administração Central. Depois da falha, examine o rastreamento e procure os pacotes do protocolo KerberosV5. Tente achar o pacote com SPN criado pelo Internet Explorer. Se o SPN não contiver um número de porta, você precisa aplicar a correção descrita na seção Configurar o Explorer Internet para incluir números de porta nos SPNs. Se o SPN do rastreamento estiver correto, pode ser que o SPN do Active Directory seja inválido ou tenha sido registrado para a conta errada.
Depois que a autenticação Kerberos estiver funcionando no site do portal, vá para os sites Meu Site e Administração de Serviços Compartilhados autenticados por Kerberos usando as URLs:
Dica
A primeira vez que você acessa a URL do Meu Site, o Office SharePoint Server 2007 leva alguns momentos para criar o Meu Site do usuário conectado. Contudo, isso funcionará, e a página Meu Site desse usuário será processada.
Os dois deveriam funcionar corretamente. Caso contrário, consulte as etapas de solução de problemas que precedem.
Confirmar funcionalidade de Indexação de Pesquisa correta
Confirme se a Indexação de Pesquisa está rastreando com êxito o conteúdo hospedado no farm. Esta etapa deve ser executada antes de confirmar os resultados da Consulta de Pesquisa dos usuários que acessam os sites usando a autenticação Kerberos.
Dica
Esta seção não fornece descrição aprofundada da interface do usuário. Somente instruções de nível elevado são fornecidas. Você deveria estar familiarizado com a Administração Central e como realizar as etapas necessárias antes de prosseguir.
Acesse aplicativo Web do site Administração de Serviços Compartilhados em http://www.mydomain.com/.
Nesta página, clique em Definições de Pesquisa.
Na página seguinte, clique em Fontes de Conteúdo e Agendamentos de Rastreamento.
Na página seguinte, acesse o ECB das Fontes de Conteúdo do Office SharePoint Server e selecione Iniciar Rastreamento Completo na lista suspensa.
Aguarde o fim do rastreamento. Se houver falha, você precisa investigá-la e corrigi-la, e executar um rastreamento completo. Se o rastreamento falhar com erros de "acesso negado", pode ser que a conta de rastreamento não tenha acesso às fontes de conteúdo ou houve falha da autenticação Kerberos. Independente da causa, o erro deve ser corrigido antes das etapas subsequentes.
Você precisa concluir um rastreamento completo dos aplicativos autenticados por Kerberos para prosseguir.
Confirmar a funcionalidade de Consulta de Pesquisa correta
Para confirmar se a Consulta de Pesquisa devolve resultados aos usuários que acessam o site do portal que usa autenticação Kerberos:
Inicie o Explorer Internet em um sistema do MYDOMAIN.NET e vá para http://kerbportal.MYDOMAIN.NET.
Quando a home page do site do portal for processada, digite a palavra-chave no campo Pesquisar campo e pressione ENTER .
Confirme se os resultados da consulta de pesquisa retornam. Caso contrário, confirme se a palavra-chave inserida é válida na sua implantação, que a Indexação de Pesquisa foi executada corretamente, que o serviço de Pesquisa é executado na Indexação de Pesquisa, e que não há problemas com a propagação de pesquisa do servidor de Índice de Pesquisa para o servidor de Consulta de Pesquisa.
Configurar a infraestrutura SSP para autenticação Kerberos
Dica
Este procedimento opcional exige a instalação da Atualização de infraestrutura para os Microsoft Office Servers. Sem a instalação da Atualização de infraestrutura para os Microsoft Office Servers, a autenticação Kerberos não pode ser corretamente configurada para o Office SharePoint Server 2007.
A Atualização de infraestrutura para os Microsoft Office Servers inclui um novo SPN de formato personalizado da autenticação Kerberos para a infraestrutura do SSP. O SPN de formato personalizado apresenta uma nova Classe de Serviço: MSSP. O SPN de formato personalizado apresenta o formato: MSSP/<host:porta>/<Nome do SSP>.
O novo SPN de formato personalizado define uma propriedade do .NET Framework para que o .NET Framework um SPN específico para uma certa URI. É o .NET Framework que é usado para fazer chamadas entre servidores aos serviços Web da infraestrutura do SSP do Office SharePoint Server 2007.
Se você examinar a infraestrutura SSP de um servidor de aplicativos do Office SharePoint Server 2007, você verá que há um Serviço de pesquisa compartilhada no nível da raiz e no nível da memória virtual no IIS. Há também ECS (Serviços de Cálculo do Excel) compartilhados no nível da memória virtual no IIS. Depois da infraestrutura SSP ser configurada para autenticação Kerberos, o Kerberos será usado para acessar os serviços compartilhados no nível da raiz e no nível do diretório virtual.
Você não precisa registrar os SPNs para os serviços Web de nível de raiz. Você só precisa registrar os SPNs dos serviços Web de nível de diretório virtual. Isso ocorre porque quando um computador é ingressado em um domínio, um SPN de classe de host é automaticamente registrado para a conta do computador no domínio e o SPN funcionará para o serviço Web de nível de raiz. Entretanto, é necessário registrar os SPNs correspondentes aos diretórios virtuais que realmente estão correlacionados aos SSPs em seu farm.
Para configurar a infraestrutura SSP com êxito para a autenticação Kerberos você precisa executar as seguintes etapas:
Registrar novos SPNs de formato personalizado para sua conta de serviço de SSP no Active Directory.
Execute a ferramenta de linha de comando Stsadm para definir que a infraestrutura SSP use a autenticação Kerberos.
Adicionar nova chave de Registro a todos os servidores que executam o Office SharePoint Server 2007 para habilitar a geração de novos SPNs de formato personalizado.
Confirmar autenticação Kerberos para acesso a serviço Web compartilhado de nível de raiz.
Confirmar autenticação Kerberos para acesso a serviço Web compartilhado de nível de diretório virtual.
Dica
No procedimento anterior, as etapas 4 e 5 pertencem ao serviço Web compartilhado searchadmin.asmx. Esse serviço Web compartilhado relacionado à Pesquisa fica localizado no nível de raiz da infraestrutura do SSP e no nível do diretório virtual da infraestrutura do SSP. O serviço compartilhado de Pesquisa do nível de raiz é como um serviço Web global que faz parte das configurações de serviço de Pesquisa do Office SharePoint Server 2007 no nível dos Serviços no Servidor na Administração Central do Office SharePoint Server 2007. O serviço compartilhado de Pesquisa do nível de diretório virtual corresponde a uma SSP específico do farm e é usado na configuração de definições específicas de Pesquisa ao SSP no site Administração de Serviços Compartilhados. Ao executar as etapas para verificar a autenticação Kerberos do acesso aos serviços compartilhados de nível de raiz, você não verá a geração nem usará os SPNs de novo formato. Você verá somente os SPNs de novo formato ao acessar o serviço Web de nível de diretório virtual; contudo, você precisa verificar que o acesso ao serviço compartilhado funciona nos dois níveis.
Registrar novos SPNs de formato personalizado para sua conta de serviço de SSP no Active Directory
Neste artigo, a conta de serviço SSP é mydomain\sspsvc e o nome do SSP que você criou é SSP1. A infraestrutura SSP existe em todos os servidores do farm. Portanto, os SPNs que se referem a todos os servidores que executam o Office SharePoint Server 2007 devem ser criados. Como a infraestrutura do SSP é ligada à porta TCP 56737 e à porta SSL 56738, você precisa que os SPNs incluam os dois números de porta. Por causa disso, são necessários dois SPNs para cada servidor de aplicativos. Para os exemplos usados neste artigo, você precisará criar 10 SPNs.
Execute o procedimento a seguir para criar os SPNs de sua infraestrutura SSP:
Faça logon no controlador de domínio do Active Directory usando as credenciais de um usuário que tenha permissões administrativas de domínio.
Na caixa de diálogo Executar, digite ADSIEDIT.MSC.
Na caixa diálogo Console de Gerenciamento, expanda a pasta-contêiner do domínio.
Expanda a pasta-contêiner de contas usuário, por exemplo CN=Users.
Localize o contêiner da conta de serviço SSP, por exemplo CN=sspsvc.
Clique com o botão direito do mouse na conta de serviço SSP e clique em Propriedades.
Role para baixo a lista de propriedades da caixa de diálogo da conta de Serviço do SSP até encontrar servicePrincipalName.
Selecione o ServicePrincipalName propriedade e clique Editar .
No campo Valor a Ser Adicionado da caixa de diálogoEditor de Cadeia de Caracteres com Valores Múltiplos, adicione os seguintes SPNs:
MSSP/mossfe1:56737/SSP1
MSSP/mossfe1:56738/SSP1
MSSP/mossfe2:56737/SSP1
MSSP/mossfe2:56738/SSP1
MSSP/mossadmin:56737/SSP1
MSSP/mossadmin:56738/SSP1
MSSP/mosscrawl:56737/SSP1
MSSP/mosscrawl:56738/SSP1
MSSP/mossquery:56737/SSP1
MSSP/mossquery:56738/SSP1
Executar a ferramenta de linha de comando Stsadm para definir que a infraestrutura SSP use a autenticação Kerberos
Para configurar sua infraestrutura SSP para usar a autenticação Kerberos, execute o seguinte procedimento:
Faça logon no controlador de domínio do Active Directory usando as credenciais de um usuário que tenha permissões administrativas de domínio.
Em um dos seus servidores que executa o Office SharePoint Server 2007, abra o prompt de comando.
Mude para este diretório: %COMMONPROGRAMFILES%\Microsoft Shared\Web servidor extensions\12\bin.
Digite o seguinte comando: stsadm –o setsharedwebserviceauthn –negotiate e pressione ENTER.
Certifique-se que o comando seja executado com êxito antes de prosseguir.
Quando o procedimento for concluído, o comando se aplicará a todos os SSPs que você criar em seu farm, incluindo SSPs que você criar depois de ter executado esse comando com êxito.
Adicionar nova chave de Registro a todos os servidores que executam o Office SharePoint Server para habilitar geração de novos SPNs de formato personalizado
A geração dos novos SPNs de formato personalizado é controlada por meio da configuração de uma nova chave do Registro apresentada com a Atualização de infraestrutura para os Microsoft Office Servers. Para habilitar a geração dos novos SPNs de formato personalizado, a chave Registro deve ser adicionada a todos os servidores do farm e todos os servidores devem ser reiniciados.
Execute as seguintes etapas para habilitar o novo comportamento. Em cada servidor do farm:
Faça logon como um administrador local.
Execute o Editor de Registro e adicione a nova chave de registro: HKLM\Software\Microsoft\Office Server\12.0\KerberosSpnFormat” (REG_DWORD) = 1
Reinicie o servidor. É importante saber que é necessário reiniciar o servidor para que a nova chave de registro seja efetivada.
Aviso
A edição incorreta do Registro pode danificar gravemente o sistema. Antes de fazer quaisquer alterações no Registro, convém fazer backup de todos os dados valiosos do computador.
Confirmar autenticação Kerberos para acesso a serviços compartilhados do nível de raiz
Para confirmar a autenticação Kerberos para serviços compartilhados de nível de raiz, realize o seguinte procedimento:
Faça logon no computador que hospeda o aplicativo Web da Administração Central. Se estiver usando o exemplo deste artigo, faça logon no MOSSADMIN.
Vá para a Administração Central em http://mossadmin.mydomain.net:10000
Na home page da Administração Central, clique em Operações.
Na página Operações, clique em Serviços no Servidor.
Na seção Servidor, clique na seta suspensa para exibir a lista de servidores do farm e clique no servidor de Consulta de Pesquisa. Se estiver usando o exemplo deste artigo, selecione MOSSQUERY.
Depois que a página for atualizada, confirme se está apontando para o servidor de consulta correta e, na seção Serviço, clique em Office SharePoint Server Search.
Confirme se as Definições de Serviço do Office SharePoint Server Search do servidor mossquery são exibidas.
Execute as etapas a seguir para confirmar que a autenticação Kerberos tenha sido usada para processar a página:
Faça logon no servidor da Consulta de Pesquisa. Usando o exemplo deste artigo, efetue logon no computador MOSS chamado MOSSQUERY.
Execute o visualizador de eventos do Windows.
Examine o log de eventos de segurança.
Você deveria achar um registro de log similar aos dados mostrados na tabela a seguir:
Tipo de Evento
Auditoria com êxito
Fonte do evento
Segurança
Categoria de Evento
Logon/Logoff
ID de evento
540
Data
6/5/2008
Hora
12:12:17
Usuário
MYDOMAIN\pscexec
Computador
MOSSQUERY
Descrição
Um exemplo de um logon de rede bem-sucedido é descrito na tabela a seguir.
Nome do usuário |
pscexec |
Domínio |
MYDOMAIN |
ID de logon |
(0x0,0x7252B10) |
Tipo de logon |
3 |
Processo de logon |
Kerberos |
Pacote de autenticação |
Kerberos |
Nome da estação de trabalho |
|
GUID de logon |
{a96a9450-3af5-d82e-3bb3-8cd65c8e5c49} |
Nome de usuário do chamador |
|
Domínio do chamador |
|
ID de logon do chamador |
|
ID de processo do chamador |
|
Serviços transitados |
|
Endereço de rede de origem |
192.168.100.100 |
Porta de origem |
1964 |
Importante
Repita o procedimento para o servidor de Indexação de Pesquisa para confirmar se a página é processada e se há um registro de log do visualizador de eventos indicando que o pacote de autenticação Kerberos foi usado para acessar a página.
Confirmar autenticação Kerberos para acesso a serviços compartilhados de nível de diretório virtual
Esta é a etapa final de configuração e implantação de um farm de servidor que executa o Office SharePoint Server 2007 usando a autenticação Kerberos.
Para confirmar se a autenticação Kerberos é usada para acessar os serviços compartilhados de nível de diretório virtual, execute o seguinte procedimento:
Vá para a home page da Administração de Serviços Compartilhados.
Determine os servidores Web front-end com carga balanceada que respondem à solicitação.
No servidor Web front-end que responde à solicitação, execute o Monitor de Rede e aplique o filtro para capturar os pacotes do protocolo KerberosV5. Usando o Network Monitor 3.2, o filtro de captura seria protocol.KerberosV5.
Inicie uma detecção do Network de Rede.
Na home page do site Administração de Serviços Compartilhados, clique em Definições de Pesquisa.
Confirme se a página Definições de Pesquisa é exibida.
Pare a detecção e examine os pacotes capturados. Você deve ver pacotes do protocolo Kerberos com descrições que são semelhantes às mostradas no seguinte exemplo:
KerberosV5:AS Request Cname: sspadminpool Realm: MYDOMAIN.NET Sname: krbtgt/MYDOMAIN.NET
KerberosV5:AS Response Ticket Realm: MYDOMAIN.NET, Sname: krbtgt/MYDOMAIN.NET
KerberosV5:TGS Request Realm: MYDOMAIN.NET Sname: MSSP/mosscrawl:56738/SSP1
KerberosV5:TGS Response Cname: sspadminpool
O valor Sname do exemplo anterior (MSSP/mosscrawl:56738/SSP1) é o SPN de novo formato gerado e enviado ao Kerberos KDC como resultado das alterações incluídas na Atualização de infraestrutura para os Microsoft Office Servers.
Faça logon no servidor de indexação (no exemplo deste artigo, o servidor de indexação é MOSSCRAWL). Execute o visualizador de eventos e examine o log de segurança. Você deveria ver uma entrada semelhante aos dados mostrados na tabela a seguir:
Tipo de Evento |
Auditoria com êxito |
Fonte do evento |
Segurança |
Categoria de Evento |
Logon/Logoff |
ID de evento |
540 |
Data |
6/5/2008 |
Hora |
13:21:04 |
Usuário |
MYDOMAIN\sspadminpool |
Computador |
MOSSCRAWL |
Descrição |
Um exemplo de um logon de rede bem-sucedido é descrito na tabela a seguir.
Nome do usuário |
sspadminpool |
Domínio |
MOSSCRAWL |
ID de logon |
(0x0,0xD84A6) |
Tipo de logon |
3 |
Processo de logon |
Kerberos |
Pacote de autenticação |
Kerberos |
Nome da estação de trabalho |
|
GUID de logon |
{2f1cccb3-c10d-27e5-9896-0f918e8ad796} |
Nome de usuário do chamador |
|
Domínio do chamador |
|
ID de logon do chamador |
|
ID de processo do chamador |
|
Serviços transitados |
|
Endereço de rede de origem |
192.168.150.100 |
Porta de origem |
1513 |
Limitações de configuração
Há algumas limitações de configuração com relação à utilização da autenticação Kerberos para a infraestrutura SSP usando a Atualização de infraestrutura para os Microsoft Office Servers:
A parte do nome de host dos novos SPNs criados será o nome da NetBIOS do host que executa o serviço, por exemplo: MSSP/kerbtest4:56738/SSP1. Isso ocorre porque os nomes de host são procurados no banco de dados de configuração do Office SharePoint Server 2007 e somente nomes de computador NetBIOS são armazenados no banco de dados de configuração do Office SharePoint Server 2007. Isso pode ser ambíguo em determinadas situações. Atualmente, a ferramenta de linha de comando Stsadm para renomear um servidor que executa o Office SharePoint Server 2007 não pode ser usado com êxito para renomear um servidor que executa o Office SharePoint Server 2007. Portanto, não há solução alternativa para esse problema.
Não use nomes SSP contendo caracteres estendidos. Um SPN com um nome SSP que contenha caracteres estendidos não pode ser selecionados como o destino de delegação. Portanto, evite usar caracteres estendidos em nomes SSP.
Recursos adicionais e orientação sobre solução de problemas
Sobre o autor
Mark Grossbard é engenheiro de testes, MOSS Core Test, do Office SharePoint Server na Microsoft.
Baixar este manual
Para facilitar a leitura e a impressão, este tópico está incluído no seguinte manual que pode ser baixado:
Consulte a lista completa de manuais disponíveis na biblioteca técnica do Office SharePoint Server (em inglês).