Поделиться через

Шаг 3. Подготовка сервера PAM

  • Статья

« Шаг 2Шаг 4 »

Установка Windows Server 2016 или 2019

На третьей виртуальной машине установите Windows Server 2016 или 2019, чтобы создать PAMSRV. Так как на этом компьютере будет установлена SQL Server служба MIM и, при необходимости, SharePoint 2013, требуется не менее 8 ГБ ОЗУ.

  1. При установке укажите Windows Server 2016 (сервер с возможностями рабочего стола).

  2. Просмотрите и примите условия лицензионного соглашения.

  3. Выберите Пользовательская: установка только Windows и используйте неинициализированное дисковое пространство, так как диск будет пустым.

  4. Войдите на новый компьютер в качестве администратора. С помощью панели управления присвойте ему статический IP-адрес в виртуальной сети, настройте этот сетевой интерфейс для отправки запросов DNS на IP-адрес PRIVDC и задайте имя компьютера PAMSRV. Для этого потребуется перезагрузить сервер.

  5. Если виртуальная сеть не обеспечивает подключение к Интернету, добавьте дополнительный сетевой интерфейс на компьютер, который обеспечивает подключение к Интернету. Это потребуется только для скачивания обновлений и установки SharePoint. После завершения этого шага его можно отключить.

  6. Дождитесь перезапуска сервера. После перезагрузки сервера войдите от имени администратора. С помощью панели управления настройте компьютер для проверки обновлений и установите все необходимые обновления. Для этого может потребоваться перезагрузка сервера.

  7. Дождитесь перезапуска сервера. После перезагрузки сервера войдите в систему как администратор, откройте панель управления и присоедините PAMSRV к домену PRIV (priv.contoso.local). Для этого потребуется указать имя пользователя и учетные данные администратора домена PRIV, например PRIV\Administrator. Когда появится приветствие, закройте диалоговое окно и перезагрузите сервер.

Добавление ролей веб-сервера (IIS) и сервера приложений

Добавьте роль веб-сервера (IIS), компоненты платформа .NET Framework 3.5 и 4.6 и модуль Active Directory для Windows PowerShell. Если вы планируете установить SharePoint, также добавьте другие компоненты, необходимые для SharePoint.

  1. Выполните вход как администратор домена PRIV (PRIV\Administrator) и запустите PowerShell.

  2. Введите следующие команды: Обратите внимание, что может потребоваться указать другое расположение исходных файлов для компонентов .NET Framework 3.5. Эти функции обычно отсутствуют при установке Windows Server, но доступны в папке параллельных (SxS) в папке источников диска установки ОС, например d:\Sources\SxS\.

    import-module ServerManager
Install-WindowsFeature Web-WebServer, Net-Framework-Features,
rsat-ad-powershell,Web-Mgmt-Tools,
Windows-Identity-Foundation,Server-Media-Foundation,
Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS

Настройка политики безопасности сервера

Настройте политику безопасности сервера, чтобы разрешить только что созданным учетным записям выполняться как службы.

  1. Запустите программу локальной политики безопасности .

  2. Перейдите в раздел Локальные политики>Предоставление прав пользователям.

  3. Просмотрите область сведений, щелкните правой кнопкой мыши Элемент Вход в качестве службы и выберите Свойства.

  4. Нажмите кнопку Добавить пользователя или группу и введите в разделе "Имена пользователей и групп" priv\mimmonitor; priv\MIMService; priv\SharePoint; priv\mimcomponent; priv\SqlServer. Щелкните Проверить имена и нажмите кнопку ОК.

  5. Нажмите кнопку ОК , чтобы закрыть окно свойств.

  6. Просмотрите область сведений, щелкните правой кнопкой мыши пункт Запретить доступ к этому компьютеру из сети и выберите Свойства.

  7. Нажмите кнопку Добавить пользователя или группу, введите в разделе "Имена пользователей и групп" priv\mimmonitor; priv\MIMService; priv\mimcomponent и нажмите кнопку ОК.

  8. Нажмите кнопку ОК , чтобы закрыть окно свойств.

  9. Просмотрите область сведений, щелкните правой кнопкой мыши элемент Запретить локальный вход и выберите Свойства.

  10. Нажмите кнопку Добавить пользователя или группу, введите в разделе "Имена пользователей и групп" priv\mimmonitor; priv\MIMService; priv\mimcomponent и нажмите кнопку ОК.

  11. Нажмите кнопку ОК , чтобы закрыть окно свойств.

  12. Закройте окно "Локальная политика безопасности".

  13. Запустите панель управления и переключитесь на учетные записи пользователей.

  14. Щелкните Предоставить общий доступ к этому компьютеру.

  15. Нажмите кнопку Добавить, введите имя пользователя MIMADMIN в домене PRIV, а на следующем экране мастера нажмите кнопку Добавить этого пользователя с правами администратора.

  16. Нажмите кнопку Добавить, введите имя пользователя SharePoint в домене PRIV, а на следующем экране мастера нажмите кнопку Добавить этого пользователя с правами администратора.

  17. Закройте панель управления.

Изменение конфигурации IIS

Изменить конфигурацию IIS для того, чтобы приложения могли использовать режим проверки подлинности Windows, можно двумя способами. Убедитесь, что вы вошли в систему как MIMAdmin, а затем следуйте одному из следующих вариантов.

Если вы хотите использовать PowerShell:

  1. Щелкните правой кнопкой мыши PowerShell и выберите Запуск от имени администратора.

  2. Остановите СЛУЖБЫ IIS и разблокируйте параметры узла приложения с помощью этих команд.

    iisreset /STOP
C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /START

Если вы хотите использовать текстовый редактор, например Блокнот:

  1. Откройте файл C:\Windows\System32\inetsrv\config\applicationHost.config.
  2. Прокрутите файл вниз до строки 82. Значение тега overrideModeDefault должно иметь значение <section name="windowsAuthentication" overrideModeDefault="Deny" />.
  3. Измените значение параметра overrideModeDefault на Allow.
  4. Сохраните файл и перезапустите СЛУЖБЫ IIS с помощью команды iisreset /STARTPowerShell .

Установка необходимых библиотек

  1. Установите распространяемые пакеты Visual C++ 2013 для 64-разрядной версии Windows Server.

  2. Если в домене PRIV используется режим TLS 1.2 или FIPS, дополнительные предварительные требования см. в статье MIM 2016 с пакетом обновления 2 (SP2) в разделе "Только TLS 1.2" или в средах в режиме FIPS .

Установка SQL Server

Если SQL Server еще нет в среде бастиона, установите SQL Server 2012 (с пакетом обновления 1 или более поздней версии), SQL Server 2014 или более поздней версии. Ниже предполагается, что используется SQL 2014.

  1. Выполните вход как MIMAdmin.
  2. Щелкните правой кнопкой мыши PowerShell и выберите Запуск от имени администратора.
  3. Перейдите в каталог, где находится программа установки SQL Server.
  4. Введите следующую команду: 
    .\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL,SSMS /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="PRIV\SqlServer" /SQLSVCPASSWORD="Pass@word1" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\Network Service" /SQLSYSADMINACCOUNTS="PRIV\MIMAdmin"

Изменение параметров обновления

  1. Откройте раздел Параметры и перейдите к клиентский компонент Центра обновления Windows.
  2. Прежде чем продолжить, проверьте наличие новых обновлений и убедитесь, что все ожидающие важные обновления для Windows Server или SQL Server установлены.

Установка SharePoint Server 2016 или 2019 (требуется только для портала MIM)

Следующие разделы этой статьи являются необходимыми только при установке портала MIM. Если вы не собираетесь устанавливать портал MIM, перейдите к шагу 4 , чтобы установить другие компоненты MIM.

Воспользуйтесь руководством по подготовке SharePoint к установке SharePoint Server 2016 или 2019.

Настройка веб-сайта для локальной интрасети

  1. Запустите Internet Explorer и откройте новую вкладку веб-браузера.
  2. Перейдите по адресу http://pamsrv.priv.contoso.local:82/ и войдите как PRIV\MIMAdmin. Отобразится пустой сайт SharePoint с именем "Портал MIM".
  3. В Internet Explorer откройте Свойства браузера, перейдите на вкладку Безопасность, выберите пункт Местная интрасеть и добавьте веб-сайт http://pamsrv.priv.contoso.local:82/.

Если войти не удается, может потребоваться обновить имена участников-служб Kerberos, созданных ранее на шаге 2.

Запуск службы администрирования SharePoint

В разделе Службы (в разделе "Средства администрирования") запустите службу Администрирование SharePoint, если она не запущена.

На шаге 4 вы начнете установку компонентов MIM на сервер PAM.

« Шаг 2Шаг 4 »