Планирование сервера Office Web Apps
Применимо к: Office Web Apps Server
Сводка. В этой статье рассматриваются требования, предъявляемые сервером Office Web Apps, такие как протокол HTTPS, сертификаты, виртуализация, балансировка нагрузки, топологии и безопасность.
Аудитория. ИТ-специалисты
Сервер Office Web Apps предоставляет браузерные версии приложений Office в локальной среде, обеспечивая пользователям большую гибкость и возможности для совместной работы. В статье описываются требования и действия, необходимые для установки Сервер Office Web Apps в организации.
Важно тщательно спланировать, чтобы все узлы, такие как SharePoint 2013 и Lync Server 2013, могли взаимодействовать с Office веб-приложения Server. Дополнительные рекомендации по настройке узлов см. в следующих статьях:
Примечание.
Продукты SharePoint 2010 не могут быть узлом для Сервер Office Web Apps. Сервер Office Web Apps не поддерживается SharePoint Foundation 2010 или SharePoint Server 2010. Сервер Office Web Apps также не поддерживается Exchange Server 2013.
В этой статье
Требования сервера Office Web Apps к программному обеспечению, оборудованию и конфигурации
Поддержка виртуализации на сервере Office Web Apps
Требования сервера Office Web Apps к брандмауэру
Требования сервера Office Web Apps к подсистеме балансировки нагрузки
Требования сервера Office Web Apps к службе доменных имен
Планирование языковых пакетов для сервера Office Web Apps
Планирование топологии для серверa Office Web Apps
Планирование системы безопасности для сервера Office Web Apps
Планирование Online Viewers с использованием сервера Office Web Apps
Планирование обновлений сервера Office Web Apps
Требования сервера Office Web Apps к программному обеспечению, оборудованию и конфигурации
Сервер Office Web Apps можно установить в качестве фермы Сервер Office Web Apps с одним сервером или фермы Сервер Office Web Apps из нескольких серверов с балансировкой нагрузки. Можно использовать физические серверы или экземпляры виртуальных машин, однако установить другие серверные приложения (такие как SharePoint 2013 или SQL Server) на том же сервере, что и Сервер Office Web Apps, невозможно.
В средах, содержащих фактические данные пользователей, мы настоятельно советуем использовать протокол HTTPS, для которого необходимо получить сертификат. Если в вашей ферме несколько серверов, может потребоваться настроить аппаратное или программное решение для балансировки нагрузки. В следующих разделах описываются предварительные требования для этих сценариев.
Требования сервера Office Web Apps к оборудованию
Office веб-приложения Server использует те же минимальные требования к оборудованию, что и SharePoint Server 2013. Полный набор требований к SharePoint 2013 см. в статье Требования к оборудованию— веб-серверы, серверы приложений и установка отдельных серверов.
Операционные системы, поддерживаемые сервером Office Web Apps
Сервер Office Web Apps может работать в следующих операционных системах:
64-разрядный выпуск Windows Server 2012 Standard или Datacenter
64-разрядный выпуск Windows Server 2012 R2. Чтобы использовать эту операционную систему, нужен сервер Office Web Apps с пакетом обновления 1 (SP1).
Требования сервера Office Web Apps к домену
Все серверы в ферме Сервер Office Web Apps должны быть частью домена. Они могут находиться в одном и том же домене (рекомендуется) или в доменах одного и того же леса. Однако Сервер Office Web Apps не будет работать, если установить его на контроллере домена.
Роли сервера, службы и другое программное обеспечение, необходимое для работы сервера Office Web Apps
Прежде всего, есть несколько вещей, которые НЕ СЛЕДУЕТ делать при развертывании Сервер Office Web Apps.
На серверах с Сервер Office Web Apps не должны быть установлены другие серверные приложения. К ним относятся Exchange Server, SharePoint Server, Lync Server и SQL Server. Если у вас не хватает серверов, Сервер Office Web Apps можно выполнять на экземпляре виртуальной машины на одном из существующих серверов.
Не устанавливайте службы или роли, зависящие от роли веб-сервера IIS, в порт 80, 443 или 809, так как Сервер Office Web Apps регулярно удаляет веб-приложения, расположенные в этих портах.
Не устанавливайте какие-либо версии Office. Все существующие версии этого набора необходимо удалить до установки Сервер Office Web Apps.
Не устанавливайте Сервер Office Web Apps на контроллер домена. Этот продукт не будет работать на сервере, на котором работают доменные службы Active Directory.
Теперь для элементов, которые необходимо установить. Дополнительные сведения см. в следующей таблице.
Важно!
Сервер Office Web Apps можно скачать только на веб-сайте Volume Licensing Service Center (VLSC). Для загрузки Сервер Office Web Apps необходима лицензия на Office профессиональный плюс 2013, Office стандартный 2013 или Office для Mac 2011, предусмотренная соглашением о корпоративном лицензировании. Загружаемые файлы находятся в разделах на портале VLSC, посвященных продуктам Office.
Загрузки, роли сервера и компоненты, необходимые для работы сервера Office Web Apps
Загрузка, роль сервера или компонент | При установке в Windows Server 2008 R2 | При установке в Windows Server 2012 | При установке в Windows Server 2012 R2 |
---|---|---|---|
Загрузка: сервер Office Web Apps |
|||
Загрузка: сервер Office Web Apps с пакетом обновления 1 (SP1) |
Рекомендовано |
Рекомендуемый |
|
Загрузка: правильная версия платформы .NET Framework |
Платформа .NET Framework 4.5 уже установлена |
||
Загрузка: обновление для 64-разрядной версии Windows Server 2008 R2 |
Неприменимо |
Неприменимо |
|
Загрузка: Windows PowerShell 3.0 |
Уже установлено |
Уже установлено |
|
Роль сервера: веб-сервер (IIS) |
Вот минимальные требования к службам ролей, предъявляемые ролью сервера Веб-сервер (IIS). Основные возможности HTTP
Разработка приложений
Безопасность
Средства управления
Следующие компоненты рекомендуются к установке, но не являются обязательными. Производительность
|
Вот минимальные требования к службам ролей, предъявляемые ролью сервера Веб-сервер (IIS). Средства управления
Веб-сервер
Безопасность
Разработка приложений
Приведенные ниже службы рекомендуются к установке, но не являются обязательными. Производительность
|
Вот минимальные требования к службам ролей, предъявляемые ролью сервера Веб-сервер (IIS). Средства управления
Веб-сервер
Безопасность
Разработка приложений
Приведенные ниже службы рекомендуются к установке, но не являются обязательными. Производительность
|
Компонент: службы рукописного ввода |
Службы рукописного ввода
|
Службы рукописного ввода
|
Службы рукописного ввода
|
Поддержка виртуализации на сервере Office Web Apps
Сервер Office Web Apps полностью поддерживается при развертывании с использованием технологии Windows ServerHyper-V. Если вы планируете виртуализацию Сервер Office Web Apps, следуйте приведенным ниже рекомендациям.
Устанавливайте Сервер Office Web Apps на отдельный экземпляр виртуальной машины. Не устанавливайте на этот экземпляр другие серверные приложения, например SharePoint 2013.
При необходимости вы можете установить Сервер Office Web Apps на экземпляр виртуальной машины, размещенный на сервере, на котором работает SharePoint 2013.
Для ферм Office веб-приложения Server с несколькими серверами каждый экземпляр должен находиться на отдельном узле виртуальной машины. Таким образом, ферма Office веб-приложения Server по-прежнему будет доступна в случае сбоя одного из узлов.
Требования сервера Office Web Apps к брандмауэру
Брандмауэры могут блокировать обмен данными между браузером, серверами с Сервер Office Web Apps и серверами SharePoint 2013. Это доставляет особые проблемы, когда данные серверы размещены в разных сегментах сети.
Убедитесь, что брандмауэр не блокирует следующие порты на сервере с Сервер Office Web Apps или в подсистеме балансировки нагрузки:
порт 443 для трафика HTTPS;
порт 80 для трафика HTTP;
порт 809 для закрытого трафика между серверами с Сервер Office Web Apps в ферме с несколькими серверами.
Требования сервера Office Web Apps к подсистеме балансировки нагрузки
Мы рекомендуем использовать решение балансировки нагрузки, если Сервер Office Web Apps работает на двух или нескольких серверах. Будет работать любое решение балансировки нагрузки, в том числе сервер, на котором выполняется роль веб-сервера (IIS), выполняющая маршрутизацию запросов приложений (ARR). На самом деле вы можете запустить ARR на одном из серверов, на котором работает Office веб-приложения Server. Если у вас нет решения для балансировки нагрузки, ознакомьтесь со следующими ресурсами для использования IIS с ARR:
В идеальном случае выбранное вами решение для балансировки нагрузки должно поддерживать следующие функции:
маршрутизация уровня 7;
поддержка сходства клиентов и интерфейсных компонентов;
поддержка разгрузки SSL.
Если вы используете подсистему балансировки нагрузки, вам необходимо установить в нее соответствующий сертификат (см. раздел Защита данных, передаваемых сервером Office Web Apps, с помощью протокола HTTPS этой статьи).
Требования сервера Office Web Apps к службе доменных имен
В средах с протоколом HTTPS и балансировкой нагрузки вам необходимо настроить службу доменных имен на сопоставление полного доменного имени сертификата с IP-адресом сервера с Сервер Office Web Apps или IP-адресом, назначенным подсистеме балансировки нагрузки в ферме Сервер Office Web Apps.
Планирование языковых пакетов для сервера Office Web Apps
Языковые пакеты Сервер Office Web Apps 2013 позволяют пользователям с помощью веб-браузера просматривать многоязычные файлы Office из библиотек документов SharePoint 2013, Outlook Web App (в виде предварительного просмотра вложений) и Lync 2013 (в виде широковещательных презентаций PowerPoint). Обратите внимание, что эти возможности зависят от настроенных на узле языков. Чтобы просматривать с помощью браузера файлы Office с узлов на нескольких языках, необходимо соблюдать следующие условия:
Узел (такой как SharePoint Server 2013 или Lync Server 2013) настроен для запуска приложений на дополнительных языках. Установка и настройка языковых пакетов в узле осуществляется независимо от фермы Сервер Office Web Apps.
Языки установлены и доступны на всех серверах в ферме Сервер Office Web Apps.
Скачать языковые пакеты для сервера Office Web Apps можно здесь.
Планирование топологии для серверa Office Web Apps
Топология Сервер Office Web Apps должна включать как минимум одну физическую или виртуальную машину с Сервер Office Web Apps и по крайней мере один узел (например, сервер с Lync Server 2013 или SharePoint 2013). Кроме того, вам потребуется клиентский компьютер или устройство для подключения к одному из узлов и использования функций Office Web Apps. К минимальной топологии фермы Сервер Office Web Apps можно добавлять узлы и серверы в зависимости от потребностей организации.
Ниже приведен список рекомендаций на случай, если топология Сервер Office Web Apps становится более сложной.
Планирование избыточности. Если вы используете экземпляры виртуальных машин, убедитесь, что они размещены на отдельных узлах виртуальных машин для обеспечения избыточности. Это нормально, если другие экземпляры на узле запускают серверные приложения. Просто не запускайте другие серверные приложения на том же экземпляре, что и Office веб-приложения Server.
Используйте один центр обработки данных. Серверы фермы Сервер Office Web Apps должны находиться в одном центре обработки данных. Не распространяйте их географически. В целом, вам нужна только одна ферма, если только требования безопасности не предвидят изолированную сеть с собственной фермой Сервер Office Web Apps.
Чем ближе узлы друг к другу, тем лучше. Ферма Сервер Office Web Apps не должна находиться в том же центре обработки данных, что и обслуживаемые ею узлы, но при большом объеме операций редактирования мы советуем размещать ферму Сервер Office Web Apps как можно ближе к узлам. Эта рекомендация в меньшей степени относится к организациям, в которых Office Web Apps используется преимущественно для просмотра файлов Office.
Спланируйте подключения. Подключите все серверы в ферме Сервер Office Web Apps друг к другу. Чтобы подключить их к расширенной сети, используйте брандмауэр подсистемы балансировки нагрузки обратного прокси-сервера.
Настройте брандмауэр для запросов HTTP или HTTPS. Убедитесь, что брандмауэр разрешает серверам Сервер Office Web Apps инициировать HTTP- и HTTPS-запросы к узлам.
Спланируйте потоки входящих и исходящих данных. В развертывании для Интернета маршрутизируйте все исходящие данные через устройство NAT. В ферме с несколькими серверами включите обработку всех входящих данных с подсистемой балансировки нагрузки.
Убедитесь, что все серверы в ферме Сервер Office Web Apps присоединены к домену и являются частью одного и того же подразделения. Используйте параметр FarmOU в командлете New-OfficeWebAppsFarm, чтобы запретить другим серверам, не входящим в это подразделение, присоединяться к ферме.
Используйте HTTPS для всех входящих запросов.
Если в вашей сети развернут протокол IPsec, используйте его для шифрования трафика, передаваемого между серверами.
Спланируйте функции Office, для работы которых необходимо подключение к Интернету. Если необходимы такие функции, как коллекция картинок и службы машинного перевода, а серверы в ферме не могут отправлять запросы в Интернет, необходимо настроить прокси-сервер для фермы Сервер Office Web Apps. Это позволит отправлять запросы внешним сайтам по протоколу HTTP.
Планирование системы безопасности для сервера Office Web Apps
Следующие сведения представляют собой руководство по безопасности для Сервер Office Web Apps.
Защита данных, передаваемых сервером Office Web Apps, с помощью протокола HTTPS
Сервер Office Web Apps может обмениваться данными с SharePoint 2013 и Lync Server 2013 по протоколу HTTPS. Мы настоятельно советуем использовать именно этот протокол в рабочих средах. Обратите внимание, что вам необходимо установить сертификат интернет-сервера, который можно назначить серверу с Сервер Office Web Apps (ферма с одним сервером) или подсистеме балансировки нагрузки (ферма с несколькими серверами Сервер Office Web Apps).
В тестовых средах, которые не содержат пользовательских данных, вы можете использовать протокол HTTP для SharePoint 2013, не устанавливая сертификат. Lync Server 2013 поддерживает только протокол HTTPS.
Сертификаты, используемые Сервер Office Web Apps, должны удовлетворять перечисленным ниже требованиям.
Сертификат должен быть выдан доверенным центром сертификации и должен содержать полное доменное имя фермы серверов Сервер Office Web Apps в поле альтернативного имени субъекта (SAN). Если полное доменное имя указано в другом поле, при попытке использовать сертификат браузер отображает предупреждение системы безопасности или не обрабатывает ответ.
Сертификат должен содержать экспортируемый закрытый ключ. В фермах, состоящих из одного сервера, этот параметр будет выбран по умолчанию, если для импорта сертификата используется оснастка диспетчера Службы IIS.
Поле "Понятное имя" должно содержать значение, уникальное на уровне хранилища доверенных корневых центров сертификации. При наличии нескольких сертификатов с одинаковым понятным именем не удастся создать ферму, так как командлету New-OfficeWebAppsFarm не удастся выбрать используемый сертификат.
Office веб-приложения Server не требует специальных свойств или расширений сертификата. Например, расширения расширенного использования ключей клиента (EKU) или расширения EKU сервера не требуются.
В Windows Server 2012 или Windows Server 2012 R2 необходимо установить функцию "Разрешить HTTP-активацию" для Windows Communication Foundation (WCF).
Вот как необходимо импортировать сертификат.
Для ферм с одним сервером Необходимо импортировать сертификат непосредственно на сервер, на котором выполняется Office веб-приложения Server. Не выполняйте привязку сертификата вручную. Используйте для этой цели командлет New-OfficeWebAppsFarm. Если вы привяжете сертификат вручную, он будет удаляться при каждой перезагрузке сервера.
Для ферм с балансировкой нагрузки При разгрузке SSL сертификат должен быть импортирован в аппаратную подсистему балансировки нагрузки. Если вы не разгружаете SSL, необходимо установить сертификат на каждом сервере фермы office веб-приложения Server.
Примечание.
Не используйте самозаверяющие сертификаты. Их можно использовать только в некритических тестовых средах.
Дополнительные сведения о сертификатах см. в разделе Получение SSL-сертификата.
Использование разгрузки SSL для устройств балансировки нагрузки
При настройке новой фермы серверов Office веб-приложения разгрузка SSL по умолчанию имеет значение Выкл. Если вы используете аппаратную подсистему балансировки нагрузки, рекомендуется задать для разгрузки SSL значение Включено, чтобы каждый сервер Office веб-приложения в ферме могли взаимодействовать с подсистемой балансировки нагрузки по протоколу HTTP. Настройка разгрузки SSL в положение Включено также обеспечивает следующие преимущества.
Упрощенное управление сертификатами
Усовершенствованное мягкое сходство
Повышенная производительность
Учтите, что при использовании HTTP трафик, передаваемый из подсистемы балансировки нагрузки на серверы, на которых работает Сервер Office Web Apps, не шифруется, поэтому необходимо убедиться, что сеть защищена. Чтобы защитить трафик, можно использовать частную подсеть.
Запрет на присоединение серверов к ферме серверов Office Web Apps по их принадлежности к подразделениям
Вы можете предотвратить присоединение несанкционированных серверов к ферме Office веб-приложения Server, создав подразделение для этих серверов, а затем указав параметр FarmOU при создании фермы. Дополнительные сведения о параметре FarmOU см. в статье New-OfficeWebAppsFarm.
Ограничение доступа узлов к серверу Office Web Apps с помощью списка разрешений
С помощью списка разрешений вы можете запретить подключение нежелательных узлов к ферме Сервер Office Web Apps, что могло бы повлечь за собой операции с файлами без вашего согласия. Чтобы ограничить список узлов, которые смогут выполнять операции запроса файлов (например, извлечение и изменение файлов или извлечение метаданных) к Сервер Office Web Apps, добавьте нужные домены в список разрешенных.
Вы можете добавить домены в список разрешений после создания фермы Office веб-приложения Server. Дополнительные сведения о добавлении доменов в список разрешенных см. в статье New-OfficeWebAppsHost.
Важно!
Если в списке разрешенных отсутствуют домены, Сервер Office Web Apps принимает запросы файлов от узлов любого домена. Если ваша ферма Сервер Office Web Apps доступна через Интернет, не оставляйте этот список пустым. В противном случае просматривать и редактировать контент смогут любые пользователи с доступом к вашей ферме Сервер Office Web Apps.
Планирование Online Viewers с использованием сервера Office Web Apps
По умолчанию функция Online Viewers включается после установки Сервер Office Web Apps. Если вы планируете использовать Online Viewers в организации, ознакомьтесь со следующими рекомендациями. В некоторых случаях может потребоваться отключить некоторые возможности Online Viewers. Приведенные ниже рекомендации относятся к параметрам, заданным с помощью командлетов Windows PowerShellNew-OfficeWebAppsFarm и Set-OfficeWebAppsFarm.
Рекомендации по обеспечению безопасности для Online Viewers
Файлы, которые предназначены для просмотра в веб-браузере с помощью Online Viewers, не должны требовать проверки подлинности. Другими словами, они должны находиться в открытом доступе, так как Online Viewers не поддерживает проверку подлинности при извлечении файлов. Мы настоятельно рекомендуем реализовать доступ к ферме Сервер Office Web Apps с Online Viewers либо только из интрасети, либо только из Интернета, но не из обеих сетей одновременно. Это связано с тем, что Сервер Office Web Apps не различает запросы URL-адресов в интрасети и Интернете. Соответственно, при поступлении из Интернета запроса к URL-адресу в интрасети возможна утечка данных в результате передачи документа для внутреннего пользования сторонним лицам.
По той же причине, если сервер Сервер Office Web Apps должен подключаться только к Интернету, мы настоятельно советуем отключить поддержку UNC в Online Viewers. Чтобы сделать это, присвойте параметру OpenFromUncEnabled значение False с помощью командлетов Windows PowerShellNew-OfficeWebAppsFarm (для новых ферм) или Set-OfficeWebAppsFarm (для существующих ферм).
В качестве дополнительных мер безопасности с помощью Online Viewers можно просматривать файлы Office размером не более 10 МБ.
Настройка параметров Online Viewers
Для настройки Online Viewers вы можете использовать следующие параметры Windows PowerShell в командлетах New-OfficeWebAppsFarm (для новых ферм) и Set-OfficeWebAppsFarm (для существующих ферм).
OpenFromUrlEnabled Включает или выключает веб-средства просмотра. Этот параметр управляет функцией Online Viewers для файлов с URL-адресами и UNC-путями. По умолчанию этот параметр имеет значение False (отключено) при создании новой фермы Office веб-приложения Server.
OpenFromUncEnabled Если веб-средства просмотра включены (для параметра Значение True с помощью OpenFromUrlEnabled) этот параметр включает или отключает возможность для веб-зрителей отображать файлы в UNC-путях. По умолчанию этот параметр имеет значение True, но перед включением открытия файлов из UNC-путей убедитесь, что параметр OpenFromUrlEnabled также имеет значение True. Как упоминалось ранее, рекомендуется задать для этого параметра значение False, если вы настроили Office веб-приложения Server для подключения к Интернету.
OpenFromUrlThrottlingEnabled Регулирует количество запросов "открыть из URL-адреса" с любого сервера за период времени. Значения регулирования по умолчанию, которые не настраиваются, позволяют убедиться, что ферма Office веб-приложения Server не перегружает один сервер, отправляя запросы на просмотр содержимого в онлайн-средстве просмотра.
Планирование обновлений сервера Office Web Apps
Перед развертыванием Сервер Office Web Apps необходимо решить, как в организации будет осуществляться управление обновлениями программного обеспечения для фермы Сервер Office Web Apps. Хотя обновления программного обеспечения помогают повысить безопасность, производительность и надежность сервера, неправильная установка обновлений может привести к проблемам с Сервер Office Web Apps.
Применение обновлений Сервер Office Web Apps с помощью процесса автоматического обновления Майкрософт не поддерживается в Сервер Office Web Apps. Это связано с тем, что обновления для Сервер Office Web Apps необходимо применять определенным способом, как это описано в разделе Применение обновлений программного обеспечения к серверу Office Web Apps. Если применять обновления Сервер Office Web Apps автоматически, может получиться так, что пользователи не смогут просматривать и изменять документы в Office Web Apps. В этом случае необходимо перестроить ферму Сервер Office Web Apps.
Мы рекомендуем управлять обновлениями с помощью Windows Server Update Services (WSUS) или с помощью Configuration Manager конечной точки Майкрософт, которая использует WSUS. WSUS позволяет полностью управлять распределением обновлений, выпущенных через Центр обновления Майкрософт, для каждого сервера в ферме office веб-приложения Server. С помощью WSUS вы можете решить, какие обновления можно автоматически применять к ферме серверов, а какие обновления, такие как обновления Office веб-приложения Server, применять вручную. Дополнительные сведения о WSUS см. в разделе Windows Server Update Services.
Если вы не используете WSUS или Microsoft Endpoint Configuration Manager, установите автоматические обновления Майкрософт на каждом сервере фермы office веб-приложения Server значение Автоматически скачивать, но уведомлять пользователя об установке. Когда появится уведомление об обновлении Сервер Office Web Apps, выполните указания, описанные в разделе Применение обновлений программного обеспечения к серверу Office Web Apps. Чтобы применить обновления Windows без угроз для безопасности серверов, разрешите установку обновлений при появлении уведомления об их доступности.
См. также
План содержимого для сервера Office Web Apps
Обзор сервера Office Web Apps
Развертывание сервера Office Web Apps
Применение обновлений программного обеспечения к серверу Office Web Apps