Configurer l’authentification Kerberos (SharePoint Foundation 2010)
S’applique à : SharePoint Foundation 2010
Dernière rubrique modifiée : 2016-11-30
Dans cet article :
À propos de l'authentification Kerberos
Avant de commencer
Configurer l’authentification Kerberos pour les communications SQL
Créer des noms principaux de service pour vos applications Web utilisant l'authentification Kerberos
Déployer la batterie de serveurs
Configurer les services sur les serveurs de la batterie
Créer des applications Web utilisant l'authentification Kerberos
Créer une collection de sites à l'aide du modèle Portail de collaboration sur le site portail de l'application Web
Vérifier l'accès aux applications Web utilisant l'authentification Kerberos
Vérifier les fonctionnalités d'indexation de la recherche
Vérifier les fonctionnalités des requêtes de recherche
Limites de configuration
Ressources supplémentaires et conseils de résolution des problèmes
À propos de l’authentification Kerberos
Kerberos est un protocole sécurisé qui prend en charge l’authentification par ticket. Un serveur d’authentification Kerberos accorde un ticket en réponse à une requête d’authentification d’un ordinateur client, si la requête contient des informations d’identification utilisateur et un nom principal de service valides. L’ordinateur client utilise ensuite ce ticket pour accéder aux ressources du réseau. Pour activer l’authentification Kerberos, les ordinateurs client et serveur doivent disposer d’une connexion approuvée au centre de distribution de clés du domaine. Ce centre distribue les clés secrètes partagées pour permettre le chiffrement. Les ordinateurs client et serveur doivent également pouvoir accéder aux services de domaine Active Directory (AD DS, Active Directory Domain Services). Pour AD DS, le domaine racine de la forêt est le centre des références d’authentification Kerberos.
Pour déployer une batterie de serveurs exécutant Microsoft SharePoint Foundation 2010 et utilisant l’authentification Kerberos, vous devez installer et configurer plusieurs applications différentes sur vos ordinateurs. Cet article décrit un exemple de batterie de serveurs exécutant SharePoint Foundation 2010 et fournit des conseils pour le déploiement et la configuration de la batterie afin d’utiliser l’authentification Kerberos pour prendre en charge les fonctionnalités suivantes :
Communication entre SharePoint Foundation 2010 et le logiciel de gestion de bases de données Microsoft SQL Server
Accès à l’application Web Administration centrale de SharePoint
Accès à d’autres applications Web, y compris une application Web de site portail et une application Web Mon site
Avant de commencer
Cet article est destiné au personnel administratif qui possède des connaissances dans les technologies suivantes :
Windows Server 2008
Active Directory
Internet Information Services (IIS) 6.0 (ou IIS 7.0)
SharePoint Foundation 2010
Windows Internet Explorer
Authentification Kerberos, telle qu’implémentée dans Active Directory Domain Services (AD DS) pour Windows Server 2008
Équilibrage de la charge réseau dans Windows Server 2008
Comptes d’ordinateur dans un domaine Active Directory
Comptes d’utilisateurs dans un domaine Active Directory
Sites Web IIS, leurs liaisons et leurs paramètres d’authentification
Identités des pools d’applications IIS pour les sites Web IIS
Assistant Configuration des produits SharePoint
Applications Web SharePoint Foundation 2010
Pages de l’Administration centrale
Noms principaux de service et leur configuration dans un domaine Active Directory
Important
Pour créer des noms principaux de service dans un domaine Active Directory, vous devez disposer d’autorisations d’administration sur le domaine.
Cet article n’est pas une étude approfondie de l’authentification Kerberos. Kerberos est une méthode d’authentification standard du marché qui est implémentée dans AD DS.
Cet article ne fournit pas d’instructions pas à pas pour installer SharePoint Foundation 2010 ou utiliser l’Assistant Configuration des produits SharePoint.
Cet article ne fournit pas d’instructions pas à pas pour utiliser l’Administration centrale afin de créer des applications Web SharePoint Foundation 2010.
Versions de logiciels requises
Les instructions fournies dans cet article et les tests de vérification reposent sur des systèmes exécutant Windows Server 2008 et Internet Explorer avec les mises à jour les plus récentes appliquées à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C). Les versions suivantes de logiciels ont été installées :
Windows Server 2008, avec les mises à jour les plus récentes du site Windows Update site (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C)
Internet Explorer
Version finale de SharePoint Foundation 2010
Vous devez également vérifier que les contrôleurs de domaine Active Directory exécutent Windows Server 2008 avec les mises à jour les plus récentes appliquées à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C).
Problèmes connus
SharePoint Foundation 2010 peut analyser les applications Web configurées de manière à utiliser l’authentification Kerberos si celles-ci sont hébergées sur des serveurs virtuels IIS qui sont liés à des ports par défaut (le port TCP 80 et le port SSL 443). Toutefois, SharePoint Foundation 2010 Search ne peut pas analyser les applications Web SharePoint Foundation 2010 qui sont configurées pour utiliser l’authentification Kerberos si celles-ci sont hébergées sur des serveurs virtuels IIS qui sont liés à des ports non définis par défaut (autres que le port TCP 80 ou SSL 443). Actuellement, SharePoint Foundation 2010 Search peut analyser uniquement les applications Web SharePoint Foundation 2010 hébergées sur des serveurs virtuels IIS liés à des ports non définis par défaut et qui sont configurées pour utiliser l’authentification NTLM ou l’authentification de base.
Pour l’accès des utilisateurs finaux à l’aide de l’authentification Kerberos, si vous devez déployer des applications Web qui ne peuvent être hébergées que sur des serveurs virtuels IIS qui sont liés à des ports non définis par défaut et si vous souhaitez que ces utilisateurs puissent obtenir des résultats aux requêtes de recherche, alors :
Les mêmes applications Web doivent être hébergées sur d’autres serveurs virtuels IIS sur des ports non définis par défaut.
Les applications Web doivent être configurées pour utiliser l’authentification NTLM ou l’authentification de base.
L’indexation de la recherche doit analyser les applications Web en utilisant l’authentification NTLM ou l’authentification de base.
Cet article fournit des instructions pour :
configurer l’application Web Administration centrale en utilisant l’authentification Kerberos hébergée sur un serveur virtuel IIS lié à des ports non définis par défaut ;
configurer les applications Portail et Mon site en utilisant l’authentification Kerberos hébergée sur des serveurs virtuels IIS liés à des ports par défaut, avec une liaison d’en-tête d’hôte IIS ;
vérifier que l’indexation de recherche analyse correctement les applications Web SharePoint Foundation 2010 utilisant l’authentification Kerberos ;
vérifier que les utilisateurs qui accèdent à des applications Web utilisant l’authentification Kerberos peuvent obtenir des résultats aux requêtes de recherche pour ces applications.
Contexte supplémentaire
Il est important de comprendre que lorsque vous utilisez l’authentification Kerberos, la précision de la fonctionnalité d’authentification dépend en partie du comportement du client qui essaie de s’authentifier à l’aide de Kerberos. Dans un déploiement de batterie de serveurs SharePoint Foundation 2010 utilisant l’authentification Kerberos, SharePoint Foundation 2010 n’est pas le client. Avant de déployer une batterie de serveurs qui exécute SharePoint Foundation 2010 avec l’authentification Kerberos, vous devez comprendre le comportement des clients suivants :
Navigateur (dans cet article, le navigateur est toujours Internet Explorer)
Microsoft .NET Framework
Le navigateur est le client utilisé pour accéder à une page Web dans une application Web SharePoint Foundation 2010. Lorsque SharePoint Foundation 2010 effectue des tâches telles que l’analyse des sources de contenu SharePoint Foundation 2010 locales, le .NET Framework fait office de client.
Pour que l’authentification Kerberos fonctionne correctement, vous devez créer des noms principaux de service dans AD DS. Si les services auxquels ces noms correspondent sont à l’écoute de ports non définis par défaut, les noms doivent inclure les numéros de port afin de garantir leur signification et d’empêcher la création de noms principaux dupliqués.
Lorsqu’un client tente d’accéder à une ressource à l’aide de l’authentification Kerberos, le client doit construire un nom principal de service pour le processus d’authentification Kerberos. Si le client ne construit pas de nom qui corresponde au nom principal de service configuré dans AD DS, l’authentification Kerberos échoue, généralement avec une erreur « Accès refusé ».
Certaines versions d’Internet Explorer ne construisent pas les noms principaux de service avec les numéros de port. Si vous utilisez des applications Web SharePoint Foundation 2010 qui sont liées à des numéros de port non définis par défaut dans IIS, il est possible que vous deviez configurer Internet Explorer afin d’inclure les numéros de port dans les noms principaux de service qu’il construit. Dans une batterie de serveurs exécutant SharePoint Foundation 2010, l’application Web Administration centrale est hébergée, par défaut, sur un serveur virtuel IIS qui est lié à un port non défini par défaut. Par conséquent, cet article aborde aussi bien les sites Web IIS liés à des ports que ceux liés à des en-têtes d’hôte.
Par défaut, dans une batterie de serveurs exécutant SharePoint Foundation 2010, le .NET Framework ne construit pas de noms principaux de service qui contiennent des numéros de port. C’est la raison pour laquelle Search ne peut pas analyser les applications Web utilisant l’authentification Kerberos si elles sont hébergées sur des serveurs virtuels IIS liés à des ports non définis par défaut.
Topologie d’une batterie de serveurs
Cet article traite de la topologie de batterie de serveurs SharePoint Foundation 2010 suivante :
Deux ordinateurs exécutant Windows Server 2008 qui agissent comme des serveurs Web frontaux, avec l’équilibrage de la charge réseau Windows configuré.
Trois ordinateurs exécutant Windows Server 2008 qui jouent le rôle de serveurs d’applications. L’un des serveurs d’applications héberge l’application Web Administration centrale. Le deuxième exécute les requêtes de recherche et le troisième exécute l’indexation de la recherche.
Un ordinateur exécutant Windows Server 2008 qui fait office d’hôte SQL pour la batterie de serveurs exécutant SharePoint Foundation 2010. Dans le cadre du scénario décrit dans cet article, vous pouvez utiliser Microsoft SQL Server 2008.
Services de domaine Active Directory, attribution des noms d’ordinateurs et équilibrage de la charge réseau
Le scénario décrit dans cet article utilise les conventions Active Directory et les conventions d’attribution de noms d’ordinateurs et d’équilibrage de la charge réseau suivantes :
| Rôle de serveur | Nom de domaine |
|---|---|
Services de domaine Active Directory |
mydomain.net |
Serveur Web frontal exécutant SharePoint Foundation 2010 |
wssfe1.mydomain.net |
Serveur Web frontal exécutant SharePoint Foundation 2010 |
wssfe2.mydomain.net |
Administration centrale de SharePoint Foundation 2010 |
wssadmin.mydomain.net |
Indexation de recherche exécutant SharePoint Foundation 2010 |
wsscrawl.mydomain.net |
Requêtes de recherche exécutant SharePoint Foundation 2010 |
wssquery.mydomain.net |
Hôte SQL Server exécutant SharePoint Foundation 2010 |
wsssql.mydomain.net |
Une adresse IP virtuelle d’équilibrage de la charge réseau est affectée à wssfe1.mydomain.net et à wssfe2.mydomain.net, suite à la configuration de l’équilibrage de la charge réseau sur ces systèmes. Un ensemble de noms d’hôtes DNS qui pointent vers cette adresse est inscrit dans votre système DNS. Par exemple, si votre adresse IP virtuelle d’équilibrage de la charge réseau est 192.168.100.200, vous disposez d’un jeu d’enregistrements DNS qui résout les noms DNS suivants avec cette adresse (192.168.100.200) :
kerbportal.mydomain.net
kerbmysite.mydomain.net
Conventions des comptes de domaine Active Directory
L’exemple de cet article utilise les conventions d’affectation de noms répertoriées dans le tableau ci-après pour les comptes de service et les identités de pools d’applications utilisés dans la batterie de serveurs exécutant SharePoint Foundation 2010.
| Compte de domaine ou identité du pool d’applications | Nom |
|---|---|
Compte d’administrateur local
|
mydomain\pscexec |
Compte d’administrateur local sur l’ordinateur hôte SQL Server |
mydomain\sqladmin |
Compte de service SQL Server utilisé pour exécuter le service SQL Server |
mydomain\wsssqlsvc |
Compte d’administrateur de la batterie de serveurs SharePoint Foundation 2010 |
mydomain\wssfarmadmin Utilisé en tant qu’identité du pool d’applications pour l’Administration centrale et en tant que compte de service pour le service du minuteur SharePoint. |
Identité du pool d’applications SharePoint Foundation 2010 pour l’application Web du site portail |
mydomain\portalpool |
Identité du pool d’applications SharePoint Foundation 2010 pour l’application Web Mon site |
mydomain\mysitepool |
Compte de service de recherche SharePoint Foundation 2010 |
mydomain\wsssearch |
Compte d’accès au contenu de recherche SharePoint Foundation 2010 |
mydomain\wsscrawl |
Compte de service de recherche SharePoint Foundation 2010 |
mydomain\wsssearch |
Compte d’accès au contenu SharePoint Foundation 2010 |
mydomain\wsscrawl |
Configuration préliminaire requise
Avant d’installer SharePoint Foundation 2010 sur les ordinateurs de votre batterie de serveurs, vérifiez que les procédures suivantes ont été effectuées :
Tous les serveurs utilisés dans la batterie, notamment l’hôte SQL, sont configurés avec Windows Server 2008, y compris les mises à jour les plus récentes appliquées à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C).
Tous les serveurs de la batterie ont Internet Explorer (avec ses mises à jour les plus récentes) installé à partir du site Windows Update (https://go.microsoft.com/fwlink/?linkid=101614&clcid=0x40C).
SQL Server 2008 est installé et s’exécute sur l’ordinateur hôte SQL. Le service SQL Server s’exécute en tant que compte mydomain\sqlsvc. Une instance par défaut de SQL Server est installée et à l’écoute sur le port TCP 1433.
L’utilisateur sous le nom duquel est exécuté l’Assistant Configuration des produits SharePoint a été ajouté :
en tant que connexion SQL sur votre hôte SQL ;
au rôle SQL Server DBCreators sur votre hôte SQL ;
au rôle Administrateurs de sécurité SQL Server sur votre hôte SQL.
Configurer l’authentification Kerberos pour les communications SQL
Configurez l’authentification Kerberos pour les communications SQL avant d’installer et de configurer SharePoint Foundation 2010 sur vos serveurs exécutant SharePoint Foundation 2010. Cette configuration est nécessaire, car l’authentification Kerberos pour les communications SQL doit être configurée et vérifiée pour que les ordinateurs exécutant SharePoint Foundation 2010 puissent se connecter à votre serveur SQL.
Le processus de configuration de l’authentification Kerberos pour tout service installé sur un ordinateur hôte exécutant Windows Server 2008 comprend la création d’un nom principal de service pour le compte de domaine utilisé pour exécuter le service sur l’hôte. Les noms principaux de service sont constitués des parties suivantes :
un nom de service (par exemple, MSSQLSvc ou HTTP) ;
un nom d’hôte (réel ou virtuel) ;
un numéro de port.
La liste suivante contient des exemples de noms principaux de service pour une instance par défaut de SQL Server s’exécutant sur un ordinateur nommé wsssql, à l’écoute sur le port 1433 :
MSSQLSvc/wsssql:1433
MSSQLSvc/wsssql.mydomain.com:1433
Ce sont les noms principaux de service que vous allez créer pour l’instance de SQL Server sur l’hôte SQL qui sera utilisé par la batterie de serveurs décrite dans cet article. Vous devez toujours créer des noms principaux de service qui ont à la fois un nom NetBIOS et un nom DNS complet pour un hôte de votre réseau.
Il existe différentes méthodes pour définir un nom principal de service pour un compte dans un domaine Active Directory. Une méthode consiste à utiliser l’utilitaire SETSPN.EXE qui fait partie des outils du Kit de ressources pour Windows Server 2008. Une autre méthode consiste à utiliser le composant logiciel enfichable ADSIEDIT.MSC sur votre contrôleur de domaine Active Directory. Cet article décrit l’utilisation du composant ADSIEDIT.MSC.
Vous devez effectuer deux étapes principales pour configurer l’authentification Kerberos pour SQL Server :
Créer des noms principaux de service pour votre compte de service SQL Server
Vérifier que l’authentification Kerberos est utilisée pour connecter des serveurs exécutant SharePoint Foundation 2010 à des serveurs exécutant SQL Server
Créer des noms principaux de service pour votre compte de service SQL Server
Ouvrez une session sur votre contrôleur de domaine Active Directory à l’aide des informations d’identification d’un utilisateur ayant des autorisations d’administration sur le domaine.
Dans la boîte de dialogue Exécuter, tapez ADSIEDIT.MSC.
Dans la boîte de dialogue de la console de gestion, développez le dossier conteneur de domaine.
Développez le dossier contenant les comptes d’utilisateurs, par exemple CN=Users.
Recherchez le conteneur du compte de service SQL Server, par exemple CN=wsssqlsvc.
Cliquez avec le bouton droit sur ce compte, puis cliquez sur Propriétés.
Faites défiler la liste des propriétés dans la boîte de dialogue compte de service SQL Server jusqu’à servicePrincipalName.
Sélectionnez la propriété servicePrincipalName et cliquez sur Modifier.
Dans le champ Valeur à ajouter de la boîte de dialogue Éditeur de chaînes à valeurs multiples, tapez le nom principal de service MSSQLSvc/wsssql:1433, puis cliquez sur Ajouter. Ensuite, tapez le nom principal de service MSSQLSvc/wsssql.mydomain.com:1433 dans ce champ et cliquez sur Ajouter.
Cliquez sur OK dans la boîte de dialogue Éditeur de chaînes à valeurs multiples, puis cliquez sur OK dans la boîte de dialogue Propriétés du compte de service SQL Server.
Vérifier que l’authentification Kerberos est utilisée pour connecter des serveurs exécutant SharePoint Foundation 2010 à SQL Server
Installez les outils clients SQL sur l’un de vos serveurs exécutant SharePoint Foundation 2010 et utilisez-les pour vous connecter depuis le serveur exécutant SharePoint Foundation 2010 aux serveurs exécutant SQL Server. Cet article n’aborde pas la procédure à suivre pour installer les outils clients SQL sur un serveur exécutant SharePoint Foundation 2010. Les procédures de vérification reposent sur les hypothèses suivantes :
Vous utilisez SQL Server 2008 sur votre hôte SQL.
Vous avez ouvert une session sur l’un de vos serveurs exécutant SharePoint Foundation 2010, à l’aide du compte mydomain\pscexec, et vous avez installé les outils clients SQL 2005 sur ce serveur SharePoint Foundation 2010.
Exécutez SQL Server 2005 Management Studio.
Lorsque la boîte de dialogue Connexion au serveur s’affiche, tapez le nom de l’ordinateur hôte SQL (dans cet exemple, cet ordinateur est wsssql), puis cliquez sur Connexion pour vous connecter à ce dernier.
Pour vérifier que l’authentification Kerberos a été utilisée pour cette connexion, exécutez l’Observateur d’événements sur l’ordinateur hôte SQL et examinez le journal des événements de sécurité. Le journal doit contenir un enregistrement Audit des succès pour un événement de la catégorie Ouverture/Fermeture de session dont les données sont similaires à celles des tableaux suivants :
Type d’événement
Audit des succès
Source de l’événement
Sécurité
Catégorie de l’événement
Ouverture/Fermeture de session
ID d’événement
540
Date
31/10/2007
Heure
16:12:24
Utilisateur
MYDOMAIN\pscexec
Ordinateur
WSSQL
Description
Un exemple d’ouverture de session réseau réussie est illustré dans le tableau suivant.
Nom de l’utilisateur
pscexec
Domaine
MYDOMAIN
ID d’ouv. de session
(0x0,0x6F1AC9)
Type d’ouv. de session
3
Processus d’ouv. de session
Kerberos
Nom de la station de travail
GUID d’ouv. de session
{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}
Nom d’utilisateur de l’appelant
Domaine de l’appelant
ID d’ouv. de session de l’appelant
ID du processus de l’appelant
Services en transit
Adresse réseau source
192.168.100.100
Port source
2465
Examinez l’entrée du journal pour vérifier les points suivants :
Le nom de l’utilisateur est correct. Le compte mydomain\pscexec a ouvert une session via le réseau sur l’hôte SQL.
Le type d’ouverture de session est 3, ce qui correspond à une ouverture de session réseau.
Le processus d’ouverture de session et le package d’authentification utilisent tous deux l’authentification Kerberos. Cela confirme que votre serveur exécutant SharePoint Foundation 2010 utilise l’authentification Kerberos pour communiquer avec l’hôte SQL.
L’adresse réseau source correspond à l’adresse IP de l’ordinateur à partir duquel la connexion a été établie.
Si la connexion à l’hôte SQL échoue avec un message d’erreur du type Impossible de générer le contexte SSPI, cela signifie qu’il existe probablement un problème avec le nom principal de service utilisé pour votre instance de SQL Server. Pour diagnostiquer et corriger le problème, consultez l’article COMMENT FAIRE : Résoudre le message d’erreur « Impossible de générer un contexte SSPI » (https://go.microsoft.com/fwlink/?linkid=76621&clcid=0x40C) de la Base de connaissances Microsoft.
Créer des noms principaux de service pour vos applications Web utilisant l’authentification Kerberos
En ce qui concerne l’authentification Kerberos, il n’existe aucune particularité quant aux applications Web SharePoint Foundation 2010 basées sur IIS ; l’authentification Kerberos les traite simplement comme tout autre site Web IIS.
Ce processus nécessite une connaissance des éléments suivants :
Classe de service pour le nom principal de service (dans le contexte de cet article, pour les applications Web SharePoint Foundation 2010, il s’agit toujours de HTTP)
URL de toutes vos applications Web SharePoint Foundation 2010 qui utilisent l’authentification Kerberos
Partie nom d’hôte du nom principal de service (réel ou virtuel ; cet article aborde les deux)
Partie numéro de port du nom principal de service (le scénario décrit dans cet article utilise des applications Web SharePoint Foundation 2010 basées sur des ports IIS ou sur des en-têtes d’hôte IIS).
Comptes Windows Active Directory pour lesquels des noms principaux de service doivent être créés
Le tableau suivant répertorie les informations pour le scénario décrit dans cet article :
| URL | Compte Active Directory | Nom principal de service |
|---|---|---|
http://wssadmin.mydomain.net:10000 |
wssfarmadmin |
|
http://kerbportal.mydomain.net |
portalpool |
|
http://kerbmysite.mydomain.net |
mysitepool |
|
Remarques à propos de ce tableau :
La première URL répertoriée ci-dessus est pour l’administration centrale : elle utilise un numéro de port. Vous n’êtes pas obligé d’utiliser le port 10000. Il s’agit juste d’un exemple utilisé tout au long de cet article pour assurer la cohérence.
Les deux URL suivantes concernent respectivement le site portail et le site Mon site.
Suivez les conseils ci-dessus pour créer les noms principaux de service dont vous avez besoin dans AD DS afin de prendre en charge l’authentification Kerberos pour vos applications Web SharePoint Foundation 2010. Vous devez ouvrir une session sur un contrôleur de domaine de votre environnement à l’aide d’un compte disposant d’autorisations d’administration sur le domaine. Pour créer les noms principaux de service, vous pouvez utiliser soit l’utilitaire SETSPN.EXE, soit le composant logiciel enfichable ADSIEDIT.MSC, précédemment mentionnés. Si vous utilisez ADSIEDIT.MSC, reportez-vous aux instructions fournies plus haut dans cet article pour créer les noms principaux de service. Veillez à créer des noms principaux de service corrects pour les comptes adéquats dans AD DS.
Déployer la batterie de serveurs
Le déploiement de la batterie de serveurs comprend les étapes suivantes :
Configurez SharePoint Foundation 2010 sur tous les serveurs exécutant SharePoint Foundation 2010.
Exécutez l’Assistant Configuration des produits SharePoint et créez une batterie de serveurs. Cette étape comprend la création d’une application Web Administration centrale SharePoint Foundation 2010 qui sera hébergée sur un serveur virtuel IIS lié à un port non défini par défaut et utilisera l’authentification Kerberos.
Exécutez l’Assistant Configuration des produits SharePoint et joignez les autres serveurs à la batterie de serveurs.
Configurez les services suivants sur les serveurs de votre batterie :
service de recherche SharePoint Foundation 2010 ;
indexation de recherche de SharePoint Foundation 2010 ;
requête de recherche de SharePoint Foundation 2010.
Créez des applications Web utilisées pour le site portail et le site Mon site, utilisant l’authentification Kerberos.
Créez une collection de sites à l’aide du modèle Portail de collaboration sur l’application Web du site portail.
Vérifiez l’accès aux applications Web utilisant l’authentification Kerberos.
Vérifiez les fonctionnalités d’indexation de recherche.
Vérifiez les fonctionnalités de requête de recherche.
Installer SharePoint Foundation 2010 sur tous vos serveurs
Ce processus simple consiste à exécuter le programme d’installation de SharePoint Foundation 2010 pour installer les fichiers binaires de SharePoint Foundation 2010 sur vos serveurs exécutant SharePoint Foundation 2010. Ouvrez une session sur chacun de vos ordinateurs exécutant SharePoint Foundation 2010 à l’aide du compte mydomain\pscexec. Aucune instruction détaillée n’est fournie pour cette étape. Pour le scénario décrit dans cet article, effectuez une installation Complète de SharePoint Foundation 2010 sur tous les serveurs qui nécessitent SharePoint Foundation 2010.
Créer une batterie
Dans le cadre du scénario décrit dans cet article, commencez par exécuter l’Assistant Configuration des produits SharePoint à partir du serveur d’indexation de recherche WSSADMIN, afin que WSSADMIN héberge l’application Web Administration centrale de SharePoint Foundation 2010.
Sur le serveur nommé WSSCRAWL, une fois l’installation effectuée, une boîte de dialogue Installation terminée apparaît, dans laquelle est activée une case à cocher permettant d’exécuter l’Assistant Configuration des produits SharePoint. Laissez cette case à cocher activée et fermez cette boîte de dialogue pour exécuter l’Assistant Configuration des produits SharePoint.
Lors de l’exécution de l’Assistant Configuration des produits SharePoint sur cet ordinateur, créez une batterie de serveurs en utilisant les paramètres suivants :
Spécifiez le nom du serveur de bases de données (dans cet article, il s’agit du serveur appelé WSSSQL).
Spécifiez le nom de la base de données de configuration (vous pouvez utiliser la valeur par défaut ou attribuer le nom de votre choix).
Fournissez les informations du compte d’accès à la base de données (administrateur de la batterie de serveurs). Dans le scénario de cet article, il s’agit du compte mydomain\wssfarmadmin.
Fournissez les informations requises pour l’application Web Administration centrale de SharePoint Foundation 2010. Dans le scénario de cet article, ces informations sont les suivantes :
Numéro de port de l’application Web Administration centrale : 10000
Méthode d’authentification : Négocier
Si vous avez spécifié toutes les informations requises, l’exécution de l’Assistant Configuration des produits SharePoint doit correctement se terminer. Si c’est le cas, vérifiez que vous pouvez accéder à la page d’accueil de l’application Web Administration centrale de SharePoint Foundation 2010 en utilisant l’authentification Kerberos. Pour ce faire, procédez comme suit :
Ouvrez une session sur un autre serveur qui exécute SharePoint Foundation 2010 ou sur un autre ordinateur du domaine mydomain en tant que mydomain\pscexec. Ne vérifiez pas si le comportement d’authentification Kerberos est correct directement sur l’ordinateur qui héberge l’application Web Administration centrale de SharePoint Foundation 2010. Cette opération doit être effectuée à partir d’un autre ordinateur du domaine.
Démarrez Internet Explorer sur ce serveur et essayez d’accéder à l’URL suivante : http://wssadmin.mydomain.net:10000. La page d’accueil de l’Administration centrale doit s’afficher.
Pour vérifier que l’authentification Kerberos a été utilisée pour accéder à l’Administration centrale, retournez sur l’ordinateur nommé WSSADMIN, lancez l’Observateur d’événements et consultez le journal de sécurité. Le journal doit contenir un enregistrement Audit des succès comportant des informations similaires à celles du tableau suivant :
Type d’événement
Audit des succès
Source de l’événement
Sécurité
Catégorie de l’événement
Ouverture/Fermeture de session
ID d’événement
540
Date
01/11/2007
Heure
14:22:20
Utilisateur
MYDOMAIN\pscexec
Ordinateur
WSSADMIN
Description
Un exemple d’ouverture de session réseau réussie est illustré dans le tableau suivant.
Nom de l’utilisateur
pscexec
Domaine
MYDOMAIN
ID d’ouv. de session
(0x0,0x1D339D3)
Type d’ouv. de session
3
Processus d’ouv. de session
Kerberos
Package d’authentification
Kerberos
Nom de la station de travail
GUID d’ouv. de session
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}
Nom d’utilisateur de l’appelant
Domaine de l’appelant
ID d’ouv. de session de l’appelant
ID du processus de l’appelant
Services en transit
Adresse réseau source
192.168.100.100
Port source
2505
Cet enregistrement du journal affiche le même type d’informations que l’entrée de journal précédente :
Vérifiez que le nom de l’utilisateur est correct ; il s’agit du compte mydomain\pscexec qui a ouvert une session via le réseau sur le serveur exécutant SharePoint Foundation 2010 qui héberge l’Administration centrale.
Vérifiez que le type d’ouverture de session est 3, c’est-à-dire une ouverture de session réseau.
Vérifiez que le processus d’ouverture de session et le package d’authentification utilisent tous deux l’authentification Kerberos. Cela confirme que l’authentification Kerberos est utilisée pour accéder à votre application Web Administration centrale.
Vérifiez que l’adresse réseau source correspond à l’adresse IP de l’ordinateur à partir duquel la connexion a été établie.
Si la page d’accueil Administration centrale ne s’affiche pas et qu’un message d’erreur non autorisé apparaît, cela signifie que l’authentification Kerberos a échoué. En règle générale, deux causes seulement peuvent provoquer cet échec :
Le nom principal de service dans AD DS n’a pas été inscrit pour le compte approprié, c’est-à-dire pour mydomain\wssfarmadmin.
Le nom principal de service dans AD DS ne correspond pas au nom construit par Internet Explorer ou n’est pas valide. Vous pouvez avoir omis le numéro de port dans le nom principal de service que vous avez inscrit dans AD DS. Avant de continuer, assurez-vous que ce problème est résolu et que l’Administration centrale fonctionne en utilisant l’authentification Kerberos.
Notes
Comme outil de diagnostic, vous pouvez utiliser un espion réseau, tel que le Moniteur réseau Microsoft, pour examiner ce qui se passe sur le réseau grâce au suivi généré durant l’accès à l’Administration centrale. Après l’échec, examinez le suivi et recherchez les paquets du protocole KerberosV5. Trouvez un paquet avec un nom principal de service construit par Internet Explorer. Si ce nom semble correct, soit le nom principal de service dans AD DS n’est pas valide, soit il a été inscrit pour un compte incorrect.
Joindre les autres serveurs à la batterie de serveurs
Maintenant que votre batterie de serveurs est créée et que vous pouvez accéder à l’Administration centrale en utilisant l’authentification Kerberos, vous devez exécuter l’Assistant Configuration des produits SharePoint et joindre les autres serveurs à la batterie.
Sur chacun des quatre autres serveurs exécutant SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery et wsscrawl), l’installation de SharePoint Foundation 2010 doit être terminée et la boîte de dialogue de fin d’installation doit s’afficher avec la case à cocher Assistant Configuration des produits SharePoint activée. Laissez cette case à cocher activée et fermez la boîte de dialogue pour exécuter l’Assistant Configuration des produits SharePoint. Effectuez la procédure pour joindre chacun de ces serveurs à la batterie.
À la fin de l’exécution de l’Assistant Configuration des produits SharePoint sur chaque serveur que vous ajoutez à la batterie, vérifiez que chacun d’entre eux peut afficher l’Administration centrale qui s’exécute sur le serveur WSSADMIN. Si l’un des serveurs ne parvient pas à afficher l’Administration centrale, prenez les mesures adéquates pour résoudre le problème avant de poursuivre.
Configurer les services sur les serveurs de la batterie
Configurez les services propres à SharePoint Foundation 2010 pour qu’ils s’exécutent sur des serveurs spécifiques de la batterie exécutant SharePoint Foundation 2010, en utilisant les comptes indiqués dans les sections suivantes.
Notes
Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.
Accédez à l’Administration centrale, puis effectuez la procédure ci-après pour configurer les services sur les serveurs indiqués, en utilisant les comptes indiqués.
Recherche Windows SharePoint Services
Dans la page Services sur le serveur de l’Administration centrale :
Sélectionnez le serveur WSSQUERY.
Dans la liste des services qui s’affiche, près du milieu de la page, localisez le service de recherche SharePoint Foundation 2010, puis cliquez sur Démarrer dans la colonne Action.
Dans la page suivante, indiquez les informations d’identification pour le compte du service de recherche SharePoint Foundation 2010 et pour le compte d’accès au contenu SharePoint Foundation 2010. Dans le scénario de cet article, le compte du service de recherche SharePoint Foundation 2010 est mydomain\wsssearch et le compte d’accès au contenu SharePoint Foundation 2010, mydomain\wsscrawl. Tapez les noms et les mots de passe des comptes dans les champs réservés à cet effet, puis cliquez sur Démarrer.
Serveur d’index
Dans la page Services sur le serveur de l’Administration centrale :
Sélectionnez le serveur WSSCRAWL.
Dans la liste des services qui s’affiche, près du milieu de la page, localisez le service de recherche SharePoint Foundation 2010, puis cliquez sur Démarrer dans la colonne Action.
Dans la page suivante, activez la case à cocher Utiliser ce serveur pour l’indexation de contenu et fournissez les informations d’identification pour le compte du service de recherche SharePoint Foundation 2010. Dans le scénario de cet article, le compte du service de recherche SharePoint Foundation 2010 est mydomain\wsssearch. Tapez les noms et les mots de passe des comptes dans les champs réservés à cet effet, puis cliquez sur Démarrer.
Serveur de requêtes
Dans la page Services sur le serveur de l’Administration centrale :
Sélectionnez le serveur WSSQUERY.
Dans la liste des services qui s’affiche, près du milieu de la page, localisez le service de recherche SharePoint Foundation 2010, puis cliquez sur le nom du service dans la colonne Service.
Dans la page suivante, activez la case à cocher Utiliser ce serveur pour traiter les requêtes de recherche, puis cliquez sur OK.
Créer des applications Web utilisant l’authentification Kerberos
Dans cette section, vous allez créer des applications Web utilisées pour le site portail et un site Mon site dans votre batterie de serveurs.
Notes
Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.
Créer l’application Web du site portail
Dans la page Gestion des applications de l’Administration centrale, cliquez sur Créer ou étendre une application Web.
Dans la page suivante, cliquez sur Créer une application Web.
Dans la page suivante, vérifiez que Créer un nouveau site Web IIS est sélectionné.
Dans le champ Description, tapez SitePortail.
Dans le champ Port, tapez 80.
Dans le champ En-tête de l’hôte, tapez kerbportal.mydomain.net.
Vérifiez que Négocier est sélectionné comme fournisseur d’authentification pour cette application Web.
Créez cette application Web dans la zone par défaut. Ne modifiez pas la zone pour cette application Web.
Vérifiez que l’option Créer un nouveau pool d’applications est activée.
Dans le champ Nom du pool d’applications, tapez PoolAppPortail.
Vérifiez que l’option Configurable est activée. Dans le champ Nom d’utilisateur, tapez le compte mydomain\portalpool.
Cliquez sur OK.
Vérifiez que l’application Web a été créée.
Notes
Si vous souhaitez utiliser une connexion SSL et lier l’application Web au port 443, tapez 443 dans le champ Port et sélectionnez Utiliser SSL dans la page Créer une application Web. Vous devez en outre installer un certificat générique SSL. Si vous utilisez une liaison d’en-tête d’hôte IIS sur un site Web IIS configuré pour SSL, vous devez utiliser un certificat générique SSL. Pour plus d’informations sur les en-têtes d’hôte SSL dans IIS, voir Configuration des en-têtes d’hôte SSL (IIS 6.0) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x40C) (éventuellement en anglais).
Créer l’application Web Mon site
Dans la page Gestion des applications de l’Administration centrale, cliquez sur Créer ou étendre une application Web.
Dans la page suivante, cliquez sur Créer une application Web.
Dans la page suivante, vérifiez que Créer un nouveau site Web IIS est sélectionné.
Dans le champ Description, tapez MonSite.
Dans le champ Port, tapez 80.
Dans le champ En-tête de l’hôte, tapez kerbmysite.mydomain.net.
Vérifiez que Négocier est sélectionné comme fournisseur d’authentification pour cette application Web.
Créez cette application Web dans la zone par défaut. Ne modifiez pas la zone pour cette application Web.
Vérifiez que l’option Créer un nouveau pool d’applications est activée.
Dans le champ Nom du pool d’applications, tapez PoolAppMonSite.
Vérifiez que l’option Configurable est activée. Dans le champ Nom d’utilisateur, tapez le compte mydomain\mysitepool.
Cliquez sur OK.
Vérifiez que l’application Web a été créée.
Notes
Si vous souhaitez utiliser une connexion SSL et lier l’application Web au port 443, tapez 443 dans le champ Port et sélectionnez Utiliser SSL dans la page Créer une application Web. Vous devez en outre installer un certificat générique SSL. Si vous utilisez une liaison d’en-tête d’hôte IIS sur un site Web IIS configuré pour SSL, vous devez utiliser un certificat générique SSL. Pour plus d’informations sur les en-têtes d’hôte SSL dans IIS, voir Configuration des en-têtes d’hôte SSL (IIS 6.0) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=111285&clcid=0x40C) (éventuellement en anglais).
Créer une collection de sites à l’aide du modèle Portail de collaboration sur l’application Web du site portail
Dans cette section, vous allez créer une collection de sites sur le site portail dans l’application Web que vous avez créée à cet effet.
Notes
Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.
Dans la page Gestion des applications de l’Administration centrale, cliquez sur Créer une collection de sites.
Dans la page suivante, vérifiez que vous avez sélectionné l’application Web correcte. Pour l’exemple de cet article, sélectionnez http://kerbportal.mydomain.net.
Indiquez le titre et la description que vous souhaitez utiliser pour cette collection de sites.
Conservez l’adresse du site Web telle quelle.
Dans la section Sélection du modèle, sous Sélectionner un modèle, cliquez sur l’onglet Publication et sélectionnez le modèle Portail de collaboration.
Dans la section Administrateur principal de la collection de sites, tapez mydomain\pscexec.
Spécifiez l’administrateur secondaire de la collection de sites que vous souhaitez utiliser.
Cliquez sur OK.
Vérifiez que la collection de sites du portail a été créée.
Vérifier l’accès aux applications Web utilisant l’authentification Kerberos
Vérifiez que l’authentification Kerberos fonctionne pour les applications Web récemment créées. Commencez par le site portail.
Pour ce faire, procédez comme suit :
Ouvrez une session sur un serveur exécutant SharePoint Foundation 2010, plutôt que sur l’un des deux serveurs Web frontaux qui sont configurés pour l’équilibrage de la charge réseau, en tant que mydomain\pscexec. Ne vérifiez pas si le comportement de l’authentification Kerberos est correct directement sur l’un des ordinateurs qui hébergent les sites Web à charge équilibrée utilisant l’authentification Kerberos. Cette opération doit être effectuée à partir d’un ordinateur distinct du domaine.
Démarrez Internet Explorer sur cet autre système et essayez d’accéder à l’URL suivante : http://www.mydomain.com/
La page d’accueil du site portail authentifié avec Kerberos doit s’afficher.
Pour vérifier que l’authentification Kerberos a été utilisée pour accéder au site portail, passez sur l’un des serveurs Web frontaux à charge équilibrée, lancez l’Observateur d’événements et consultez le journal de sécurité. Le journal doit contenir un enregistrement Audit des succès comportant des informations similaires à celles du tableau ci-après, sur l’un des serveurs Web frontaux. Notez que vous devrez peut-être le rechercher sur les deux serveurs Web frontaux pour le trouver, selon le système ayant traité la requête à charge équilibrée.
Type d’événement |
Audit des succès |
Source de l’événement |
Sécurité |
Catégorie de l’événement |
Ouverture/Fermeture de session |
ID d’événement |
540 |
Date |
01/11/2007 |
Heure |
17:08:20 |
Utilisateur |
MYDOMAIN\pscexec |
Ordinateur |
wssfe1 |
Description |
Un exemple d’ouverture de session réseau réussie est illustré dans le tableau suivant.
Nom de l’utilisateur |
pscexec |
Domaine |
MYDOMAIN |
ID d’ouv. de session |
(0x0,0x1D339D3) |
Type d’ouv. de session |
3 |
Processus d’ouv. de session |
Authentification Kerberos |
Nom de la station de travail |
|
GUID d’ouv. de session |
{fad7cb69-21f8-171b-851b-3e0dbf1bdc79} |
Nom d’utilisateur de l’appelant |
|
Domaine de l’appelant |
|
ID d’ouv. de session de l’appelant |
|
ID du processus de l’appelant |
|
Services en transit |
|
Adresse réseau source |
192.168.100.100 |
Port source |
2505 |
Cet enregistrement du journal affiche le même type d’informations que l’entrée de journal précédente :
Vérifiez que le nom de l’utilisateur est correct ; il s’agit du compte mydomain\pscexec qui a ouvert une session via le réseau sur le serveur Web frontal exécutant SharePoint Foundation 2010 qui héberge le site portail.
Vérifiez que le type d’ouverture de session est 3, c’est-à-dire une ouverture de session réseau.
Vérifiez que le processus d’ouverture de session et le package d’authentification utilisent tous deux l’authentification Kerberos. Cela confirme que l’authentification Kerberos est utilisée pour accéder à votre site portail.
Vérifiez que l’adresse réseau source correspond à l’adresse IP de l’ordinateur à partir duquel la connexion a été établie.
Si la page d’accueil du site portail ne parvient pas à s’afficher et qu’un message d’erreur « non autorisé » apparaît, cela signifie que l’authentification Kerberos a échoué. En règle générale, deux causes seulement peuvent provoquer cet échec :
Le nom principal de service dans AD DS n’a pas été inscrit pour le compte approprié, c’est-à-dire pour mydomain\portalpool, pour l’application Web du site portail.
Le nom principal de service dans AD DS ne correspond pas au nom principal de service construit par Internet Explorer ou n’est pas valide. Dans ce cas, étant donné que vous utilisez des en-têtes d’hôte IIS sans numéros de port explicites, le nom principal de service inscrit dans AD DS diffère de l’en-tête d’hôte IIS spécifié lorsque vous avez étendu l’application Web. Vous devez corriger ce problème pour que l’authentification Kerberos puisse fonctionner.
Notes
Comme outil de diagnostic, vous pouvez utiliser un espion réseau, tel que le Moniteur réseau Microsoft, pour examiner ce qui se passe sur le réseau grâce au suivi généré durant l’accès à l’Administration centrale. Après l’échec, examinez le suivi et recherchez les paquets du protocole KerberosV5. Vous devez trouver un paquet avec un nom principal de service construit par Internet Explorer. Si ce nom semble correct, soit le nom principal de service dans AD DS n’est pas valide, soit il a été inscrit pour un compte incorrect.
Une fois que l’authentification Kerberos fonctionne pour votre site portail, accédez à votre site Mon site authentifié avec Kerberos, à l’aide les URL suivantes :
Notes
La première fois que vous accédez à l’URL de Mon site, SharePoint Foundation 2010 prendra du temps pour créer un site Mon site pour l’utilisateur ayant ouvert la session. Finalement, la page Mon site s’affichera pour cet utilisateur.
Cette procédure doit fonctionner. Si tel n’est pas le cas, reportez-vous aux étapes de dépannage précédentes.
Vérifier les fonctionnalités d’indexation de la recherche
Vérifiez que l’indexation de la recherche analyse correctement le contenu hébergé sur cette batterie de serveurs. Vous devez effectuer cette étape avant de vérifier les résultats des requêtes de recherche des utilisateurs qui accèdent aux sites à l’aide de l’authentification Kerberos.
Notes
Cette section ne fournit pas de description détaillée de l’interface utilisateur. Seules des instructions générales sont fournies. Vous devez maîtriser l’Administration centrale et savoir effectuer les étapes nécessaires avant de poursuivre.
Pour vérifier les fonctionnalités d’indexation de la recherche, accédez à une application Web et démarrez une analyse complète. Attendez la fin de l’analyse. Si l’analyse échoue, vous devez diagnostiquer le problème et le corriger, puis exécuter une analyse complète. Si l’analyse échoue avec des erreurs du type « Accès refusé », cela est dû soit au compte d’analyse qui ne peut pas accéder aux sources de contenu, soit à l’authentification Kerberos qui échoue. Quelle que soit la cause, cette erreur doit être corrigée avant de passer aux étapes suivantes.
Vous devez effectuer une analyse complète des applications Web authentifiées avec Kerberos avant de continuer.
Vérifier les fonctionnalités des requêtes de recherche
Pour vérifier que les requêtes de recherche retournent des résultats aux utilisateurs qui accèdent au site portail utilisant l’authentification Kerberos :
Démarrez Internet Explorer sur un système dans mydomain.net et accédez à l’adresse http://kerbportal.mydomain.net.
Lorsque la page d’accueil du site portail s’affiche, tapez un mot clé de recherche dans le champ Recherche et appuyez sur Entrée.
Vérifiez que la requête de recherche retourne des résultats. Si ce n’est pas le cas, vérifiez que le mot clé que vous avez entré est valide dans votre déploiement, que l’indexation de recherche fonctionne correctement, que le service de recherche est en cours d’exécution sur votre serveur d’indexation de recherche et votre serveur de requêtes de recherche, et qu’il n’y a aucun problème avec la propagation de la recherche à partir de votre serveur d’indexation de recherche vers votre serveur de requêtes de recherche.
Limites de configuration
La partie nom d’hôte des noms principaux de service au nouveau format qui sont créés représente le nom NetBIOS de l’hôte exécutant le service, par exemple : MSSP/kerbtest4:56738/SSP1. En effet, les noms d’hôtes sont extraits de la base de données de configuration de SharePoint Foundation 2010 : seuls les noms d’ordinateurs NetBIOS sont stockés dans la base de données de configuration de SharePoint Foundation 2010. Cela peut être ambigu dans certains scénarios.