Página principal



Configuración de la autenticación Kerberos para las comunicaciones de SQL

Descargar 3.63 Mb.

Configuración de la autenticación Kerberos para las comunicaciones de SQL





Descargar 3.63 Mb.
Página31/74
Fecha de conversión02.09.2018
Tamaño3.63 Mb.
1   ...   27   28   29   30   31   32   33   34   ...   74

Configuración de la autenticación Kerberos para las comunicaciones de SQL

Configure la autenticación Kerberos para las comunicaciones de SQL antes de instalar y configurar SharePoint Foundation 2010 en los servidores que ejecutan SharePoint Foundation 2010. Esto es necesario porque la autenticación Kerberos para las comunicaciones de SQL se debe configurar y su funcionamiento debe comprobarse para que los equipos que ejecutan SharePoint Foundation 2010 puedan conectarse a SQL Server.

El proceso de configuración de la autenticación Kerberos para cualquier servicio instalado en un equipo host que ejecuta Windows Server 2008 incluye la creación de un SPN para la cuenta de dominio que se usa para ejecutar el servicio en el host. Los SPN constan de las siguientes partes:

Un nombre de servicio (por ejemplo, MSSQLSvc o HTTP)

Un nombre de host (ya sea real o virtual)

Un número de puerto

La lista siguiente contiene ejemplos de SPN para una sesión predeterminada de SQL Server en ejecución en un equipo llamado wsssql y que escucha en el puerto 1433:

MSSQLSvc/wsssql:1433

MSSQLSvc/wsssql.mydomain.com:1433

Estos son los SPN que va a crear para la sesión de SQL Server en el host de SQL que usará la granja de servidores descrita en este artículo. Siempre se deben crear SPN que tengan tanto un nombre NetBIOS como un nombre DNS completo para un host de la red.

Existen diferentes métodos que se pueden usar para establecer un SPN para una cuenta de un dominio de Active Directory. Un método consiste en usar la utilidad SETSPN.exe, que forma parte de las herramientas del kit de recursos para Windows Server 2008. Otro método es usar el complemento ADSIEDIT.MSC en el controlador de dominio de Active Directory. En este artículo se explica el uso del complemento ADSIEDIT.MSC.

Hay dos pasos básicos para configurar la autenticación Kerberos para SQL Server:

Crear los SPN para la cuenta de servicio de SQL Server.

Confirmar que se usa la autenticación Kerberos para conectar los servidores que ejecutan SharePoint Foundation 2010 con los servidores que ejecutan SQL Server.

      1. Creación de los SPN para la cuenta de servicio de SQL Server

1. Inicie sesión en el controlador de dominio de Active Directory con las credenciales de un usuario que tenga permisos administrativos de dominio.

2. En el cuadro de diálogo Ejecutar, escriba ADSIEDIT.MSC.

3. En el cuadro de diálogo de la consola de administración, expanda la carpeta del contenedor de dominio.

4. Expanda la carpeta contenedora en la que se encuentran las cuentas de usuario (por ejemplo, CN=Users).

5. Busque el contenedor de la cuenta de servicio de SQL Server, por ejemplo, CN=wsssqlsvc.

6. Haga clic con el botón secundario en esta cuenta y, a continuación, haga clic en Propiedades.

7. Desplácese hacia abajo por la lista de propiedades del cuadro de diálogo Cuenta de servicio de SQL Server hasta encontrar servicePrincipalName.

8. Seleccione la propiedad servicePrincipalName y haga clic en Editar.

9. En el campo Valor para agregar, en el cuadro de diálogo Editor de cadena multivalor, escriba el SPN MSSQLSvc/wsssql:1433 y haga clic en Agregar. A continuación, escriba el SPN MSSQLSvc/wsssql.mydomain.com:1433 en este campo y haga clic en Agregar.

10. Haga clic en Aceptar en el cuadro de diálogo Editor de cadena multivalor y, a continuación, haga clic en Aceptar en el cuadro de diálogo de propiedades de la cuenta de servicio de SQL Server.

      1. Confirmación del uso de la autenticación Kerberos para conectar los servidores que ejecutan SharePoint Foundation 2010 para SQL Server

Instale las herramientas de cliente de SQL en uno de los servidores que ejecutan SharePoint Foundation 2010 y use las herramientas para conectarse desde el servidor que ejecuta SharePoint Foundation 2010 a los servidores que ejecutan SQL Server. En este artículo no se describen los pasos necesarios para instalar las herramientas de cliente de SQL en uno de los servidores que ejecutan SharePoint Foundation 2010. Los procedimientos de confirmación se basan en los siguientes supuestos:

Está usando SQL Server 2008 en el host de SQL.

Ha iniciado sesión en uno de los servidores que ejecutan SharePoint Foundation 2010, está usando la cuenta mydomain\pscexec y ha instalado las herramientas de cliente de SQL 2005 en el servidor que ejecuta SharePoint Foundation 2010.

1. Ejecute SQL Server 2005 Management Studio.

2. Cuando aparezca el cuadro de diálogo Conectar con el servidor, escriba el nombre del equipo host de SQL (en este ejemplo, el equipo host de SQL es wsssql) y haga clic en Conectar para conectar con el equipo host de SQL.

3. Para confirmar que se usó la autenticación Kerberos para esta conexión, ejecute el Visor de eventos en el equipo host de SQL y examine el registro de eventos de seguridad. Debería ver un registro de auditoría de aciertos para un evento de categoría Inicio de sesión/cierre de sesión similar a los datos mostrados en las tablas siguientes:



Tipo de evento

Auditoría de aciertos

Origen del evento

Seguridad

Categoría del evento

Inicio/cierre de sesión

Identificador de evento

540

Fecha

31/10/2007

Hora

4:12:24 p. m.

Usuario

MYDOMAIN\pscexec

Equipo

WSSQL

Descripción




En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.



Nombre de usuario

pscexec

Dominio

MYDOMAIN

Identificador de inicio de sesión

(0x0,0x6F1AC9)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Kerberos

Nombre de la estación de trabajo


GUID de inicio de sesión

{36d6fbe0-2cb8-916c-4fee-4b02b0d3f0fb}

Nombre de usuario del llamador


Dominio del llamador


Identificador de inicio de sesión del llamador


Identificador de proceso del llamador


Servicios transitados


Dirección de red de origen

192.168.100.100

Puerto de origen

2465



Examine la entrada del registro para confirmar que:

1. El nombre de usuario es correcto. La cuenta mydomain\pscexec inició una sesión a través de la red en el host de SQL.

2. El tipo de inicio de sesión es 3. Un inicio de sesión de tipo 3 es un inicio de sesión de red.

3. Tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. Esto confirma que el servidor que ejecuta SharePoint Foundation 2010 usa la autenticación Kerberos para comunicarse con el host de SQL.

4. La dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si se produce un error en la conexión con el host de SQL y aparece un mensaje de error similar a No se puede generar el contexto SSPI, es probable que haya un problema con el SPN que se está usando para la sesión de SQL Server. Para solucionar y corregir este problema, vea el artículo sobre cómo solucionar el mensaje de error "No se puede generar el contexto SSPI" (http://go.microsoft.com/fwlink/?linkid=76621&clcid=0xC0A) de Microsoft Knowledge Base.

    1. Creación de nombres principales de servicio para las aplicaciones web con la autenticación Kerberos

Por lo que respecta a la autenticación Kerberos, no hay ninguna consideración especial para las aplicaciones web de SharePoint Foundation 2010 basadas en IIS. La autenticación Kerberos las trata como cualquier otro sitio web de IIS.

Este proceso requiere conocimientos de los siguientes elementos:

La clase de servicio del SPN (en el contexto de este artículo, para las aplicaciones web de SharePoint Foundation 2010, siempre es HTTP).

La dirección URL de todas las aplicaciones web de SharePoint Foundation 2010 que usen la autenticación Kerberos.

La parte correspondiente al nombre de host del SPN (ya sea real o virtual; en este artículo se contemplan ambos casos).

La parte correspondiente al número de puerto del SPN (en el escenario descrito en este artículo, se usan aplicaciones web de SharePoint Foundation 2010 de IIS basadas tanto en puertos como en encabezados host).

Las cuentas de Windows Active Directory para las que se deben crear los SPN.

En la siguiente tabla se incluye información acerca del escenario descrito en este artículo:



Dirección URL

Cuenta de Active Directory

SPN


http://wssadmin.mydomain.net:10000

wssfarmadmin

HTTP/wssadmin.mydomain.net:10000

HTTP/wssadmin.mydomain.net:10000

http://kerbportal.mydomain.net

portalpool

HTTP/kerbportal.mydomain.net

HTTP/kerbportal

http://kerbmysite.mydomain.net

mysitepool

HTTP/kerbmysite.mydomain.net

HTTP/kerbmysite



Notas sobre esta tabla:

La primera dirección URL que aparece en la tabla corresponde a Administración central y usa un número de puerto. No es necesario usar el puerto 10000, que en este artículo se usa a modo de ejemplo.

Las dos direcciones URL siguientes son para el sitio de portal y para Mi sitio respectivamente.

Siga las instrucciones anteriores para crear los SPN necesarios en AD DS para admitir la autenticación Kerberos en las aplicaciones web de SharePoint Foundation 2010. Debe iniciar sesión en un controlador de dominio del entorno con una cuenta que tenga permisos administrativos en el dominio. Para crear los SPN, puede usar la herramienta SETSPN.exe o el complemento ADSIEDIT.MSC mencionados anteriormente. Si usa el complemento ADSIEDIT.MSC, lea las instrucciones proporcionadas en este artículo para crear los SPN. Asegúrese de crear los SPN adecuados para las cuentas de AD DS correspondientes.

    1. Implementación de la granja de servidores

La implementación de la granja de servidores incluye los pasos siguientes:

1. Configure SharePoint Foundation 2010 en todos los servidores que ejecuten SharePoint Foundation 2010.

2. Ejecute el Asistente para configuración de Productos de SharePoint y cree una granja de servidores. Este paso incluye la creación de una aplicación web de Administración central de SharePoint Foundation 2010 que se hospedará en un servidor virtual de IIS enlazado a un puerto no predeterminado y usará la autenticación Kerberos.

3. Ejecute el Asistente para configuración de Productos de SharePoint y únase a los demás servidores de la granja.

4. Configure los siguientes servicios en los servidores de la granja:

Servicio de búsqueda de SharePoint Foundation 2010

Indización de búsqueda de SharePoint Foundation 2010

Consulta de búsqueda de SharePoint Foundation 2010

5. Cree las aplicaciones web que se van a usar para el sitio de portal y para Mi sitio con la autenticación Kerberos.

6. Cree una colección de sitios mediante la plantilla de portal de colaboración en la aplicación web del sitio de portal.

7. Confirme el acceso correcto a las aplicaciones web con la autenticación Kerberos.

8. Confirme la funcionalidad correcta de la indización de búsqueda.

9. Confirme la funcionalidad correcta de las consultas de búsqueda.

      1. Instalación de SharePoint Foundation 2010 en todos los servidores

Se trata de un sencillo proceso que consiste en ejecutar el programa de instalación de SharePoint Foundation 2010 para instalar los archivos binarios de SharePoint Foundation 2010 en los servidores que ejecuten SharePoint Foundation 2010. Inicie sesión en cada uno de los equipos que ejecuten SharePoint Foundation 2010 con la cuenta mydomain\pscexec. No se proporcionan instrucciones detalladas de este proceso. Para el escenario descrito en este artículo, realice una instalación Completa de SharePoint Foundation 2010 en todos los servidores que requieran SharePoint Foundation 2010.

      1. Creación de una granja de servidores nueva

Para el escenario descrito en este artículo, ejecute en primer lugar el Asistente para configuración de Productos de SharePoint desde el servidor de indización de búsqueda WSSADMIN de modo que WSSADMIN hospede la aplicación web de Administración central de SharePoint Foundation 2010.

En el servidor denominado WSSCRAWL, cuando se complete el programa de instalación, aparecerá un cuadro de diálogo Instalación completada con una casilla de verificación activada para ejecutar el Asistente para configuración de Productos de SharePoint. Deje activada esta casilla de verificación y cierre el cuadro de diálogo de instalación para ejecutar el Asistente para configuración de Productos de SharePoint.

Cuando ejecute el Asistente para configuración de Productos de SharePoint en este equipo, cree una granja de servidores con la siguiente configuración:

Proporcione el nombre del servidor de bases de datos (en este artículo, es el servidor denominado WSSSQL).

Proporcione un nombre para la base de datos de configuración (puede usar el valor predeterminado o especificar el nombre que desee).

Proporcione la información de la cuenta de acceso (administrador de la granja de servidores) a la base de datos. En el escenario de este artículo, esa cuenta es mydomain\wssfarmadmin.

Proporcione la información necesaria para la aplicación web de Administración central de SharePoint Foundation 2010. En el escenario de este artículo, esa información es:

Número de puerto de la aplicación web de Administración central: 10000

Método de autenticación: Negociar

Cuando haya proporcionado toda la información necesaria, el Asistente para configuración de Productos de SharePoint finalizará correctamente. Si es así, compruebe si tiene acceso a la página principal de la aplicación web de Administración central de SharePoint Foundation 2010 mediante la autenticación Kerberos. Para hacerlo, siga estos pasos:

1. Inicie sesión en un servidor diferente que ejecute SharePoint Foundation 2010 o en otro equipo del dominio mydomain, como mydomain\pscexec. No debe comprobar el correcto comportamiento de la autenticación Kerberos directamente en el equipo que hospeda la aplicación web de Administración central de SharePoint Foundation 2010, pues tal comprobación se realiza desde un equipo independiente del dominio.

2. Inicie Internet Explorer en este servidor e intente ir a la siguiente dirección URL: http://wssadmin.mydomain.net:10000. Se debería mostrar la página principal de Administración central.

3. Para confirmar que se ha usado la autenticación Kerberos para tener acceso a Administración central, vuelva al equipo denominado WSSADMIN, ejecute el Visor de eventos y vea el registro de seguridad. Debería ver un registro de auditoría de aciertos con una apariencia similar a la tabla siguiente:



Tipo de evento

Auditoría de aciertos

Origen del evento

Seguridad

Categoría del evento

Inicio/cierre de sesión

Identificador de evento

540

Fecha

01/112007

Hora

2:22:20 p. m.

Usuario

MYDOMAIN\pscexec

Equipo

WSSADMIN

Descripción




En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.



Nombre de usuario

pscexec

Dominio

MYDOMAIN

Identificador de inicio de sesión

(0x0,0x1D339D3)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Kerberos

Paquete de autenticación

Kerberos

Nombre de la estación de trabajo


GUID de inicio de sesión

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Nombre de usuario del llamador


Dominio del llamador


Identificador de inicio de sesión del llamador


Identificador de proceso del llamador


Servicios transitados


Dirección de red de origen

192.168.100.100

Puerto de origen

2505



Al examinar este registro, se encuentra el mismo tipo de información que en la entrada de registro anterior:

Confirme que el nombre de usuario es correcto. Se trata de la cuenta mydomain\pscexec que inició sesión a través de la red en el servidor que ejecuta SharePoint Foundation 2010 y hospeda Administración central.

Confirme que el tipo de inicio de sesión es 3. Un tipo de inicio de sesión 3 es un inicio de sesión de red.

Confirme que tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. De esta forma se confirma que la autenticación Kerberos se usa para tener acceso a la aplicación web de Administración central.

Confirme que la dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si la página principal de Administración central no aparece y en su lugar se muestra un mensaje de error no autorizado, la autenticación Kerberos no se está realizando correctamente. Normalmente, este error se produce solo por dos causas:

El SPN de AD DS no se registró para la cuenta correcta. Se debería haber registrado para mydomain\wssfarmadmin.

El SPN de AD DS no coincide con el SPN que crea Internet Explorer o no es válido. Es posible que haya omitido el número de puerto en el SPN que registró en AD DS. Asegúrese de corregirlo y de que Administración central funcione mediante la autenticación Kerberos antes de continuar.

U

Nota:




na ayuda de diagnóstico que se puede usar para ver lo que ocurre en la red es un analizador de redes, como el Monitor de red de Microsoft, para realizar un seguimiento durante la navegación a Administración central. Tras el error, examine el seguimiento y busque los paquetes de protocolo KerberosV5. Debe encontrar un paquete con un SPN creado por Internet Explorer. Si el SPN del seguimiento es correcto, el SPN de AS DS no es válido o se ha registrado para la cuenta errónea.

      1. Unión del resto de los servidores a la granja

Ahora que ha creado la granja de servidores y puede tener acceso a Administración central mediante la autenticación Kerberos sin problemas, debe ejecutar el Asistente para configuración de Productos de SharePoint y unir el resto de los servidores a la granja de servidores.

En cada uno de los otros cuatro servidores que ejecutan SharePoint Foundation 2010 (wssfe1, wssfe2, wssquery y wsscrawl), la instalación de SharePoint Foundation 2010 debe haber finalizado y debe aparecer el cuadro de diálogo de instalación completada con la casilla de verificación del Asistente para configuración de Productos de SharePoint activada. Deje activada esta casilla de verificación y cierre el cuadro de diálogo de instalación completada para ejecutar el Asistente para configuración de Productos de SharePoint. Realice el procedimiento para unir cada uno de estos servidores a la granja de servidores.

Al finalizar el Asistente para configuración de Productos de SharePoint en cada servidor que agregue a la granja de servidores, compruebe que cada uno de estos servidores puede representar Administración central, que se ejecuta en el servidor WSSADMIN. Si alguno de estos servidores no puede representar Administración central, siga los pasos correspondientes para solucionar el problema antes de continuar.

    1. Configuración de servicios en servidores de la granja de servidores

Configure servicios específicos de SharePoint Foundation 2010 para que se ejecuten en servidores específicos que ejecutan SharePoint Foundation 2010 en la granja de servidores con las cuentas que se indican en las secciones siguientes.

E

Nota:




n esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

Vaya a Administración central y realice los pasos siguientes para configurar los servicios en los servidores especificados con las cuentas que se indican.

      1. Búsqueda de Windows SharePoint Services

En la página Servicios del servidor de Administración central:

1. Seleccione el servidor WSSQUERY.

2. En la lista de servicios que aparece hacia la mitad de la página, busque el servicio de búsqueda de SharePoint Foundation 2010 y, a continuación, haga clic en Iniciar en la columna Acción.

3. En la siguiente página, proporcione las credenciales para la cuenta del servicio de búsqueda de SharePoint Foundation 2010 y para la cuenta de acceso al contenido de SharePoint Foundation 2010. En el escenario de este artículo, la cuenta del servicio de búsqueda de SharePoint Foundation 2010 es mydomain\wsssearch y la cuenta de acceso al contenido de SharePoint Foundation 2010 es mydomain\wsscrawl. Escriba los nombres y las contraseñas de las cuentas en las ubicaciones correspondientes de la página y, a continuación, haga clic en Iniciar.

      1. Servidor de índice

En la página Servicios del servidor de Administración central:

1. Seleccione el servidor WSSCRAWL.

2. En la lista de servicios que aparece hacia la mitad de la página, busque el servicio de búsqueda de SharePoint Foundation 2010 y, a continuación, haga clic en Iniciar en la columna Acción.

En la siguiente página, active la casilla de verificación Usar este servidor para indizar contenido y proporcione las credenciales para la cuenta del servicio de búsqueda de SharePoint Foundation 2010. En el escenario de este artículo, la cuenta del servicio de búsqueda de SharePoint Foundation 2010 es mydomain\wsssearch. Escriba los nombres y contraseñas de las cuentas en las ubicaciones correspondientes de la página y, a continuación, haga clic en Iniciar.

      1. Servidor de consultas

En la página Servicios del servidor de Administración central:

1. Seleccione el servidor WSSQUERY.

2. En la lista de servicios que aparece hacia la mitad de la página, busque el servicio de búsqueda de SharePoint Foundation 2010 y, a continuación, haga clic en el nombre de servicio en la columna Servicio.

En la página siguiente, active la casilla de verificación Usar este servidor para atender consultas de búsqueda y haga clic en Aceptar.

    1. Creación de aplicaciones web con autenticación Kerberos

En esta sección, cree las aplicaciones web que se usan para el sitio de portal y Mi sitio en la granja de servidores.

E

Nota:




n esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

      1. Creación de la aplicación web del sitio de portal

1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

2. En la página siguiente, haga clic en Crear una nueva aplicación web.

3. En la página siguiente, asegúrese de que la casilla de verificación Crear un nuevo sitio web de IIS está activada.

En el campo Descripción, escriba PortalSite.

En el campo Puerto, escriba 80.

En el campo Encabezado de host, escriba kerbportal.mydomain.net.

4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

6. Asegúrese de que la casilla de verificación Crear nuevo grupo de aplicaciones está activada.

En el campo Nombre del grupo de aplicaciones, escriba PortalAppPool.

Asegúrese de que la casilla de verificación Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\portalpool.

7. Haga clic en Aceptar.

8. Confirme que la aplicación web se ha creado correctamente.

S

Nota:




i desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Usar SSL en la página Crear una nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a un encabezado host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información acerca de los encabezados host de SSL en IIS, vea el artículo sobre la configuración de encabezados host de SSL (IIS 6.0) (http://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

      1. Creación de la aplicación web de Mi sitio

1. En la página Administración de aplicaciones de Administración central, haga clic en Crear o extender una aplicación web.

2. En la página siguiente, haga clic en Crear una nueva aplicación web.

3. En la página siguiente, asegúrese de que la casilla de verificación Crear un nuevo sitio web de IIS está activada.

En el campo Descripción, escriba MySite.

En el campo Puerto, escriba 80.

En el campo Encabezado de host, escriba kerbmysite.mydomain.net.

4. Asegúrese de que Negociar está seleccionado como proveedor de autenticación de esta aplicación web.

5. Cree esta aplicación web en la zona predeterminada. No modifique la zona para esta aplicación web.

6. Asegúrese de que la casilla de verificación Crear nuevo grupo de aplicaciones está activada.

En el campo Nombre del grupo de aplicaciones, escriba MySiteAppPool.

Asegúrese de que la casilla de verificación Configurable está activada. En el campo Nombre de usuario, escriba la cuenta mydomain\mysitepool.

7. Haga clic en Aceptar.

8. Confirme que la aplicación web se ha creado correctamente.

S

Nota:




i desea usar una conexión SSL y enlazar la aplicación web al puerto 443, escriba 443 en el campo Puerto y seleccione Usar SSL en la página Crear una nueva aplicación web. Además, debe instalar un certificado SSL comodín. Cuando use un enlace a un encabezado host de IIS en un sitio web de IIS configurado para SSL, debe usar un certificado SSL comodín. Para obtener más información acerca de los encabezados host de SSL en IIS, vea el artículo sobre la configuración de encabezados host de SSL (IIS 6.0) (http://go.microsoft.com/fwlink/?linkid=111285&clcid=0xC0A).

    1. Creación de una colección de sitios mediante la plantilla del portal de colaboración en la aplicación web del sitio de portal

En esta sección, creará una colección de sitios en el sitio de portal en la aplicación web que creó con este fin.

E

Nota:




n esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

1. En la página Administración de aplicaciones de Administración central, haga clic en Crear colección de sitios.

2. En la página siguiente, asegúrese de seleccionar la aplicación web correcta. Para continuar con el ejemplo de este artículo, seleccione http://kerbportal.mydomain.net.

3. Escriba el título y la descripción que desee usar para esta colección de sitios.

4. No modifique la dirección del sitio web.

5. En la sección Selección de plantilla, en Seleccione una plantilla, haga clic en la pestaña Publicación y seleccione la plantilla Portal de colaboración.

6. En la sección Administrador de la colección de sitios primaria, escriba mydomain\pscexec.

7. Especifique el administrador de la colección de sitios secundaria que desee usar.

8. Haga clic en Aceptar.

9. Confirme que la colección de sitios de portal se ha creado correctamente.

    1. Confirmación del acceso correcto a las aplicaciones web con autenticación Kerberos

Confirme que la autenticación Kerberos funciona con las aplicaciones web que acaba de crear. Comience con el sitio del portal.

Para hacerlo, siga estos pasos:

1. Inicie sesión en un servidor que ejecute SharePoint Foundation 2010 en vez de en uno de los dos servidores front-end web configurados para NLB como mydomain\pscexec. No debe comprobar el correcto comportamiento de la autenticación Kerberos directamente en uno de los equipos que hospedan los sitios web de carga equilibrada que usan la autenticación Kerberos, ya que tal comprobación debe realizarse desde un equipo independiente en el dominio.

2. Inicie Internet Explorer en ese sistema e intente ir a la siguiente dirección URL: http://kerbportal.mydomain.net.

Se debería mostrar la página principal del sitio de portal autenticado con Kerberos.

Para confirmar que la autenticación Kerberos se ha usado para tener acceso al sitio del portal, vaya a uno de los servidores front-end web de carga equilibrada, ejecute el Visor de eventos y busque en el registro de seguridad. Debe ver un registro de auditoría de aciertos similar a la tabla siguiente en uno de los servidores front-end web. Tenga en cuenta que quizá deba buscar en ambos servidores front-end web antes de encontrar esta información en función del sistema que haya procesado la solicitud de carga equilibrada.



Tipo de evento

Auditoría de aciertos

Origen del evento

Seguridad

Categoría del evento

Inicio/cierre de sesión

Identificador de evento

540

Fecha

01/112007

Hora

5:08:20 p. m.

Usuario

MYDOMAIN\pscexec

Equipo

wssfe1

Descripción




En la siguiente tabla se muestra un ejemplo de un inicio de sesión correcto.



Nombre de usuario

pscexec

Dominio

MYDOMAIN

Identificador de inicio de sesión

(0x0,0x1D339D3)

Tipo de inicio de sesión

3

Proceso de inicio de sesión

Autenticación Kerberos

Nombre de la estación de trabajo


GUID de inicio de sesión

{fad7cb69-21f8-171b-851b-3e0dbf1bdc79}

Nombre de usuario del llamador


Dominio del llamador


Identificador de inicio de sesión del llamador


Identificador de proceso del llamador


Servicios transitados


Dirección de red de origen

192.168.100.100

Puerto de origen

2505



Al examinar este registro, se encuentra el mismo tipo de información que en la entrada de registro anterior:

Confirme que el nombre de usuario es correcto. Se trata de la cuenta mydomain\pscexec que inició sesión a través de la red en el servidor front-end web que ejecuta SharePoint Foundation 2010 y hospeda el sitio de portal.

Confirme que el tipo de inicio de sesión es 3. Un tipo de inicio de sesión 3 es un inicio de sesión de red.

Confirme que tanto el proceso de inicio de sesión como el paquete de autenticación usan la autenticación Kerberos. De esta forma se confirma que la autenticación Kerberos se usa para tener acceso al sitio del portal.

Confirme que la dirección de red de origen coincide con la dirección IP del equipo desde el que se realizó la conexión.

Si la página principal del sitio del portal no aparece y en su lugar se muestra un mensaje de error "no autorizado", la autenticación Kerberos no se está realizando correctamente. Normalmente, este error se produce solo por dos causas:

El SPN de AD DS no se registró para la cuenta correcta. Debería haberse registrado para mydomain\portalpool para la aplicación web del sitio del portal.

El SPN de AD DS no coincide con el SPN que crea Internet Explorer o no es válido por otro motivo. En este caso, dado que está usando encabezados host de IIS sin números de puerto explícitos, el SPN registrado en AD DS difiere del encabezado host de IIS especificado al extender la aplicación web. Debe corregirlo para que la autenticación Kerberos funcione.

U

Nota:




na ayuda de diagnóstico que se puede usar para ver lo que ocurre en la red es un analizador de redes, como el Monitor de red de Microsoft, para realizar un seguimiento durante la navegación a Administración central. Tras el error, examine el seguimiento y busque los paquetes de protocolo KerberosV5. Debe encontrar un paquete con un SPN creado por Internet Explorer. Si el SPN del seguimiento es correcto, el SPN de AS DS no es válido o se ha registrado para la cuenta errónea.

Una vez que la autenticación Kerberos funcione correctamente para el sitio de portal, use la siguiente dirección URL para ir a Mi sitio con la autenticación Kerberos:

http://kerbmysite.mydomain.net

L

Nota:




a primera vez que tenga acceso a la dirección URL de Mi sitio, SharePoint Foundation 2010 tardará algún tiempo en crear un sitio Mi sitio para el usuario conectado. No obstante, debería realizarse correctamente y la página Mi sitio de ese usuario debería representarse correctamente.

En ambos casos, todo debe funcionar correctamente. De lo contrario, vea los pasos anteriores para solucionar los problemas.

    1. Confirmación de la funcionalidad de indización de búsqueda correcta

Confirme que la indización de búsqueda rastrea correctamente el contenido hospedado en esta granja de servidores. Este paso se debe realizar antes de confirmar los resultados de las consultas de búsqueda de los usuarios que tienen acceso a los sitios con autenticación Kerberos.

Nota


En esta sección no se proporciona una descripción detallada de la interfaz de usuario. Únicamente se proporcionan instrucciones generales. Debe estar familiarizado con Administración central y saber cómo realizar los pasos necesarios antes de continuar.

Para confirmar la funcionalidad de indización de búsqueda, obtenga acceso a una aplicación web e inicie un rastreo completo. Espere a que se complete el rastreo. Si se produce un error en el rastreo, debe investigar y corregir los errores y, a continuación, ejecutar un rastreo completo. Si se produce un error de "acceso denegado" en el rastreo, se debe a que la cuenta de rastreo no tiene acceso a los orígenes de contenido o a que se ha producido un error en la autenticación Kerberos. Con independencia de la causa, este error se debe corregir antes de continuar con los pasos siguientes.

Debe completar un rastreo completo de las aplicaciones web autenticadas con Kerberos antes de continuar.

    1. Confirmación de la funcionalidad de consultas de búsqueda correcta

Para confirmar que la consulta de búsqueda devuelve resultados a los usuarios que tienen acceso al sitio de portal con autenticación Kerberos:

1. Inicie Internet Explorer en un sistema de mydomain.net y vaya a http://kerbportal.mydomain.net.

2. Cuando se represente la página principal del sitio de portal, escriba una palabra clave de búsqueda en el campo Buscar y presione ENTRAR.

3. Confirme que se devuelven resultados de la consulta de búsqueda. De lo contrario, confirme que la palabra clave que ha escrito es válida en la implementación, que la indización de búsqueda se ejecuta correctamente, que el servicio de búsqueda se ejecuta en los servidores de índice y consulta de búsqueda, y que no hay problemas con la propagación de la búsqueda del servidor de índice de búsqueda al servidor de consultas de búsqueda.

    1. Limitaciones de la configuración

La parte correspondiente al nombre de host de los SPN con nuevo formato que se crean será el nombre NetBIOS del host que ejecuta el servicio, por ejemplo, MSSP/kerbtest4:56738/SSP1. Esto se debe a que los nombres de host se capturan de la base de datos de configuración de SharePoint Foundation 2010 y solo los nombres de equipos NetBIOS se almacenan en las bases de datos de configuración de SharePoint Foundation 2010. Esto puede resultar ambiguo en ciertos casos.

    1. Recursos adicionales y orientación para la solución de problemas



Producto/Tecnología

Recurso

SQL Server

Cómo asegurarse de que se está usando la autenticación Kerberos al crear una conexión remota a una sesión de SQL Server 2005 (http://go.microsoft.com/fwlink/?linkid=85942&clcid=0xC0A)

SQL Server

Cómo solucionar el mensaje de error "No se puede generar el contexto SSPI" (http://go.microsoft.com/fwlink/?linkid=82932&clcid=0xC0A)

.NET Framework

Propiedad AuthenticationManager.CustomTargetNameDictionary (http://go.microsoft.com/fwlink/?linkid=120460&clcid=0xC0A)

Internet Explorer

Mensaje de error en Internet Explorer al intentar obtener acceso a un sitio web que requiere la autenticación Kerberos en un equipo basado en Windows XP: "HTTP Error 401 - No autorizado: acceso denegado debido a credenciales no válidas" (http://go.microsoft.com/fwlink/?linkid=120462&clcid=0xC0A)

Autenticación Kerberos

Referencia técnica de la autenticación Kerberos (http://go.microsoft.com/fwlink/?linkid=78646&clcid=0xC0A)

Autenticación Kerberos

Solución de errores de Kerberos (http://go.microsoft.com/fwlink/?linkid=93730&clcid=0xC0A)

Autenticación Kerberos

Transición al protocolo Kerberos y delegación restringida (http://go.microsoft.com/fwlink/?linkid=100941&clcid=0xC0A)

IIS

Configuración de encabezados host de SSL (IIS 6.0) (http://go.microsoft.com/fwlink/?linkid=120463&clcid=0xC0A)




1   ...   27   28   29   30   31   32   33   34   ...   74

Similar:

Guía de implementación de Microsoft SharePoint Foundation 2010 iconGuía de planeación de sitios y soluciones para Microsoft SharePoint Server 2010, Parte 2
Ti, administradores de programa y especialistas en infraestructuras que planean una solución basada en SharePoint Server 2010. Este...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconReferencia técnica para Microsoft SharePoint Ser ver 2010
Entre la audiencia para la que está destinado este libro se incluyen especialistas de aplicaciones, especialistas de aplicaciones...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconGuía del módulo de supervision de System Center para Microsoft SharePoint Server 2013
Publicación: para lanzamiento de Microsoft. Esta documentación solo se aplica al lanzamiento del módulo de administración de Productos...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconMaría Díaz-Llanos Lecuona
Gestión de Contenidos de SharePoint 2010. Maquetación, edición (de plantillas al migrar) de pág aspx con Designer de SharePoint 07....
Guía de implementación de Microsoft SharePoint Foundation 2010 iconPara profesionales de ti: Guía de planeación de Microsoft Office 2010
Microsoft Office 2010. Está dirigido a los especialistas generales de ti, los departamentos de operaciones, de soporte técnico y...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconIntroducción Access 2010
Lo más lejos que quedarán sus datos será el explorador web más cercano, gracias a las nuevas bases de datos web y los Servicios de...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconPara profesionales de ti: Directiva de grupo para Microsoft Office 2010
Microsoft Office 2010. Está dirigido a profesionales generales de ti, departamentos de operaciones de ti, personal del servicio de...
Guía de implementación de Microsoft SharePoint Foundation 2010 iconMicrosoft InfoPath 2010 Guía del producto

Guía de implementación de Microsoft SharePoint Foundation 2010 iconManual de Muse un entorno de autor´ıa y publicaci´
Copyright c 2004, 2005, 2006, 2007, 2008, 2009, 2010 Free Software Foundation, Inc
Guía de implementación de Microsoft SharePoint Foundation 2010 iconGuía de implementación de Operations Manager 2007
Como Microsoft debe reaccionar ante las condiciones cambiantes del mercado, no debe interpretarse como un compromiso por parte de...


Descargar 3.63 Mb.