none
MOSS 2007, Windows Server 2008, Kerberos RRS feed

  • Вопрос

  •  

    Коллеги здравствуйте!

     

    В сети Kerberos работает - проверено!

    В настройках Internet Explorer пространство *.domain.ru добавлено в зону "Местная интрасеть".

     

    Установлена ферма серверов (MOSS SP1 + Infrastructure Update):

    • Windows Server 2008 + MOSS 2007 (все необходимые службы для фермы)
    • Windows Server 2008 + SQL Server 2008 (размещены базы для MOSS)

     

    Создано веб-приложение для Центра администрирования:

    • Адрес https://moss.domain.ru:8000
    • Учетная запись для пула приложения MOSS_CA@domain.local
    • Для учетной записи заданы следующие SPN: HTTP/moss.domain.ru:8000 и HTTP/moss.domain.ru

     

    Создано веб-приложение для размещения Персональных узлов:

    • Адрес http://people.domain.ru
    • Учетная запись для пула приложения MOSS_People@domain.local
    • Для учетной записи заданы следующие SPN: HTTP/people.domain.ru:80 и HTTP/people.domain.ru

     

    Пробуем зайти на каждый из перечисленных ресурсов:

    • С сервера на котором установлен MOSS зайти на центр администрирования не возможно (не проходит авторизация), на персональные узлы зайти можно но при этом используется NTLM (Logon Process: NtLmSsp; Authentication Package: NTLM)
    • С рабочей станции вход осуществляется на оба ресурса, но при этом используется NTLM (Logon Process: NtLmSsp; Authentication Package: NTLM)

     

    Применяем некоторые рекомендации касающиеся работы IIS 7.0, а в частности связанные с нововведением в IIS 7.0, как Kernel Mode Authentication:

    • Открываем файл applicationHost.config расположенный %SystemRoot%\System32\inetsrv\config
    • Делаем изменения в ветке system.webServer/security/authentication/windowsAuthentication
    • <windowsAuthentication enabled=”true” useKernelMode=”true” useAppPoolCredentials=”true” />

     

    Пробуем зайти на каждый из перечисленных ресурсов:

    • С сервера на котором установлен MOSS заходим в центр администрирования и на персональные узлы (Logon Process: Kerberos; Authentication Package: Kerberos)
    • С рабочей станции вход осуществляется на оба ресурса используя Kerberos (Logon Process: Kerberos; Authentication Package: Kerberos)

     

    И так - все хорошо, НО… Через некоторое время сервер или "вываливается" в BSOD (ошибки разные, но сводятся все к железу) или, что чаще всего, сервер "наглухо подвисает". Обычно это проявляется при более-менее большой активности посещения ресурсов (к примеру при обходе содержимого службой поиска).

     

    Данная конфигурация была проверена на разного рода "железе" и в виртуальной среде, но приводила к одному, вышеописанному, результату.

     

    Если у кого то такое случалось, подскажите как исправить! Или может быть есть какие то соображения что сделано "не так" или как надо правильно делать!

     

    Спасибо!

    26 января 2009 г. 12:25

Ответы

Все ответы

  •  Ilya Shilov написано:

     

    Коллеги здравствуйте!

     

    В сети Kerberos работает - проверено!

    В настройках Internet Explorer пространство *.domain.ru добавлено в зону "Местная интрасеть".

     

    Установлена ферма серверов (MOSS SP1 + Infrastructure Update):

    • Windows Server 2008 + MOSS 2007 (все необходимые службы для фермы)
    • Windows Server 2008 + SQL Server 2008 (размещены базы для MOSS)

     

    Создано веб-приложение для Центра администрирования:

    • Адрес https://moss.domain.ru:8000
    • Учетная запись для пула приложения MOSS_CA@domain.local
    • Для учетной записи заданы следующие SPN: HTTP/moss.domain.ru:8000 и HTTP/moss.domain.ru

     

    Создано веб-приложение для размещения Персональных узлов:

    • Адрес http://people.domain.ru
    • Учетная запись для пула приложения MOSS_People@domain.local
    • Для учетной записи заданы следующие SPN: HTTP/people.domain.ru:80 и HTTP/people.domain.ru

     

    Пробуем зайти на каждый из перечисленных ресурсов:

    • С сервера на котором установлен MOSS зайти на центр администрирования не возможно (не проходит авторизация), на персональные узлы зайти можно но при этом используется NTLM (Logon Process: NtLmSsp; Authentication Package: NTLM)
    • С рабочей станции вход осуществляется на оба ресурса, но при этом используется NTLM (Logon Process: NtLmSsp; Authentication Package: NTLM)

     

    Применяем некоторые рекомендации касающиеся работы IIS 7.0, а в частности связанные с нововведением в IIS 7.0, как Kernel Mode Authentication:

    • Открываем файл applicationHost.config расположенный %SystemRoot%\System32\inetsrv\config
    • Делаем изменения в ветке system.webServer/security/authentication/windowsAuthentication
    • <windowsAuthentication enabled=”true” useKernelMode=”true” useAppPoolCredentials=”true” />

     

    Пробуем зайти на каждый из перечисленных ресурсов:

    • С сервера на котором установлен MOSS заходим в центр администрирования и на персональные узлы (Logon Process: Kerberos; Authentication Package: Kerberos)
    • С рабочей станции вход осуществляется на оба ресурса используя Kerberos (Logon Process: Kerberos; Authentication Package: Kerberos)

     

    И так - все хорошо, НО… Через некоторое время сервер или "вываливается" в BSOD (ошибки разные, но сводятся все к железу) или, что чаще всего, сервер "наглухо подвисает". Обычно это проявляется при более-менее большой активности посещения ресурсов (к примеру при обходе содержимого службой поиска).

     

    Данная конфигурация была проверена на разного рода "железе" и в виртуальной среде, но приводила к одному, вышеописанному, результату.

     

    Если у кого то такое случалось, подскажите как исправить! Или может быть есть какие то соображения что сделано "не так" или как надо правильно делать!

     

    Спасибо!



    Какое ПО установлено на сервере ?

    Сервер является контроллером домена ?
    26 января 2009 г. 12:32
  •  

    Дополню свое описание (к уже написанному):

     

    "Установлена ферма серверов (MOSS SP1 + Infrastructure Update):

    • Windows Server 2008 + MOSS 2007 (все необходимые службы для фермы)
    • Windows Server 2008 + SQL Server 2008 (размещены базы для MOSS)"

     

    Установка "чистая" на Windows Server 2008 Enterprise x64. Кроме MOSS SP1 x64 + Infrastructure Update ничего не установлено! И конечно же контроллером домена сервер не является!

    26 января 2009 г. 13:11
  • Ну, первое во что уткнулся глаз в описании - domain.local и domain.ru все-таки разные вещи.

    Второе - не вник, зачем создавались SPN.

    Третье - а что там с Network Access Protection?

    28 января 2009 г. 2:52
  • Добрый день, может быть, Вам поможет вот это подробное описание:

    http://blogs.technet.com/vladkol/archive/2008/10/23/kerberos-office-sharepoint-server-2007.aspx


    MCTS
    28 января 2009 г. 10:43
    Отвечающий