Главная SharePoint, Без рубрики, Новое Развертывание SharePoint 2010: Шаг 3 – Создание портала
  • Развертывание SharePoint 2010: Шаг 3 – Создание портала

    p1_01228222020227

    На момент окончания прошлой статьи, мы имели установленный SharePoint, запущенные сервисы и созданные сервисные приложения. Но чтобы проверить работу сервисов недостает портала, с помощью которого  доступ к этим сервисам и будет предоставляться. Т.е портал это точка входа для доступа к различным сервисам. Создание портала в SharePoint начинается с создания веб-приложения (web application). Веб-приложение это фундамент будущего портала или нескольких. На этапе его создания задаются основополагающие вещи вроде способов аутентификации или базы данных где будет храниться контент. Но давайте пойдем по порядку.

    Создание веб-приложения осуществляется через центр администрирования по пути CA –> Manage Web Applications –> New. И первое с чем вам придется определиться это со способами аутентификации.

     

    1

     

    Вам предлагается выбор между двумя моделями аутентификации Classic Mode и Claims Based.

    Классическая модель использовалась в предыдущих версиях SharePoint и поддерживает только одного провайдера аутентификации Windows, в рамках которого вы можете задействовать следующие методы аутентификации:

     

    1. Anonymous – анонимная проверка подлинности позволяет пользователям получать доступ к порталу без предоставления учетных данных. Анонимная проверка подлинности позволяет любому человеку просмотреть содержимое портала, поэтому  планировать  анонимный доступ нужно  крайне осторожно.
    2. Basic – плюс данного метода в его универсальности, но недостаток достаточно серьезный, обмен сообщений между сервером и клиентом при аутентификации идет открытым текстом, поэтому использовать его без SSL крайне не рекомендуется.
    3. Certificates – метод аутентификации который как бы есть и которого как бы нет. Есть потому что  можно настроить аутентификацию на основе пользовательских сертификатов, нет потому что официально данный способ не поддерживается Microsoft.
    4. NTLM – поскольку данный метод при аутентификации передает по сети только хэш пароля, его можно назвать безопасным. В недостатки можно записать отсутствие возможности аутентифицироваться для доступа к внешним сервисам (отсутствие делегирования). Простой пример пользователь зашел на портал, аутентифицировался через NTLM, на портале есть веб-часть отображающая содержимое внешней базы данных, SharePoint не сможет аутентифицироваться на сервере баз данных от имени пользователя и человек получит ошибку.
    5. Kerberos – протокол решающий проблему делегирования, безопасней NTLM, быстрей NTLM, но требует дополнительной настройки, а именно прописывания SPN для учетных записей от которых работает веб-приложение.

     

    image

     

    Тип аутентификации Claims-Based также поддерживает провайдера Windows, а следовательно все вышеприведенные методы справедливы и для него. Но в в дополнении поддерживается два новых провайдера FBA и SAML.

    FBA (Forms-based authentication) – аутентификация на основе форм, т.е человек на входе получает страницу где должен ввести свой логин и пароли, но учетные данные хранятся не в Active Directory Domain Services, а во внешних источниках. В качестве внешнего источника может выступать база SQL, Novell eDirectory, Novell Directory Services (NDS), Sun ONE, AD LDS. Т.е данный провайдер удобен при интеграции со сторонними службами каталогов, либо когда вам необходимо аутентифицировать внешних посетителей и использовать свой AD DS каталог для создания и хранения этих учетных записей вы не хотите.

    SAML (token-based authentication) – проверка подлинности на основе маркеров SAML. При координации своей настройки с администраторами среды проверки подлинности позволяет аутентифицировать используя данные Windows Live Id, аккаунты Facebook и не только.

    Запомнить нужно три вещи:

    1. Для новых реализаций SharePoint 2010 необходимо использовать проверку подлинности типа Claims Based. . При выборе этого режима веб-приложениям будут доступны все поддерживаемые провайдеры и методы. Для новых развертываний не имеет смысла выбирать классический режим проверки подлинности, даже если в среде используются только учетные записи Windows.
    2. Веб-приложение может использовать сразу несколько провайдеров аутентификации, например ваш портал доступен по двум именам contoso.com и microsoft.com, по первому срабатывает провайдер Windows и Kerberos, по второму провайдер FBA и аутентификация на основе данных из базы SQL.
    3. Переключение веб-приложения между типами аутентификации, провайдерами и методами возможно и после создания веб-приложения, так что если вы не уверены сходу о том что вам нужно, то правильней выбрать Claims Based – > Windows –> NTLM, а дальше конфигурировать по мере необходимости.

     

    2

     

    Следующий пункт это создание веб узла IIS, который появится на каждом Web Front End сервере SharePoint, т.е создавая узел вы определяете имя по которому будут подключаться ваши клиенты и номер порта. Впоследствии вы можете расширить веб-приложение и создать альтернативные имена и порты, но сделать это можно только после создания.

     

     

    3

     

    Далее определяемся нужен ли всё-таки анонимный доступ или нет и требуется ли шифрование SSL. Само по себе включение галки SSL шифрования не добавляет, наличие сертификата на веб-сервере никто не отменял, но если вы выберите SSL то на выходе в узле  получите созданную привязку с портом указанным выше  и протоколом HTTPS, сертификат из локального хранилища, нужно будет выбрать для узла дополнительно через оснастку управления IIS сервером.

     

    4

     

    Поскольку изначально был выбран вариант аутентификации Claims Based предлагается настроить каждого провайдера. Для начала можно остановиться на конфигурировании только провайдера Windows (в моем случае я выбрал Kerberos), а к остальному вернуться по мере надобности позже.

     

    5

     

    Ниже предлагается задать страницу на которой будет происходить запрос аутентификационных данных, т.к провайдер FBA не активирован, то выбирать здесь ничего не нужно, оставив вариант по-умолчанию.

     

    6

     

    На основе Host Header и порта указанных в начале формируется Public URL принадлежащий зоне по-умолчанию.

    Зоны веб-приложений используются для поддержки нескольких вариантов аутентификации веб-приложения. Это может быть полезно, например, в случае если доступ к порталу кроме сотрудников компании (Windows провайдер), должны иметь доступ и клиенты (Forms-based провайдер). В таком случае для одних используется зона Default, и для неё настраивается windows аутентификация, а для клиентов создается новая зона  и для неё конфигурируется аутентификация с помощью форм.

    SharePoint 2010 позволяет для одного веб приложения использовать следующие зоны:

    • Зона по умолчанию         -  Default
    • Зона интрасети               -  Intranet
    • Зона Интернет                 – Internet
    • Пользовательская зона   – Custom
    • Зона экстрасети              – Extranet

    Настройки аутентификации для всех зон по умолчанию одинаковы (NTLM с отключенным анонимным доступом). Поэтому, всю необходимую настройку необходимо сделать вручную.

     

    7

     

    Следующим шагов предлагается выбрать для веб-приложения существующий пул приложений или создать новый.  Все очень просто,  каждый  пул приложений это отдельный процесс w3wp.exe  на WFE сервере со своими параметрами. При этом запущенный от отдельной учетной записи.  Ничто не мешает использовать один единственный пул приложений для всего, но в таком случае удобство поддержки такой системы весьма сомнительно. Строить сотни пулов тоже не вариант. (помним что нам нужно не превышать 10 пулов на сервер SharePoint) И если в предыдущей статье все сервисные приложения я запустил в одном пуле, то для веб-приложения портала создам отдельный. Опять же не забываем предварительно создать доменную учетную запись и сделать ее управляемой. (Managed Account, инструкция по Managed Account есть в предыдущей части серии)

     

    8

     

    В настройке баз данных следует указать имя и экземпляр SQL сервер, на примере используется экземпляр по-умолчанию, а следовательно в поле Database Server можно обойтись только именем SQL сервера. Если бы я использовал бесплатный продукт SQL Express 2008 R2, то поле выглядело бы computername\SQLExpress. База данных чье имя указывается ниже, называется контентной, поскольку хранит все содержимое портала, будущие сайты, списки и документы, все будет храниться в ней. Ей следует дать читаемое и понятное имя, дабы в последствии не утонуть в море баз, котрое образуется после настройки SharePoint.

    В голову не приходят случаи когда может понадобиться для SharePoint 2010 аутентификация SQL поэтому следуя рекомендации принимаем Windows аутентификацию. Поскольку кластер SQL данной схеме не планируется, то поле Failover Cluster оставляем пустое.

     

    9

    10

     

    Остается мелочь, а именно убедиться, что ваше веб-приложение будет использовать прокси группу по-умолчанию. Напомню, что с этим выбором  веб-приложение получает возможность использовать сервисы, объединённые прокси группой. Ну и на последок отказаться от программы улучшения качества и отправки в Microsoft аналитической информации о работе вашего портала.

     

    11

     

    После раздумий, продолжительность которых зависит от мощности нашего сервера,  на экран выводится информация об успешном создании веб-приложения.  Теперь необходимо не забыть прописать в DNS новую запись типа А, которая разрешит URL приложения в IP адрес SharePoint сервера.

    Но пока показать бизнесу нечего, веб-приложение это фундамент, само здание и мебель в нем появится только после создания коллекции сайтов. (Site Collection) Еще раз ответим на вопрос, что такое коллекция сайтов?

    Коллекции сайтов  (Site Collection) – это иерархически выстроенная группа сайтов, управление которой  осуществляется совместно. У этой группы сайтов всегда есть сайт верхнего уровня (top-level site)  и любое количество дочерних узлов (subsites).  Все сайты в рамках коллекции имеют общие разрешения, которые наследуются от сайта верхнего уровня дочерними, общие типы контента, общие веб-части и многое другое.

    Чтобы создать коллекцию сайтов  достаточно пойти по пусти CA-> Create Site Collection

    12

     

    Мастер очень простой и все что нужно сделать, это задать Title – имя коллекции, которое будет отображаться в верху браузера.  Адрес коллекции момент тонкий. Поясню почему.  В принципе имя по которому будут подключаться клиенты уже определено на этапе создания веб-приложения, но… В рамках одного веб-приложения можно создать множество коллекции сайтов и тогда совсем не очевидно, что должен указывать клиент в адресной строке браузера.  Для этого были придуманы управляемые пути, с помощью которых можно сформировать адреса коллекций сайтов, использующих одно веб-приложение.

    Пример адресов двух коллекций: http://portal.itband.ru/ITPro и http://portal.itband.ru/ITLammers

    Если выбрать “/” как в моем случае, то создаваемая коллекция будет доступна без всяких дополнительных директорий просто по адресу веб-приложения.

    Самый важный шаг в данном мастере это выбор шаблона, который определяет внешний вид, списки, файлы, веб-части, компоненты и параметры, с использованием которых создастся новый сайт SharePoint. Поскольку изначально вам доступен набор шаблонов, каждый из которых уникален, то будет правильней предварительно посоздавать  тестовые коллекции дабы ознакомиться с функционалом имеющихся шаблоном и определиться какой шаблон подойдет для старта вам. Я остановился на шаблоне Team Site и буду использовать его в последующих частях серии статей как основной.

     

    13

     

    Заключительный этап создание коллекции сайтов – ввод администраторов коллекции, т.е учетных данных тех людей, которые будут иметь полный карт-бланш на изменение данной коллекции сайтов, в том числе и на создание дополнительных дочерних узлов. Следует помнить, что группы указывать в данном меню нельзя и то, что администратор фермы прав на коллекцию по-умолчанию не имеет.

    Самая нижняя опция квоты, позволяет ограничить максимальный размер коллекции не давая ей неконтролируемо расти, пока квоты лучше не трогать, мы вернемся к ним позднее.

     

    16

    Итоги:  Если все было сделано правильно, то по окончанию работы мастера будет выведено сообщение об успешности операции. Прежде чем переходить по ссылке стоит еще раз проверить была ли добавлена новая запись в DNS и если  при создании веб-приложения использовался Kerberos, проверить SPN для учетной записи от которой запущен пул приложений. На выходе данного шага мы получили  портал из коробки и пусть сервисы еще требуют конфигурирования, фундамент и стены уже возведены. Продолжение следует …

     

    MCT/MVP Илья Рудь

Комментарии

  1. Здравствуйте , не подскажите есть ли какая то модель установки шерпоинта в режиме хостинга ? как хостед ексчэндж ?
    Спасибо

  2. Да, вам нужно читать о SharePoint 2010 Multi-Tenant Hosting

  3. Вы не планируете цикл статей на тему хостинговой модели ?
    Почитать – почитал. Хотелось бы по русски )

  4. Думаю нет, тут более простые вещи не сильно востребованы, а хостинг нужен единицам, плюс тем кто он нужен как правило сами копают.

  5. Приветствую. Спасибо за статьи по этой теме. Распечатал, собрал в брошюру 🙂
    SQL сервер в ферме лучше ставить до или после установки Sharepoint-а?
    Crawl – что такое?

  6. 1. SQL сервер нужно ставить до запуска конфигурирования Sharepoint
    2. Crawl – компонент сервиса поиска SharePoont отвечающий за подключения к индексируемому контенту.

  7. Здравствуйте Илья!

    А будет продолжение цикла статей? Продолжение про настройку поиска и синхронизацию профилей пользователей?

  8. Добрый день.

    Будет, но не в ближайшие пару недель точно. Я сейчас готовлюсь к первому прочтению авторского курса и поездке на mct summit 2011, немного не до статей.

  9. Здравствуйте Илья. Очень хочется увидеть Вашу статью про настройку синхронизации пользователей с АД. Думаю не я один такой. Эта статья как раз завершила бы цикл статей по настройке фермы серверов. Заранее спасибо.

  10. Вы знаете, такая статья стоит в плане через одну. Будет недели через 3. К сожалению чтобы цикл закончить нужно еще 20-25 статей)

  11. Дорый день Илья. Есть такой вопрос. Почему когда я создаю веб приложение с именем машины на которой оно находится, допустим shpoint.sharepoint.local,на порт 443. прописываю запись в dns, и соответственно создаю семейство сайтов, все отлично открывается. Но стоит мне придумать какое-либо другое имя на обычном http порт 80, допустим team.sharepoint.local, создав для него семейство сайтов и так же прописать в dns запись, то пишет невозможно отобразить страницу

  12. У меня такой же вопрос как у Дениса
    Почему нельзя?

  13. У меня вопрос по похожей тематике:у нас в компании проводится доменная политика, поменяется адрес машины, на которой располагается система на основе sharepoint2010. Подскажите пожалуйста, как действовать в этой ситуации? как перевести систему на новый адрес? заранее спасибо.

  14. Илья, я правильно понимаю, что разъединять веб-приложения по разным пулам приложений нужно для того, чтобы разграничить к ним доступ одних и тех же участников? Иначе участник будет иметь одинаковый доступ сразу ко всем веб-приложениям пула, так?

  15. Нет разграничивать доступ вы будете внутри коллеций сайтов или на уровне веб-приложения. Разные пулы для веб-приложении изолируют выполняемые процессы друг от друга. Портал А в одном процессе, Портал Б в другом.

  16. Здравствуйте, Илья! У нас такая проблема: после создания семейства веб-сайтов на созданный вебсайт нет доступа (при этом войти пытается сам администратор фермы) (говорит access denied)? этот вебсайт можно подключить через SharePoint Disigner, добавить-убрать права, выполнить некоторые действия,не все, например, нельзя посмотреть главную страницу. После принудительной публикации начинает глючно работать (например, пишет нет доступа при попытке зайти в навигацию).

  17. lion38, в рамках форума не могу вас ничем помочь т.к даже суть вопроса не могу уловить.

  18. lion38, попробуйте глянуть вот эту статью http://support.microsoft.com/kb/896861
    Мне помогло, когда локально не возможно было зайти на сайт, запрашивались логин с паролем, ввод которых ничего не давал. (при этом с другой машины по сети портал открывался без проблем).

  19. смотреть онлайн эротика мужчины
    Кончала подомной почти от каждого движений, таким образом я наслаждался такой еблей минут 5.

  20. А как переключить Database Access Account с NTLM на Kerberos,
    после уже законченной настройки фермы?

  21. Т.е данный провайдер удобен при интеграции со сторонними службами каталогов, либо когда вам необходимо аутентифицировать внешних посетителей и использовать свой AD DS каталог для создания и хранения этих учетных записей вы не хотите.