Установка и базовая настройка SharePoint Server 2013 SP1 на Windows Server 2012 R2 (в топологии Two-tier farm). Часть 3 – Создание семейства сайтов

В предыдущих частях цикла заметок об установке и базовой настройке SharePoint Server 2013 SP1 мы рассмотрели процесс подготовки отдельного кластерного экземпляра SQL Server 2012 SP1 для баз данных SharePoint Server и последующего создания новой фермы SharePoint. В этой заметке мы рассмотрим последовательность действий необходимых для создания Семейства сайтов (Site collection) и его корневой единицы – сайта верхнего уровня, к которому мы сможем в дальнейшем предоставить нашим пользователям доступ. Последовательность действий будет следующая:

1. Создание управляемой учетной записи SharePoint (Managed Account)
2. Создание веб-приложения SharePoint (Web Application)
3. Выполнение базовых настроек веб-приложения
4. Создание семейства сайтов (Site collection)
5. Регистрация записи в DNS для Host Header корневого сайта семейства сайтов
6. Регистрация Service Principal Name (SPN) для Host Header корневого сайта семейства сайтов для обеспечения аутентификации Kerberos
7. Проверка доступности корневого сайта семейства сайтов и настройка доступа пользователей.

1. Создаем управляемую учетную запись (Managed Account)

Управляемая учетная запись (Managed Account), это заранее созданная доменная учетная запись пользователя которая будет использоваться для запуска пула приложений (IIS Application Pool) с которым будет ассоциировано создаваемое в дальнейшем веб-приложение SharePoint (Web Application). Управляемой с точки зрения SharePoint Server 2013 она может считаться после того, как зарегистрирована в Центре администрирования (ЦА) фермы SharePoint. Для того, чтобы создать новую управляемую учетную запись, перейдём в ЦА по ссылкам:
Central Administration > Security > General Security - Configure managed accounts

 

В открывшемся списке мы увидим, что у нас уже присутствует одна управляемая учетная запись - учетная запись Database Access Account (или как её ещё по другому называют SharePoint farm service account), которая была зарегистрирована на этапе создания фермы.

Нажмём ссылку Register Managed Account чтобы добавить новую запись

В открывшейся веб-форме введём имя доменного пользователя и пароль. В нашем примере это будет пользователь KOM\s-KOM-AD01-SP-AP-SBS. При наличии в организации жестких требований парольной политики по периодической смене пароля здесь же в разделе опций Automatic Password Change мы можем задать настройки автоматический смены пароля с нужной периодичностью. Эта критерий того, почему учетная запись считается управляемой с точки зрения SharePoint.

 

2. Создаем веб-приложение SharePoint

Теперь мы можем создать веб-приложение (Web Application), которое будет фундаментом для будущего семейства сайтов (Site Collection) с привязкой к вновь создаваемому пулу приложений IIS, который в свою очередь будет выполняться от имени ранее созданной управляемой учётной записи. Чтобы создать новое веб-приложение перейдем в ЦА по ссылкам:
Central Administration > Application Management > Web Applications - Manage web applications

 

В списке веб-приложений мы увидим, что пока существует только одно веб-приложение SharePoint Central Administration v4, которое обеспечивает работу самого ЦА. В ленте на закладке Web Applications нажмём кнопку New

 

Откроется длинная веб-форма Create New Web Application, в которой мы должны сконфигурировать все параметры создаваемого веб-приложения.

В разделе IIS Web Site выберем вариант создания нового веб-приложения Create a new IIS web site и присвоим ему понятное для нас имя (Name), например SharePoint Site KOM-AD01-SP-SBS.
В дальнейшем, в результате создания нашего веб-приложения в IIS будет создан сайт с этим именем.

Port – 80.
Параметр определяет номер TCP порта, который будет использоваться создаваемым в IIS сайтом.

Host Header - KOM-AD01-SP-SBS.holding.com
Host Header, это FQDN имя по которому пользователи будут обращаться к будущему сайту.
Так как мы планируем на 80 порту использовать несколько разных сайтов, то с помощью Host Header IIS будет понимать на какое именно веб-приложение направлять пользовательский запрос пришедший на 80 порт.

Path - По умолчанию путь формируется в формате C:\inetpub\wwwroot\wss\VirtualDirectories\<Host Header><Port>, то есть в нашем случае будет предложен путь вида:
C:\inetpub\wwwroot\wss\VirtualDirectories\KOM-AD01-SP-SBS.holding.com80
Однако мы можем изменить путь на менее длинный, например сократив имя корневого каталога сайта:
C:\inetpub\wwwroot\wss\VirtualDirectories\KOM-AD01-SP-SBS
Обратите внимание на то, что при последующем изменении значений Port и Host Header значение параметра Path может снова установиться в формат по умолчанию.

 

В разделе Security Configuration определяемся - хотим ли мы использовать анонимный доступ и шифрование трафика SSL. В нашем случае сайт разворачивается для внутрикорпоративных задач, и поэтому анонимный доступ запрещён и будет применяться аутентификация Windows.

В качестве провайдера аутентификации на создаваемом сайте по умолчанию предлагается NTLM, так как с его использование не требует от администратора дополнительной настройки, однако учитывая все преимущества Kerberos в доменной среде, описанные в документе Планирование проверки подлинности Kerberos в SharePoint 2013, в нашем примере будет использован режим согласования Negotiate (Kerberos), при котором в качестве приоритетного провайдера будет использоваться Kerberos, а в случае невозможности его использования будет применятся NTLM

 

Параметр Public URL по умолчанию формируется из параметров Host Header и Port, это фактический полный URL который будут использовать клиенты для доступа к сайту IIS.

 

В секции Application Pool выбираем опцию создания нового пула приложений IIS для создаваемого веб-приложения SharePoint - Create new application pool

Указываем имя пула приложений так как оно будет отображаться в IIS:
Application pool name  - SharePoint AppPool KOM-AD01-SP-SBS

Затем выбираем из ниспадающего списка управляемую учетную запись, которую создали ранее специально для этого пула приложений:
Select a security account for this application pool > Configurable > KOM\s-KOM-AD01-SP-AP-SBS

 

В разделе Database Name and Authentication указываем сервер БД (используем созданный нами ранее SQL-Alias)…
Database Server – KOM-AD01-SQLSP
…и имя БД, которая будет создана для хранения контента создаваемого веб-приложения
Database Name – WSS_Content_SBS.
Тип аутентификации оставляем предложенный по умолчанию - Windows authentication

 

В разделе Service Application Connections оставляем предложенное по умолчанию значение группы соединений с общими службами SharePoint – default. В последующих заметках нашего цикла для группы соединений default мы настроим такие общие службы, как Служба управляемых метаданных, Служба профилей, Служба поиска. В конечном итоге функциональность этих общих служб SharePoint станет доступна для создаваемого сейчас веб-приложения.

Теперь в самом конце веб-формы жмём OK чтобы создать веб-приложение со всеми заданными параметрами.

Дожидаемся сообщения о том, что веб-приложение успешно создано…

После того как, мы получим сообщение об успешном создании веб-приложения желательно подождать ещё несколько минут, чтобы все конфигурационные операции были завершены. В этот момент в IIS будет создан описанный пул приложений и связанный с ним веб-сайт; на сервере SQL Server будет создана контентная база данных и сконфигурирован доступ к ней для учетной записи веб-приложения.

 

3. Выполняем базовые настройки веб-приложения

Чтобы получить доступ к настройкам созданного веб-приложения перейдём в ЦА по ссылкам:
Central Administration > Application Management > Web Applications - Manage web applications

После выбора из списка нашего веб-приложения нам станет доступен набор кнопок в ленте по настройке этого веб-приложения. В частности, чтобы изменить основные настройки веб-приложения нажмём кнопку General Settings и в выпадающем меню выберем пункт General Settings

 

Здесь мы можем настроить часовой пояс по умолчанию (Default Time Zone)…

 

Включить/настроить или выключить механизм Корзины (Recycle Bin). Например, по умолчанию удаленные объекты хранятся в Козине веб-приложения 30 дней и здесь мы можем увеличить этот период.

Здесь же можно задать максимально допустимый размер загружаемого файла (Maximum Upload Size) в семействе сайтов связанном с этим веб-приложением и выполнить некоторые другие настройки.

 

4. Создаем Семейство сайтов (Site collection)

После того, как на предыдущем этапе мы создали веб-приложение SharePoint, мы можем создать Семейство сайтов (Site collection), которое будет работать на базе этого веб-приложения. Создание Семейства сайтов подразумевает по собой создание сайта верхнего уровня (корневого сайта), к которому мы предоставим доступ нашим пользователям в дальнейшем.

Для создания Семейства сайтов перейдем в ЦА по ссылкам:
Central Administration > Application Management > Site Collections > Create site collections

 

В открывшейся веб-форме Create Site Collection в параметре Web Application выберем созданное нами на предыдущем этапе веб-приложение.
В поле Title введём название корневого сайта
В качестве Web Site Address оставим предложенное по умолчанию значение “/” 

 

Далее нам нужно будет выбрать Шаблон (Template) создаваемого сайта верхнего уровня.
Параметр Select experience version определяет уровень функциональных возможностей SharePoint. Оставляем значение по умолчанию – 2013, чтобы получить возможность использовать весь функционал SharePoint 2013. 
В списке выбора языков, как мы видим нам доступен выбор русского языка благодаря тому, что в предыдущей заметке цикла мы установили русский языковой пакет для SharePoint Server 2013 SP1.
В качестве шаблона сайта мы можем выбрать любой из предложенных вариантов. В нашем примере выбран шаблон “Сайт группы”.

 

В параметрах Primary и Secondary Site Collection Administrator указываем доменные учетные записи пользователей, которые будут являться администраторами создаваемого Семейства сайтов.

Жмём ОК и дожидаемся появления сообщения о том, что сайт верхнего уровня в конфигурации фермы SharePoint успешно создан.

В этом сообщении нам будет сразу предложено пройти по ссылке для проверки доступности URL, однако с этим пока не стоит торопиться. В силу того, что для связанного с сайтом веб-приложения выбрана аутентификация Kerberos, чтобы указанная ссылка начала работать, нам нужно выполнить ещё пару действий по настройке DNS и SPN.

 

5. Регистрируем запись в DNS для Host Header веб-сайта верхнего уровня

Как Вы помните, реальное имя сервера SharePoint в нашем случае KOM-AD01-WEB03, однако в качестве параметра Host Header при создании веб-приложения SharePoint мы указали FQDN имя KOM-AD01-SP-SBS.holding.com. Для того, чтобы наши клиенты могли разрешить это имя в IP адрес нашего сервера SharePoint, нам нужно создать соответствующею запись в DNS.

Создадим в DNS A-запись c IP адресом нашего SharePoint сервера и именем Host Header.

Создать нужно именно A-запись. Попытки использовать CNAME-запись могут привести к проблемам аутентификации Kerberos. В частности описание подобного рода проблем можно найти в статье в KB938305 - Error message when you try to log on to a Web site that requires Kerberos authentication by using Internet Explorer 7: "Access is denied due to invalid credentials"

 

6. Регистрируем Service Principal Name (SPN) для Host Header корневого сайта

Для обеспечения аутентификации Kerberos нам также необходимо выполнить регистрацию записей SPN для учетной записи, от имени которой выполняется пул приложений веб-приложения SharePoint.

Для того, чтобы просмотреть все записи SPN, зарегистрированные в домене для интересующей нас учетной записи выполним команду:

setspn -L KOM\s-KOM-AD01-SP-AP-SBS

Для того, чтобы выполнить регистрацию новых записей SPN, необходимых для связки SharePoint+Kerberos в нашем случае выполним команды:

setspn -S HTTP/KOM-AD01-SP-SBS KOM\s-KOM-AD01-SP-AP-SBS 
setspn -S HTTP/KOM-AD01-SP-SBS.holding.com KOM\s-KOM-AD01-SP-AP-SBS

 

7. Проверка доступности корневого сайта семейства сайтов и настройка доступа пользователей.

Теперь можно попробовать проверить доступность корневого сайта созданного Семейства сайтов пройдя по соответствующей ссылке в браузере http://KOM-AD01-SP-SBS.holding.com

Если всё в норме, то мы получим доступ к стартовой странице нашего сайта без каких-либо ошибок и запросов авторизации.

Теперь нам нужно настроить доступ к нашему корневому сайту для пользователей домена, так как по умолчанию к вновь созданному сайту имеют доступ только Администраторы семейства сайтов (Primary и Secondary Site Collection Administrator), так как они включены в группу Владельцев сайта.

Чтобы предоставить доступ к сайту в верхнем правом углу нажмём на изображение “шестерёнки” и в выпадающем меню выберем пункт Параметры сайта. На странице параметров сайта в группе Пользователи и разрешения выберем ссылку Разрешения для сайта

В открывшемся списке разрешений сайта выберем одну из трёх создаваемых по умолчанию групп доступа SharePoint – <Имя сайта> – посетители (этой группе по умолчанию предоставлен доступ на чтение).

На странице редактирования членства в группе выберем Создание > Добавить пользователей

В открывшейся диалоговой добавим группу NT AUTHORITY\Authenticated Users, которая подразумевает всех пользователей прошедших проверку, то есть по сути всех доменных пользователей. Отключаем опцию Отправить приглашение по электронной почте и нажимаем Общий доступ.

***

В результате проделанной последовательности действий мы получили сайт SharePoint с базовым функционалом, минимально необходимым для начала работы конечных пользователей. Однако нам ещё предстоит выполнить целый ряд настроек для того, чтобы наш сайт оброс дополнительной функциональностью и приобрёл более или менее законченный вид. В дальнейшем мы сосредоточимся на настройке Общих служб SharePoint, расширяющих функциональность продукта для конечных пользователей.