Exchange與Sharepoint用戶權限沖突的解決辦法

問題
Exchange Server2003存在一個漏洞，有時它不是讓用戶無法使用OutlookWeb Aclearcase/" target="_blank" >ccess就是讓用戶可以完全訪問其他人的帳戶。

微軟澳大利亞分公司Exchange產品經理AndrewCunningham在接受媒體采訪時表示，微軟在那之后進行的調查顯示，當有人在ExchangeServer上運行MicrosoftWindows SharePoint Services時就會出現上述問題。

Cunningham說：“這不是一種常見的情況，大多數機構都有自己單獨的Exchange應用功能，也有單獨的SharePoint應用功能?！鄙鲜鰡栴}之所以會出現是因為，SharePoint會關閉Kerberos身份驗證功能，而ExchangeServer在默認情況下總是會打開這項功能的。

解決辦法
用戶應該再次開啟Kerberos身份驗證功能，同時在SharePoint上也運行這種功能。

本文介紹如何配置 Microsoft Windows SharePoint Services 虛擬服務器以使用 Kerberos 身份驗證。

當使用 Windows SharePoint Services 擴展 Microsoft Internet 信息服務 (IIS) 虛擬服務器時，會將該虛擬服務器配置為使用集成 Windows 身份驗證（以前稱為 NTLM 或 Windows NT 質詢/響應身份驗證）。通過在該虛擬服務器上配置集成 Windows 身份驗證，Windows SharePoint Services 虛擬服務器可以作為域帳戶運行，并且您無須在 Active Directory 目錄服務中配置服務主要名稱 (SPN)。

如果您的環境需要 Kerberos 身份驗證，請按照本文中的步驟操作以便在虛擬服務器上配置 Kerberos 身份驗證。

配置 Windows SharePoint Services 以使用 Kerberos 身份驗證
要對通過 Windows SharePoint Services 擴展的虛擬服務器進行配置以使其使用 Kerberos 身份驗證，您必須先在 IIS 中啟用 Kerberos，然后為該虛擬服務器在運行時所使用的域帳戶配置 SPN。

在 IIS 元數據庫中啟用 Kerberos
要在 IIS 中啟用 Kerberos，請根據您的具體情況使用下列方法之一。

方法 1：手動編輯 IIS 元數據庫

要手動編輯 IIS 元數據庫以在虛擬服務器上啟用 Kerberos，請按照下列步驟操作：
1、在 IIS 服務器上，啟動記事本，然后打開位于硬盤上的以下文件夾中的 Metbase.xml 文件（其中 Systemroot 是安裝 Microsoft Windows 的路徑和文件夾名稱）：
     Systemroot\System32\Inetsrv
2、在“IIsWebServer”節中，找到下面的行：
     NTAuthenticationProviders="NTLM"
修改該行，使其與下面的內容完全一樣：
     NTAuthenticationProviders="Negotiate,NTLM"
3、在“文件”菜單上單擊“保存”，然后退出記事本。
4、重新啟動 IIS。為此，請按照下列步驟操作：
     a、單擊“開始”，然后單擊“運行”。
     b、在“打開”框中，鍵入 cmd，然后單擊“確定”。
     c、在命令提示符處，鍵入 iisreset，然后按 Enter 鍵。
     d、鍵入 exit，然后按 Enter 鍵退出命令提示窗口。

方法 2：使用 IIS 管理腳本編輯 IIS 元數據庫

使用腳本在虛擬服務器上啟用 Kerberos 身份驗證：
1、在 IIS 服務器上，單擊“開始”，然后單擊“運行”。
2、在“打開”框中，鍵入 cmd，然后單擊“確定”。
3、更改到 Inetpub\Adminscripts 文件夾，然后鍵入以下命令行（其中驅動器 是安裝 Windows 的驅動器）：
     cd 驅動器:\inetpub\adminscripts
4、鍵入以下命令行，然后按 Enter 鍵（其中 xx 是虛擬服務器 ID 號）：
     cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders
     注意：IIS 中的默認 Web 站點的虛擬服務器 ID 是 1。
     將返回如下字符串：
     ntauthenticationproviders:(STRING) "NTLM"
5、要在虛擬服務器上啟用 Kerberos，請鍵入以下命令行，然后按 Enter 鍵（其中 xx 是虛擬服務器 ID 號）：
     cscript adsutil.vbs set w3svc/##/NTAuthenticationProviders "Negotiate,NTLM"
     注意：IIS 中的默認 Web 站點的虛擬服務器 ID 是 1。
6、重新啟動 IIS。為此，請按照下列步驟操作：
     a、單擊“開始”，然后單擊“運行”。
     b、在“打開”框中，鍵入 cmd，然后單擊“確定”。
     c、在命令提示符處，鍵入 iisreset，然后按 Enter 鍵。
     d、鍵入 exit，然后按 Enter 鍵退出命令提示窗口。

為域用戶帳戶配置服務主要名稱
如果將 Windows SharePoint Services 站點的應用程序池標識配置為使用內置的安全主體（例如，NT Authority\Network Service 或 NT Authority\Local System），則無須執行該步驟。內置帳戶被自動配置為使用 Kerberos 身份驗證。

如果您使用遠程 Microsoft SQL Server 2000 服務器，并且您需要使用 NT Authority\Network Service 作為域帳戶，則您必須添加域\計算機名稱$ 項，并使用“數據庫創建者”和“安全管理員”權限對其進行配置。這樣，Windows SharePoint Services 就可以連接到遠程 SQL Server 計算機以創建配置和內容數據庫。

如果 IIS 服務器是域的成員但不是域控制器，則該服務器必須被信任作為委派，Kerberos 身份驗證才能正常工作。要配置 IIS 服務器以信任其作為委派，請按照下列步驟操作：
1、在域控制器上，啟動“Active Directory 用戶和計算機”。
2、在左窗格中，單擊“計算機”。
3、在右窗格中，右鍵單擊 IIS 服務器的名稱，然后單擊“屬性”。
4、單擊“常規”選項卡，單擊以選中“信任計算機作為委派”復選框，然后單擊“確定”。
5、退出“Active Directory 用戶和計算機”。

如果將應用程序池標識配置為使用域用戶帳戶，則該帳戶必須被信任作為委派，然后才能使用 Kerberos 身份驗證。要配置域帳戶以信任其作為委派，請按照下列步驟操作：
1、在域控制器上，啟動“Active Directory 用戶和計算機”。
2、在左窗格中，單擊“用戶”。
3、在右窗格中，右鍵單擊該用戶帳戶的名稱，然后單擊“屬性”。
4、單擊“帳戶”選項卡，在“帳戶選項”下，單擊以選中“帳戶可委派其他帳戶”復選框，然后單擊“確定”。
5、退出“Active Directory 用戶和計算機”。

如果應用程序池標識是一個域用戶帳戶，則必須為該帳戶配置 SPN。要為該域用戶帳戶配置 SPN，請按照下列步驟操作：
1、下載并安裝 Setspn.exe 命令行工具。為此，請訪問下面的 Microsoft Web 站點：

2、使用 Setspn.exe 工具為域帳戶添加 SPN。為此，請在命令提示符處鍵入下面的行，然后按 Enter 鍵（其中，服務器名稱 是服務器的完全限定域名 (FQDN)，域 是該域的名稱，用戶名 是該域用戶帳戶的名稱）：
     Setspn -A HTTP/服務器名稱域\用戶名
 
這篇文章中的信息適用于:
Microsoft Windows SharePoint Services
Microsoft Exchange Server 2003

原文轉自：http://www.kjueaiud.com