Управление корпоративными проектами с помощью SharePoint - Полномочия общих служб
ОГЛАВЛЕНИЕ
Полномочия общих служб
Если по любой причине пул приложений веб-узла PWA использует учетную запись сетевой службы, то можно будет также столкнуться с проблемами полномочий, относящимися к SSP. Помните, как я упомянул, что сервер перенаправления PSI получает доступ к веб-службам PSI от имени пользователя в контексте учетной записи пула приложений веб-узлов PWA? Если у этой учетной записи нет полномочий на доступ к узлу веб-служб Office Server, то все идет насмарку с обычным сообщением об ошибке SharePoint. В этот раз в журнале трассировки на сервере переднего плана констатируется "The request failed with HTTP status 401: Unauthorized", как показано на рис. 5.
Рис. 5. The request failed with HTTP status 401: Unauthorized
Помните, что эта ошибка не относится к полномочиям пользователей в PWA. Полномочия SharePoint, предоставленные на веб-узле PWA, определяют, какие пользователи могут получить доступ к виртуальному подкаталогу _vti_bin/PSI этого узла, но эти пользователи не получают полномочий на доступ к веб-приложению общих служб или веб-службам PSI на сервере приложений.
Даже для администратора коллекции веб-узла PWA сервер MOPS выдает сбой, если у учетной записи пула приложений веб-узла PWA нет доступа к веб-службам PSI. Это в особенности верно, если проигнорировать совет использовать учетные записи доменов для пулов приложений в ферме серверов и использовать вместо этого учетную запись сетевой службы.
Чтобы проверить полномочия на доступ SSP на сервере приложений, проверьте файл web.config file в корневом каталоге узла веб-служб Office Server (по умолчанию, %PROGRAMFILES%\Microsoft Office Servers\12.0\WebServices\Root). Можно заметить запись NT AUTHORITY\NETWORK SERVICE в разделе <authorization>, которая предположительно должна авторизовывать пулы приложений, использующих учетную запись сетевой службы. Но опять же, это не решение задачи, поскольку учетная запись ссылается только на локальный компьютер, который не является сервером интерфейса пользователя.
Лучшей стратегией является изменение настройки пула приложений и использование учетной записи домена. Но если предполагается использовать учетную запись сетевой службы, то необходимо прямо авторизовать сервер интерфейса пользователя.
Не изменяйте файл web.config на сервере приложений напрямую – SharePoint перепишет такие изменения. Вместо этого используйте центр администрирования SharePoint 3.0, чтобы дать отсутствующие полномочия, как подчеркнуто в таблице "Testing Shared Service Provider Access Permissions" («Тестирование полномочий на доступ для поставщика общих служб»). Кроме того, проверьте настройку при помощи простого приложения ASP.NET, устанавливающего прямое подключение HTTP к веб-службам PSI, такого как SSPCheck (входящего в сопровождающий материал). Для получения надежных результатов просто убедитесь, что приложение ASP.NET работает под управлением пула приложений веб-узла PWA.