Планирование сервера Office Web AppsPlan Office Web Apps Server

 

Применимо к: Office Web Apps ServerApplies to: Office Web Apps Server

Сводка. В этой статье рассматриваются требования, предъявляемые сервером Office Web Apps, такие как протокол HTTPS, сертификаты, виртуализация, балансировка нагрузки, топологии и безопасность.Summary: Describes Office Web Apps Server requirements and prerequisites, including HTTPS, certificates, virtualization, load balancing, topologies, and security.

Аудитория. ИТ-специалистыAudience: IT Professionals

Сервер Office Web Apps предоставляет браузерные версии приложений Office в локальной среде, обеспечивая пользователям большую гибкость и возможности для совместной работы. В статье описываются требования и действия, необходимые для установки Сервер Office Web Apps в организации.Office Web Apps Server delivers browser-based versions of Office apps in an on-premises environment, giving users more flexibility and collaboration opportunities. This article describes the requirements and steps you need to take to install Office Web Apps Server in your organization.

Важно тщательно все продумать, чтобы все узлы, такие как SharePoint 2013 и Lync Server 2013, могли обмениваться данными с Сервер Office Web Apps. Дополнительные рекомендации по настройке узлов см. в следующих статьях:It’s important to carefully plan so that all hosts, such as SharePoint 2013 and Lync Server 2013, can communicate with the Office Web Apps Server. For additional guidance about configuring hosts, see the following resources:

Примечание

Продукты SharePoint 2010 не могут быть узлом для Сервер Office Web Apps. Сервер Office Web Apps не поддерживается SharePoint Foundation 2010 или SharePoint Server 2010. Сервер Office Web Apps также не поддерживается Exchange Server 2013.SharePoint 2010 Products can’t be a host for Office Web Apps Server. Office Web Apps Server isn’t supported by SharePoint Foundation 2010 or SharePoint Server 2010. Office Web Apps Server also isn't supported by Exchange Server 2013.

В этой статьеIn this article:

  • Требования сервера Office Web Apps к программному обеспечению, оборудованию и конфигурацииSoftware, hardware, and configuration requirements for Office Web Apps Server

  • Поддержка виртуализации на сервере Office Web AppsSupport for virtualizing Office Web Apps Server

  • Требования сервера Office Web Apps к брандмауэруFirewall requirements for Office Web Apps Server

  • Требования сервера Office Web Apps к подсистеме балансировки нагрузкиLoad balancer requirements for Office Web Apps Server

  • Требования сервера Office Web Apps к службе доменных именDNS requirements for Office Web Apps Server

  • Планирование языковых пакетов для сервера Office Web AppsPlanning language packs for Office Web Apps Server

  • Планирование топологии для серверa Office Web AppsTopology planning for Office Web Apps Server

  • Планирование системы безопасности для сервера Office Web AppsSecurity planning for Office Web Apps Server

  • Планирование Online Viewers с использованием сервера Office Web AppsPlanning for Online Viewers with Office Web Apps Server

  • Планирование обновлений сервера Office Web AppsPlanning updates for Office Web Apps Server

Требования сервера Office Web Apps к программному обеспечению, оборудованию и конфигурацииSoftware, hardware, and configuration requirements for Office Web Apps Server

Сервер Office Web Apps можно установить в качестве фермы Сервер Office Web Apps с одним сервером или фермы Сервер Office Web Apps из нескольких серверов с балансировкой нагрузки. Можно использовать физические серверы или экземпляры виртуальных машин, однако установить другие серверные приложения (такие как SharePoint 2013 или SQL Server) на том же сервере, что и Сервер Office Web Apps, невозможно.You can install Office Web Apps Server as a single-server Office Web Apps Server farm, or as a multi-server, load-balanced Office Web Apps Server farm. You can use physical servers or virtual machine instances, but you can’t install other server applications (such as SharePoint 2013 or SQL Server) on the same server as Office Web Apps Server.

В средах, содержащих фактические данные пользователей, мы настоятельно советуем использовать протокол HTTPS, для которого необходимо получить сертификат. Если в вашей ферме несколько серверов, может потребоваться настроить аппаратное или программное решение для балансировки нагрузки. В следующих разделах описываются предварительные требования для этих сценариев.In environments that contain actual user data, we always recommend that you use HTTPS, for which you’ll have to obtain a certificate. If you’re using multiple servers in your farm, you’ll have to configure a hardware or software load-balancing solution. You can learn more about these scenarios in the following sections.

Требования сервера Office Web Apps к оборудованиюHardware requirements for Office Web Apps Server

Минимальные требования Сервер Office Web Apps к оборудованию такие же, как и для SharePoint Server 2013. Полный перечень требований SharePoint 2013 к оборудованию см. в статье, содержащей требования к оборудованию для веб-серверов, серверов приложений и конфигураций с одним сервером.Office Web Apps Server uses the same minimum hardware requirements as SharePoint Server 2013. You can find the full set of SharePoint 2013 requirements in Hardware requirements—web servers, application servers, and single server installations.

Операционные системы, поддерживаемые сервером Office Web AppsSupported operating systems for Office Web Apps Server

Сервер Office Web Apps может работать в следующих операционных системах:You can run Office Web Apps Server on the following operating systems:

  • 64-разрядный выпуск Windows Server 2008 R2 с пакетом обновления 1 (SP1) Standard, Enterprise или Datacenter с установленным обновлениемThe 64-bit edition of Windows Server 2008 R2 Service Pack 1 (SP1) Standard, Enterprise, or Datacenter with the Update for Windows Server 2008 R2 x64 Edition installed

  • 64-разрядный выпуск Windows Server 2012 Standard или DatacenterThe 64-bit edition of Windows Server 2012 Standard or Datacenter

  • 64-разрядный выпуск Windows Server 2012 R2. Чтобы использовать эту операционную систему, нужен сервер Office Web Apps с пакетом обновления 1 (SP1).The 64-bit edition of Windows Server 2012 R2. To use this operating system, you must use Office Web Apps Server Service Pack 1 (SP1).

Требования сервера Office Web Apps к доменуDomain requirements for Office Web Apps Server

Все серверы в ферме Сервер Office Web Apps должны быть частью домена. Они могут находиться в одном и том же домене (рекомендуется) или в доменах одного и того же леса. Однако Сервер Office Web Apps не будет работать, если установить его на контроллере домена.All servers in the Office Web Apps Server farm must be part of a domain. They can be in the same domain (recommended) or in domains that are in the same forest. However, Office Web Apps Server won’t work if you try to install it on a domain controller.

Роли сервера, службы и другое программное обеспечение, необходимое для работы сервера Office Web AppsServer roles, services, and other software required for Office Web Apps Server

Прежде всего, есть несколько вещей, которые НЕ СЛЕДУЕТ делать при развертывании Сервер Office Web Apps.First, here are a few things you should NOT do when deploying Office Web Apps Server.

  • На серверах с Сервер Office Web Apps не должны быть установлены другие серверные приложения. К ним относятся Exchange Server, SharePoint Server, Lync Server и SQL Server. Если у вас не хватает серверов, Сервер Office Web Apps можно выполнять на экземпляре виртуальной машины на одном из существующих серверов.Don’t install any other server applications on the server that’s running Office Web Apps Server. This includes Exchange Server, SharePoint Server, Lync Server, and SQL Server. If you have a shortage of servers, consider running Office Web Apps Server in a virtual machine instance on one of the servers you have.

  • Не устанавливайте службы или роли, зависящие от роли веб-сервера IIS, в порт 80, 443 или 809, так как Сервер Office Web Apps регулярно удаляет веб-приложения, расположенные в этих портах.Don’t install any services or roles that depend on the Web Server (IIS) role on port 80, 443, or 809 because Office Web Apps Server periodically removes web applications on these ports.

  • Не устанавливайте какие-либо версии Office. Все существующие версии этого набора необходимо удалить до установки Сервер Office Web Apps.Don’t install any version of Office. If it’s already installed, you’ll need to uninstall it before you install Office Web Apps Server.

  • Не устанавливайте Сервер Office Web Apps на контроллер домена. Этот продукт не будет работать на сервере, на котором работают доменные службы Active Directory.Don’t install Office Web Apps Server on a domain controller. It won’t run on a server with Active Directory Domain Services (AD DS).

Подробные сведения об элементах, которые НЕОБХОДИМО установить, приведены в следующей таблице.Now for the items you DO need to install. See the following table for details.

Важно!

Сервер Office Web Apps можно скачать только на веб-сайте Volume Licensing Service Center (VLSC). Для загрузки Сервер Office Web Apps необходима лицензия на Office профессиональный плюс 2013, Office стандартный 2013 или Office для Mac 2011, предусмотренная соглашением о корпоративном лицензировании. Загружаемые файлы находятся в разделах на портале VLSC, посвященных продуктам Office.Office Web Apps Server is only available for download from the Volume Licensing Service Center (VLSC). To download Office Web Apps Server you must have a license, under a Volume Licensing agreement, for Office Professional Plus 2013, Office Standard 2013, or Office for Mac 2011. The download is located under those Office products on the VLSC portal.

Загрузки, роли сервера и компоненты, необходимые для работы сервера Office Web AppsDownloads, server roles, and features that are required for Office Web Apps Server

Загрузка, роль сервера или компонентDownload, server role, or feature При установке в Windows Server 2008 R2If you’re installing on Windows Server 2008 R2 При установке в Windows Server 2012If you’re installing on Windows Server 2012 При установке в Windows Server 2012 R2If you’re installing on Windows Server 2012 R2

Загрузка: сервер Office Web AppsDownload: Office Web Apps Server

Сервер Office Web AppsOffice Web Apps Server

Сервер Office Web AppsOffice Web Apps Server

Сервер Office Web AppsOffice Web Apps Server

Загрузка: сервер Office Web Apps с пакетом обновления 1 (SP1)Download: Office Web Apps Server SP1

РекомендованоRecommended

РекомендуемыйRecommended

Сервер Office Web Apps с пакетом обновления 1 (SP1)Office Web Apps Server SP1

Загрузка: правильная версия платформы .NET FrameworkDownload: Correct version of .NET Framework

.NET Framework 4.5.NET Framework 4.5

Платформа .NET Framework 4.5 уже установлена.NET framework 4.5 is already installed

.NET Framework 4.5.2.NET Framework 4.5.2

Загрузка: обновление для 64-разрядной версии Windows Server 2008 R2Download: Update for Windows Server 2008 R2 x64 Edition

Обновление для 64-разрядного выпуска Windows Server 2008 R2Update for Windows Server 2008 R2 x64 Edition

НеприменимоNot applicable

НеприменимоNot applicable

Загрузка: Windows PowerShell 3.0Download: Windows PowerShell 3.0

Windows PowerShell 3.0Windows PowerShell 3.0

Уже установленоAlready installed

Уже установленоAlready installed

Роль сервера: веб-сервер (IIS)Server role: Web Server (IIS)

Вот минимальные требования к службам ролей, предъявляемые ролью сервера Веб-сервер (IIS).Here are the minimum role services required for the Web Server (IIS) server role.

Основные возможности HTTPCommon HTTP Features

  • Статическое содержимоеStatic Content

  • документ по умолчанию;Default Document

Разработка приложенийApplication Development

  • ASP.NETASP.NET

  • Расширяемость платформы .NET.NET Extensibility

  • Расширения ISAPIISAPI Extensions

  • Фильтры ISAPIISAPI Filters

  • Компоненты на стороне сервераServer Side Includes

БезопасностьSecurity

  • Проверка подлинности WindowsWindows Authentication

  • фильтрация запросов;Request Filtering

Средства управленияManagement Tools

  • Консоль управления IISIIS Management Console

Следующие компоненты рекомендуются к установке, но не являются обязательными.The following options are recommended but not required:

ПроизводительностьPerformance

  • Сжатие статического содержимогоStatic Content Compression

  • Сжатие динамического содержимогоDynamic Content Compression

Вот минимальные требования к службам ролей, предъявляемые ролью сервера Веб-сервер (IIS).Here are the minimum role services required for the Web Server (IIS) server role.

Средства управленияManagement Tools

  • Консоль управления IISIIS Management Console

Веб-серверWeb Server

  • Основные возможности HTTPCommon HTTP Features

  • Документ по умолчаниюDefault Document

  • Статическое содержимоеStatic Content

БезопасностьSecurity

  • Фильтрация запросовRequest Filtering

  • Проверка подлинности WindowsWindows Authentication

Разработка приложенийApplication Development

  • Расширяемость платформы .NET 4.5.NET Extensibility 4.5

  • ASP.NET 4,5ASP.NET 4.5

  • Расширения ISAPIISAPI Extensions

  • Фильтры ISAPIISAPI Filters

  • Компоненты на стороне сервераServer Side Includes

Приведенные ниже службы рекомендуются к установке, но не являются обязательными.The following services are recommended but not required:

ПроизводительностьPerformance

  • Сжатие статического содержимогоStatic Content Compression

  • Сжатие динамического содержимогоDynamic Content Compression

Вот минимальные требования к службам ролей, предъявляемые ролью сервера Веб-сервер (IIS).Here are the minimum role services required for the Web Server (IIS) server role.

Средства управленияManagement Tools

  • Консоль управления IISIIS Management Console

Веб-серверWeb Server

  • Основные возможности HTTPCommon HTTP Features

  • Документ по умолчаниюDefault Document

  • Статическое содержимоеStatic Content

БезопасностьSecurity

  • Фильтрация запросовRequest Filtering

  • Проверка подлинности WindowsWindows Authentication

Разработка приложенийApplication Development

  • Расширяемость платформы .NET 4.5.NET Extensibility 4.5

  • ASP.NET 4,5ASP.NET 4.5

  • Расширения ISAPIISAPI Extensions

  • Фильтры ISAPIISAPI Filters

  • Компоненты на стороне сервераServer Side Includes

Приведенные ниже службы рекомендуются к установке, но не являются обязательными.The following services are recommended but not required:

ПроизводительностьPerformance

  • Сжатие статического содержимогоStatic Content Compression

  • Сжатие динамического содержимогоDynamic Content Compression

Компонент: службы рукописного вводаFeature: Ink and Handwriting Services

Службы рукописного вводаInk and Handwriting Services

  • Поддержка рукописного вводаInk Support

Службы рукописного вводаInk and Handwriting Services

  • Поддержка рукописного ввода не требуется.Ink Support is not required.

Службы рукописного вводаInk and Handwriting Services

  • Поддержка рукописного ввода не требуется.Ink Support is not required.

Поддержка виртуализации на сервере Office Web AppsSupport for virtualizing Office Web Apps Server

Сервер Office Web Apps полностью поддерживается при развертывании с использованием технологии Windows ServerHyper-V.Office Web Apps Server is fully supported when you deploy it using Windows Server Hyper-V technology. Если вы планируете виртуализацию Сервер Office Web Apps, следуйте приведенным ниже рекомендациям.If you plan to virtualize Office Web Apps Server, follow these guidelines:

  • Устанавливайте Сервер Office Web Apps на отдельный экземпляр виртуальной машины. Не устанавливайте на этот экземпляр другие серверные приложения, например SharePoint 2013.Install Office Web Apps Server in its own virtual machine instance. Don’t install any other server applications, such as SharePoint 2013, in this instance.

  • При необходимости вы можете установить Сервер Office Web Apps на экземпляр виртуальной машины, размещенный на сервере, на котором работает SharePoint 2013.It’s okay to install Office Web Apps Server in a virtual machine instance hosted by a server running SharePoint 2013.

  • В фермах серверов Сервер Office Web Apps с несколькими серверами каждый экземпляр должен размещаться на отдельной виртуальной машине, что позволит обеспечить доступность фермы серверов Сервер Office Web Apps даже в случае отказа одного из узлов.For multi-server Office Web Apps Server farms, each instance should be on a separate virtual machine host. This way, the Office Web Apps Server farm will still be available if one of the hosts fails.

Требования сервера Office Web Apps к брандмауэруFirewall requirements for Office Web Apps Server

Брандмауэры могут блокировать обмен данными между браузером, серверами с Сервер Office Web Apps и серверами SharePoint 2013. Это доставляет особые проблемы, когда данные серверы размещены в разных сегментах сети.Firewalls can cause problems by blocking communication between the web browser, the servers that run Office Web Apps Server, and the servers that run SharePoint 2013. These problems can be more complicated when the servers are in different parts of a network.

Убедитесь, что брандмауэр не блокирует следующие порты на сервере с Сервер Office Web Apps или в подсистеме балансировки нагрузки:Make sure the following ports aren’t blocked by firewalls on either the server that runs Office Web Apps Server or the load balancer:

  • порт 443 для трафика HTTPS;Port 443 for HTTPS traffic

  • порт 80 для трафика HTTP;Port 80 for HTTP traffic

  • порт 809 для закрытого трафика между серверами с Сервер Office Web Apps в ферме с несколькими серверами.Port 809 for private traffic between the servers that run Office Web Apps Server (if you’re setting up a multi-server farm)

Требования сервера Office Web Apps к подсистеме балансировки нагрузкиLoad balancer requirements for Office Web Apps Server

Если Сервер Office Web Apps работает на нескольких серверах, мы советуем использовать подсистему балансировки нагрузки. Выбор решения балансировки определяющей роли не играет. Вы можете использовать, например, сервер с ролью веб-сервера IIS и модулем маршрутизации запросов приложений (ARR). Фактически вы можете запускать модуль ARR на одном из серверов с Сервер Office Web Apps. Если вы еще не используете решение для балансировки нагрузки, ознакомьтесь со следующими материалами по применению IIS с ARR.We recommend a load balancing solution when you run Office Web Apps Server on two or more servers. Just about any load balancing solution will work, including a server that runs the Web Server (IIS) role running Application Request Routing (ARR). In fact, you can run ARR on one of the servers that runs Office Web Apps Server. If you don’t have a load balancing solution, take a look at these resources for using IIS with ARR:

В идеальном случае выбранное вами решение для балансировки нагрузки должно поддерживать следующие функции:Ideally, try to find a load balancing solution that supports the following features:

  • маршрутизация уровня 7;Layer 7 routing

  • поддержка сходства клиентов и интерфейсных компонентов.Enabling client affinity or front-end affinity

  • поддержка разгрузки SSL.Enabling SSL offloading

Если вы используете подсистему балансировки нагрузки, вам необходимо установить в нее соответствующий сертификат (см. раздел Защита данных, передаваемых сервером Office Web Apps, с помощью протокола HTTPS этой статьи).If you use a load balancer, you’ll need to install the certificate on the load balancer as described under Securing Office Web Apps Server communications by using HTTPS.

Требования сервера Office Web Apps к службе доменных именDNS requirements for Office Web Apps Server

В средах с протоколом HTTPS и балансировкой нагрузки вам необходимо настроить службу доменных имен на сопоставление полного доменного имени сертификата с IP-адресом сервера с Сервер Office Web Apps или IP-адресом, назначенным подсистеме балансировки нагрузки в ферме Сервер Office Web Apps.In environments that use HTTPS and load balancing, you have to update DNS so that the fully qualified domain name (FQDN) of the certificate resolves to either the IP address of the server that runs Office Web Apps Server or to the IP address assigned to the load balancer for the Office Web Apps Server farm.

Планирование языковых пакетов для сервера Office Web AppsPlanning language packs for Office Web Apps Server

Языковые пакеты Сервер Office Web Apps 2013 позволяют пользователям с помощью веб-браузера просматривать многоязычные файлы Office из библиотек документов SharePoint 2013, Outlook Web App (в виде предварительного просмотра вложений) и Lync 2013 (в виде широковещательных презентаций PowerPoint). Обратите внимание, что эти возможности зависят от настроенных на узле языков. Чтобы просматривать с помощью браузера файлы Office с узлов на нескольких языках, необходимо соблюдать следующие условия:Office Web Apps Server 2013 Language Packs enable users to view web-based Office files in multiple languages from SharePoint 2013 document libraries, Outlook Web App (as attachment previews), and Lync 2013 (as PowerPoint broadcasts). But, this depends on the languages that are configured on the host. To view web-based Office files from hosts in multiple languages, you must have the following in place:

  • Узел (такой как SharePoint Server 2013 или Lync Server 2013) настроен для запуска приложений на дополнительных языках. Установка и настройка языковых пакетов в узле осуществляется независимо от фермы Сервер Office Web Apps.The host (such as SharePoint Server 2013 or Lync Server 2013) is configured to run applications in additional languages. The process of installing and configuring language packs on the host is independent of installing a language pack on the Office Web Apps Server farm.

  • Языки установлены и доступны на всех серверах в ферме Сервер Office Web Apps.The languages are installed and are available on all servers in the Office Web Apps Server farm.

Скачать языковые пакеты для сервера Office Web Apps можно здесь.Here’s where to download the language packs for Office Web Apps Server.

Планирование топологии для серверa Office Web AppsTopology planning for Office Web Apps Server

Топология Сервер Office Web Apps должна включать как минимум одну физическую или виртуальную машину с Сервер Office Web Apps и по крайней мере один узел (например, сервер с Lync Server 2013 или SharePoint 2013). Кроме того, вам потребуется клиентский компьютер или устройство для подключения к одному из узлов и использования функций Office Web Apps. К минимальной топологии фермы Сервер Office Web Apps можно добавлять узлы и серверы в зависимости от потребностей организации.At a minimum, an Office Web Apps Server topology will include one physical or virtual machine running Office Web Apps Server, and at least one host (for example, a server running Lync Server 2013 or SharePoint 2013). And of course, you’ll need a client PC or device to connect to one of the hosts and use the Office Web Apps functionality. From that minimal topology, you can add more hosts and more servers to your Office Web Apps Server farm as required to suit the needs of your organization.

Ниже приведен список рекомендаций на случай, если топология Сервер Office Web Apps становится более сложной.The following is a list of recommendations that you should keep in mind as your Office Web Apps Server topology gets more complex.

  • Спланируйте резервирование. Если вы используете экземпляры виртуальных машин, для эффективного резервирования их необходимо размещать на отдельных узлах виртуальных машин. При этом на других экземплярах такого компьютера могут выполняться серверные приложения. Обратите внимание, что серверные приложения не должны выполняться на одном экземпляре с Сервер Office Web Apps.Plan for redundancy. If you use virtual machine instances, make sure you put them on separate virtual machine hosts for redundancy. It’s okay if other instances on the host run server applications—just don’t run other server applications on the same instance as Office Web Apps Server.

  • Используйте один центр обработки данных. Серверы фермы Сервер Office Web Apps должны находиться в одном центре обработки данных. Не распространяйте их географически. В целом, вам нужна только одна ферма, если только требования безопасности не предвидят изолированную сеть с собственной фермой Сервер Office Web Apps.Stick to one data center. Servers in an Office Web Apps Server farm must be in the same data center. Don’t distribute them geographically. Generally you need only one farm, unless you have security needs that require an isolated network that has its own Office Web Apps Server farm.

  • Чем ближе узлы друг к другу, тем лучше. Ферма Сервер Office Web Apps не должна находиться в том же центре обработки данных, что и обслуживаемые ею узлы, но при большом объеме операций редактирования мы советуем размещать ферму Сервер Office Web Apps как можно ближе к узлам. Эта рекомендация в меньшей степени относится к организациям, в которых Office Web Apps используется преимущественно для просмотра файлов Office.The closer the hosts, the better. The Office Web Apps Server farm doesn’t have to be in the same data center as the hosts it serves, but for heavy editing usage, we recommend you put the Office Web Apps Server farm as close to the hosts as possible. This is less important for organizations that use Office Web Apps primarily for viewing Office files.

  • Спланируйте подключения. Подключите все серверы в ферме Сервер Office Web Apps друг к другу. Чтобы подключить их к расширенной сети, используйте брандмауэр подсистемы балансировки нагрузки обратного прокси-сервера.Plan your connections. Connect all servers in the Office Web Apps Server farm only to one another. To connect them to a broader network, do so through a reverse proxy load balancer firewall.

  • Настройте брандмауэр для запросов HTTP или HTTPS. Убедитесь, что брандмауэр разрешает серверам Сервер Office Web Apps инициировать HTTP- и HTTPS-запросы к узлам.Configure the firewall for HTTP or HTTPS requests. Make sure the firewall allows servers running Office Web Apps Server to initiate HTTP or HTTPS requests to hosts.

  • Спланируйте потоки входящих и исходящих данных. В развертывании для Интернета маршрутизируйте все исходящие данные через устройство NAT. В ферме с несколькими серверами включите обработку всех входящих данных с подсистемой балансировки нагрузки.Plan for incoming and outgoing communications. In an Internet-facing deployment, route all outgoing communications through a NAT device. In a multi-server farm, handle all incoming communications with a load balancer.

  • Убедитесь, что все серверы в ферме Сервер Office Web Apps присоединены к домену и являются частью одного и того же подразделения. Используйте параметр FarmOU в командлете New-OfficeWebAppsFarm, чтобы запретить другим серверам, не входящим в это подразделение, присоединяться к ферме.Make sure all servers in the Office Web Apps Server farm are joined to a domain and are part of the same organizational unit (OU). Use the FarmOU parameter in the New-OfficeWebAppsFarm cmdlet to prevent other servers that are not in this OU from joining the farm.

  • Используйте HTTPS для всех входящих запросов.Use Hypertext Transfer Protocol Secure (HTTPS) for all incoming requests.

  • Если в вашей сети развернут протокол IPsec, используйте его для шифрования трафика, передаваемого между серверами.If you have IPsec deployed in the network, use it to encrypt traffic among the servers.

  • Спланируйте функции Office, для работы которых необходимо подключение к Интернету. Если необходимы такие функции, как коллекция картинок и службы машинного перевода, а серверы в ферме не могут отправлять запросы в Интернет, необходимо настроить прокси-сервер для фермы Сервер Office Web Apps. Это позволит отправлять запросы внешним сайтам по протоколу HTTP.Plan for Office features that use the Internet. If features such as clip art and translation services are needed, and the servers in the farm can’t initiate requests to the Internet, you’ll need to configure a proxy server for the Office Web Apps Server farm. This will allow HTTP requests to external sites.

Планирование системы безопасности для сервера Office Web AppsSecurity planning for Office Web Apps Server

Следующие сведения представляют собой руководство по безопасности для Сервер Office Web Apps.The following information introduces security guidance for Office Web Apps Server.

Защита данных, передаваемых сервером Office Web Apps, с помощью протокола HTTPSSecuring Office Web Apps Server communications by using HTTPS

Сервер Office Web Apps может обмениваться данными с SharePoint 2013 и Lync Server 2013 по протоколу HTTPS. Мы настоятельно советуем использовать именно этот протокол в рабочих средах. Обратите внимание, что вам необходимо установить сертификат интернет-сервера, который можно назначить серверу с Сервер Office Web Apps (ферма с одним сервером) или подсистеме балансировки нагрузки (ферма с несколькими серверами Сервер Office Web Apps).Office Web Apps Server can communicate with SharePoint 2013 and Lync Server 2013 by using the HTTPS protocol. In production environments, we strongly recommend that you use HTTPS. You’ll have to install an Internet Server certificate that can be assigned to the server that runs Office Web Apps Server (if you are using a single server) or to the load balancer (if you are using multiple servers that run Office Web Apps Server).

В тестовых средах, которые не содержат пользовательских данных, вы можете использовать протокол HTTP для SharePoint 2013, не устанавливая сертификат. Lync Server 2013 поддерживает только протокол HTTPS.In test environments that contain no user data, you can use HTTP for SharePoint 2013 and skip the certificate requirement. Lync Server 2013 supports only HTTPS.

Сертификаты, используемые Сервер Office Web Apps, должны удовлетворять перечисленным ниже требованиям.Certificates used by Office Web Apps Server need to meet the following requirements:

  • Сертификат должен быть выдан доверенным центром сертификации и должен содержать полное доменное имя фермы серверов Сервер Office Web Apps в поле альтернативного имени субъекта (SAN). Если полное доменное имя указано в другом поле, при попытке использовать сертификат браузер отображает предупреждение системы безопасности или не обрабатывает ответ.The certificate must come from a trusted Certificate Authority and include the fully qualified domain name (FQDN) of your Office Web Apps Server farm in the SAN (Subject Alternative Name) field. (If the FQDN is not in the SAN when you try to use the certificate, the browser will either show security warnings or won’t process the response.)

  • Сертификат должен содержать экспортируемый закрытый ключ. В фермах, состоящих из одного сервера, этот параметр будет выбран по умолчанию, если для импорта сертификата используется оснастка диспетчера IIS.The certificate must have an exportable private key. On single-server farms, this option is selected by default when you use the Internet Information Services (IIS) Manager snap-in to import the certificate.

  • Поле "Понятное имя" должно содержать значение, уникальное на уровне хранилища доверенных корневых центров сертификации. При наличии нескольких сертификатов с одинаковым понятным именем не удастся создать ферму, так как командлету New-OfficeWebAppsFarm не удастся выбрать используемый сертификат.The Friendly name field must be unique within the Trusted Root Certificate Authorities store. If you have multiple certificates that share a Friendly Name field, farm creation will fail because the New-OfficeWebAppsFarm cmdlet won’t know which of those certificates to use.

  • Для Сервер Office Web Apps не требуется никаких особых свойств и расширений сертификата, например расширения EKU или серверного EKU.Office Web Apps Server doesn’t require any special certificate properties or extensions. For example, Client Enhanced Key Usage (EKU) extensions or Server EKU extensions are not required.

  • В Windows Server 2012 или Windows Server 2012 R2 необходимо установить функцию "Разрешить HTTP-активацию" для Windows Communication Foundation (WCF).On Windows Server 2012 or Windows Server 2012 R2, you must install the "Allow HTTP Activation" Windows Communication Foundation (WCF) feature.

Вот как необходимо импортировать сертификат.The certificate must be imported as follows:

  • Для ферм   с одним сервером необходимо импортировать сертификат непосредственно на сервер, на котором работает сервер Office Web Apps.For single-server farms   You must import the certificate directly on the server that runs Office Web Apps Server. Не выполняйте привязку сертификата вручную.Don’t bind the certificate manually. Используйте для этой цели командлет New-OfficeWebAppsFarm.The New-OfficeWebAppsFarm cmdlet you run later will do this for you. Если вы привяжете сертификат вручную, он будет удаляться при каждой перезагрузке сервера.If you bind the certificate manually, it’ll be deleted every time the server restarts.

  • Для ферм   с балансировкой нагрузки, если Вы разгружаете SSL, сертификат должен быть импортирован на аппаратную подсистему балансировки нагрузки.For load-balanced farms   If you’re offloading SSL, the certificate must be imported on the hardware load balancer. Если вы не разгружаете SSL, вам потребуется установить сертификат на каждом сервере в ферме сервер Office Web Apps.If you’re not offloading SSL, you’ll need to install the certificate on each server in the Office Web Apps Server farm.

Примечание

Не используйте самозаверяющие сертификаты. Их можно использовать только в некритических тестовых средах.Don’t use self-signed certificates except in non-critical test environments.

Дополнительные сведения о сертификатах см. в разделе Получение SSL-сертификата.For more information about certificates, see How to Obtain an SSL Certificate.

Использование разгрузки SSL для устройств балансировки нагрузкиUsing SSL offloading for hardware load balancers

При настройке новой фермы Сервер Office Web Apps разгрузка SSL выключена по умолчанию. Если вы используете подсистему балансировки нагрузки, советуем включить разгрузку SSL. Это позволяет каждому Сервер Office Web Apps в ферме обмениваться данными с подсистемой балансировки нагрузки, используя протокол HTTP. Кроме того, включение разгрузки SSL дает следующие преимущества:When you set up a new Office Web Apps Server farm, SSL offloading is set to Off by default. If you’re using a hardware load balancer, we recommend you set SSL offloading to On so that each Office Web Apps Server in the farm can communicate with the load balancer by using HTTP. Setting SSL offloading to On also provides the following advantages:

  • Упрощенное управление сертификатамиSimplified certificates management

  • Усовершенствованное мягкое сходствоImproved soft affinity

  • Повышенная производительностьImproved performance

Учтите, что при использовании HTTP трафик, передаваемый из подсистемы балансировки нагрузки на серверы, на которых работает Сервер Office Web Apps, не шифруется, поэтому необходимо убедиться, что сеть защищена. Чтобы защитить трафик, можно использовать частную подсеть.Note that when you use HTTP, traffic from the load balancer to the servers that run Office Web Apps Server isn’t encrypted, so you need to make sure the network itself is secure. Use of a private subnet can help protect traffic.

Запрет на присоединение серверов к ферме серверов Office Web Apps по их принадлежности к подразделениямRestrict which servers can join an Office Web Apps Server farm based on OU membership

Чтобы запретить нежелательным серверам присоединяться к ферме Сервер Office Web Apps, вы можете создать для них отдельное подразделение и соответствующим образом настроить параметр FarmOU при создании фермы. Дополнительные сведения о параметре FarmOU см. в статье New-OfficeWebAppsFarm.You can prevent unauthorized servers from joining an Office Web Apps Server farm by creating an organizational unit for those servers and then specifying the FarmOU parameter when you create the farm. For more information about the FarmOU parameter, see New-OfficeWebAppsFarm.

Ограничение доступа узлов к серверу Office Web Apps с помощью списка разрешенийLimit host access for Office Web Apps Server by using the Allow List

С помощью списка разрешений вы можете запретить подключение нежелательных узлов к ферме Сервер Office Web Apps, что могло бы повлечь за собой операции с файлами без вашего согласия. Чтобы ограничить список узлов, которые смогут выполнять операции запроса файлов (например, извлечение и изменение файлов или извлечение метаданных) к Сервер Office Web Apps, добавьте нужные домены в список разрешенных.The Allow List is a security feature that prevents unwanted hosts from connecting to an Office Web Apps Server farm and using it for file operations without your consent. By adding the domains that contain approved hosts to the Allow List, you can limit the hosts to which Office Web Apps Server allows file operations requests, such as file retrieval, metadata retrieval, and file changes.

Вы можете добавлять домены в список разрешенных уже после создания фермы Сервер Office Web Apps. Дополнительные сведения о добавлении доменов в список разрешенных см. в статье New-OfficeWebAppsHost.You can add domains to the Allow List after you’ve created the Office Web Apps Server farm. To learn how to add domains to the Allow List, see New-OfficeWebAppsHost.

Важно!

Если в списке разрешенных отсутствуют домены, Сервер Office Web Apps принимает запросы файлов от узлов любого домена. Если ваша ферма Сервер Office Web Apps доступна через Интернет, не оставляйте этот список пустым. В противном случае просматривать и редактировать контент смогут любые пользователи с доступом к вашей ферме Сервер Office Web Apps.If you do not add domains to the Allow List, Office Web Apps Server allows file requests to hosts in any domain. Don’t leave this list blank if your Office Web Apps Server farm can be accessed from the Internet. Otherwise, anyone can use your Office Web Apps Server farm to view and edit content.

Планирование Online Viewers с использованием сервера Office Web AppsPlanning for Online Viewers with Office Web Apps Server

По умолчанию функция Online Viewers включается после установки Сервер Office Web Apps. Если вы планируете использовать Online Viewers в организации, ознакомьтесь со следующими рекомендациями. В некоторых случаях может потребоваться отключить некоторые возможности Online Viewers. Приведенные ниже рекомендации относятся к параметрам, заданным с помощью командлетов Windows PowerShellNew-OfficeWebAppsFarm и Set-OfficeWebAppsFarm.By default, Online Viewers functionality is enabled after you install Office Web Apps Server. Review the following guidelines if you’re planning to use Online Viewers in your organization. In some cases, you might want to disable some features within Online Viewers. These guidelines refer to parameters that are set by using the Windows PowerShell cmdlets New-OfficeWebAppsFarm and Set-OfficeWebAppsFarm.

Рекомендации по обеспечению безопасности для Online ViewersSecurity considerations for Online Viewers

Файлы, которые предназначены для просмотра в веб-браузере с помощью Online Viewers, не должны требовать проверки подлинности. Другими словами, они должны находиться в открытом доступе, так как Online Viewers не поддерживает проверку подлинности при извлечении файлов. Мы настоятельно рекомендуем реализовать доступ к ферме Сервер Office Web Apps с Online Viewers либо только из интрасети, либо только из Интернета, но не из обеих сетей одновременно. Это связано с тем, что Сервер Office Web Apps не различает запросы URL-адресов в интрасети и Интернете. Соответственно, при поступлении из Интернета запроса к URL-адресу в интрасети возможна утечка данных в результате передачи документа для внутреннего пользования сторонним лицам.Files that are intended to be viewed through a web browser by using Online Viewers must not require authentication. In other words, the files must be available publicly because Online Viewers can’t perform authentication when it is retrieving files. We strongly recommend that the Office Web Apps Server farm that you use for Online Viewers is only able to access either the intranet or the Internet, but not both. This is because Office Web Apps Server doesn’t differentiate between requests for intranet and Internet URLs. Somebody on the Internet could request an intranet URL, for example, causing a security leak if an internal document is viewed.

По той же причине, если сервер Сервер Office Web Apps должен подключаться только к Интернету, мы настоятельно советуем отключить поддержку UNC в Online Viewers. Чтобы сделать это, присвойте параметру OpenFromUncEnabled значение False с помощью командлетов Windows PowerShellNew-OfficeWebAppsFarm (для новых ферм) или Set-OfficeWebAppsFarm (для существующих ферм).For the same reason, if you have set up the Office Web Apps Server to connect only to the Internet, we strongly recommend that you disable UNC support in Online Viewers. To disable UNC support, set the OpenFromUncEnabled parameter to False by using the Windows PowerShell cmdlets New-OfficeWebAppsFarm (for new farms) or Set-OfficeWebAppsFarm (for existing farms).

В качестве дополнительных мер безопасности с помощью Online Viewers можно просматривать файлы Office размером не более 10 МБ.As an additional security precaution, Online Viewers are limited to viewing Office files that are 10 MB or less.

Настройка параметров Online ViewersConfiguration options for Online Viewers

Для настройки Online Viewers вы можете использовать следующие параметры Windows PowerShell в командлетах New-OfficeWebAppsFarm (для новых ферм) и Set-OfficeWebAppsFarm (для существующих ферм).You can configure Online Viewers by using the following Windows PowerShell parameters in New-OfficeWebAppsFarm (for new farms) or Set-OfficeWebAppsFarm (for existing farms).

  • Параметра openfromurlenabled   включает или выключает интерактивные средства просмотра.OpenFromUrlEnabled   Turns the Online Viewers on or off. Этот параметр управляет функцией Online Viewers для файлов с URL-адресами и UNC-путями.This parameter controls Online Viewers for files that have URL and UNC paths. По умолчанию этот параметр имеет значение false (отключено) при создании новой фермы серверов Office Web Apps.By default, this parameter is set to False (disabled) when you create a new Office Web Apps Server farm.

  • Опенфромунценаблед   при включении Online Viewers (установите значение true с помощью параметра openfromurlenabled). Этот параметр включает или отключает возможности интерактивных средств просмотра для отображения файлов в путях UNC.OpenFromUncEnabled   When Online Viewers are turned on (set to True by using OpenFromUrlEnabled), this parameter turns on or off the ability for Online Viewers to display files in UNC paths. По умолчанию этот параметр имеет значение true, но убедитесь, что для параметра параметра openfromurlenabled также задано значение true, прежде чем включать открытие файлов из путей в формате UNC.By default, this parameter is set to True, but make sure OpenFromUrlEnabled is also set to True before you enable opening files from UNC paths. Как было сказано ранее, мы рекомендуем установить для этого параметра значение false, если вы настроили сервер Office Web Apps для подключения к Интернету.As described earlier, we recommend you set this parameter to False if you have set up Office Web Apps Server to connect to the Internet.

  • Опенфромурлсроттлинженаблед   регулирует количество запросов "Открыть с URL-адреса" с любого конкретного сервера за определенный период времени.OpenFromUrlThrottlingEnabled   Throttles the number of “open from URL” requests from any given server in a time period. Значения регулирования по умолчанию, которые не являются настраиваемыми, убедитесь, что ферма сервер Office Web Apps не перегружает один сервер, отправляя запросы для просмотра контента в интерактивных средствах просмотра.The default throttling values, which are not configurable, make sure that an Office Web Apps Server farm does not overwhelm a single server by sending requests for content to be viewed in the Online Viewers.

Планирование обновлений сервера Office Web AppsPlanning updates for Office Web Apps Server

Перед развертыванием Сервер Office Web Apps необходимо решить, как в организации будет осуществляться управление обновлениями программного обеспечения для фермы Сервер Office Web Apps. Хотя обновления программного обеспечения помогают повысить безопасность, производительность и надежность сервера, неправильная установка обновлений может привести к проблемам с Сервер Office Web Apps.Before deploying Office Web Apps Server, you need to decide how your organization will manage software updates to your Office Web Apps Server farm. Although software updates help improve server security, performance, and reliability, installing updates incorrectly can cause issues with the Office Web Apps Server.

Применение обновлений Сервер Office Web Apps с помощью процесса автоматического обновления Майкрософт не поддерживается в Сервер Office Web Apps. Это связано с тем, что обновления для Сервер Office Web Apps необходимо применять определенным способом, как это описано в разделе Применение обновлений программного обеспечения к серверу Office Web Apps. Если применять обновления Сервер Office Web Apps автоматически, может получиться так, что пользователи не смогут просматривать и изменять документы в Office Web Apps. В этом случае необходимо перестроить ферму Сервер Office Web Apps.Applying Office Web Apps Server updates by using the Microsoft automatic updates process isn’t supported with Office Web Apps Server. Updates to an Office Web Apps Server must be applied in a specific way, as described in Apply software updates to Office Web Apps Server. If Office Web Apps Server updates are applied automatically, users might be unable to view or edit documents in Office Web Apps. If this happens, you have to rebuild your Office Web Apps Server farm.

Мы советуем управлять обновлениями с помощью служб Windows Server Update Services (WSUS) или средства System Center Диспетчер конфигураций, которое использует службы WSUS. Эти службы позволяют полностью управлять распространением выпущенных обновлений через Центр обновления Майкрософт для каждого сервера в ферме Сервер Office Web Apps. Используя службы WSUS, можно указывать, какие обновления будут автоматически применены к ферме серверов, а какие (например, обновления Сервер Office Web Apps) — вручную. Подробнее о службах WSUS см. в статье Службы обновления Windows Server.We recommend that you manage updates by using Windows Server Update Services (WSUS) or by using System Center Configuration Manager, which uses WSUS. WSUS allows you to fully manage the distribution of updates that are released through Microsoft Update for each server in the Office Web Apps Server farm. By using WSUS, you can decide which updates can be automatically applied to the server farm and which updates, such as Office Web Apps Server updates, have to be manually applied. For more information about WSUS, see Windows Server Update Services.

Если вы не используете службы WSUS или System Center Диспетчер конфигураций, задайте для автоматического обновления Майкрософт на каждом сервере в ферме Сервер Office Web Apps режим Загружать обновления, но решение об установке принимается мной. Когда появится уведомление об обновлении Сервер Office Web Apps, выполните указания, описанные в разделе Применение обновлений программного обеспечения к серверу Office Web Apps. Чтобы применить обновления Windows без угроз для безопасности серверов, разрешите установку обновлений при появлении уведомления об их доступности.If you do not use WSUS or System Center Configuration Manager, set Microsoft automatic updates on each server in the Office Web Apps Server farm to Automatically download but notify user for install. When you’re notified of an Office Web Apps Server update, follow the steps in Apply software updates to Office Web Apps Server. To have Windows updates applied and keep your servers secure, accept the Windows updates when you’re notified that updates are available.

См. такжеSee also

План содержимого для сервера Office Web AppsContent roadmap for Office Web Apps Server
Обзор сервера Office Web AppsOffice Web Apps Server overview
Развертывание сервера Office Web AppsDeploy Office Web Apps Server
Применение обновлений программного обеспечения к серверу Office Web AppsApply software updates to Office Web Apps Server

Office.com (здесь вы найдете справку по Office Web Apps для настольного компьютера или мобильного устройства)Office.com (for help with Office Web Apps on your desktop or mobile device)