计划 Office Online Server
摘要:介绍 Office Online Server 要求和先决条件,包括 HTTPS、证书、虚拟化、负载平衡、拓扑和安全性。
目标用户:IT 专业人员
Office Online Server 提供了本地环境中的 Office 应用程序的基于浏览器的版本,给用户带来更多灵活性和协作机会。 本文介绍了在组织中安装 Office Online Server 的要求和所需步骤。
重要的是仔细计划,以使所有主机(如 SharePoint Server 和 Exchange Server)能与 Office Online Server 通信。
检查Office Online Server版本兼容性列表,确保主机兼容。
Office Online Server 的软件、硬件和配置要求
可以安装 Office Online Server 作为单服务器场、多服务器负载平衡场。 你可以使用物理服务器或虚拟机。
在包含实际用户数据的环境中,我们始终建议使用 HTTPS,你必须获取 HTTPS 证书。 如果在场中使用多台服务器,则必须配置硬件或软件负载平衡解决方案。 你可以在以下各节中了解有关这些方案的详细信息。
Office Online Server 的硬件要求
Office Online Server使用与 SharePoint Server 2016 相同的最低硬件要求。
Office Online Server 支持的操作系统
您可以在以下操作系统上运行 Office Online Server:
64 位版本的 Windows Server 2012 R2
2018 年 11 月或更高版本的 64 位Windows Server 2016 (Office Online Server需要) 。
64 位版本的 Windows Server 2019 (Office Online Server 2021 年 7 月修补程序或更高版本需要) 。
64 位版本的 Windows Server 2022 (Office Online Server 2021 年 11 月修补程序或更高版本需要) 。
注意
Office Online Server仅支持 Windows Server 2016、Windows Server 2019 和 Windows Server 2022 的“具有桌面体验的服务器”安装选项。 有关 Windows Server 产品/服务的其他信息,请参阅 Windows Server 半年频道概述。
Office Online Server 的域要求
Office Online Server 场中所有服务器都必须是域的一部分。 它们可以在同一个域(推荐)中或位于同一个林中的不同域中。
如果计划使用利用外部数据访问(如数据模型、Power Pivot 或 Power View)的任一 Excel Online 功能,则 Office Online Server 必须驻留在与用户和计划使用基于 Windows 身份验证访问的任一外部数据源所在的相同的 Active Directory 林中。
支持计划和升级要求
Microsoft 每六个月左右发布 Office Online Server 的新内部版本。 发布新版本后,不再为上之前的内部版本生成关键更新。 我们强烈建议在发布新的内部版本时更新 Office Online Server 场。 有关详细信息,请参阅Office Online Server发布计划。
与其他工作负载和服务的兼容性
以下是安装 Office Online Server 时要注意的几点事项。
请勿在运行 Office Online Server 的服务器上安装任何其他服务器应用程序。 包括 Exchange Server、SharePoint Server、Skype for Business Server 和 SQL Server。 如果服务器不足,则可以在这些服务器的其中一台的虚拟机上运行 Office Online Server。
不要在端口 80、443 或 809 上安装依赖 Web 服务器 (IIS) 角色的任何服务或角色,因为 Office Online Server 会定期删除这些端口上的 Web 应用程序。
不要安装任何版本的 Office。 如果已经安装,在安装 Office Online Server 之前必须将其卸载。
不要在域控制器上安装 Office Online Server。 它不会在包含 Active Directory 域服务 (AD DS) 的服务器上运行。
对虚拟化 Office Online Server 的支持
在本地数据中心使用 Windows Server Hyper-V 或其他虚拟化技术部署 Office Online Server 时,它受支持。 如果你计划虚拟化 Office Online Server,请遵循以下指南:
在它自己的虚拟机中安装 Office Online Server。 不要在此虚拟机中安装任何其他服务器应用程序,例如 SharePoint Server。
当为多服务器 Office Online Server 场使用 Hyper-V 时,每个虚拟机均应位于单独的虚拟机主机上。 这样 Office Online Server 场在其中一台主机出现故障时仍可用。
Office Online Server 的防火墙要求
防火墙可能会通过阻止 Web 浏览器、运行 Office Online Server 的服务器和运行 SharePoint Server 的服务器之间的通信而导致出现问题。 当服务器在网络的不同部分时,这些问题可能会变得更复杂。
确保运行 Office Online Server 的服务器或负载平衡器上的防火墙没有阻止以下端口:
用于 HTTPS 流量的端口 443
用于 HTTP 流量的端口 80
运行 Office Online Server 的服务器之间的专用流量的端口 809(如果您设置了包含多台服务器的服务器场)
Office Online Server 的负载平衡器要求
在两台或更多台服务器上运行 Office Online Server 时,建议使用负载平衡解决方案。 几乎可以使用任何负载平衡解决方案,包括运行 Web 服务器 (IIS) 角色(用于运行应用程序请求路由 (ARR))的服务器。 事实上,可以在运 Office Online Server 的服务器之一上运行 ARR。
理想情况下,尝试查找支持以下功能的负载平衡解决方案:
第 7 层路由
启用客户端相关性或前端相关性
如果使用负载均衡器,则需要在负载均衡器上安装证书,如使用 HTTPS 保护Office Online Server通信中所述。
Office Online Server 的 DNS 要求
在使用 HTTPS 和负载平衡的环境中,需要更新 DNS,以便证书的完全限定域名 (FQDN) 解析为运行 Office Online Server 的服务器的 IP 地址或分配给 Office Online Server 服务器场的负载平衡器的 IP 地址。
规划 Office Online Server 的语言包
Office Online Server 语言包使用户能够从 SharePoint Server 文档库、Outlook Web App(作为附件预览)和 Skype for Business Server(作为 PowerPoint 广播)中以多种语言查看基于 Web 的 Office 文件。 不过,这取决于主机上配置的语言。 若要从主机中以多种语言查看基于 Web 的 Office 文件,必须符合以下条件:
主机(例如 SharePoint Server 或 Exchange Server)配置为以其他语言运行应用程序。 在主机上安装和配置语言包的过程独立于在 Office Online Server 场上安装语言包的过程。
安装了语言并且可在 Office Online Server 服务器场中的所有服务器上使用这些语言。
下面是下载 Office Web 应用 Server 语言包的位置。
Office Online Server 的拓扑规划
Office Online Server 拓扑至少会包含一个运行 Office Online Server 的物理或虚拟机,和至少一台主机(例如,运行 Exchange Server 或 SharePoint Server 的服务器)。 当然,将需要一台客户端 PC 或者设备连接到其中一台主机并使用该功能。 从该最小拓扑中,可以根据需要向 Office Online Server 场添加更多主机和更多服务器,以满足组织的需要。
以下是 Office Online Server 拓扑变得更为复杂时您应该考虑的建议。
规划以实现冗余。 如果使用虚拟机,请确保将它们置于不同的虚拟机主机上以实现冗余。
坚持使用一个数据中心。 Office Online Server 场中的服务器必须在同一个数据中心。 不要异地分布它们。 通常,您只需要一个服务器场,除非您的安全需求要求具有自己的 Office Online Server 场的隔离网络。
主机越靠近越好。 Office Online Server 场并不一定要像其服务的主机一样必须在同一个数据中心,但是对于繁重的编辑使用,我们建议您将 Office Online Server 场尽量靠近主机。 这对于主要使用 Office Online 查看 Office 文件的组织来说不是很重要。
规划您的连接。 Office Online Server 场中的所有服务器仅相互连接。 要将它们连接到更广的网络,可以通过反向代理负载平衡器防火墙实现。
为 HTTP 或 HTTPS 请求配置防火墙。 确保防火墙允许服务器运行 Office Online Server,以将 HTTP 或 HTTPS 请求初始化到主机。
规划传入和传出通信。 在面向 Internet 的部署中,通过 NAT 设备,路由所有传出的通信。 在多服务器场中,使用负载平衡器处理所有传入通信。
请确保Office Online Server场中的所有服务器都已加入域,并且属于同一组织单位 (OU) 。 使用 New-OfficeWebAppsFarm cmdlet 中的 FarmOU 参数可阻止非此 OU 中的其他服务器加入场。
对所有传入请求使用安全超文本传输协议 (HTTPS)。
如果网络中已经部署了 IPsec,则可以使用它在服务器之间加密流量。
规划使用 Internet 的 Office 功能。 如果需要剪贴画和翻译服务等功能,且场中的服务器无法向 Internet 发出请求,则必须为 Office Online Server 场配置代理服务器。 这将允许向外部站点发出 HTTP 请求。
规划 Excel Online 的外部数据连接
Excel Online 包含类似于在 SharePoint Server 2013 中的 Excel Services 上发现的外部数据连接和数据刷新功能。 Excel Services 已经从 SharePoint Server 2016 中的 SharePoint 中删除 - 使用 Excel Online 代替。
嵌入数据连接的数据刷新适用于标准的 Office Online Server 安装。 但是,更高级的功能(包括 Office 数据连接 (ODC) 文件支持和 IT 管理仪表板 (SQL Server Power Pivot for SharePoint) 的一部分)要求您在 Office Online Server 和 SharePoint Server 2016 之间配置服务器到服务器身份验证。
Office Online Server 的安全规划
下面的信息介绍 Office Online Server 的安全指南。
使用 HTTPS 保护 Office Online Server 通信。
Office Online Server 可以使用 HTTPS 协议与 SharePoint Server、Skype for Business Server 和 Exchange Server 通信。 在生产环境中,强烈建议使用 HTTPS。 您必须安装可分配给运行 Office Online Server 的服务器(如果使用单台服务器)或负载平衡器(如果使用多台运行 Office Online Server 的服务器)的 Internet 服务器证书。
在不包含用户数据的测试环境中,可以对 SharePoint Server 和 Exchange Server 使用 HTTP 并跳过证书要求。 Skype for Business Server 仅支持 HTTPS。
Office Online Server 使用的证书需要符合下列要求:
证书必须来自受信任的证书颁发机构,并在 SAN (使用者可选名称) 字段中包含Office Online Server场的完全限定域名 (FQDN) 。 (如果在尝试使用证书时 FQDN 不在 SAN 中,浏览器要么显示安全警告,要么不会处理 response.)
证书必须具有可导出的私钥。 默认情况下,在单服务器场中使用 Internet Information Services (IIS) 管理器管理单元导入证书时,会选择此选项。
"友好名称"字段在受信任根证书颁发机构存储中必须是唯一的。 如果多个证书共享一个"友好名称"字段,创建服务器场将失败,因为 New-OfficeWebAppsFarm cmdlet 将不知道使用其中哪个证书。
Office Online Server 不需要任何特殊证书属性或扩展。 例如,不需要客户端增强型密钥使用 (EKU) 扩展或服务器 EKU 扩展。
必须在 Windows Server 上安装"允许 HTTP 激活"Windows Communication Foundation (WCF) 功能。
必须按如下方式导入证书:
对于单服务器场 必须在运行 Office Online Server 的服务器上直接导入证书。 不要手动绑定证书。 您稍后运行的 New-OfficeWebAppsFarm cmdlet 将为您执行此操作。 如果手动绑定证书,则服务器每次重启时都会删除该证书。
对于负载平衡场 如果卸载 SSL,则必须在硬件负载平衡器上导入证书。 如果不卸载 SSL,则必须在 Office Online Server 场中的每个服务器上安装证书。
注意
否则不要使用自签名证书,不重要的测试环境除外。
对硬件负载平衡器使用 SSL 卸载
当设置新的 Office Online Server 场时,默认情况下 SSL 卸载设置为"关闭"。 如果您正在使用硬件负载平衡器,我们建议您将 SSL 卸载设置为"打开",以便场中每个 Office Online Server 可以使用 HTTP 与负载平衡器进行通信。 将 SSL 卸载设置为"打开"还会提供以下好处:
简化证书管理
提高软相关性
改善性能
注意
使用 HTTP 时,从负载均衡器到运行 Office Online Server 服务器的流量不会加密,因此需要确保网络本身是安全的。 使用专用子网可帮助保护通信。
根据 OU 成员身份限制哪些服务器可以加入 Office Online Server 服务器场
您可以阻止未经授权的服务器加入 Office Online Server 场,方法是为这些服务器创建组织单元,然后在创建服务器场时指定 FarmOU 参数。 有关 FarmOU 参数的详细信息,请参阅 New-OfficeWebAppsFarm。
使用允许列表限制 Office Online Server 的主机访问
允许列表是阻止不需要的主机未经您的同意连接到 Office Online Server 场并使用它执行文件操作的安全功能。 通过将包含已批准主机的域添加到允许列表中,您可以限制为 Office Online Server 允许其执行文件操作请求(例如文件检索、元数据检索和文件更改)的主机。
您可以在创建 Office Online Server 场后将域添加到允许列表中。 若要了解如何将域添加到允许列表,请参阅 New-OfficeWebAppsHost。
重要
如果您没有将域添加到允许列表中,则 Office Online Server 允许对任何域中的主机的文件请求。 如果您的 Office Online Server 服务器场可从 Internet 访问,请不要将此列表留空。 否则,任何人均可使用您的 Office Online Server 服务器场来查看和编辑内容。
规划 Office Online Server 的联机查看器
默认情况下,在安装 Office Online Server 后会启用联机查看器功能。 如果您计划在组织中使用联机查看器,请查看以下指南。 在有些情况下,您可能希望禁用联机查看器中的一些功能。 这些准则是指使用 Microsoft PowerShell cmdlet New-OfficeWebAppsFarm 和 Set-OfficeWebAppsFarm 设置的参数。
联机查看器的安全注意事项
打算使用联机查看器通过 Web 浏览器查看的文件必须不需要身份验证。 换句话说,文件必须可公开使用,因为联机查看器在检索文件时无法执行身份验证。 强烈建议用于联机查看器的 Office Online Server 场仅能够访问 Intranet 或 Internet,而不是同时能够访问这两者。 这是因为 Office Online Server 不区分对 Intranet 和 Internet URL 的请求。 例如,如果对 Intranet URL 的请求来自 Internet,在将内部文档提供给 Internet 上的某人时,可能会出现安全漏洞。
出于相同原因,如果您将 Office Online Server 设置为仅连接到 Internet,强烈建议禁用联机查看器中的 UNC 支持。 若要禁用 UNC 支持,请使用 Microsoft PowerShell cmdlet New-OfficeWebAppsFarm (新场) 或现有场) 的 Set-OfficeWebAppsFarm (将 OpenFromUncEnabled 参数设置为 False。
作为附加安全预防措施,可以将联机查看器限制为查看不超过 10 MB 的 Office 文件。
联机查看器的配置选项
可以在 New-OfficeWebAppsFarm (中使用以下 Microsoft PowerShell 参数配置联机查看器,) 或 Set-OfficeWebAppsFarm (现有场) 。
OpenFromUrlEnabled 启用或禁用联机查看器。 此参数控制具有 URL 和 UNC 路径的文件的联机查看器。 默认情况下,在创建新的 Office Online Server 场时,此参数设置为 False(禁用)。
OpenFromUncEnabled 当启用联机查看器(通过使用 OpenFromUrlEnabled 设置为 True)时,此参数可启用或禁用联机查看器显示 UNC 路径中的文件的功能。 默认情况下,此参数设置为 True,但请确保 OpenFromUrlEnabled 也设置为 True,这样才能允许从 UNC 路径打开文件。 正如前面所述,如果您将 Office Online Server 设置为连接到 Internet,则建议将此参数设置为 False。
OpenFromUrlThrottlingEnabled 限制在一定时段内来自任何给定服务器的"从 URL 打开文件"请求的次数。 默认限制值不可配置,它可确保 Office Online Server 场不会因发送在联机查看器中查看内容的请求而使单台服务器不堪重负。
规划 Office Online Server 的更新
部署 Office Online Server 之前,必须决定您的组织将如何管理 Office Online Server 场的软件更新。 虽然软件更新可帮助提高服务器安全性、性能和可靠性,但是不正确的更新安装会导致 Office Online Server 出现问题。
Office Online Server 不支持使用 Microsoft 自动更新过程应用 Office Online Server 更新。 汇报必须以特定方式应用于Office Online Server,如将软件更新应用于Office Online Server中所述。 如果自动应用 Office Online Server 更新,则用户可能无法在 Office Online 中查看或编辑文档。 如果出现这种情况,必须重新构建 Office Online Server 场。
建议使用 Windows Server Update Services (WSUS) 或使用使用 WSUS 的 Microsoft Endpoint Configuration Manager 来管理更新。 通过 WSUS,可以全权管理通过 Microsoft 更新针对 Office Online Server 场中各服务器发布的更新程序的分发情况。 使用 WSUS,可以决定哪些更新程序可自动应用于服务器场,哪些更新程序(如 Office Online Server 更新程序)必须手动应用。 有关 WSUS 的详细信息,请参阅 Windows Server Update Services。
如果不使用 WSUS 或 Microsoft Endpoint Configuration Manager,请将Office Online Server场中每台服务器上的 Microsoft 自动更新设置为自动下载,但通知用户安装。 收到Office Online Server更新的通知时,请按照将软件更新应用到Office Online Server中的步骤操作。 To have Windows updates applied and keep your servers secure, accept the Windows updates when you're notified that updates are available.
2018 年更新中的 ULS 日志更改
在 Office Online Server 的 2018 年更新中,将会看到对 ULS 日志的格式稍作更改,详细信息如下:
| 列 | 更改内容 |
|---|---|
| TimestampUtc |
|
| 进程 |
|
| ThreadId |
|
| 区域 |
|
| 类别 |
|
| 事件 ID |
|
| 级别 | (无更改) |
| 消息 |
|
| 相关性 |
|