Excel Services configureren in SharePoint Server 2010 voor Kerberos-verificatie

  • Artikel
  • Van toepassing op:
    Excel Services in SharePoint Server 2010

Inleiding

In dit artikel wordt beschreven hoe u Excel Services configureert in Microsoft SharePoint Server 2010 voor Kerberos-verificatie.

Meer informatie

Voer de volgende stappen uit voor meer informatie over het configureren van beperkte Kerberos-delegering om de service in staat te stellen gegevens in een werkblad bij te werken vanuit een externe SQL Server gegevensbron:

  1. Maak Excel Services serviceaccount.

    Als best practice moet Excel Services worden uitgevoerd onder een eigen domein-id. Als u de Excel-servicetoepassing wilt configureren, moet u een Active Directory-account maken. U maakt bijvoorbeeld de volgende accounts:

    SharePoint Server-service Identiteit van IIS-app-groep
    SharePoint Server-service Identiteit van IIS-app-groep
    Excel Services vmlab\svcExcel

  2. Configureer een service-principal name (SPN) voor het Excel Services serviceaccount.

    U moet beperkte Kerberos-delegering configureren als Excel Services de identiteit van de client delegeert aan een back-endgegevensbron. Als Excel Services bijvoorbeeld gegevens uit een transactionele SQL-database opvraagt, moet u Kerberos-delegering hebben.

    De Active Directory: gebruikers en computers MMC-module wordt doorgaans gebruikt om Kerberos-delegering te configureren. Als u de delegeringsinstellingen in de module wilt configureren, moet een SPN zijn toegepast op het Active Directory-object dat wordt geconfigureerd. Anders is het tabblad Delegering voor het object niet zichtbaar in het dialoogvenster Eigenschappen van het object. Hoewel Excel Services geen SPN vereist om te functioneren, moet u er wel een configureren voor dit doel.

    Hiervoor typt u de volgende opdracht op de opdrachtregel en drukt u op Enter:

    SETSPN -S SP/ExcelServices

    Opmerking

    Deze SPN is geen geldige SPN. Deze wordt toegepast op het opgegeven serviceaccount om de delegeringsopties in de Active Directory: gebruikers en computers-invoegtoepassing weer te geven. Er zijn andere ondersteunde methoden om de delegeringsinstellingen op te geven (met name het kenmerk msDS-AllowedToDelegateTo Active Directory). In dit artikel worden deze methoden echter niet beschreven.

  3. Beperkte Kerberos-delegering configureren voor Excel Services.

    Als u Excel Services wilt inschakelen om de identiteit van de clients te delegeren, moet u beperkte Kerberos-delegering configureren. U moet beperkte delegering met protocolovergang configureren om claimtokens te converteren naar Windows-tokens met behulp van de WIF C2WTS.

    Elke server waarop Excel Services wordt uitgevoerd, moet worden vertrouwd om referenties te delegeren aan elke back-endservice waarvoor Excel verifieert. Daarnaast moet u het Excel Services-serviceaccount configureren om delegatie naar dezelfde back-endservices toe te staan.

    U definieert bijvoorbeeld de volgende delegeringspaden:

    Principal-type Principal-naam Delegeren aan service
    Gebruiker svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Gebruiker svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Computer VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Later in dit scenario geconfigureerd

    ** Alleen vereist als de C2WTS wordt uitgevoerd als lokaal systeem

    Voer de volgende stappen uit om beperkte delegering te configureren:

    1. Open de eigenschappen van het Active Directory-object in Active Directory: gebruikers en computers.

    2. Blader naar het tabblad Delegering.

    3. Selecteer Deze gebruiker vertrouwen voor alleen delegering naar opgegeven services.

    4. Selecteer Elk verificatieprotocol gebruiken. Deze actie schakelt protocolovergang in en is vereist voor het serviceaccount om de C2WTS te gebruiken.

    5. Klik op de knop Toevoegen om de service-principal te selecteren waaraan mag worden gedelegeerd.

    6. Selecteer Gebruiker en computers.

    7. Selecteer het serviceaccount waarop de service wordt uitgevoerd waaraan u wilt delegeren. In het eerdere voorbeeld is dit het serviceaccount voor de SQL-service.

      Opmerking

      Op het geselecteerde serviceaccount moet een SPN zijn toegepast. In het eerdere voorbeeld is de SPN voor dit account in een eerdere stap geconfigureerd.

    8. Klik op OK. U wordt gevraagd om de SPN's te selecteren waaraan u wilt delegeren op het volgende scherm.

    9. Selecteer de services voor het SQL-cluster en klik vervolgens op OK.

    10. U ziet nu de geselecteerde SPNS in de lijst Services waaraan dit account gedelegeerde referenties kan presenteren.

    11. Herhaal deze stappen voor elk delegeringspad dat aan het begin van deze sectie is gedefinieerd.

  4. Start het Excel Services service-exemplaar op de Excel Services-server.

    Voordat u een Excel Services-servicetoepassing maakt, start u de Excel Services-service op de toegewezen farmservers. Ga hiervoor als volgt te werk:

    1. Open Centraal beheer.
    2. Selecteer onder services de optie Services op server beheren.
    3. Selecteer in het vak serverselectie in de rechterbovenhoek de server(s) waarop Excel Services wordt uitgevoerd. In het eerdere voorbeeld is de server VMSP10APP01.
    4. Start de Excel Calculation Services-service.

  5. Maak de Excel Services servicetoepassing en toepassingsproxy om webtoepassingen in staat te stellen Excel Services te verwerken. Ga hiervoor als volgt te werk:

    1. Open Centraal beheer.
    2. Selecteer Servicetoepassingen beheren onder Toepassingsbeheer.
    3. Selecteer Nieuw en klik vervolgens op Excel Services Toepassing.
    4. Configureer de nieuwe servicetoepassing. Zorg ervoor dat u het juiste serviceaccount selecteert (als het Excel-serviceaccount niet in de lijst staat, maakt u een nieuw beheerd account).

  6. Configureer de locatie van het Excel Services vertrouwde bestand en de verificatie-instellingen.

    Nadat de Excel Services toepassing is gemaakt, moet u de eigenschappen van de nieuwe servicetoepassing configureren om een vertrouwde hostlocatie en de verificatie-instellingen op te geven. Ga hiervoor als volgt te werk:

    1. Open Centraal beheer.

    2. Selecteer Servicetoepassingen beheren onder Toepassingsbeheer.

    3. Klik op de koppeling voor de nieuwe servicetoepassing. Klik in het eerdere voorbeeld op Excel Services.

    4. Klik op de beheerpagina Excel Services op Vertrouwde bestandslocaties.

    5. Voeg een nieuwe vertrouwde bestandslocatie toe.

    6. Stel de locatie van het vertrouwde bestand in op uw testbibliotheek.

      Opmerking

      In het eerdere voorbeeld worden de URL van de hoofdwebtoepassing en alle onderliggende items vertrouwd. In een productieomgeving kunt u ervoor kiezen om het vertrouwensniveau te beperken.

    7. Selecteer in Externe gegevens de optie Vertrouwde gegevensverbindingsbibliotheken en ingesloten.

      Opmerking

      In het eerdere voorbeeld wordt een ingesloten verbinding gebruikt om verbinding te maken met SQL Server. In uw omgeving kunt u ervoor kiezen om een afzonderlijk verbindingsbestand te maken en dit op te slaan in een vertrouwde gegevensverbindingsbibliotheek. In deze situatie selecteert u Alleen vertrouwde gegevensverbindingsbibliotheken.

    8. De levensduur van de externe gegevenscache wijzigen. Voor het testen is het handig om de levensduur van de externe gegevenscache te wijzigen om ervoor te zorgen dat gegevensupdates afkomstig zijn van de gegevensbron en niet van de cache. Wijzig onder Externe gegevens de volgende instellingen:

      Automatisch vernieuwen(periodiek/bij openen) = 0

      Handmatig vernieuwen = 0

      Opmerking

      In een productieomgeving moet u een cache-instelling configureren die groter is dan 0. Het instellen van de cache op 0 is alleen bedoeld voor testen.

  7. Verdeel de Excel Services serviceaccountmachtigingen voor de inhoudsdatabase van de webtoepassing.

    U moet het serviceaccount van de webtoepassing toegang tot de inhoudsdatabases voor een bepaalde webtoepassing inschakelen om SharePoint Server 2010 Office-webtoepassingen te configureren. Geef het Excel Services serviceaccount bijvoorbeeld toegang tot de inhoudsdatabase van de portalwebtoepassing met behulp van Windows PowerShell.

    Voer hiervoor de volgende opdracht uit vanuit de SharePoint 2010 Management Shell:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Opmerking

Ga naar de volgende Microsoft TechNet-website voor meer informatie over identiteitsdelegering voor Excel Services:

Identiteitsdelegering voor Excel Services (SharePoint Server 2010)

Meer hulp nodig? Ga naar SharePoint-community.