Slik konfigurerer du Excel Services i SharePoint Server 2010 for Kerberos-godkjenning

  • Artikkel
  • Gjelder for:
    Excel Services in SharePoint Server 2010

Innledning

Denne artikkelen beskriver hvordan du konfigurerer Excel Services i Microsoft SharePoint Server 2010 for Kerberos-godkjenning.

Mer informasjon

Hvis du vil ha mer informasjon om hvordan du konfigurerer Kerberos-avgrenset delegering for å gjøre det mulig for tjenesten å oppdatere data i et regneark fra en ekstern SQL Server datakilde, følger du disse trinnene:

  1. Opprett Excel Services tjenestekonto.

    Som en anbefalt fremgangsmåte bør Excel Services kjøre under sin egen domeneidentitet. Hvis du vil konfigurere Excel-tjenesteprogrammet, må du opprette en Active Directory-konto. Du kan for eksempel opprette følgende kontoer:

    SharePoint Server-tjeneste IIS-apputvalgsidentitet
    SharePoint Server-tjeneste IIS-apputvalgsidentitet
    Excel-tjenester vmlab\svcExcel

  2. Konfigurer et tjenestekontohavernavn (SPN) på Excel Services tjenestekontoen.

    Du må konfigurere Kerberos-avgrenset delegering hvis Excel Services delegerer klientens identitet til en serverdeldatakilde. Hvis Excel Services for eksempel spør etter data fra en SQL-transaksjonsdatabase, må du ha Kerberos-delegering.

    Snapin-modulen Active Directory-brukere og -datamaskiner MMC brukes vanligvis til å konfigurere Kerberos-delegering. Hvis du vil konfigurere delegeringsinnstillingene i snapin-modulen, må Active Directory-objektet som konfigureres, ha en SPN aktivert. Ellers vil delegeringsfanen for objektet ikke være synlig i dialogboksen egenskaper for objektet. Selv om Excel Services ikke krever en SPN for å fungere, må du konfigurere en for dette formålet.

    Dette gjør du ved å skrive inn følgende kommando på kommandolinjen og deretter trykke ENTER:

    SETSPN -S SP/ExcelServices

    Obs!

    SpN-en er ikke en gyldig SPN. Den brukes på den angitte tjenestekontoen for å vise delegeringsalternativene i Active Directory-brukere og -datamaskiner tillegget. Det finnes andre støttede metoder for å angi delegeringsinnstillingene (spesielt msDS-AllowedToDelegateTo Active Directory-attributtet). Denne artikkelen beskriver imidlertid ikke disse metodene.

  3. Konfigurer Kerberos-avgrenset delegering for Excel Services.

    Hvis du vil at Excel Services skal delegere identiteten til klientene, må du konfigurere Kerberos-avgrenset delegering. Du må konfigurere avgrenset delegering med protokollovergang for å konvertere kravtokener til windows-tokener ved hjelp av WIF C2WTS.

    Hver server som kjører Excel Services, må klareres for å delegere legitimasjon til hver serverdeltjeneste som Excel godkjenner til. I tillegg må du konfigurere Excel Services tjenestekonto for å tillate delegering til de samme serverdeltjenestene.

    Du definerer for eksempel følgende delegeringsbaner:

    Hovedstoltype Hovednavn Representanter til tjeneste
    Bruker svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Brukeren svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Datamaskinen VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Konfigurert senere i dette scenarioet

    ** Bare nødvendig hvis C2WTS kjører som lokalt system

    Følg disse trinnene for å konfigurere avgrenset delegering:

    1. Åpne egenskapene for Active Directory-objektet i Active Directory-brukere og -datamaskiner.

    2. Bla til Delegering-fanen.

    3. Velg Klarer denne brukeren for delegering bare til angitte tjenester.

    4. Velg Bruk en hvilken som helst godkjenningsprotokoll. Denne handlingen aktiverer protokollovergang, og kreves for at tjenestekontoen skal kunne bruke C2WTS.

    5. Klikk Legg til-knappen for å velge tjenestekontohaveren som du vil delegere til.

    6. Velg bruker og datamaskiner.

    7. Velg tjenestekontoen som kjører tjenesten du vil delegere til. I det tidligere eksemplet er det tjenestekontoen for SQL-tjenesten.

      Obs!

      Den valgte tjenestekontoen må ha en SPN brukt på den. I det tidligere eksemplet ble SPN-en for denne kontoen konfigurert i et tidligere trinn.

    8. Klikk OK. Du blir bedt om å velge SPN-ene du vil delegere til, på følgende skjermbilde.

    9. Velg tjenestene for SQL-klyngen, og klikk deretter OK.

    10. Nå skal du se den valgte SPNS-en i tjenestene som denne kontoen kan presentere delegerte legitimasjonslister for.

    11. Gjenta disse trinnene for hver delegeringsbane som er definert i begynnelsen av denne delen.

  4. Start Excel Services tjenesteforekomsten på Excel Services-serveren.

    Før du oppretter et Excel Services tjenesteprogram, starter du Excel Services-tjenesten på de angitte farmserverne. Dette gjør du slik:

    1. Åpne Sentraladministrasjon.
    2. Velg Administrer tjenester på serveren under tjenester.
    3. Velg serveren(e) som kjører Excel Services, i valgboksen for serveren øverst til høyre. I det tidligere eksemplet er serveren VMSP10APP01.
    4. Start Excel Calculation Services-tjenesten.

  5. Opprett Excel Services-tjenesteprogrammet og programproxyen for å aktivere at webprogrammer kan behandle Excel Services. Dette gjør du slik:

    1. Åpne Sentraladministrasjon.
    2. Velg Behandle tjenesteprogrammer under Programbehandling.
    3. Velg Ny, og klikk deretter Excel Services program.
    4. Konfigurer det nye tjenesteprogrammet. Kontroller at du velger riktig tjenestekonto (hvis Excel-tjenestekontoen ikke er i listen, oppretter du en ny administrert konto).

  6. Konfigurer plasseringen av den Excel Services klarerte filen og godkjenningsinnstillingene.

    Når Excel Services-programmet er opprettet, må du konfigurere egenskapene for det nye tjenesteprogrammet til å angi en klarert vertsplassering og godkjenningsinnstillingene. Dette gjør du slik:

    1. Åpne Sentraladministrasjon.

    2. Velg Behandle tjenesteprogrammer under Programbehandling.

    3. Klikk koblingen for det nye tjenesteprogrammet. Klikk Excel Services i det tidligere eksemplet.

    4. Klikk Klarerte filplasseringer på administrasjonssiden for Excel Services.

    5. Legg til en ny klarert filplassering.

    6. Angi plasseringen til den klarerte filen til testbiblioteket.

      Obs!

      Nettadressen for rotwebprogrammet og alle underordnede er klarert i det tidligere eksemplet. I et produksjonsmiljø kan du velge å begrense klareringsnivået.

    7. Velg klarerte datatilkoblingsbiblioteker og innebygd i eksterne data.

      Obs!

      Det tidligere eksemplet bruker en innebygd tilkobling til å koble til SQL Server. I miljøet kan du velge å opprette en separat tilkoblingsfil og lagre den i et klarert datatilkoblingsbibliotek. I denne situasjonen velger du bare klarerte datatilkoblingsbiblioteker.

    8. Endre levetiden for den eksterne datahurtigbufferen. For testing er det praktisk å endre levetiden for den eksterne datahurtigbufferen for å sikre at dataoppdateringer kommer fra datakilden og ikke fra hurtigbufferen. Endre følgende innstillinger under Eksterne data:

      Automatisk oppdatering(periodisk / ved åpning) = 0

      Manuell oppdatering = 0

      Obs!

      I et produksjonsmiljø må du konfigurere en hurtigbufferinnstilling som er større enn 0. Å angi hurtigbufferen til 0 er bare for testing.

  7. Gi Excel Services tjenestekontotillatelser for innholdsdatabasen for webprogrammet.

    Du må aktivere webprogrammets tjenestekontotilgang til innholdsdatabasene for et gitt webprogram for å konfigurere Office Web Applications for SharePoint Server 2010. Du kan for eksempel gi Excel Services tjenestekonto tilgang til nettprogrammets innholdsdatabase for portalen ved hjelp av Windows PowerShell.

    Hvis du vil gjøre dette, kjører du følgende kommando fra administrasjonskonskallet for SharePoint 2010:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Obs!

Hvis du vil ha mer informasjon om identitetsdelegering for Excel Services, kan du gå til følgende Microsoft TechNet-nettsted:

Identitetsdelegering for Excel Services (SharePoint Server 2010)

Trenger du fremdeles hjelp? Gå til SharePoint Community.