文章編號: 953130 - 上次校閱: 2010年1月26日 - 版次: 6.0

如何設定 SharePoint Server 2007 及 Kerberos 驗證的 Excel 服務

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

簡介

本文將告訴您,如何設定 Windows Server 2003、 Microsoft Office SharePoint Server 2007 和 Kerberos 驗證的 Excel 服務正在執行的伺服器。
回此頁最上方

其他相關資訊

請依照下列步驟執行以設定 Kerberos 通訊協定上 SharePoint Server 2007 和 Excel 服務上出現的順序。
回此頁最上方

設定 SharePoint Server 2007 的 Kerberos 驗證

步驟 1: 設定使用者帳戶的 SPN

您必須在執行 SharePoint Server 2007 的電腦上設定 「 服務主要名稱 (SPN) 伺服器陣列帳號。若要執行此動作,您必須從 Windows Server 2003 Service Pack 1 (SP1) 32 位元支援工具的 [Setspn.exe] 工具。如需有關如何取得最新版本的 setspn.exe 工具的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
970536? (http://support.microsoft.com/kb/970536/ ) Windows Server 2003 的 Setspn.exe 支援工具更新
在您下載並安裝 Windows 支援工具之後,請依照下列步驟執行:
  1. 伺服器陣列帳號設定伺服器的 SPN。在命令提示字元輸入下列項目來設定伺服器的 SPN 伺服陣列帳戶,,然後按下 ENTER:
    setspn.exe-S HTTP / SharePoint_serverdomain.com domain \ SharePoint_Server_farm_acct
    比方說在命令提示字元下輸入下列命令並按下 ENTER:
    -S HTTP/mossserver.contoso.com contoso\ setspn.exe SharePoint_Server_farm_acct
  2. 使用應用程式集區帳戶,如 SharePoint WebApplication 設定 SPN。要執行這項操作,輸入下列命令並在每一個後再下 ENTER:
    setspn.exe-S HTTP / SharePoint_WebApplication:port domain \ application_pool_account

    setspn.exe-S HTTP / FQDN_of_the_WebApplication:port domain \ application_pool_account
    例如輸入下列命令,並在每一個後按下 ENTER:
    setspn.exe-S HTTP / mossserver:80 contoso\ application_pool_account

    setspn.exe-S HTTP/mossserver.contoso.com:80 contoso\ application_pool_account
  3. 使用應用程式集區帳戶,如 SharePoint 共用服務 WebApplication 設定 SPN。要執行這項操作,輸入下列命令並在每一個後再下 ENTER:
    setspn.exe-S HTTP / SharedServices_WebApplication:port domain \ SharedServices_application_pool_account

    setspn.exe-S HTTP / FQDN_of_the_SharedServices_WebApplication:port domain \ SharedServices_application_pool_account
    比方說假設我共用服務 Web 應用程式裝載於 8001 的連接埠上。在這種情況下輸入下列命令,並在每一個之後按 ENTER:
    setspn.exe-S HTTP / mossserver:8001 contoso\ application_pool_account

    setspn.exe-S HTTP/mossserver.contoso.com:8001 contoso\ application_pool_account
  4. 設定了 [SPN 後確認 SPN 已正確設定伺服器上。如果要執行這這項,在命令提示字元中輸入下列命令,並在每一個之後按 ENTER:
    setspn –L Domain\ User_account_UsedtosetSPN
    比方說輸入下列命令其中並按下 ENTER:
    setspn-L contoso\ SharePoint_Server_farm_acct

    setspn-L contoso\ application_pool_account

    setspn-L contoso\ SharedServices_application_pool_account
    如果 SPN 已正確設定,會顯示帳戶 URL 位址和連接埠號碼。在命令提示字元下您將會看到為使用者帳戶設定 SPN:
    HTTP/mossserver.contoso.com
    HTTP / mossserver:80
    HTTP/mossserver.contoso.com:80
    HTTP / mossserver:8001
    HTTP/mossserver.contoso.com:8001
附註Kerberos 驗證無法設定為使用 SSP 基礎結構,在 Office SharePoint Server 2007,除非安裝 Microsoft Office 伺服器基礎結構的更新程式。

如需詳細資訊請參閱下列 Microsoft TechNet 網站上的 「 設定 Kerberos 驗證 (Office SharePoint Server) 」 主題:
http://technet.microsoft.com/en-us/library/cc263449.aspx (http://technet.microsoft.com/en-us/library/cc263449.aspx)

步驟 2: 信任可以委派使用者帳戶和電腦帳戶上

請確定下列使用者帳戶使用 Kerberos 驗證會參與的所有伺服器上的信任關係:
  • Microsoft Office SharePoint Server 2007 伺服器,電腦帳戶
  • Microsoft SQL Server/分析伺服器電腦帳戶
  • Microsoft Office SharePoint Server 2007 陣列的使用者帳戶
  • Web 應用程式資料庫的使用者帳戶
若要設定電腦帳戶,讓受信任可以委派,請依照下列步驟執行:
  1. 按一下 [開始],、 按一下 [控制台],連按兩下 [系統管理工具,],然後再按兩下 [Active Directory 使用者和電腦]。
  2. 在 [導覽] 窗格中,按一下 [電腦]。
  3. 您想要設定,在電腦上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [委派] 索引標籤,按一下 [信任這台電腦所委派的任何服務 (僅 Kerberos),然後再按一下 [確定]
若要設定使用者帳戶,讓受信任可以委派,請依照下列步驟執行:
  1. 按一下 [開始],、 按一下 [控制台],連按兩下 [系統管理工具,],然後再按兩下 [Active Directory 使用者和電腦]。
  2. 在 [導覽] 窗格中,按一下 [使用者]。
  3. 以滑鼠右鍵按一下您想要設定,使用者然後按一下 [內容]。
  4. 按一下 [委派] 索引標籤,按一下 [信任這位使用者所委派的任何服務 (僅 Kerberos),然後再按一下 [確定]

步驟 3: 設定 Kerberos 驗證在 SharePoint Server 2007 Web 網站

設定 SharePoint Server 2007 的網站,來使用 Kerberos 驗證。要這麼做,請您執行下列步驟:
  1. 按一下 [開始],、 按一下 [控制台]、 連按兩下 [系統管理工具,],然後再按兩下 [SharePoint 管理中心]。
  2. 按一下 [應用程式管理] 索引標籤,然後按一下 [驗證提供者
  3. Web 應用程式] 清單中選取 [必須更新的 Web 應用程式]。
  4. 按一下您想要的區域。
  5. IIS 驗證設定 的 [編輯驗證] 頁面上按一下 [交涉 (Kerberos)]。出現提示確認時, 按一下 [確定]
  6. 按一下 [整合式 Windows 驗證,按一下 [交涉 (Kerberos),然後再按一下 [確定]
  7. 若要套用變更,按一下 [儲存]。
如需有關如何設定 Kerberos 驗證 SharePoint Server 2007 網站上的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
832769? (http://support.microsoft.com/kb/832769/ ) 如何設定 Windows SharePoint 服務虛擬伺服器來使用 Kerberos 驗證,以及如何從 Kerberos 驗證切換回到 NTLM 驗證
此外,如果您在執行 SharePoint Server 2007 伺服器上執行網際網路資訊服務 7.0 還必須設定 useAppPoolCredentials 屬性值為 true ApplicationHost.config 檔案中。這個檔案位於下列資料夾中:
C:\Windows\System32\Inetsrv\Config
useAppPoolCredentials 屬性值之後 ApplicationHost.config 檔案中請變更應該如下所示: 
<system.webServer>

<security>

         <authentication>

                     <windowsAuthentication enabled="true" useKernelMode="true" useAppPoolCredentials="true" />

         </authentication>

</security>

</system.webServer>

步驟 4: 在 Windows Server 2003 或 Windows Server 2008 上設定元件服務

  1. 執行 SharePoint Server 2007 伺服器上, 按一下 [開始],再按一下 [執行dcomcnfg 並在中輸入 [開啟] 方塊然後按一下 [確定]
  2. 展開 [元件服務],展開 [電腦],用滑鼠右鍵按一下 [我的電腦,然後再按一下 [內容]。
  3. 執行下列其中一項:
    • Windows Server 2003 按一下 [預設內容] 索引標籤,按一下 [代理人預設模擬等級] 然後再按一下 [確定]]。
    • 為 Windows Server 2008 按一下 [預設內容] 索引標籤,按一下 [識別預設模擬等級] 然後再按一下 [確定]]。
    如需有關如何設定模擬層級的詳細資訊,請造訪下列 Microsoft 網站]:
    http://msdn2.microsoft.com/en-us/library/ms681722.aspx (http://msdn2.microsoft.com/en-us/library/ms681722.aspx)
  4. 展開 [元件服務、 展開 [電腦,然後再按兩下 [我的電腦
  5. 按兩下 [DCOM 設定] 資料夾,然後以滑鼠右鍵按一下 [IIS WAMREG 管理服務
  6. 按一下 [屬性],按一下 [安全性] 索引標籤然後按一下 [啟動和啟用權限,] 下方的 [編輯]。
  7. 在 [啟動權限] 對話方塊中,按一下 [新增]。
  8. 在 [選取使用者、 電腦或群組] 對話方塊輸入您指定為 SharePoint Server 2007 應用程式集區帳戶的使用者帳戶],按一下 [檢查名稱,然後再按一下 [[確定]
  9. UserName 的權限] 清單中按一下以選取 本機啟用 旁的 [允許] 核取方塊,然後再按一下 [確定]
  10. 如果您有一個以上的應用程式集區帳戶,請對每一個重複步驟 7 至 9。
  11. 按一下 [確定]

步驟 5: 啟用 Kerberos 通訊協定,在 [SSP 上

您必須啟用 Kerberos 通訊協定上之共用服務提供廠商 」 (SSP)。如果要執行此動作請依照 「 設定您的 SSP 基礎結構進行 Kerberos 驗證 」 topic.on 下列 Microsoft TechNet 網站之步驟執行:
http://technet.microsoft.com/en-us/library/cc263449.aspx#section14 (http://technet.microsoft.com/en-us/library/cc263449.aspx#section14)
然後,使用 STSADM 命令來啟用 Kerberos 通訊協定上之共用服務提供廠商 」 (SSP)。要如此,在命令提示字元中,輸入面然後按 ENTER 鍵:
STSADM-o SetSharedWebServiceAuthn-交涉
回此頁最上方

設定 Kerberos 驗證的 Excel 服務

Kerberos 驗證在設定 SharePoint Server 2007 之後您現在可以設定 Excel 服務進行 Kerberos 驗證。請遵循下列步驟來設定 Kerberos 驗證的 Excel 服務依照的順序。

步驟 1: 設定使用者權限在 SQL Server 2005 分析服務

  1. 啟動 SQL Server 管理 Studio,然後連線至 SQL Server 2005 分析服務的執行個體。
  2. 分析服務] 資料夾上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 按一下 [瀏覽窗格中的 [安全性]。
  4. 在 [NT 使用者和群組,按一下 [新增],然後再新增 [每個您想要授與存取 Excel 服務的使用者]。如果您想要授與存取權的所有使用者,新增 驗證使用者
  5. 關閉 分析服務內容]

步驟 2: 設定 SQL Server 2005 分析服務以使用 Kerberos 驗證

如需有關如何設定 SQL Server 2005 分析服務以使用 Kerberos 驗證的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
917409? (http://support.microsoft.com/kb/917409/ ) 如何設定 SQL Server 2005 分析服務以使用 Kerberos 驗證

步驟 3: 設定 Excel 服務,以便進行委派

若要進行委派的 Excel 服務,請依照下列步驟執行:
  1. 在命令提示字元下輸入 「 下列,然後按下 ENTER:
    STSADM-o 組 ecssecurity-ssp Shared Services Provider Name-accessmodel 委派
  2. 請輸入面並按下 ENTER:
    STSADM-o execadmsvcjobs
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Office SharePoint Server 2007
回此頁最上方
關鍵字:?
kbmt kbkerberos kbexpertiseadvanced kbhowto kbinfo KB953130 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:953130? (http://support.microsoft.com/kb/953130/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。