Konfigurieren von Excel Services in SharePoint Server 2010 für die Kerberos-Authentifizierung

  • Artikel
  • Gilt für::
    Excel Services in SharePoint Server 2010

Einführung

In diesem Artikel wird beschrieben, wie Sie Excel Services in Microsoft SharePoint Server 2010 für die Kerberos-Authentifizierung konfigurieren.

Weitere Informationen

Weitere Informationen zum Konfigurieren der eingeschränkten Kerberos-Delegierung, damit der Dienst Daten in einem Arbeitsblatt aus einer externen SQL Server Datenquelle aktualisieren kann, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie Excel Services Dienstkonto.

    Als bewährte Methode sollten Excel Services unter einer eigenen Domänenidentität ausgeführt werden. Zum Konfigurieren der Excel-Dienstanwendung müssen Sie ein Active Directory-Konto erstellen. Sie erstellen beispielsweise die folgenden Konten:

    SharePoint Server-Dienst IIS-Anwendungspoolidentität
    SharePoint Server-Dienst IIS-Anwendungspoolidentität
    Excel Services vmlab\svcExcel

  2. Konfigurieren Sie einen Dienstprinzipalnamen (SPN) für das Excel Services-Dienstkonto.

    Sie müssen die eingeschränkte Kerberos-Delegierung konfigurieren, wenn Excel Services die Identität des Clients an eine Back-End-Datenquelle delegiert. Wenn Excel Services beispielsweise Daten aus einer SQL-Transaktionsdatenbank abfragt, benötigen Sie die Kerberos-Delegierung.

    Das Active Directory-Benutzer und -Computer MMC-Snap-In wird in der Regel zum Konfigurieren der Kerberos-Delegierung verwendet. Um die Delegierungseinstellungen innerhalb des Snap-Ins zu konfigurieren, muss auf das Active Directory-Objekt, das konfiguriert wird, ein SPN angewendet werden. Andernfalls ist die Delegierungsregisterkarte für das Objekt im Eigenschaftendialogfeld des Objekts nicht sichtbar. Obwohl Excel Services keinen SPN erfordert, müssen Sie einen für diesen Zweck konfigurieren.

    Geben Sie hierzu den folgenden Befehl in die Befehlszeile ein, und drücken Sie dann die EINGABETASTE:

    SETSPN -S SP/ExcelServices

    Hinweis

    Dieser SPN ist kein gültiger SPN. Es wird auf das angegebene Dienstkonto angewendet, um die Delegierungsoptionen im Active Directory-Benutzer und -Computer-Add-In anzuzeigen. Es gibt weitere unterstützte Methoden zum Angeben der Delegierungseinstellungen (insbesondere das Active Directory-Attribut msDS-AllowedToDelegateTo). In diesem Artikel werden diese Methoden jedoch nicht beschrieben.

  3. Konfigurieren Sie die eingeschränkte Kerberos-Delegierung für Excel Services.

    Damit Excel Services die Identität der Clients delegieren kann, müssen Sie die eingeschränkte Kerberos-Delegierung konfigurieren. Sie müssen die eingeschränkte Delegierung mit Protokollübergang konfigurieren, um Anspruchstoken mithilfe von WIF C2WTS in Windows-Token zu konvertieren.

    Jeder Server, auf dem Excel Services ausgeführt wird, muss vertrauenswürdig sein, um Anmeldeinformationen an jeden Back-End-Dienst zu delegieren, bei dem Excel sich authentifiziert. Darüber hinaus müssen Sie das Excel Services-Dienstkonto so konfigurieren, dass die Delegierung an dieselben Back-End-Dienste zulässig ist.

    Sie definieren beispielsweise die folgenden Delegierungspfade:

    Prinzipaltyp Prinzipalname Erforderliche Stellvertretungen
    Benutzer svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Benutzer svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Computer VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Wird in diesem Szenario später konfiguriert

    ** Nur erforderlich, wenn der Forderungen an den Windows-Tokendienst als Lokales System ausgeführt wird

    Führen Sie die folgenden Schritte aus, um die eingeschränkte Delegierung zu konfigurieren:

    1. Öffnen Sie in Active Directory-Benutzer und -Computer die Eigenschaften des Active Directory-Objekts.

    2. Navigieren Sie zur Registerkarte Delegierung.

    3. Wählen Sie die Option Benutzer bei Delegierungen angegebener Dienste vertrauen aus.

    4. Wählen Sie anschließend Beliebiges Authentifizierungsprotokoll verwenden aus. Diese Aktion ermöglicht den Protokollübergang und ist erforderlich, damit das Dienstkonto C2WTS verwenden kann.

    5. Klicken Sie auf die Schaltfläche Hinzufügen, um den Dienstprinzipal auszuwählen, an den delegiert werden kann.

    6. Wählen Sie Benutzer und Computer aus.

    7. Wählen Sie das Dienstkonto aus, unter dem der Dienst ausgeführt wird, an den Sie delegieren möchten. Im vorherigen Beispiel ist dies das Dienstkonto für den SQL-Dienst.

      Hinweis

      Auf das ausgewählte Dienstkonto muss ein SPN angewendet werden. Im vorherigen Beispiel wurde der SPN für dieses Konto in einem früheren Schritt konfiguriert.

    8. Klicken Sie auf OK. Auf dem folgenden Bildschirm werden Sie aufgefordert, die SPNs auszuwählen, an die Sie delegieren möchten.

    9. Wählen Sie die Dienste für den SQL-Cluster aus, und klicken Sie dann auf OK.

    10. Der ausgewählte SPNS sollte nun in der Liste Dienste angezeigt werden, für die dieses Konto delegierte Anmeldeinformationen anzeigen kann.

    11. Wiederholen Sie diese Schritte für jeden Delegierungspfad, der am Anfang dieses Abschnitts definiert ist.

  4. Starten Sie den Excel Services-Dienst instance auf dem Excel Services-Server.

    Bevor Sie eine Excel Services-Dienstanwendung erstellen, starten Sie den Excel Services-Dienst auf den angegebenen Farmservern. Gehen Sie dazu wie folgt vor:

    1. Öffnen Sie die Zentraladministration.
    2. Wählen Sie unter Dienste die Option Dienste auf server verwalten aus.
    3. Wählen Sie im Serverauswahlfeld in der oberen rechten Ecke die Server aus, auf denen Excel Services ausgeführt wird. Im vorherigen Beispiel ist der Server VMSP10APP01.
    4. Starten Sie die Dienste für Excel-Berechnungen.

  5. Erstellen Sie die Excel Services-Dienstanwendung und den Anwendungsproxy, damit Webanwendungen Excel Services verarbeiten können. Gehen Sie dazu wie folgt vor:

    1. Öffnen Sie die Zentraladministration.
    2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.
    3. Klicken Sie auf Neu und dann auf Excel Services-Anwendung.
    4. Konfigurieren Sie die neue Dienstanwendung. Stellen Sie sicher, dass Sie das richtige Dienstkonto auswählen (wenn das Excel Service-Konto nicht in der Liste enthalten ist, erstellen Sie ein neues verwaltetes Konto).

  6. Konfigurieren Sie den Speicherort der Excel Services vertrauenswürdigen Datei und die Authentifizierungseinstellungen.

    Nachdem die Excel Services Anwendung erstellt wurde, müssen Sie die Eigenschaften für die neue Dienstanwendung konfigurieren, um einen vertrauenswürdigen Hostspeicherort und die Authentifizierungseinstellungen anzugeben. Gehen Sie dazu wie folgt vor:

    1. Öffnen Sie die Zentraladministration.

    2. Klicken Sie unter Anwendungsverwaltung auf Dienstanwendungen verwalten.

    3. Klicken Sie auf den Link für die neue Dienstanwendung. Klicken Sie im vorherigen Beispiel auf Excel Services.

    4. Klicken Sie auf der Seite Excel Services Verwaltung auf Vertrauenswürdige Dateispeicherorte.

    5. Fügen Sie einen neuen vertrauenswürdigen Dateispeicherort hinzu.

    6. Legen Sie den Speicherort der vertrauenswürdigen Datei auf Ihre Testbibliothek fest.

      Hinweis

      Im vorherigen Beispiel werden die URL der Stammwebanwendung und alle untergeordneten Elemente als vertrauenswürdig eingestuft. In einer Produktionsumgebung können Sie auswählen, um die Vertrauensebene einzuschränken.

    7. Wählen Sie unter Externe Daten die Option Vertrauenswürdige Datenverbindungsbibliotheken und eingebettet aus.

      Hinweis

      Im vorherigen Beispiel wird eine eingebettete Verbindung verwendet, um eine Verbindung mit SQL Server herzustellen. In Ihrer Umgebung können Sie eine separate Verbindungsdatei erstellen und in einer vertrauenswürdigen Datenverbindungsbibliothek speichern. Wählen Sie in diesem Fall nur Vertrauenswürdige Datenverbindungsbibliotheken aus.

    8. Ändern sie die Lebensdauer des externen Datencaches. Zu Testzwecken ist es praktisch, die Lebensdauer des externen Datencaches zu ändern, um sicherzustellen, dass Datenupdates aus der Datenquelle und nicht aus dem Cache stammen. Ändern Sie unter Externe Daten die folgenden Einstellungen:

      Automatische Aktualisierung (periodisch / geöffnet) = 0

      Manuelle Aktualisierung = 0

      Hinweis

      In einer Produktionsumgebung müssen Sie eine Cacheeinstellung konfigurieren, die größer als 0 ist. Das Festlegen des Caches auf 0 dient nur zu Testzwecken.

  7. Erteilen Sie dem Excel Services-Dienstkonto Berechtigungen für die Inhaltsdatenbank der Webanwendung.

    Sie müssen den Zugriff des Dienstkontos der Webanwendung auf die Inhaltsdatenbanken für eine bestimmte Webanwendung aktivieren, um SharePoint Server 2010 Office-Webanwendungen zu konfigurieren. Gewähren Sie dem Excel Services-Dienstkonto beispielsweise mithilfe von Windows PowerShell Zugriff auf die Inhaltsdatenbank der "Portal"-Webanwendung.

    Führen Sie dazu den folgenden Befehl in der SharePoint 2010-Verwaltungsshell aus:

    $w = Get-SPWebApplication -Identity https://portal

$w.GrantAccessToProcessIdentity("vmlab\svcExcel")

Hinweis

Weitere Informationen zur Identitätsdelegierung für Excel Services finden Sie auf der folgenden Microsoft TechNet-Website:

Identitätsdelegierung für Excel Services (SharePoint Server 2010)

Benötigen Sie weitere Hilfe? Navigieren Sie zu SharePoint-Community.