Identitätsdelegierung für PowerPivot für SharePoint 2010 (SharePoint Server 2010)
Gilt für: Excel Services, SharePoint Server 2010
Letztes Änderungsdatum des Themas: 2016-11-30
Die in Umgebung und Farmtopologie beschriebene Farmtopologie benötigt nicht die Kerberos-Authentifizierung, damit PowerPivot für Microsoft SharePoint 2010 funktioniert. Der PowerPivot-Systemdienst unterstützt Ansprüche bzw. Forderungen und verwendet den Forderungen an den Windows-Tokendienst zum erneuten Erstellen der Windows-Identität des Clients mithilfe des Forderungstokens des Clients, um eine Verknüpfung mit dem Analysis Service Vertipaq-Modul herzustellen, das auf dem Anwendungsserver ausgeführt wird.
Wenn eine PowerPivot-Arbeitsmappe in SharePoint Server hochgeladen wird, enthält sie bereits die von der Arbeitsmappe genutzten PowerPivot-Daten. Wenn der Benutzer die PowerPivot-Arbeitsmappe in Excel Web Access öffnet und mit den Slicern interagiert, lädt der PowerPivot-Systemdienst die Daten der Arbeitsmappe direkt in das dazugehörige Analysis Services-Modul. Auf die in die Arbeitsmappe eingebettete Datenverbindung erfolgt kein Zugriff.
.jpg "Diagramm zum Authentifizierungsfluss")
Wenn die Ausführung eines Datenaktualisierungsauftrags für eine PowerPivot-Arbeitsmappe beginnt, führt der PowerPivot-Systemdienst eine Windows-Anmeldung mithilfe der im Secure Store Service von SharePoint Server gespeicherten Anmeldeinformationen durch. Da die Windows-Identität auf dem Anwendungsserver erstellt wird, ist die Verbindung vom PowerPivot Analysis Services Vertipaq-Modul (auf demselben Computer, VMSP10APP01) mit MySQLCluster der erste NTLM-Hop.
.jpg "Diagramm zum Authentifizierungsfluss")
Hinweis
Bei einer Installation unter Windows Server 2008 muss ggf. der folgende Hotfix für die Kerberos-Authentifizierung installiert werden:
Kerberos-Authentifizierung misslingt bei Verwenden des AES-Algorithmus auf einem Computer mit Windows Server 2008 oder Windows Vista mit dem Fehlercode 0X80090302 oder 0x8009030f (https://support.microsoft.com/kb/969083/de)
Szenarien, in denen die Kerberos-Authentifizierung erforderlich ist
Wie Sie sehen, ist in den meisten gängigen Szenarien mit PowerPivot keine Kerberos-Authentifizierung erforderlich. Es gibt jedoch einige ungewöhnliche Ausnahmefälle, bei den die Kerberos-Authentifizierung benötigt wird. Wenn beispielsweise Ihre PowerPivot-Arbeitsmappe eine Datenverbindung mit einer SQL Server-Instanz enthält, die mit einer weiteren SQL Server-Instanz auf einem anderen Computer verknüpft ist, müssen Sie die Kerberos-Authentifizierung mit Identitätsdelegierung konfigurieren, damit die Datenaktualisierung funktioniert. Wenn z. B. MySQLCluster mit einer anderen SQL Server-Remoteinstanz verknüpft ist, dann ist die Verknüpfung von MySQLCluster zum verknüpften Remoteserver der zweite Hop. In diesem Fall kann NTLM nicht mehr verwendet werden. Sie müssen die Kerberos-Delegierung konfigurieren, damit die Datenaktualisierung erfolgen kann.
.jpg "Diagramm zum Authentifizierungsfluss")
Nachfolgend werden die wichtigsten Schritte zum Konfigurieren der Identitätsdelegierung für PowerPivot beschrieben, die jedoch über den Umfang der Szenarien in diesem Artikel hinausgehen:
Ändern des Dienstkontos des Forderungen an den Windows-Tokendiensts in ein Domänenkonto (e.g. VMLAB\svcC2WTS). Das Konfigurieren des Forderungen an den Windows-Tokendiensts wird in den anderen Szenarien in diesem Artikel ausführlich beschrieben:
Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts auf Servern mit Excel Services
Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts auf Servern mit Visio Services
Konfigurieren und Starten des Forderungen an den Windows-Tokendiensts auf Servern mit PerformancePoint Services
Konfigurieren der Delegierung des Kontos VMLAB\svcSQL an den Dienstprinzipalnamen der verknüpften SQL Server-Instanz Konfigurationscheckliste
| Konfigurationsbereich | Beschreibung |
|---|---|
PowerPivot-Installation |
Installieren von SQL Server PowerPivot für SharePoint auf dem Anwendungsserver |
Voraussetzungen für dieses Szenario
Streng genommen, sind die folgenden Kerberos-Authentifizierungsszenarien für PowerPivot für SharePoint nicht erforderlich. Sie beschleunigen jedoch nach erfolgreichem Abschluss den PowerPivot für SharePoint-Installationsprozess, da die Komponenten selbst Voraussetzung für PowerPivot für SharePoint darstellen.
Szenario 1: Kernkonfiguration
Szenario 2: Kerberos-Authentifizierung für SQL OLTP
(Optional) Szenario 3: Kerberos-Authentifizierung für SQL Server Analysis Services
Szenario 5: Identitätsdelegierung für Excel Services
Konfigurationsanweisungen
Installieren Sie PowerPivot für SharePoint auf dem Anwendungsserver (vmsp10app01). Detaillierte Anweisungen finden Sie unter Vorgehensweise: Installieren von PowerPivot für SharePoint in einer dreistufigen SharePoint-Farm in der MSDN-Onlinebibliothek. Wenn Sie bereits die anderen Szenarien in diesem Artikel durchlaufen haben, können Sie die Abschnitte im MSDN-Artikel überspringen, die bereits erledigt wurden.
Wichtig
Der Anwendungspool für die SQL Server PowerPivot-Dienstanwendung muss mit dem Domänenkonto des SharePoint Server-Farmadministrators ausgeführt werden. In keinem anderen Benutzerkontext kann der PowerPivot-Systemdienst die Anmeldeinformationen des unbeaufsichtigten Kontos aus dem Secure Store Service abrufen.