Compartilhar via

Configurar o Analysis Services e a KCD (Delegação restrita de Kerberos)

  • Artigo

Aplica-se a: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

A KCD (delegação restrita de Kerberos) é um protocolo de autenticação que você pode configurar com a autenticação do Windows a fim de delegar credenciais de cliente, de serviço para serviço, em todo o seu ambiente. A KCD exige infraestrutura adicional, por exemplo, um Controlador de Domínio, e a configuração adicional de seu ambiente. O KCD é um requisito em alguns cenários que envolvem SQL Server Analysis Services e dados do Power Pivot com o SharePoint 2016. No SharePoint 2016, os Serviços do Excel foram movidos para fora do farm do SharePoint para um servidor novo e separado, o Servidor do Office Online. Como o Servidor do Office Online é separado, há uma necessidade crescente por uma forma de delegar credenciais de cliente em cenários típicos de dois saltos.

Visão geral

A KCD permite que uma conta represente outra conta com a finalidade de fornecer acesso aos recursos. A conta de representação pode ser uma conta de serviço atribuída a um aplicativo Web, ou a conta de computador do servidor Web. Enquanto a conta representada seria uma conta de usuário que exige acesso aos recursos. A KCD funciona no nível de serviço, para que os serviços selecionados em um servidor possam receber acesso da conta de representação, enquanto outros serviços no mesmo servidor, ou serviços em outros servidores, não recebem o acesso.

As seções deste tópico analisam cenários comuns com SQL Server Analysis Services e o Power Pivot em que o KCD é necessário, bem como uma implantação de servidor de exemplo com um resumo de alto nível do que você precisa instalar e configurar. Confira a seção Mais informações e conteúdo da comunidade para obter links para informações mais detalhadas sobre as tecnologias envolvidas, como Controladores de domínio e KCD.

Cenário 1: Pasta de trabalho como fonte de dados (WDS).

consulte 1 Servidor do Office Online abre uma pasta de trabalho do Excel e veja 2 detecta uma conexão de dados com outra pasta de trabalho. Servidor do Office Online envia uma solicitação para o Serviço de Redirecionador do Power Pivot, confira 3 para abrir a segunda pasta de trabalho e os dados veem 4.

Nesse cenário, as credenciais do usuário precisam ser delegadas do Servidor do Office Online para o Serviço de Redirecionador do SharePoint Power Pivot no SharePoint.

pasta de trabalho como uma pasta de trabalho de fonte de

Um modelo tabular do Analysis Services consulte 1 links para uma pasta de trabalho do Excel que contém um modelo do Power Pivot. Nesse cenário, quando SQL Server Analysis Services carrega o modelo tabular, SQL Server Analysis Services detecta o link para a pasta de trabalho. Ao processar o modelo, SQL Server Analysis Services envia uma solicitação de consulta ao SharePoint para carregar a pasta de trabalho. Nesse cenário, as credenciais do cliente não precisam ser delegadas do Analysis Services para o SharePoint. No entanto, um aplicativo cliente pode substituir as informações da fonte de dados em uma associação fora de linha. Se a solicitação de associação fora de linha especificar para representar o usuário atual, as credenciais do usuário deverão ser delegadas, o que exige que o KCD seja configurado entre SQL Server Analysis Services e o SharePoint.

servidor do office online

Exemplo de implantação do KCD com o Servidor do Office Online e o Analysis Services

Esta seção descreve um exemplo de implantação que usa quatro computadores. As seções a seguir resumem as principais etapas de instalação e configuração de cada computador. Antes de começar a implantação, recomendamos que os computadores estejam atualizados com patches do sistema operacional, e que você saiba os nomes de computador, pois eles serão necessários em algumas das etapas de configuração.

  • Controlador de domínio

  • Mecanismo de banco de dados do SQL Server e Analysis Services no modo Power Pivot. A instância do mecanismo de banco de dados será usada para os bancos de dados de conteúdo do SharePoint.

  • SharePoint Server 2016

  • Office Online Server

controlador de domínio do domínio

Controlador de domínio

Veja a seguir um resumo do que instalar para o DC (controlador de domínio).

  • Função: Serviços de Domínio do Active Directory.

  • Função: servidor DNS

  • Recurso: recursos do .NET Framework 3.5 / .NET Framework 3.5

  • Recurso: Ferramentas de Administração de Servidor Remoto / Ferramentas de Administração de Funções

  • Configure o Active Directory para criar uma nova Floresta e para ingressar os computadores ao domínio. Antes de tentar adicionar outros computadores ao domínio particular, você precisará configurar o DNS dos computadores cliente para o endereço IP do controlador de domínio. No computador do controlador de domínio, execute ipconfig /all para obter os endereços IPv4 e IPv6 para a próxima etapa.

  • Recomendamos a configuração de endereços IPv4 e IPv6. Faça isso no painel de controle do Windows:

    1. Clique em Central de Rede e Compartilhamento

    2. Clique em sua conexão Ethernet

    3. Clique em Propriedades

    4. Clique em Protocolo IP versão 6 (TCP/IPv6)

    5. Clique em Propriedades

    6. Clique em Usar os seguintes endereços de servidor DNS

    7. Digite o endereço IP do comando ipconfig.

    8. Clique no botão Avançado , clique na guia DNS e verifique se os sufixos DNS estão corretos.

    9. Clique em Acrescentar estes sufixos DNS.

    10. Repita as etapas para IPv4.

    Observação: você pode ingressar computadores no domínio por meio do Painel de Controle do Windows, nas Configurações do sistema. Para obter mais informações, consulte How To Join Windows Server 2012 to a Domain(Como ingressar o Windows Server 2012 em um domínio).

servidor ssas no modo powerpivot

Mecanismo de banco de dados do SQL Server 2016 e o Analysis Services no modo Power Pivot

Veja a seguir um resumo do que instalar no computador SQL Server.

observação de observação No assistente de instalação do SQL Server 2017, SQL Server Analysis Services no modo Power Pivot é instalado como parte do fluxo de trabalho de seleção de recursos.

  1. Execute o assistente de configuração do SQL Server 2017 e, na página de seleção de recursos, clique no mecanismo de banco de dados, SQL Server Analysis Services e nas ferramentas de Gerenciamento. Em uma configuração posterior para o assistente de instalação, você pode especificar o modo power pivot para SQL Server Analysis Services.

  2. Para a configuração de instância, configure uma instância nomeada de "POWERPIVOT".

  3. Na página Configuração do Analysis Services, configure o servidor do Analysis Services para o modo Power Pivot e adicione o nome do computador do Servidor do Office Online à lista de administradores do servidor do Analysis Services. Para saber mais, veja Install Analysis Services in Power Pivot Mode.

  4. Observe que, por padrão, o tipo de objeto "Computador" não está incluído na pesquisa. Clique em objetos para adicionar objetos de clique da conta de computador para adicionar o objeto Computers.

    adicionar contas de computador como administradores do ssas

  5. Crie o SPN (Nome da Entidade de Serviço) da instância do Analysis Services.

    Veja a seguir os comandos SPN úteis:

    • Listar o SPN de um nome de conta específico executando o serviço de interesse: SetSPN -l <account-name>

    • Definir um SPN para um nome de conta que está executando o serviço de interesse: SetSPN -a <SPN> <account-name>

    • Excluir o SPN de um nome de conta específico executando o serviço de interesse: SetSPN -D <SPN> <account-name>

    • Procurar por SPNs duplicados: SetSPN -X

    O SPN para a instância do PowerPivot será na forma de:

    MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT

    Em que os FQDN e os nomes NetBIOS são o nome da máquina na qual reside a instância. Esses SPNs serão colocados na Conta de Domínio que está sendo usada para a conta de serviço. Se você estiver usando o Serviço de Rede, o Sistema Local ou a ID do Serviço, convém colocar o SPN na conta da máquina de domínio. Se você estiver usando uma conta de usuário de domínio, coloque o SPN nessa conta.

  6. Crie o SPN para o serviço do SQL Browser no computador do Analysis Services.

    Saiba mais

  7. Defina as configurações de delegação restrita na conta de serviço do Analysis Services para qualquer fonte externa por meio da qual você atualizará, por exemplo, SQL Server ou arquivos do Excel. Na conta de serviço do Analysis Services, certifique-se de que as seguintes opções estão definidas.

    Observação: se você não vir a guia de delegação para a conta nos Usuários e Computadores do Active Directory, é porque não há SPN nessa conta. Você pode adicionar um SPN falso para que ele seja exibido, como my/spn.

    Confiar neste usuário para delegação apenas aos serviços especificados e Usar qualquer protocolo de autenticação.

    Isso é conhecido como delegação restrita, e é necessário porque o token do Windows será proveniente de C2WTS (Declarações para os Serviços de Token do Windows), o que exige a delegação restrita com a transição de protocolos.

    Analysis Services – Serviços de Análise de Delegação Restrita

    Você também precisará adicionar os serviços para os quais delegará. Isso pode variar com base em seu ambiente.

Office Online Server

  1. Instalar o Servidor do Office Online

  2. Configure Servidor do Office Online para se conectar ao servidor SQL Server Analysis Services. Observe que a conta do computador Servidor do Office Online precisa ser um administrador no servidor SQL Server Analysis Services. Isso foi concluído em uma seção anterior deste tópico, instalando o servidor SQL Server Analysis Services.

    1. No Servidor do Office Online, abra uma janela do PowerShell com privilégios administrativos e execute o seguinte comando

    2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

    3. Exemplo: New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

  3. Configure o Active Directory para permitir que a conta de computador do Servidor do Office Online represente os usuários para a conta de serviço do SharePoint. Portanto, defina a propriedade de delegação na entidade executando o Pool de Aplicativos do SharePoint Web Services, no Servidor do Office Online: os comandos do PowerShell nesta seção exigem objetos do Active Directory (AD) PowerShell.

    1. Obter a identidade do Active Directory do Servidor do Office Online

      $computer1 = Get-ADComputer -Identity [ComputerName]

      encontre esse nome de Entidade no Gerenciador de Tarefas/Detalhes/Nome de usuário do w3wp.exe. Por exemplo, "svcSharePoint"

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1

    2. Para verificar se a propriedade foi definida corretamente

    3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount

  4. Defina as configurações da delegação restrita na conta do Servidor do Office Online para a instância do Analysis Services Power Pivot. Essa deve ser a conta do computador no qual Servidor do Office Online está em execução. Na conta da Serviço do Office Online, certifique-se de que as seguintes opções estão definidas.

    Observação: se você não vir a guia de delegação para a conta nos Usuários e Computadores do Active Directory, é porque não há SPN nessa conta. Você pode adicionar um SPN falso para que ele seja exibido, como my/spn.

    Confiar neste usuário para delegação apenas aos serviços especificados e Usar qualquer protocolo de autenticação.

    Isso é conhecido como delegação restrita, e é necessário porque o token do Windows será proveniente de C2WTS (Declarações para os Serviços de Token do Windows), o que exige a delegação restrita com a transição de protocolos. Em seguida, permita a delegação para os SPNs MSOLAPSvc.3 e SPNs MSOLAPDisco.3 que criamos acima.

  5. Configure o C2WTS (Declarações para serviço de token do Windows) Isso é necessário para o cenário 1. Para obter mais informações, consulte Claims to Windows Token Service (C2WTS) Overview(Visão geral do C2WTS (Declarações para serviço de token do Windows)).

  6. Defina as configurações de delegação restrita na conta do serviço C2WTS. As configurações devem corresponder o que você fez na etapa 4.

sharepoint server

SharePoint Server 2016

Veja a seguir um resumo da instalação do SharePoint Server.

  1. Execute o instalador de pré-requisitos do SharePoint

  2. Execute a instalação do SharePoint e selecione a função de configuração Single Server Farm (Farm de Servidores Único) .

  3. Execute o suplemento do PowerPivot para SharePoint (spPowerPivot16.msi). Para obter mais informações, consulte Instalar ou desinstalar o suplemento do Power Pivot para SharePoint (SharePoint 2016)

  4. Execute o assistente de Configuração do PowerPivot. Consulte Ferramentas de Configuração do Power Pivot.

  5. Conecte o SharePoint ao Servidor do Office Online. (Configure_xlwac_on_SPO.ps1)

  6. Configure os provedores de autenticação do SharePoint para Kerberos. Isso é necessário para o cenário 1. Para obter mais informações, consulte Plano para autenticação Kerberos no SharePoint 2013.

Confira também

Microsoft® Kerberos Configuration Manager para SQL Server®