設定 Analysis Services 和 Kerberos 限制委派 (KCD)
適用於:
SQL Server Analysis Services 
Azure Analysis Services Fabric/Power BI Premium
Kerberos 限制委派 (KCD) 是一種驗證通訊協定,您可以使用 Windows 驗證進行設定,以在整個環境中將客戶端認證從服務委派給服務。 KCD 需要額外的基礎結構,例如域控制器,以及環境的其他設定。 KCD 是某些案例中的需求,這些案例牽涉到 SQL Server Analysis Services 和 Power Pivot 數據與 SharePoint 2016。 在 SharePoint 2016 中,Excel Services 已將 SharePoint 伺服器陣列外部移至個別的新伺服器,Office Online Server。 由於 Office Online Server 是分開的,因此在一般兩個躍點案例中,需要增加委派客戶端認證的方式。
概述
KCD 可讓帳戶模擬另一個帳戶,以便提供資源的存取權。 模擬帳戶會是指派給 Web 應用程式的服務帳戶,或是 Web 伺服器的電腦帳戶,而模擬帳戶則是需要存取資源的用戶帳戶。 KCD 在服務層級運作,讓模擬帳戶可以授與伺服器上選取的服務存取權,而相同伺服器上的其他服務或其他伺服器上的服務則拒絕存取權。
本主題中的各節會檢閱 SQL Server Analysis Services 和 Power Pivot 的常見案例,其中需要 KCD,以及具有安裝及設定所需專案之高階摘要的伺服器部署範例。 如需域控制器和 KCD 等相關技術的詳細資訊連結,請參閱 詳細資訊和社群內容 一節。
案例 1:活頁簿做為數據源 (WDS)。
Office Online Server 開啟 Excel 活頁簿,
偵測另一個活頁簿的數據連線。 Office Online Server 將要求傳送至 Power Pivot 重新導向器服務 
以開啟第二個活頁簿,而數據 
。
在此案例中,使用者認證必須從 Office Online Server 委派給 SharePoint 中的 SharePoint Power Pivot 重新導向器服務。
以數據源 
案例 2:Analysis Services 表格式模型連結至 Excel 活頁簿
Analysis Services 表格式模型 包含 Power Pivot 模型的 Excel 活頁簿連結。 在此案例中,當 SQL Server Analysis Services 載入表格式模型時,SQL Server Analysis Services 會偵測活頁簿的連結。 處理模型時,SQL Server Analysis Services 會將查詢要求傳送至 SharePoint 以載入活頁簿。 在此案例中,客戶端認證 不需要 從 Analysis Services 委派給 SharePoint,不過用戶端應用程式可以在離線系結中覆寫數據源資訊。 如果離線系結要求指定模擬目前使用者,則必須委派用戶認證,這需要在 SQL Server Analysis Services 與 SharePoint 之間設定 KCD。
使用 Office Online Server 和 Analysis Services 部署 KCD 的範例
本節說明使用四部計算機的範例部署。 下列各節摘要說明每部計算機的金鑰安裝和設定步驟。 開始部署之前,建議您計算機是操作系統修補的最新狀態,而且您知道計算機名稱,因為它們在部分設定步驟中是必要的。
域控制器
Power Pivot 模式中的 SQL Server 資料庫引擎和 Analysis Services。 資料庫引擎的實例將用於SharePoint內容資料庫。
SharePoint Server 2016
Office Online Server
域控制器
以下是要針對域控制器安裝的項目摘要。
角色: Active Directory 網域服務。
角色: DNS 伺服器
功能: .NET Framework 3.5 功能/ .NET Framework 3.5
功能: 遠端伺服器管理工具/角色管理工具
設定 Active Directory 以建立新的樹系,並將電腦加入網域。 嘗試將其他電腦新增至私人網域之前,您必須將用戶端電腦 DNS 設定為 DC 的 IP 位址。 在DC計算機上,執行
ipconfig /all以取得下一個步驟的IPv4和IPv6位址。建議您同時設定 IPv4 和 IPv6 位址。 您可以在 Windows 控制面板中執行此動作:
按兩下 [網路和共用中心
按兩下您的乙太網路連線
按兩下 [屬性]
按兩下 [因特網通訊協定第 6 版 (TCP/IPv6)
按兩下 [屬性]
按兩下 [使用下列 DNS 伺服器位址
從 ipconfig 命令輸入 IP 位址。
按兩下 [進階] 按鈕,按兩下 [DNS] 索引標籤,並確認 DNS 後綴是否正確。
按兩下 [附加這些 DNS 後綴。
重複 IPv4 的步驟。
注意: 您可以在 [系統設定] 中,從 Windows 控制面板將電腦加入網域。 如需詳細資訊,請參閱 如何將 Windows Server 2012 加入網域。
2016 POWER Pivot 模式中的 SQL Server 資料庫引擎和分析服務
以下是要安裝在 SQL Server 電腦上的專案摘要。
在 SQL Server 2017 安裝精靈中,Power Pivot 模式中的 SQL Server Analysis Services 會安裝為功能選取工作流程的一部分。
執行 SQL Server 2017 安裝精靈,並從功能選取頁面按兩下資料庫引擎、SQL Server Analysis Services 和管理工具。 在稍後的安裝精靈中,您可以指定 SQL Server Analysis Services 的 Power Pivot 模式。
針對實例組態,請設定 「POWERPIVOT」 的具名實例。
在 [Analysis Services 組態] 頁面上,將 Analysis Services 伺服器設定為
Power Pivot 模式,並將 Office Online Server計算機名稱新增至 Analysis Services 伺服器管理員清單。 如需詳細資訊,請參閱 在 Power Pivot 模式中安裝 Analysis Services。 請注意,根據預設,搜尋中不包含 「Computer」 物件類型。 按兩下 [
以新增 Computers 物件。
建立 Analysis Services 實例的服務主體名稱 (SPN)。
以下是有用的 SPN 命令:
列出執行相關服務之特定帳戶名稱的SPN:
SetSPN -l <account-name>為執行感興趣的服務之帳戶名稱設定 SPN:
SetSPN -a <SPN> <account-name>從執行感興趣的服務的特定帳戶名稱中刪除SPN:
SetSPN -D <SPN> <account-name>搜尋重複的SPN:
SetSPN -X
PowerPivot 實體的 SPN 格式為:
MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT其中 FQDN 和 NetBIOS 名稱是實例所在的電腦名稱。 這些SPN會放在用於服務帳戶的網域帳戶上。 如果您使用網路服務、本機系統或服務標識符,您會想要將SPN放在網域電腦帳戶上。 如果您使用網域用戶帳戶,您會在該帳戶上放置SPN。
在 Analysis Services 計算機上建立 SQL Browser 服務的 SPN。
針對您要從 SQL Server 或 Excel 檔案等外部來源重新整理的任何外部來源,在 Analysis Services 服務帳戶上設定限制委派 設定。 在 Analysis Services 服務帳戶上,我們想要確定已設定下列專案。
注意: 如果您沒有看到帳戶的委派索引標籤,請在 Active Directory 使用者和計算機內,這是因為該帳戶上沒有 SPN。 您可以新增假 SPN,使其顯示為
my/spn。信任此使用者只委派至指定的服務,使用任何驗證通訊協定。
這稱為限制委派,而且是必要的,因為 Windows 令牌會源自宣告到 Windows 令牌服務 (C2WTS),需要具有通訊協議轉換的限制委派。
您也需要新增要委派的服務。 這會根據您的環境而有所不同。
Office Online Server
安裝 Office Online Server
設定 Office Online Server 以連線到 SQL Server Analysis Services 伺服器。 請注意,Office Online Server 計算機帳戶必須是 SQL Server Analysis Services 伺服器上的系統管理員。 本主題的上一節已完成安裝 SQL Server Analysis Services 伺服器。
在 Office Online Server 上,以系統管理許可權開啟 PowerShell 視窗,然後執行下列命令
New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>範例:
New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"
設定 Active Directory,以允許 Office Online Server 計算機帳戶模擬使用者到 SharePoint 服務帳戶。 因此,在 Office Online Server 上執行 SharePoint Web 服務應用程式集區的主體上設定委派屬性:本節中的 PowerShell 命令需要 Active Directory (AD) PowerShell 物件。
取得 Office Online Server 的 Active Directory 身分識別
$computer1 = Get-ADComputer -Identity [ComputerName]尋找此主體名稱是查看任務管理器/詳細數據/w3wp.exe的用戶名稱。 例如 “svcSharePoint”
Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1若要確認正確設定正確
-
Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount
在 Office Online Server 帳戶上將限制委派 設定為 Analysis Services Power Pivot 實例。 這應該是 Office Online Server 執行的電腦帳戶。 在 Office Online Service 帳戶上,我們想要確定已設定下列專案。
注意: 如果您沒有看到帳戶的委派索引標籤,請在 Active Directory 使用者和計算機內,這是因為該帳戶上沒有 SPN。 您可以新增假 SPN,使其顯示為
my/spn。信任此使用者只委派至指定的服務,使用任何驗證通訊協定。
這稱為限制委派,而且是必要的,因為 Windows 令牌會源自宣告到 Windows 令牌服務 (C2WTS),需要具有通訊協議轉換的限制委派。 接著,您會想要允許委派至我們先前建立的 MSOLAPSvc.3 和 MSOLAPDisco.3 SPN。
將宣告設定為 windows 令牌服務 (C2WTS) 案例 1需要此宣告。 如需詳細資訊,請參閱 宣告至 Windows 令牌服務 (c2WTS) 概觀。
在 C2WTS 服務帳戶上設定限制委派 設定。 設定應該符合您在步驟 4 中所做的作業。
SharePoint Server 2016
以下是 SharePoint Server 安裝摘要。
執行 SharePoint 必要安裝程式
執行 和 SharePoint 安裝,然後選取 單一伺服器陣列 設定角色。
執行 PowerPivot for SharePoint 載入宏 (spPowerPivot16.msi)。 如需詳細資訊,請參閱 安裝或卸載 Power Pivot for SharePoint 載入宏 (SharePoint 2016)
執行 PowerPivot 設定精靈。 請參閱 Power Pivot 組態工具。
將 SharePoint 連線到 Office Online Server。 (Configure_xlwac_on_SPO.ps1)
設定 Kerberos 的 SharePoint 驗證提供者。 案例 1需要此專案。 如需詳細資訊,請參閱 SharePoint 2013中規劃 Kerberos 驗證。
另請參閱
適用於 SQL Server® 的 ®