Freigeben über

Konfigurieren von Analysis Services und der eingeschränkten Kerberos-Delegierung

  • Artikel

Gilt für: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Die eingeschränkte Kerberos-Delegierung (Kerberos Constrained Delegation, KCD) ist ein Authentifizierungsprotokoll, das Sie mit der Windows-Authentifizierung konfigurieren können, um die Clientanmeldeinformationen in Ihrer gesamten Umgebung von Dienst zu Dienst zu delegieren. Die KCD erfordert zusätzliche Infrastruktur, z. B. einen Domänencontroller, und eine zusätzliche Konfiguration Ihrer Umgebung. KCD ist eine Anforderung in einigen Szenarien, die SQL Server Analysis Services- und Power Pivot-Daten mit SharePoint 2016 umfassen. In SharePoint 2016 wurde Excel Services aus der SharePoint-Farm auf einen getrennten, neuen Server, den sog. Office Online Server, ausgelagert. Da der Office Online Server getrennt ist, gibt es vermehrt Bedarf an einer Möglichkeit, Clientanmeldeinformationen in den typischen Szenarien mit zwei Hops zu delegieren.

Überblick

Die KCD ermöglicht einem Konto, zum Zweck des Zugriffs auf Ressourcen die Identität eines anderen Kontos anzunehmen. Das Konto, das die Identität annimmt, ist ein einer Webanwendung zugewiesenes Dienstkonto oder das Computerkonto eines Webservers. Das Konto, dessen Identität angenommen wird, ist ein Benutzerkonto, das Zugriff auf Ressourcen benötigt. Die KCD arbeitet auf Dienstebene, sodass ausgewählten Diensten auf einem Server der Zugriff vom Konto, das die Identität annimmt, gewährt wird. Zugleich wird anderen Diensten auf demselben Server bzw. Diensten auf anderen Servern der Zugriff verweigert.

In den Abschnitten in diesem Thema werden allgemeine Szenarien mit SQL Server Analysis Services und Power Pivot, in denen KCD erforderlich ist, sowie eine Beispielserverbereitstellung mit einer allgemeinen Zusammenfassung der Erforderlichen zum Installieren und Konfigurieren erläutert. Im Abschnitt Weitere Informationen und Community-Inhalte finden Sie Links zu detaillierten Informationen zu den beteiligten Technologien, wie z.B. Domänencontroller und KCD.

Szenario 1: Arbeitsmappe als Datenquelle

siehe 1 Office Online Server öffnet eine Excel-Arbeitsmappe und 2 erkennt eine Datenverbindung mit einer anderen Arbeitsmappe. Office Online Server eine Anforderung an den Power Pivot-Umleitungsdienst sendet, siehe 3, um die zweite Arbeitsmappe und die Daten unter 4 zu öffnen.

In diesem Szenario müssen Benutzeranmeldeinformationen vom Office Online Server an den SharePoint Power Pivot-Umleitungsdienst in SharePoint delegiert werden.

Arbeitsmappe als

Ein tabellarisches Analysis Services-Modell siehe 1 Links zu einer Excel-Arbeitsmappe, die ein Power Pivot-Modell enthält. Wenn in diesem Szenario SQL Server Analysis Services das tabellarische Modell lädt, erkennt SQL Server Analysis Services den Link zur Arbeitsmappe. Bei der Verarbeitung des Modells sendet SQL Server Analysis Services eine Abfrageanforderung an SharePoint, um die Arbeitsmappe zu laden. In diesem Szenario müssen Clientanmeldeinformationen nicht von Analysis Services an SharePoint delegiert werden. Eine Clientanwendung kann jedoch die Datenquelleninformationen in einer Out-of-Line-Bindung überschreiben. Wenn die Out-of-Line-Bindungsanforderung angibt, die Identität des aktuellen Benutzers zu annehmen, müssen die Benutzeranmeldeinformationen delegiert werden, sodass KCD zwischen SQL Server Analysis Services und SharePoint konfiguriert werden muss.

Office Online Server

Beispielbereitstellung von KCD mit Office Online Server und Analysis Services

In diesem Abschnitt wird eine Beispielbereitstellung mit vier Computern beschrieben. In den folgenden Abschnitten werden die wesentlichen Schritte für die Installation und Konfiguration der einzelnen Computer vorgestellt. Bevor Sie mit der Bereitstellung beginnen, sollten Sie die Computer mit den neuesten Patches versehen und die Computernamen kennen, da diese bei einigen Konfigurationsschritten benötigt werden.

  • Domänencontroller

  • SQL Server-Datenbank-Engine und Analysis Services im Power Pivot-Modus. Die Instanz der Datenbank-Engine wird für die SharePoint-Inhaltsdatenbank verwendet.

  • SharePoint Server 2016

  • Office Online Server

Domänencontroller

Domänencontroller

Es folgt eine Übersicht der Elemente, die für den Domänen installiert werden müssen:

  • Rolle: Active Directory-Domänendienste.

  • Rolle: DNS-Server

  • Feature: .NET Framework 3.5-Funktionen /.NET Framework 3.5

  • Feature: Remoteserver-Verwaltungstools/Rollenverwaltungstools

  • Konfigurieren Sie Active Directory so, dass eine neue Gesamtstruktur erstellt wird und die Computer der Domäne beitreten. Bevor Sie versuchen, weitere Computer der privaten Domäne hinzuzufügen, müssen Sie das DNS der Clientcomputer mit der IP-Adresse des Domänencontrollers konfigurieren. Führen Sie auf dem Domänencontroller ipconfig /all aus, um die IPv4- und IPv6-Adressen für den nächsten Schritt abzurufen.

  • Es wird empfohlen, sowohl IPv4- als auch IPv6-Adressen zu konfigurieren. Dies kann in der Windows-Systemsteuerung erfolgen:

    1. Klicken Sie auf Netzwerk- und Freigabecenter.

    2. Klicken Sie auf Ihre Ethernet-Verbindung.

    3. Klicken Sie auf Eigenschaften.

    4. Klicken Sie auf Internet Protocol Version 6 (TCP/IPv6).

    5. Klicken Sie auf Eigenschaften.

    6. Klicken Sie auf Die folgenden DNS-Serveradressen verwenden.

    7. Geben Sie die mit dem Befehl „ipconfig“ abgerufene IP-Adresse ein.

    8. Klicken Sie auf die Schaltfläche Erweitert , anschließend auf die Registerkarte DNS , und überprüfen Sie, ob die DNS-Suffixe ordnungsgemäß sind.

    9. Klicken Sie auf Diese DNS-Suffixe anhängen.

    10. Wiederholen Sie die Schritte für IPv4.

    Hinweis: Sie können Computer über die Windows-Systemsteuerung über die Einstellung unter „System“ der Domäne hinzufügen. Weitere Informationen finden Sie unter How To Join Windows Server 2012 to a Domain(Hinzufügen von Windows Server 2012 zu einer Domäne).

ssas-Server im Powerpivot-Modus

SQL Server 2016-Datenbank-Engine und Analysis Services im Power Pivot-Modus

Im Folgenden sehen Sie eine Zusammenfassung der Installation auf dem SQL Server Computer.

Hinweis Im SQL Server 2017-Setup-Assistenten wird SQL Server Analysis Services im Power Pivot-Modus als Teil des Featureauswahlworkflows installiert.

  1. Führen Sie den SQL Server 2017-Setup-Assistenten aus, und klicken Sie auf der Seite zur Featureauswahl auf die Datenbank-Engine, SQL Server Analysis Services und die Verwaltungstools. In einem späteren Setup für den Setup-Assistenten können Sie den Power Pivot-Modus für SQL Server Analysis Services angeben.

  2. Konfigurieren Sie für instance Konfiguration eine benannte instance "POWERPIVOT".

  3. Konfigurieren Sie auf der Seite „Analysis Services-Konfiguration“ den Analysis Services-Server für den Power Pivot -Modus, und fügen Sie den Computernamen von Office Online Server zur Liste der Analysis Services-Serveradministratoren hinzu. Weitere Informationen finden Sie unter Install Analysis Services in Power Pivot Mode.

  4. Beachten Sie, dass der Objekttyp "Computer" standardmäßig nicht in der Suche enthalten ist. Klicken Sie auf Click objects to add computer account to add the Computers object.

    Hinzufügen von Computerkonten als ssas-Administratoren

  5. Erstellen Sie die Dienstprinzipalnamen (Service Principal Names, SPNs) für die Analysis Services-Instanz.

    Es folgen nützliche SPN-Befehle:

    • Listet den SPN für einen bestimmten Kontonamen auf, unter dem der Dienst von Interesse ausgeführt wird: SetSPN -l <account-name>

    • Legt einen SPN für einen Kontonamen fest, unter dem der Dienst von Interesse ausgeführt wird: SetSPN -a <SPN> <account-name>

    • Löscht einen SPN aus einen bestimmten Kontonamen, unter dem der Dienst von Interesse ausgeführt wird: SetSPN -D <SPN> <account-name>

    • Sucht nach doppelten SPNs: SetSPN -X

    Der SPN für die Power Pivot-Instanz hat die folgende Form:

    MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT

    Der vollqualifizierte Domänenname (FQDN) und NetBIOS-Name sind der Name des Computers, auf dem sich die Instanz befindet. Diese SPNs werden für das Domänenkonto angegeben, das als Dienstkonto verwendet wird. Wenn Sie Netzwerkdienst, „Lokales System“ oder die Dienst-ID verwenden, müssen Sie den SPN für das Domänenkonto des Computers angeben. Wenn Sie ein Domänenbenutzerkonto verwenden, geben Sie den SPN für dieses Konto an.

  6. Erstellen Sie den SPN für den SQL-Browserdienst auf dem Analysis Services-Computer.

    Weitere Informationen

  7. Konfigurieren Sie Einstellungen für die eingeschränkte Delegierung für das Analysis Services-Dienstkonto für jede externe Datenquelle, die Sie aktualisieren, z.B. SQL Server oder Excel-Dateien. Für das Analysis Services-Dienstkonto sollte Folgendes festgelegt sein.

    Hinweis: Wenn die Registerkarte „Delegierung“ in Active Directory-Benutzer und-Computer nicht für das Konto angezeigt wird, liegt das daran, dass für dieses Konto kein SPN vorhanden ist. Sie können einen gefälschten SPN wie z.B. my/spnhinzufügen, damit sie angezeigt wird.

    Benutzer bei Delegierungen angegebener Dienste vertrauen und Beliebiges Authentifizierungsprotokoll verwenden.

    Dies wird als eingeschränkte Delegierung bezeichnet und ist erforderlich, da das Windows-Token aus dem C2WTS (Claims to Windows Token Service) stammt, wofür die eingeschränkte Delegierung mit Protokollübergang erforderlich ist.

    Analysis Services – Eingeschränkte Delegierung

    Sie müssen auch die Dienste hinzufügen, an die die Delegierung erfolgt. Dies variiert je nach Ihrer Umgebung.

Office Online Server

  1. Installieren von Office Online Server

  2. Konfigurieren Sie Office Online Server, um eine Verbindung mit dem SQL Server Analysis Services-Server herzustellen. Beachten Sie, dass das Office Online Server Computerkonto ein Administrator auf dem SQL Server Analysis Services-Server sein muss. Dies wurde in einem vorherigen Abschnitt dieses Themas abgeschlossen, in dem der SQL Server Analysis Services Server installiert wurde.

    1. Öffnen Sie auf dem Office Online Server ein PowerShell-Fenster mit Administratorrechten, und führen Sie den folgenden Befehl aus:

    2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

    3. Beispiel: New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

  3. Konfigurieren Sie Active Directory so , dass das Office Online Server-Computerkonto die Identität von Benutzern für das SharePoint-Dienstkonto annehmen kann. Legen Sie daher die Delegierungseigenschaft für den Prinzipal, der den Anwendungspool für SharePoint-Webdienste ausführt, auf den Office Online Server fest. Die PowerShell-Befehle in diesem Abschnitt erfordern die Active Directory PowerShell-Objekte.

    1. Abrufen der Active Directory-Identität von Office Online Server

      $computer1 = Get-ADComputer -Identity [ComputerName]

      Bestimmen Sie diesen Prinzipalnamen, indem Sie im Task-Manager unter „Details > Benutzername von W3wp.exe“ nachsehen. Beispiel: "svcSharePoint"

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1

    2. So überprüfen Sie, ob die Eigenschaft ordnungsgemäß festgelegt wurde

    3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount

  4. Konfigurieren Sie die Einstellungen für die eingeschränkte Delegierung für das Office Online Server-Konto für die Analysis Services-Power Pivot-Instanz. Dies sollte das Computerkonto sein, unter dem Office Online Server ausgeführt wird. Für das Office Online Server-Dienstkonto sollte Folgendes festgelegt sein.

    Hinweis: Wenn die Registerkarte „Delegierung“ in Active Directory-Benutzer und-Computer nicht für das Konto angezeigt wird, liegt das daran, dass für dieses Konto kein SPN vorhanden ist. Sie können einen gefälschten SPN wie z.B. my/spnhinzufügen, damit sie angezeigt wird.

    Benutzer bei Delegierungen angegebener Dienste vertrauen und Beliebiges Authentifizierungsprotokoll verwenden.

    Dies wird als eingeschränkte Delegierung bezeichnet und ist erforderlich, da das Windows-Token aus dem C2WTS (Claims to Windows Token Service) stammt, wofür die eingeschränkte Delegierung mit Protokollübergang erforderlich ist. Lassen Sie anschließend die Delegierung für die SPNs „MSOLAPSvc.3“ und „MSOLAPDisco.3“ zu, die wir zuvor erstellt haben.

  5. Einrichten des C2WTS (Claims to Windows Token Service) Dies ist für Szenario 1 erforderlich. Weitere Informationen finden Sie unter Übersicht über Claims to Windows Token Service (C2WTS).

  6. Konfigurieren Sie die Einstellungen für die eingeschränkte Delegierung für das C2WTS-Dienstkonto. Die Einstellungen müssen mit denen in Schritt 4 übereinstimmen.

sharepoint server

SharePoint Server 2016

Es folgt eine Übersicht über die SharePoint Server-Installation.

  1. Ausführen des SharePoint-Installationsprogramms

  2. Führen Sie die SharePoint-Installation aus, und wählen Sie die Setuprolle Einzelne Serverfarm .

  3. Führen Sie das Power Pivot für SharePoint-Add-In (spPowerPivot16.msi) aus. Weitere Informationen finden Sie unter Installieren oder Deinstallieren des Power Pivot für SharePoint-Add-Ins (SharePoint 2016)

  4. Führen Sie den Power Pivot-Konfigurations-Assistenten aus. Weitere Informationen finden Sie unter PowerPivot-Konfigurationstools.

  5. Verbinden Sie SharePoint mit dem Office Online Server. (Configure_xlwac_on_SPO.ps1)

  6. Konfigurieren Sie SharePoint-Authentifizierungsanbieter für Kerberos. Dies ist für Szenario 1 erforderlich. Weitere Informationen finden Sie unter Planen der Kerberos-Authentifizierung in SharePoint 2013.

Weitere Informationen

Microsoft Kerberos-Konfigurations-Manager für Microsoft SQL Server