Lue englanniksi

Jaa


Excel Services määrittäminen SharePoint Server 2010:ssä Kerberos-todennukselle

Johdanto

Tässä artikkelissa kerrotaan, miten voit määrittää Excel Services Microsoft SharePoint Server 2010:ssä Kerberos-todennukselle.

Lisätietoja

Saat lisätietoja siitä, miten voit määrittää rajoitetun Kerberos-delegoinnin niin, että palvelu voi päivittää laskentataulukon tietoja ulkoisesta SQL Server tietolähteestä, toimimalla seuraavasti:

  1. Luo Excel Services palvelutili.

    Parhaana käytäntönä Excel Services tulisi toimia omilla toimialueen käyttäjätiedoillaan. Jotta voit määrittää Excel Service -sovelluksen, sinun on luotava Active Directory -tili. Voit esimerkiksi luoda seuraavat tilit:

    SharePoint Server -palvelu IIS-sovellussarjan käyttäjätiedot
    SharePoint Server -palvelu IIS-sovellussarjan käyttäjätiedot
    Excel-palvelut vmlab\svcExcel
  2. Määritä palvelun päänimi (SPN) Excel Services palvelutilille.

    Rajoitettu Kerberos-delegointi on määritettävä, jos Excel Services delegoi asiakkaan käyttäjätiedot taustatietolähteeseen. Jos esimerkiksi Excel Services tekee kyselyjä SQL-tapahtumatietokannasta, kerberos-delegointi on pakollista.

    MMC Active Directoryn käyttäjät ja tietokoneet laajennusta käytetään yleensä Kerberos-delegoinnin määrittämiseen. Jotta delegointiasetukset voidaan määrittää laajennuksessa, määritettävässä Active Directory -objektissa on oltava käytössä palvelun päänimi. Muussa tapauksessa objektin delegointivälilehti ei näy objektin ominaisuudet -valintaikkunassa. Vaikka Excel Services ei edellytä palvelun päänimeä toimiakseen, sinun on määritettävä sellainen tätä tarkoitusta varten.

    Voit tehdä tämän kirjoittamalla seuraavan komennon komentoriville ja painamalla sitten Enter-näppäintä:

    PowerShell
    SETSPN -S SP/ExcelServices
    

    Huomautus

    Tämä palvelun päänimi ei ole kelvollinen palvelun päänimi. Sitä käytetään määritettyyn palvelutiliin Active Directoryn käyttäjät ja tietokoneet apuohjelman delegointiasetusten paljastamiseksi. Delegointiasetusten määrittämiseen on muitakin tuettuja menetelmiä (erityisesti msDS-AllowedToDelegateTo Active Directory -määrite). Tässä artikkelissa ei kuitenkaan kuvata näitä menetelmiä.

  3. Määritä rajoitettu Kerberos-delegointi Excel Services varten.

    Jotta Excel Services voi delegoida asiakkaiden käyttäjätietoja, sinun on määritettävä rajoitettu Kerberos-delegointi. Rajoitettu delegointi on määritettävä protokollasiirtymällä, jotta väitetunnukset voidaan muuntaa Windows-tunnuksiksi WIF C2WTS -protokollan avulla.

    Jokaisen Excel Services suorittavan palvelimen on oltava luotettava, jotta se voi delegoida tunnistetiedot jokaiseen taustapalveluun, johon Excel todennetaan. Lisäksi sinun on määritettävä Excel Services palvelutili sallimaan delegointi samoihin taustapalveluihin.

    Voit esimerkiksi määrittää seuraavat delegointipolut:

    Päänimityyppi Päänimi Palvelun edustajat
    Käyttäjä svcExcel MSSQLSVC/MySqlCluster.vmlab.local:1433
    *Käyttäjä svcC2WTS MSSQLSVC/MySqlCluster.vmlab.local:1433
    **Tietokone VMSP10APP01 MSSQLSVC/ MySqlCluster.vmlab.local:1433

    * Määritetty myöhemmin tässä skenaariossa

    ** Pakollinen vain, jos C2WTS on käynnissä paikallisena järjestelmänä

    Voit määrittää rajoitetun delegoinnin seuraavasti:

    1. Avaa Active Directory -objektin ominaisuudet Active Directoryn käyttäjät ja tietokoneet.

    2. Siirry Delegointi-välilehteen.

    3. Valitse Luota tähän käyttäjään vain määritettyihin palveluihin delegointia varten.

    4. Valitse Käytä mitä tahansa todennusprotokollaa. Tämä toiminto mahdollistaa protokollan siirtymisen, ja palvelutilin on käytettävä C2WTS:a.

    5. Napsauta Lisää-painiketta, jos haluat valita palvelun päänimen, jolle delegoida.

    6. Valitse Käyttäjä ja tietokoneet.

    7. Valitse palvelutili, joka suorittaa palvelua, johon haluat delegoida. Aiemmassa esimerkissä se on SQL-palvelun palvelutili.

      Huomautus

      Valitussa palvelutilissä on oltava palvelun päänimi käytössä. Aiemmassa esimerkissä tämän tilin palvelun päänimi määritettiin aiemmassa vaiheessa.

    8. Valitse OK. Sinua pyydetään valitsemaan seuraavassa näytössä palvelun päänimet, joihin haluat delegoida.

    9. Valitse SQL-klusterin palvelut ja valitse sitten OK.

    10. Sinun pitäisi nyt nähdä valittu PALVELUN PÄÄNIMI Palveluissa, joille tämä tili voi esittää delegoidut tunnistetiedot -luettelon.

    11. Toista nämä vaiheet jokaiselle delegointipolulle, joka on määritetty tämän osan alussa.

  4. Käynnistä Excel Services palveluesiintymä Excel Services palvelimessa.

    Ennen kuin luot Excel Services -palvelusovelluksen, käynnistä Excel Services -palvelu määritetyissä klusteripalvelimissa. Voit tehdä tämän seuraavasti:

    1. Avaa keskitetty hallinta.
    2. Valitse Palvelut-kohdassa Palvelimen palveluiden hallinta.
    3. Valitse oikeassa yläkulmassa olevassa palvelimen valintaruudussa palvelimet, jotka ovat käynnissä Excel Services. Aiemmassa esimerkissä palvelin on VMSP10APP01.
    4. Käynnistä Excel Calculation Services -palvelu.
  5. Luo Excel Services palvelusovellus ja sovelluksen välityspalvelin, jotta verkkosovellukset voivat käsitellä Excel Services. Voit tehdä tämän seuraavasti:

    1. Avaa keskitetty hallinta.
    2. Valitse Hallitse palvelusovelluksia kohdassa Sovellusten hallinta.
    3. Valitse Uusi ja valitse sitten Excel Services Sovellus.
    4. Määritä uusi palvelusovellus. Varmista, että valitset oikean palvelutilin (jos Excel Service -tili ei ole luettelossa, luo uusi hallinnoitu tili).
  6. Määritä luotetun tiedoston sijainti Excel Services ja todennusasetukset.

    Kun Excel Services sovellus on luotu, sinun on määritettävä uuden palvelusovelluksen ominaisuudet määrittämään luotettu isäntäsijainti ja todennusasetukset. Voit tehdä tämän seuraavasti:

    1. Avaa keskitetty hallinta.

    2. Valitse Hallitse palvelusovelluksia kohdassa Sovellusten hallinta.

    3. Napsauta uuden palvelusovelluksen linkkiä. Napsauta aiemmassa esimerkissä Excel Services.

    4. Valitse Excel Services hallintasivulla Luotetut tiedoston sijainnit.

    5. Lisää uusi luotettu tiedostosijainti.

    6. Määritä luotetun tiedoston sijainti testikirjastoon.

      Huomautus

      Aiemmassa esimerkissä pääverkkosovelluksen URL-osoite ja kaikki alisovellukset ovat luotettuja. Tuotantoympäristössä voit rajoittaa luottamusta.

    7. Valitse Ulkoiset tiedot -kohdassa Luotetut tietoyhteyskirjastot ja upotetut tiedot.

      Huomautus

      Aiemmassa esimerkissä muodostetaan yhteys SQL Server upotetun yhteyden avulla. Ympäristössäsi voit luoda erillisen yhteystiedoston ja tallentaa sen luotettuun tietoyhteyskirjastoon. Valitse tässä tilanteessa vain Luotetut tietoyhteyskirjastot.

    8. Muuta ulkoisen tietovälimuistin käyttöikää. Testausta varten on kätevää muuttaa ulkoisen tietovälimuistin elinkaarta varmistaaksesi, että tietolähteestä tulee tietopäivityksiä, ei välimuistista. Muuta seuraavat asetukset Kohdassa Ulkoiset tiedot:

      Automaattinen päivitys (kausittainen / avoinna oleva) = 0

      Manuaalinen päivitys = 0

      Huomautus

      Tuotantoympäristössä on määritettävä välimuistiasetus, joka on suurempi kuin 0. Välimuistin asettaminen arvoon 0 on vain testausta varten.

  7. Myönnä Excel Services -palvelutilin käyttöoikeudet verkkosovelluksen sisältötietokantaan.

    SharePoint Server 2010 Office Web Applications -verkkosovellusten määrittäminen edellyttää verkkosovelluksen palvelutilin käyttöoikeutta tietyn verkkosovelluksen sisältötietokantoihin. Voit esimerkiksi myöntää Excel Services -palvelutilille käyttöoikeuden portaalin verkkosovelluksen sisältötietokantaan käyttämällä Windows PowerShell.

    Voit tehdä tämän suorittamalla seuraavan komennon SharePoint 2010 -hallintaliittymästä:

    PowerShell
    $w = Get-SPWebApplication -Identity https://portal
    
    $w.GrantAccessToProcessIdentity("vmlab\svcExcel")
    

Huomautus

Lisätietoja Excel Services käyttäjätietojen delegoinnista on seuraavassa Microsoft TechNet -sivustossa:

Excel Services käyttäjätietojen delegointi (SharePoint Server 2010)

Tarvitsetko lisää ohjeita? Siirry SharePointin yhteisöön.