PowerPivot for SharePoint 2010 的身分識別委派 (SharePoint Server 2010)

  • 發行項

 

適用版本: Excel Services, SharePoint Server 2010

上次修改主題的時間: 2016-11-30

環境和伺服器陣列拓撲>中所述的伺服器陣列拓撲不需要 PowerPivot for Microsoft SharePoint 2010 的 Kerberos 驗證來運作。PowerPivot System Service 是宣告感知,並使用「對 Windows Token 服務的宣告」(C2WTS),透過用戶端的宣告 Token 來重建用戶端的 Windows 身分識別,以與應用程式伺服器上執行的 Analysis Service Vertipaq 引擎連線。

在 SharePoint Server 中上傳 PowerPivot 活頁簿時,已包含活頁簿所使用的 PowerPivot 資料。如果使用者在 Excel Web Access 中開啟 PowerPivot 活頁簿,並與交叉分析篩選器互動,則 PowerPivot System Service 會直接將活頁簿中的資料載入至其 Analysis Services 引擎。您無法存取活頁簿中內嵌的資料連線。

驗證流程圖表

開始執行 PowerPivot 活頁簿的資料重新整理工作時,PowerPivot System Service 會使用 SharePoint Server Secure Store Service 中儲存的認證來執行 Windows 登入。因為 Windows 身分識別是在應用程式伺服器上建立,所以從 PowerPivot Analysis Services Vertipaq 引擎 (位於相同電腦 VMSP10APP01 上) 到 MySQLCluster 的連線是第一個 NTLM 躍點。

驗證流程圖表

注意

如果您是安裝在 Windows Server 2008,則可能必須安裝下列 Hotfix 以進行 Kerberos 驗證:
使用 AES 演算法時,在執行 Windows Server 2008 或 Windows Vista 的電腦上,Kerberos 驗證失敗,且錯誤碼為 0X80090302 或 0x8009030f (https://support.microsoft.com/kb/969083/zh-tw)

需要 Kerberos 驗證的案例

從上面的討論可以得知,PowerPivot 的大部分常見情況下都不需要 Kerberos 驗證。不過,有一些不尋常的情況則需要 Kerberos 驗證。例如,如果您的 PowerPivot 活頁簿包含連結至不同電腦上另一個 SQL Server 執行個體的 SQL Server 執行個體資料連線,則需要設定使用身分識別委派的 Kerberos 驗證,資料重新整理才能運作。例如,如果 MySQLCluster 是連結至另一個遠端 SQL Server 執行個體,則從 MySQLCluster 到已連結遠端伺服器的連結就是第二個躍點。在此情況下,NTLM 就不再足夠。您必須設定 Kerberos 委派,才能順利處理資料重新整理。

驗證流程圖表

雖然它們不在本文件所定義案例的範圍內,但是設定 PowerPivot 之身分識別委派的主要步驟如下:

  1. 將 C2WTS Windows 服務的服務帳戶變更為網域帳戶 (例如 VMLAB\svcC2WTS)。設定 C2WTS 是一個較大的主題,會在本文件的其他案例中詳細說明:

    • 在 Excel Services 伺服器上設定和啟動對 Windows Token 服務的宣告

    • 在 Visio Graphics 伺服器上設定和啟動對 Windows Token 服務的宣告

    • 在 PerformancePoint Services 伺服器上設定和啟動對 Windows Token 服務的宣告

  2. 設定從 VMLAB\svcSQL 帳戶到已連結 SQL Server 執行個體「設定檢查清單」之 SPN 的委派。

設定區域 描述

PowerPivot 安裝

在應用程式伺服器上安裝 SQL Server PowerPivot for SharePoint

案例相依性

嚴格來說,PowerPivot for SharePoint 不需要下列 Kerberos 驗證案例。不過,如果您順利完成它們,則可加速 PowerPivot for SharePoint 安裝程序,原因是元件本身是 PowerPivot for SharePoint 的必要元件。

設定指示

在應用程式伺服器上安裝 PowerPivot for SharePoint (vmsp10app01)。如需詳細指示,請參閱線上 MSDN Library 中的如何:在三層式 SharePoint 伺服陣列中安裝 PowerPivot for SharePoint。如果您已執行本文件中的相依案例,則可以略過 MSDN 文章中案例相依性已涵蓋的各節。

重要

如果沒有 PowerPivot System Service 可以從 Secure Store Service 擷取自動帳戶認證的其他使用者內容。則必須使用 SharePoint Server 伺服器陣列管理員的網域帳戶來執行 SQL Server PowerPivot Service Application 的應用程式集區。