Konfigurieren von Analysis Services und Kerberos Constrained Delegation (KCD)

gilt für: SQL Server Analysis Services Azure Analysis Services Fabric/Power BI Premium

Kerberos-eingeschränkte Delegierung (KCD) ist ein Authentifizierungsprotokoll, das Sie mit der Windows-Authentifizierung konfigurieren können, um Clientanmeldeinformationen von Dienst zu Dienst in ihrer gesamten Umgebung zu delegieren. KCD erfordert zusätzliche Infrastruktur, z. B. einen Domänencontroller und eine zusätzliche Konfiguration Ihrer Umgebung. KCD ist eine Anforderung in einigen Szenarien, die SQL Server Analysis Services und Power Pivot-Daten mit SharePoint 2016 umfassen. In SharePoint 2016 hat Excel Services außerhalb der SharePoint-Farm zu einem separaten und neuen Server, dem Office Online Server, verschoben. Da der Office Online Server getrennt ist, besteht ein erhöhter Bedarf, Clientanmeldeinformationen in den typischen Zwei-Hop-Szenarien zu delegieren.

Overview

KCD ermöglicht es einem Konto, ein anderes Konto für den Zweck der Bereitstellung des Zugriffs auf Ressourcen zu imitieren. Bei dem Identitätswechselkonto handelt es sich um ein Dienstkonto, das einer Webanwendung oder dem Computerkonto eines Webservers zugewiesen ist, während das identitätswechselnde Konto ein Benutzerkonto ist, das Zugriff auf Ressourcen erfordert. KCD arbeitet auf Dienstebene, sodass ausgewählten Diensten auf einem Server Zugriff durch das Identitätswechselkonto gewährt werden kann, während anderen Diensten auf demselben Server oder Diensten auf anderen Servern der Zugriff verweigert wird.

In den Abschnitten in diesem Thema werden allgemeine Szenarien mit SQL Server Analysis Services und Power Pivot überprüft, in denen KCD erforderlich ist, sowie eine Beispielserverbereitstellung mit einer allgemeinen Zusammenfassung dessen, was Sie installieren und konfigurieren müssen. Im Abschnitt "Weitere Informationen und Communityinhalte " finden Sie Links zu detaillierteren Informationen zu den technologien, die beteiligt sind, z. B. Domänencontroller und KCD.

Szenario 1: Arbeitsmappe als Datenquelle (WDS).

Office Online Server öffnet eine Excel-Arbeitsmappe und erkennt eine Datenverbindung mit einer anderen Arbeitsmappe. Office Online Server sendet eine Anforderung an den Power Pivot-Umleitungsdienst , um die zweite Arbeitsmappe zu öffnen und die Daten .

In diesem Szenario müssen Benutzeranmeldeinformationen vom Office Online Server an den SharePoint Power Pivot-Umleitungsdienst in SharePoint delegiert werden.

Szenario 2: Ein Tabellarisches Analysis Services-Modell verknüpft mit einer Excel-Arbeitsmappe

Ein tabellarisches Analysis Services-Modell zu einer Excel-Arbeitsmappe, die ein Power Pivot-Modell enthält. Wenn SQL Server Analysis Services das Tabellarische Modell lädt, erkennt SQL Server Analysis Services in diesem Szenario den Link zur Arbeitsmappe. Beim Verarbeiten des Modells sendet SQL Server Analysis Services eine Abfrageanforderung an SharePoint, um die Arbeitsmappe zu laden. In diesem Szenario müssen Clientanmeldeinformationen nicht von Analysis Services an SharePoint delegiert werden, jedoch kann eine Clientanwendung die Datenquelleninformationen in einer Off-line-Bindung überschreiben. Wenn die Out-of-Line-Bindungsanforderung angibt, dass der aktuelle Benutzer imitiert werden soll, müssen die Anmeldeinformationen des Benutzers delegiert werden, was die Konfiguration von KCD zwischen SQL Server Analysis Services und SharePoint erfordert.

Beispiel für die Bereitstellung von KCD mit Office Online Server und Analysis Services

In diesem Abschnitt wird eine Beispielbereitstellung beschrieben, die vier Computer verwendet. In den folgenden Abschnitten werden die wichtigsten Installations- und Konfigurationsschritte für jeden Computer zusammengefasst. Bevor Sie mit der Bereitstellung beginnen, wird empfohlen, dass die Computer mit dem Patchen des Betriebssystems auf dem neuesten Stand sind, und Sie kennen die Computernamen, da sie in einigen der Konfigurationsschritte benötigt werden.

• Domänencontroller

• SQL Server-Datenbankmodul und Analysis Services im Power Pivot-Modus. Die Instanz des Datenbankmoduls wird für die SharePoint-Inhaltsdatenbanken verwendet.

• SharePoint Server 2016

• Office Online Server

Domänencontroller

Es folgt eine Zusammenfassung der Installation für den Domänencontroller (DC).

• Rolle: Active Directory Domain Services.

• Rolle: DNS-Server

• Feature: .NET Framework 3.5 Funktionen / .NET Framework 3.5

• Merkmal: Remoteserver-Verwaltungstools/Rollenverwaltungstools

• Konfigurieren Sie Active Directory, um eine neue Gesamtstruktur zu erstellen und die Computer mit der Domäne zu verbinden. Bevor Sie versuchen, der privaten Domäne andere Computer hinzuzufügen, müssen Sie das DNS der Clientcomputer für die IP-Adresse des DC konfigurieren. Führen Sie auf der DC-Maschine ipconfig /all aus, um die IPv4- und IPv6-Adressen für den nächsten Schritt abzurufen.

• Es wird empfohlen, sowohl IPv4- als auch IPv6-Adressen zu konfigurieren. Sie können dies in der Windows-Systemsteuerung tun:

  1. Klicken Sie auf Netzwerk- und Freigabecenter

  2. Klicken Sie auf Ihre Ethernet-Verbindung

  3. Klicken Sie auf Eigenschaften

  4. Klicken Sie auf Internetprotokoll Version 6 (TCP/IPv6)

  5. Klicken Sie auf Eigenschaften

  6. Klicken Sie auf "Verwenden der folgenden DNS-Serveradressen".

  7. Geben Sie die IP-Adresse aus dem Befehl "ipconfig" ein.

  8. Klicken Sie auf die Schaltfläche "Erweitert ", klicken Sie auf die Registerkarte "DNS ", und überprüfen Sie, ob die DNS-Suffixe korrekt sind.

  9. Klicken Sie auf "Diese DNS-Suffixe anfügen".

  10. Wiederholen Sie die Schritte für IPv4.

  Hinweis: Sie können Computer über die Windows-Systemsteuerung in den Systemeinstellungen mit der Domäne verbinden. Weitere Informationen finden Sie unter How To Join Windows Server 2012 to a Domain.

2016 SQL Server-Datenbankmodul und -Analysedienste im Power Pivot-Modus

Es folgt eine Zusammenfassung der Installation auf dem SQL Server-Computer.

Im SQL Server 2017-Setup-Assistenten wird SQL Server Analysis Services im Power Pivot-Modus als Teil des Feature-Auswahl-Workflows installiert.

1. Führen Sie den SQL Server 2017-Setup-Assistenten aus, und klicken Sie auf der Featureauswahlseite auf das Datenbankmodul, SQL Server Analysis Services und die Verwaltungstools. In einem späteren Setup für den Setup-Assistenten können Sie den Power Pivot-Modus für SQL Server Analysis Services angeben.

2. Konfigurieren Sie beispielsweise eine Instanz mit dem Namen "POWERPIVOT".

3. Konfigurieren Sie auf der Seite "Analysis Services-Konfiguration" den Analysis Services-Server für den Power Pivot-Modus , und fügen Sie der Liste der Analysis Services-Serveradministratoren den Computernamen des Office Online-Servers hinzu. Weitere Informationen finden Sie unter Installieren von Analysis Services im Power Pivot-Modus.

4. Beachten Sie, dass der Objekttyp "Computer" in der Suche standardmäßig nicht enthalten ist. Klicken Sie , um das Computerobjekt hinzuzufügen.

   

5. Erstellen Sie die Dienstprinzipalnamen (SERVICE Principal Names, SPN) für die Analysis Services-Instanz.

   Im Folgenden sind nützliche SPN-Befehle aufgeführt:

   • Auflisten des SPN für einen bestimmten Kontonamen, der den relevanten Dienst ausführt: SetSPN -l <account-name>

   • Legen Sie einen SPN für einen Kontonamen fest, der den betreffenden Dienst ausführt: SetSPN -a <SPN> <account-name>

   • Löschen Sie einen SPN aus einem bestimmten Kontonamen, der den Dienst von Interesse ausführt: SetSPN -D <SPN> <account-name>

   • Suchen nach doppelten SPNs: SetSPN -X

   Der SPN für die PowerPivot-Instanz hat folgende Form:

   MSSQLSvc.3/\<Fully Qualified Domain Name (FQDN)>:POWERPIVOT  
   MSSQLSvc.3/<NetBIOS Name>:POWERPIVOT  
   

   Dabei sind die FQDN- und NetBIOS-Namen der Name des Computers, auf dem sich die Instanz befindet. Diese SPNs werden auf dem Domänenkonto platziert, das für das Dienstkonto verwendet wird. Wenn Sie den Netzwerkdienst, das lokale System oder die Dienst-ID verwenden, sollten Sie den SPN auf dem Domänencomputerkonto platzieren. Wenn Sie ein Domänenbenutzerkonto verwenden, platzieren Sie den SPN auf diesem Konto.

6. Erstellen Sie den SPN für den SQL-Browserdienst auf dem Analysis Services-Computer.

   Weitere Informationen

7. Konfigurieren Sie eingeschränkte Delegierungseinstellungen für das Analysis Services-Dienstkonto für jede externe Quelle, aus der Sie aktualisieren möchten, z. B. SQL Server- oder Excel-Dateien. Im Analysis Services-Dienstkonto möchten wir sicherstellen, dass Folgendes festgelegt ist.

   Anmerkung: Wenn die Registerkarte "Delegierung" für das Konto in Active Directory-Benutzern und -Computern nicht angezeigt wird, liegt dies daran, dass für dieses Konto kein SPN vorhanden ist. Sie können einen gefälschten SPN hinzufügen, um es so erscheinen zu lassen, wie my/spnz. B. .

   Vertrauen Sie diesem Benutzer, dass er nur an bestimmte Dienste delegieren kann, und verwenden Sie ein beliebiges Authentifizierungsprotokoll.

   Dies wird als eingeschränkte Delegierung bezeichnet und ist erforderlich, da das Windows-Token aus einem Anspruch auf Windows Token Services (C2WTS) stammt, der eine eingeschränkte Delegierung mit Protokollübergang erfordert.

   

   Sie müssen auch die Dienste hinzufügen, an die Sie delegieren werden. Dies variiert je nach Umgebung.

Office Online Server

1. Installieren von Office Online Server

2. Konfigurieren Sie Office Online Server , um eine Verbindung mit dem SQL Server Analysis Services-Server herzustellen. Beachten Sie, dass das Office Online Server-Computerkonto ein Administrator auf dem SQL Server Analysis Services-Server sein muss. Dies wurde in einem vorherigen Abschnitt dieses Themas abgeschlossen, wobei der SQL Server Analysis Services-Server installiert wurde.

   1. Öffnen Sie auf dem Office Online Server ein PowerShell-Fenster mit Administratorrechten, und führen Sie den folgenden Befehl aus.

   2. New-OfficeWebAppsExcelBIServer -ServerId <AS instance name>

   3. Beispiel: New-OfficeWebAppsExcelBIServer -ServerId "MTGQLSERVER-13\POWERPIVOT"

3. Konfigurieren Sie Active Directory so, dass das Office Online Server-Computerkonto als Benutzer gegenüber dem SharePoint-Dienstkonto agieren kann. Legen Sie also die Delegierungseigenschaft auf dem Prinzipal fest, auf dem der Anwendungspool für SharePoint-Webdienste ausgeführt wird, auf dem Office Online Server: Die PowerShell-Befehle in diesem Abschnitt erfordern die PowerShell-Objekte (Active Directory, AD).

   1. Rufen Sie die Active Directory-Identität des Office Online-Servers ab

      $computer1 = Get-ADComputer -Identity [ComputerName]  
      

      Finden Sie diesen Principal Name, indem Sie im Task-Manager unter "Details" den "Benutzername" von w3wp.exe nachsehen. Beispiel: "svcSharePoint"

      Set-ADUser svcSharePoint -PrincipalsAllowedToDelegateToAccount $computer1  
      
      

   2. Um zu überprüfen, ob die Eigenschaft korrekt eingestellt wurde

   3. Get-ADUser svcSharePoint -Properties PrincipalsAllowedToDelegateToAccount  
      

4. Konfigurieren Sie eingeschränkte Delegierungseinstellungen für das Office Online Server-Konto in der Power Pivot-Instanz von Analysis Services. Dies sollte das Computerkonto sein, auf dem Office Online Server ausgeführt wird. Im Office Online-Dienstkonto möchten wir sicherstellen, dass Folgendes festgelegt ist.

   Anmerkung: Wenn die Registerkarte "Delegierung" für das Konto in Active Directory-Benutzern und -Computern nicht angezeigt wird, liegt dies daran, dass für dieses Konto kein SPN vorhanden ist. Sie können einen gefälschten SPN hinzufügen, um es so erscheinen zu lassen, wie my/spnz. B. .

   Vertrauen Sie diesem Benutzer, dass er nur an bestimmte Dienste delegieren kann, und verwenden Sie ein beliebiges Authentifizierungsprotokoll.

   Dies wird als eingeschränkte Delegierung bezeichnet und ist erforderlich, da das Windows-Token aus einem Anspruch auf Windows Token Services (C2WTS) stammt, der eine eingeschränkte Delegierung mit Protokollübergang erfordert. Sie möchten dann die Delegierung an die MSOLAPSvc.3 und MSOLAPDisco.3 SPNs zulassen, die wir oben erstellt haben.

5. Einrichten von Ansprüchen zum Windows-Token-Dienst (C2WTS) Dies wird für Szenario 1 benötigt. Weitere Informationen finden Sie unter Claims to Windows Token Service (c2WTS) Overview.

6. Konfigurieren Sie eingeschränkte Delegierungseinstellungen für das C2WTS-Dienstkonto. Die Einstellungen sollten mit den in Schritt 4 ausgeführten Aktionen übereinstimmen.

SharePoint Server 2016

Es folgt eine Zusammenfassung der SharePoint Server-Installation.

1. Ausführen des Erforderlichen Installationsprogramms für SharePoint

2. Führen Sie die Installation von SharePoint aus und wählen Sie die Setup-Option Einzelserverfarm aus.

3. Führen Sie das PowerPivot für SharePoint-Add-In (spPowerPivot16.msi) aus. Weitere Informationen finden Sie unter Installieren oder Deinstallieren des Power Pivot für SharePoint-Add-Ins (SharePoint 2016)

4. Führen Sie den PowerPivot-Konfigurations-Assistenten aus. Siehe Power Pivot-Konfigurationstools.

5. Verbinden Sie SharePoint mit dem Office Online Server. (Configure_xlwac_on_SPO.ps1)

6. Konfigurieren von SharePoint-Authentifizierungsanbietern für Kerberos. Dies ist für Szenario 1 erforderlich. Weitere Informationen finden Sie unter Planen der Kerberos-Authentifizierung in SharePoint 2013.

Siehe auch

Microsoft® Kerberos Configuration Manager für SQL Server®